本申请公开了一种基于运维管理的应对WebShell上传攻击的方法,涉及网络安全技术领域,包括:数据包采集:运维管理服务器对下属服务器中产生的数据包进行实时抓取;数据整理:运维管理服务器对数据包进行解析,获取数据包的网络特征;攻击验证:运维管理服务器将解析结果与预设的攻击特征库中的特征元素进行匹配,当匹配成功时,将当前数据包标识为攻击行为,否则,开放当前数据的运行权限;攻击应对:运维管理服务器对标识有攻击行为的数据包集群存储至学习器内,学习器用于基于存储的标识有攻击行为数据包进行深度学习,获取该数据包对应的攻击特征,并将学习到的攻击特征补充至预设的攻击特征库中。本申请的能够准确地对攻击行为进行监测和防御。击行为进行监测和防御。击行为进行监测和防御。
【技术实现步骤摘要】
一种基于运维管理的应对WebShell上传攻击的方法
[0001]本申请涉及网络安全
,具体是一种基于运维管理的应对WebShell上传攻击的方法。
技术介绍
[0002]WebShell是一种以asp、php、jsp或者cgi等网页文件形式存在的命令执行环境,也可以将其称做为一种网页后门。黑客往往通过向主机设备传输WebShell文件的方式实现对于主机设备的攻击,从而获取命令执行环境,进而达到控制网站服务器的目的。当网络黑客或者其他不法分子拿到网站的WebShell之后就可以说是拿到了这个网站的权限,可以任意修改网站的内容、进行shell操作,比如下载文件、修改文件、删除文件,甚至是修改网页的内容、查看数据库、在线编辑网络脚本;一旦WebShell被执行,就能为远程攻击者提供操作服务器的任意接口,如文件传输、命令执行、数据库连接等等。
[0003]现有的一些用于检测WebShell上传攻击的检测方法或防御方法,为了提高检测效率,容易忽略一些隐藏较深的WebShell文件,以及一些具有伪装行为的WebShell文件,从而出现漏检的情况,使这些WebShell文件躲避服务器的检测,造成一系列网络攻击行为的出现,因此,全面的检测WebShell文件是具有重大意义的。
技术实现思路
[0004]本申请的目的在于提供一种基于运维管理的应对WebShell上传攻击的方法,以解决上述
技术介绍
中提出的技术问题。
[0005]为实现上述目的,本申请公开了以下技术方案:一种基于运维管理的应对WebShell上传攻击的方法,该方法包括以下步骤:
[0006]数据包采集:运维管理服务器对下属服务器中产生的数据包进行实时抓取;
[0007]数据整理:所述运维管理服务器对抓取到的数据包进行解析,获取所述数据包对应的网络特征;
[0008]攻击验证:所述运维管理服务器将所述数据包的解析结果与预设的攻击特征库中的特征元素进行匹配,当匹配成功时,将当前数据包标识为攻击行为,否则,开放当前数据的运行权限;
[0009]攻击应对:所述运维管理服务器对标识有攻击行为的数据包集群存储至学习器内,所述学习器用于基于存储的标识有攻击行为数据包进行深度学习,获取该数据包对应的攻击特征,并将学习到的攻击特征补充至预设的攻击特征库中。
[0010]在一种实施方式中,所述攻击特征库用于存储WebShell文件的上传特征。
[0011]在一种实施方式中,所述WebShell文件的上传特征包括WebShell文件的脚本语言代码起始符、脚本语言代码终止符、代码关键字、代码字符串中的一种或多种。
[0012]在一种实施方式中,所述数据包采集具体包括:
[0013]所述运维管理服务器对下属服务器中的网络流量进行采集;
[0014]所述运维管理服务器对采集到的网络流量中的数据包根据数据大小进行数据包排列获取数据列表。
[0015]在一种实施方式中,所述数据整理具体包括:
[0016]所述运维管理服务器根据自多到少的方式对所述数据列表中的数据包进行解析,获取所述数据包对应的访问URL和所述数据包对应的代码。
[0017]在一种实施方式中,所述运维管理服务器将所述数据包的解析结果与预设的攻击特征库中的特征元素进行匹配具体包括:
[0018]所述运维管理服务器遍历所述数据包的代码,将所述攻击特征库中的特征元素在所述数据包的全部代码中进行检索,当检索到一个或多个结果时,定义为匹配成功,否则,定义为匹配不成功。
[0019]在一种实施方式中,所述的数据包对应的网络特征包括数据包产生时消耗的网络流量、数据包对应的IP地址、数据包的访问频次、数据包的访问连续度中的一种或多种。
[0020]在一种实施方式中,所述学习器还用于模拟网络环境,并基于学习结果在模拟的网络环境中进行网络攻击模拟,获取网络攻击模拟结果和生成攻击日志。
[0021]在一种实施方式中,所述学习器还用于供后台人员通过所述网络攻击模拟结果和生成的所述攻击日志制定防御策略和漏洞修复策略。
[0022]在一种实施方式中,所述攻击应对还包括所述运维管理服务器对标识有攻击行为的数据包进行策略匹配,所述策略匹配包括所述运维管理服务器基于该数据包的解析结果在所述学习器内匹配对应的防御策略和/或漏洞修复策略,并将获取的结果下发至下属服务器内进行防御脚本更新和/或漏洞修复。
[0023]有益效果:本申请的基于运维管理的应对WebShell上传攻击的方法,通过运维管理服务器对WebShell文件进行全面的检测,避免了常规的通过个人服务器/主机对WebShell文件全面检测时出现较高的网络延迟地情况,进一步地,在是否存在WebShell文件的检测基础上,通过攻击特征库与数据包的全面匹配,能够精准地发现存在的网络攻击隐患,并且,通过学习器深度学习网络攻击行为的方式,充实攻击特征库中的特征元素,进而使网络攻击行为能够被有效地阻隔在外,确保网络环境的安全。
附图说明
[0024]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0025]图1为本申请实施例中基于运维管理的应对WebShell上传攻击的方法的流程框图。
具体实施方式
[0026]下面将对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范
围。
[0027]在本文中,术语“包括”意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0028]参考图1所示的一种基于运维管理的应对WebShell上传攻击的方法,该方法包括以下步骤:
[0029]S101
‑
数据包采集;
[0030]S102
‑
数据整理;
[0031]S103
‑
攻击验证;
[0032]S104
‑
攻击应对。
[0033]在本实施例中,数据包采集步骤的内容为:运维管理服务器对下属服务器中产生的数据包进行实时抓取。
[0034]具体来说,数据包采集包括:
[0035]T1
‑
所述运维管理服务器对下属服务器中的网络流量进行采集;
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于运维管理的应对WebShell上传攻击的方法,其特征在于,该方法包括以下步骤:数据包采集:运维管理服务器对下属服务器中产生的数据包进行实时抓取;数据整理:所述运维管理服务器对抓取到的数据包进行解析,获取所述数据包对应的网络特征;攻击验证:所述运维管理服务器将所述数据包的解析结果与预设的攻击特征库中的特征元素进行匹配,当匹配成功时,将当前数据包标识为攻击行为,否则,开放当前数据的运行权限;攻击应对:所述运维管理服务器对标识有攻击行为的数据包集群存储至学习器内,所述学习器用于基于存储的标识有攻击行为数据包进行深度学习,获取该数据包对应的攻击特征,并将学习到的攻击特征补充至预设的攻击特征库中。2.根据权利要求1所述的基于运维管理的应对WebShell上传攻击的方法,其特征在于,所述攻击特征库用于存储WebShell文件的上传特征。3.根据权利要求2所述的基于运维管理的应对WebShell上传攻击的方法,其特征在于,所述WebShell文件的上传特征包括WebShell文件的脚本语言代码起始符、脚本语言代码终止符、代码关键字、代码字符串中的一种或多种。4.根据权利要求1所述的基于运维管理的应对WebShell上传攻击的方法,其特征在于,所述数据包采集具体包括:所述运维管理服务器对下属服务器中的网络流量进行采集;所述运维管理服务器对采集到的网络流量中的数据包根据数据大小进行数据包排列获取数据列表。5.根据权利要求4所述的基于运维管理的应对WebShell上传攻击的方法,其特征在于,所述数据整理具体包括:所述运维管理服务器根据自多到少的方式对所述数据列表中...
【专利技术属性】
技术研发人员:叶德望,蔡开伟,王慕料,林勇,
申请(专利权)人:浙江德迅网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。