本发明专利技术实施例公开了一种https模式下webshell攻击流量的识别方法和装置,所述方法包括:获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。本发明专利技术所提供的方案通过多次特征筛选,在不解密https的情况下使用客户端握手信息与流行为特征组合的方式识别webshell攻击的https流量,降低了流量识别难度,提高了流量识别的有效性。识别的有效性。识别的有效性。
【技术实现步骤摘要】
https模式下webshell攻击流量的识别方法和装置
[0001]本专利技术涉及信息安全
,具体涉及一种https模式下webshell攻击流量的识别方法和装置。
技术介绍
[0002]Webshell是一种网络安全中常见的术语,其指代黑客通过专门的webshell工具与事先通过漏洞上传到目标web系统中的网页木马进行通信的攻击行为,也可以特指webshell工具。利用webshell工具进行的攻击行为在黑客对网站的渗透与破坏中非常普遍,所以对其进行检测识别也是网络安全中的一个重要方向。
[0003]如今的web系统大多采用了基于SSL/TLS加密协议实现的https访问模式,而由于其本身的工作原理是从外部访问正规的内部web系统,所以使用的安全证书会是此web系统自身的可信证书,这导致了不能使用简单的证书信息分辨出是否为webshell攻击。目前对webshell攻击流量的识别普遍采用卸载https证书的解密方式,让问题转变成对http明文流量分析来达到识别webshell工具的目的,但是近年来主流webshell工具都采用了对http明文载荷部分单独自定义加密的方式,这使得传统的卸载https证书解密识别方式的识别难度较大,有效性较差。
[0004]因此,提供一种https模式下webshell攻击流量的识别方法和装置,以解决现有的证书解密识别方式的识别难度较高,有效性较差的问题,就成为本领域技术人员亟待解决的问题。
技术实现思路
[0005]为此,本专利技术实施例提供一种https模式下webshell攻击流量的识别方法和装置,以解决现有的证书解密识别方式的识别难度较高,有效性较差的问题。
[0006]为了实现上述目的,本专利技术实施例提供如下技术方案:
[0007]本专利技术提供了一种https模式下webshell攻击流量的识别方法,所述方法包括:
[0008]获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;
[0009]基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;
[0010]基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。
[0011]在一些实施例中,从所述原始流量中筛选出TLS协议的流量作为目标流量,具体包括:
[0012]从所述原始流量中筛选出由外向内传输的TLS协议的流量作为目标流量。
[0013]在一些实施例中,客户端握手信息具体包括TLS协议中除Session_id、Random、Extension和server_name以外的所有属性信息。
[0014]在一些实施例中,基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量,具体包括:
[0015]在所述未知TLS流量中待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配的情况下,则确定该待识别流量为webshell攻击流量。
[0016]在一些实施例中,待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配,具体包括:
[0017]所述待识别流量的至少一个流行为特征与所述流行为区别特征相匹配。
[0018]在一些实施例中,所述流行为区别特征包括以下至少一者:
[0019]流时间间隔不规律、多流总体分布的时间范围小于预设时间阈值、流中数据包的长度小于预设长度阈值、流中部分上行包长度相近、至少存在1个上行或下行大于8000字节的包。
[0020]在一些实施例中,从所述原始流量中筛选出TLS协议的流量作为目标流量,具体包括:
[0021]从所述原始流量中,提取TCP应用层存在TLS协议头的流量作为目标流量。
[0022]本专利技术还提供一种https模式下webshell攻击流量的识别装置,所述装置包括:
[0023]目标流量获取单元,用于获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;
[0024]第一筛选单元,用于基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;
[0025]第二筛选单元,用于基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。
[0026]本专利技术还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述方法的步骤。
[0027]本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述方法的步骤。
[0028]本专利技术所提供的https模式下webshell攻击流量的识别方法,通过获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。这样,本专利技术所提供的方案通过多次特征筛选,在不解密https的情况下使用客户端握手信息与流行为特征组合的方式识别webshell攻击的https流量,降低了流量识别难度,提高了流量识别的有效性,从而解决了现有的证书解密识别方式的识别难度较高,有效性较差的问题。
附图说明
[0029]为了更清楚地说明本专利技术的实施方式或现有技术中的技术方案,下面将对实施方
式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
[0030]本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本专利技术可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本专利技术所能产生的功效及所能达成的目的下,均应仍落在本专利技术所揭示的
技术实现思路
得能涵盖的范围内。
[0031]图1为本专利技术所提供的https模式下webshell攻击流量的识别方法的流程示意图之一;
[0032]图2为本专利技术所提供的https模式下webshell攻击流量的识别方法的流程示意图之二;
[0033]图3为本专利技术本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种https模式下webshel l攻击流量的识别方法,其特征在于,所述方法包括:获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshel l攻击流量;其中,所述流量行为模型是利用webshel l攻击流量与web应用的流行为区别特征构建的。2.根据权利要求1所述的https模式下webshel l攻击流量的识别方法,其特征在于,从所述原始流量中筛选出TLS协议的流量作为目标流量,具体包括:从所述原始流量中筛选出由外向内传输的TLS协议的流量作为目标流量。3.根据权利要求2所述的https模式下webshel l攻击流量的识别方法,其特征在于,客户端握手信息具体包括TLS协议中除Session_id、Random、Extension和server_name以外的所有属性信息。4.根据权利要求1所述的https模式下webshel l攻击流量的识别方法,其特征在于,基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshel l攻击流量,具体包括:在所述未知TLS流量中待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配的情况下,则确定该待识别流量为webshel l攻击流量。5.根据权利要求4所述的https模式下webshel l攻击流量的识别方法,其特征在于,待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配,具体包括:所述待识别流量的...
【专利技术属性】
技术研发人员:梁易超,刘燚,
申请(专利权)人:北京观成科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。