【技术实现步骤摘要】
一种Webshell检测方法、装置及相关系统
[0001]本专利技术涉及通信
,尤其涉及一种Webshell检测方法、装置及相关系统。
技术介绍
[0002]网页木马(Webshell)是以动态服务器页面(Active Server Pages,asp)、超文本预处理器(Hypertext Preprocessor,php)、Java服务页面(Java Server Pages,jsp)或者通用网关接口(Common Gateway Interface,cgi)等网页文件形式存在的一种代码执行环境,主要用于网站(Web)服务器管理、权限管理等操作。Webshell的工作原理是向网站服务器上传一个代码文件,该代码文件可以通过网址被访问。使用者通过访问该代码文件,能够进行很多日常操作,极大地方便了使用者对网站服务器的管理。正因如此,恶意攻击者得以将代码文件当作后门程序使用,以达到控制网站服务器的目的。
[0003]Webshell文件具有文件孤立、运行环境成熟、功能作用明显的特点。正常网页文件之间通常存在互相关联,...
【技术保护点】
【技术特征摘要】
1.一种Webshell检测方法,其特征在于,所述方法由部署于网站服务器和客户端之间的防护设备执行,所述方法包括:对所述网站服务器与客户端之间的第一流量进行检测;如果从所述第一流量中检测到疑似Webshell文件,向沙箱设备提供所述疑似Webshell文件;监控所述网站服务器与客户端之间在所述第一流量之后传输的第二流量,基于所述第二流量中获得第一PCAP包文件,所述第一PCAP包文件中包括访问所述疑似Webshell文件产生的至少一个报文;向所述沙箱设备发送所述第一PCAP包文件,以使所述沙箱设备对所述第一PCAP包文件进行重放;接收所述沙箱设备发送的告警信息,所述告警信息是所述沙箱设备对所述重放过程进行检测获得的,所述告警信息指示所述疑似Webshell文件是Webshell文件。2.根据权利要求1所述的方法,其特征在于,所述向沙箱设备提供所述疑似Webshell文件包括:基于所述第一流量中获得第二PCAP包文件,所述第二PCAP包文件中包括用以传输所述疑似Webshell文件的至少一个报文;向所述沙箱设备发送所述第二PCAP包文件,以使所述沙箱设备通过对所述第二PCAP包文件进行重放而获得所述疑似Webshell文件。3.根据权利要求1所述的方法,其特征在于,向沙箱设备提供所述疑似Webshell文件,包括:基于所述第一流量中用以传输所述疑似Webshell文件的至少一个报文获得所述疑似Webshell文件;向所述沙箱设备发送所述疑似Webshell文件。4.根据权利要求1
‑
3任一项所述的方法,其特征在于,所述监控所述网站服务器与客户端在所述第一流量之后传输的第二流量,基于所述第二流量中获得第一PCAP包文件,包括:基于所述第一流量中用以传输所述疑似Webshell文件的至少一个报文,获取传输所述疑似Webshell文件的至少一个报文携带的目的地址和统一资源定位符,所述统一资源定位符用于指示所述疑似Webshell文件在所述网站服务器上的上传路径;监控所述第二流量,如果所述第二流量中存在至少一个访问请求的目的地址和统一资源定位符分别与传输所述疑似Webshell文件的至少一个报文携带的目的地址和统一资源定位符相同,基于所述第二流量中获取所述第一PCAP包文件。5.根据权利要求1
‑
4任一项所述的方法,其特征在于,所述告警信息包括:攻击者的源地址、攻击者的目的地址、统一资源定位符、状态码、网络传输协议、告警等级中的至少一种。6.根据权利要求1
‑
5任一项所述的方法,其特征在于,所述告警信息包括统一资源定位符,所述接收沙箱设备产生的告警信息以后,所述方法还包括:监控所述网站服务器与客户端之间在所述第二流量之后传输的第三流量,并对所述第三流量中携带的统一资源定位符进行检测;如果所述第三流量中存在至少一个访问请求携带的统一资源定位符与所述告警信息
中的统一资源定位符相同,对所述第三流量中携带的统一资源定位符与所述告警信息中的统一资源定位符相同的访问请求进行阻断。7.根据权利要求1
‑
6任一项所述的方法,其特征在于,所述沙箱设备部署于云服务器。8.一种Webshell检测方法,其特征在于,所述方法由云服务器上部署的沙箱设备执行,所述方法包括:接收疑似Webshell文件,并在所述沙箱设备中保存所述疑似Webshell文件;接收第一PCAP包文件,所述第一PCAP包文件中包括访问所述疑似Webshell文件产生的至少一个报文;对所述第一PCAP包文件进行重放,基于所述重放过程对所述沙箱设备中保存的所述疑似Webshell文件进行检测以确定所述疑似Webshell文件是否为Webshell文件;基于所述疑似Webshell文件为Webshell文件,生成告警信息,并向防护设备发送所述告警信息。9.根据权利要求8所述的方法,其特征在于,所述接收疑似Webshell文件,包括:接收第二PCAP包文件,所述第二PCAP包文件中包括用以传输所述疑似Webshell文件的至少一个报文;对所述第二PCAP包文件进行重放,获取疑似Webshell文件。10.根据权利要求8或9所述的方法,其特征在于,所述在所述沙箱设备中保存所述疑似Webshell文件,包括:基于所述第二PCAP包文件中用以传输所述疑似Webshell文件的至少一个报文,获取所述疑似Webshell文件的目的地址,所述目的地址是所述疑似Webshell文件被上传的网站服务器的地址;将所述至少一个报文中的所述疑似Webshell文件的目的地址修改为所述沙箱设备中的Web Server容器的地址从而在所述沙箱设备中保存所述疑似Webshell文件,或者,将所述Web Server容器的地址修改为所述疑似Webshell文件的目的地址从而在所述沙箱设备中保存所述疑似Webshell文件。11.根据权利要求10所述的方法,其特征在于,在所述疑似Webshell文件的目的地址修改为所述沙箱设备中的Web Server容器的地址的情况下,所述对所述第一PCAP包文件进行重放,包括:获取所述第一PCAP包文件中的访问请求报文,所述访问请求报文中包括所述疑似Webshell文件的统一资源定位符和请求主体数据;将所述访问请求报文中携带的所述疑似Webshell文件的目的地址修改为所述Web Server容器地址,从而得到新的访问请求报文;根据所述新的访问请求报文与所述Web Server容器进行交互。12.根据权利要求8所述的方法,其特征在于,所述基于所述重放过程对所述沙箱设备中保存的所述疑似Webshell文件进行检测,包括:在对所述第一PCAP包文件进行重放时,通过钩子函数记录所述疑似Webshell文件执行函数调用的过程;根据所述疑似Webshell文件执行函数调用的过程,判断所述疑似Webshell文件是否为Webshell文件。
13.一种Webshell检测装置,其特征在于,包括:检测模块,用于对网站服务器与客户端之间的第一流量进行检测;发送模块,用于当从所述第一流量中检测到疑似Webshell文件,向沙箱设备提供所述疑似Webshell文件;所述检测模块,还用于监控所述网站服务器与客户端在所述第一流量之后传输的第二流量,基于所述第二流量中获得第一PCAP包文件,所述第一PCAP包文件中包括访问所述疑似Webshell文件产生的至少一个报文;所述发送模块,还用于向所述沙箱设备发送所述第一PCAP包文件,以使所述沙箱设备对所述第一PCAP包文件进行重放;接收模块,用于接收所述沙箱设备发送的告警信息,所述告警信息是所述沙箱设备对所述重放过程进行检测获得的,所述告警信息指示所述疑似Webshell文件是Webshell文件。14.根据权利要求13所述的装置,其特征在于,所述检测模块还用于,基于所述第一流量中获得第二PCAP包文件,所述第二PCAP包文件中包括用以传输所述疑似Webs...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。