【技术实现步骤摘要】
内存型Webshell扫描检测方法、系统、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种基于操作码
(Opcode)
的内存型
Webshell
扫描检测方法
、
装置
、
电子设备及存储介质
。
技术介绍
[0002]Webshell
是一种利用
Web
服务器的漏洞或者上传功能,将恶意代码植入到服务器上的一种攻击手段或脚本工具
。
通过
Webshell
,攻击者可以远程控制服务器,执行各种恶意操作,如窃取敏感信息
、
篡改网页
、
传播恶意软件等
。Webshell
的危害性非常大,因此检测和防御
Webshell
是网络安全领域的重要课题
。
[0003]根据
Webshell
是否在硬盘上留有文件,可以将
Webshell
分为文件型
Webshell
和内存型
Webshell。
文件型
Webshell
是指将恶意代码保存为一个文件,上传到服务器上,并通过访问该文件来执行恶意代码
。
内存型
Webshell
是指将恶意代码直接注入到服务器的内存中,并通过访问某个触发点来执行恶意代码
。
相比于文件型
Webshell
,内存型 ...
【技术保护点】
【技术特征摘要】
1.
一种基于操作码的内存型
Webshell
扫描检测方法,其特征在于,所述方法包括:对解释器或虚拟机中的操作码进行定位,确定所述操作码所在的内存中的区段;根据所述操作码所在的内存区段,利用
Webshell
对应的操作码检测规则库进行匹配扫描;其中,所述操作码检测规则库中存储有不同类型的
webshell
对应的操作码所在的内存区段;若扫描结果存在匹配项,则生成安全告警信息
。2.
根据权利要求1所述的内存型
Webshell
扫描检测方法,其特征在于,所述在对解释器或虚拟机中的操作码进行定位,确定所述操作码所在的内存区段之前,所述方法还包括:获取多个不同版本的语言解释器或虚拟机上运行的
Webshell
;针对各个版本,分析对应的
Webshell
的执行流程,确定出
Webshell
对应的操作码;利用内存转储和地址扫描定位出不同版本对应的所述操作码所在内存中的位置信息;将各版本的操作码所在内存中的位置信息记录在数据库中;以及,将所述操作码与对应的
Webshell
建立映射关系,形成操作码检测规则库
。3.
根据权利要求1所述的内存型
Webshell
扫描检测方法,其特征在于,所述在确定所述操作码所在的内存区段之后,所述方法还包括:判断所述操作码所在的内存区段大小;设置时间间隔,根据所述内存区段的大小,每隔预定时间间隔对定位的操作码所在内存区段进行转储;所述根据所述操作码所在的内存区段,利用
Webshell
对应的操作码检测规则库进行匹配扫描包括:利用提取的操作码规则库对转储的内存区段进行匹配扫描
。4.
根据权利要求1所述的内存型
Webshell
扫描检测方法,其特征在于,所述利用提取的操作码规则库对转储的内存区段进行匹配扫描包括:读取转储的内存区段;利用操作码规则库逐个与所述内存区段进行匹配
。5.
根据权利要求1所述的内存型
Webshell
扫描检测方法,其特征在于,所述操作码包括
PHP
脚本的操作码
、ASP
脚本的操作码
、JSP
...
【专利技术属性】
技术研发人员:卢殿君,白淳升,肖新光,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。