内存型制造技术

本发明专利技术实施例公开一种内存型

【技术实现步骤摘要】
内存型Webshell扫描检测方法、系统、电子设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种基于操作码
(Opcode)
的内存型
Webshell
扫描检测方法
、
装置
、
电子设备及存储介质
。

技术介绍

[0002]Webshell
是一种利用
Web
服务器的漏洞或者上传功能，将恶意代码植入到服务器上的一种攻击手段或脚本工具
。
通过
Webshell
，攻击者可以远程控制服务器，执行各种恶意操作，如窃取敏感信息
、
篡改网页
、
传播恶意软件等
。Webshell
的危害性非常大，因此检测和防御
Webshell
是网络安全领域的重要课题
。
[0003]根据
Webshell
是否在硬盘上留有文件，可以将
Webshell
分为文件型
Webshell
和内存型
Webshell。
文件型
Webshell
是指将恶意代码保存为一个文件，上传到服务器上，并通过访问该文件来执行恶意代码
。
内存型
Webshell
是指将恶意代码直接注入到服务器的内存中，并通过访问某个触发点来执行恶意代码
。
相比于文件型
Webshell
，内存型
Webshell
更难被检测，因为它不在硬盘上留有痕迹，且可以绕过流量设备
、
节点探针
、
终端检测等防御手段
。

技术实现思路

[0004]有鉴于此，本专利技术实施例提供一种基于操作码的内存型
Webshell
扫描检测方法
、
系统
、
电子设备及存储介质，便于实现对内存型
Webshell
的安全检测
。
[0005]为达到上述专利技术目的，采用如下技术方案：
[0006]第一方面，本专利技术实施例提供一种基于操作码的内存型
Webshell
扫描检测方法，所述方法包括：
[0007]对解释器或虚拟机中的操作码进行定位，确定所述操作码所在的内存中的区段；
[0008]根据所述操作码所在的内存区段，利用
Webshell
对应的操作码检测规则库进行匹配扫描；其中，所述操作码检测规则库中存储有不同类型的
webshell
对应的操作码所在的内存区段；
[0009]若扫描结果存在匹配项，则生成安全告警信息
。
[0010]可选地，所述在对解释器或虚拟机中的操作码进行定位，确定所述操作码所在的内存区段之前，所述方法还包括：获取多个不同版本的语言解释器或虚拟机上运行的
Webshell
；
[0011]针对各个版本，分析对应的
Webshell
的执行流程，确定出
Webshell
对应的操作码；
[0012]利用内存转储和地址扫描定位出不同版本对应的所述操作码所在内存中的位置信息；
[0013]将各版本的操作码所在内存中的位置信息记录在数据库中；
[0014]以及，将所述操作码与对应的
Webshell
建立映射关系，形成操作码检测规则库
。
[0015]可选地，所述在确定所述操作码所在的内存区段之后，所述方法还包括：
[0016]判断所述操作码所在的内存区段大小；
[0017]设置时间间隔，根据所述内存区段的大小，每隔预定时间间隔对定位的操作码所在内存区段进行转储；
[0018]所述根据所述操作码所在的内存区段，利用
Webshell
对应的操作码检测规则库进行匹配扫描包括：
[0019]利用提取的操作码规则库对转储的内存区段进行匹配扫描
。
[0020]可选地，所述利用提取的操作码规则库对转储的内存区段进行匹配扫描包括：读取转储的内存区段；
[0021]利用操作码规则库逐个与所述内存区段进行匹配
。
[0022]可选地，所述操作码包括
PHP
脚本的操作码
、ASP
脚本的操作码
、JSP
脚本的操作码和
/
或
Java
语言编译后的字节码
。
[0023]可选地，所述时间间隔根据所述内存区段大小的变化能够动态调整
。
[0024]第二方面，本专利技术实施例还提供一种基于操作码的内存型
Webshell
扫描检测系统，包括：
[0025]定位程序单元，用于对解释器或虚拟机中的操作码进行定位，确定所述操作码所在的内存中的区段；
[0026]匹配程序单元，用于根据所述操作码所在的内存区段，利用
Webshell
对应的操作码检测规则库进行匹配扫描；其中，所述操作码检测规则库中存储有不同类型的
webshell
对应的操作码所在的内存区段；
[0027]告警程序单元，用于若扫描结果存在匹配项，则生成安全告警信息
。
[0028]可选地，所述系统还包括：
[0029]获取程序单元，用于在对解释器或虚拟机中的操作码进行定位，确定所述操作码所在的内存区段之前，获取多个不同版本的语言解释器或虚拟机上运行的
Webshell
；
[0030]分析程序单元，用于针对各个版本，分析对应的
Webshell
的执行流程，确定出
Webshell
对应的操作码；
[0031]扫描程序单元，用于利用内存转储和地址扫描定位出不同版本对应的所述操作码所在内存中的位置信息；
[0032]规则库构建程序单元，用于将各版本的操作码所在内存中的位置信息记录在数据库中；
[0033]以及，将所述操作码与对应的
Webshell
建立映射关系，形成操作码检测规则库
。
[0034]第三方面，本专利技术实施例提供一种电子设备，包括：一个或者多个处理器；存储器；所述存储器中存储有一个或者多个可执行程序，所述一个或者多个处理器读取存储器中存储的可执行程序代码，以用于执行第一方面任一所述的内存型
Webshell
扫描检测方法
。
[0035]第四方面，本专利技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述第一方面任一所述的内存型
Webshell
扫描检测方法
。
[0036]本专利技术实施例提供的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于操作码的内存型
Webshell
扫描检测方法，其特征在于，所述方法包括：对解释器或虚拟机中的操作码进行定位，确定所述操作码所在的内存中的区段；根据所述操作码所在的内存区段，利用
Webshell
对应的操作码检测规则库进行匹配扫描；其中，所述操作码检测规则库中存储有不同类型的
webshell
对应的操作码所在的内存区段；若扫描结果存在匹配项，则生成安全告警信息
。2.
根据权利要求1所述的内存型
Webshell
扫描检测方法，其特征在于，所述在对解释器或虚拟机中的操作码进行定位，确定所述操作码所在的内存区段之前，所述方法还包括：获取多个不同版本的语言解释器或虚拟机上运行的
Webshell
；针对各个版本，分析对应的
Webshell
的执行流程，确定出
Webshell
对应的操作码；利用内存转储和地址扫描定位出不同版本对应的所述操作码所在内存中的位置信息；将各版本的操作码所在内存中的位置信息记录在数据库中；以及，将所述操作码与对应的
Webshell
建立映射关系，形成操作码检测规则库
。3.
根据权利要求1所述的内存型
Webshell
扫描检测方法，其特征在于，所述在确定所述操作码所在的内存区段之后，所述方法还包括：判断所述操作码所在的内存区段大小；设置时间间隔，根据所述内存区段的大小，每隔预定时间间隔对定位的操作码所在内存区段进行转储；所述根据所述操作码所在的内存区段，利用
Webshell
对应的操作码检测规则库进行匹配扫描包括：利用提取的操作码规则库对转储的内存区段进行匹配扫描
。4.
根据权利要求1所述的内存型
Webshell
扫描检测方法，其特征在于，所述利用提取的操作码规则库对转储的内存区段进行匹配扫描包括：读取转储的内存区段；利用操作码规则库逐个与所述内存区段进行匹配
。5.
根据权利要求1所述的内存型
Webshell
扫描检测方法，其特征在于，所述操作码包括
PHP
脚本的操作码
、ASP
脚本的操作码
、JSP
...

【专利技术属性】
技术研发人员：卢殿君，白淳升，肖新光，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：