CN103294952B - 一种基于页面关系检测webshell的方法及系统 - Google Patents

一种基于页面关系检测webshell的方法及系统 Download PDF

Info

Publication number
CN103294952B
CN103294952B CN201210498079.6A CN201210498079A CN103294952B CN 103294952 B CN103294952 B CN 103294952B CN 201210498079 A CN201210498079 A CN 201210498079A CN 103294952 B CN103294952 B CN 103294952B
Authority
CN
China
Prior art keywords
page
onrelevant
webshell
association link
unique identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210498079.6A
Other languages
English (en)
Other versions
CN103294952A (zh
Inventor
刘佳男
布宁
宋兵
李柏松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ahtech network Safe Technology Ltd
Original Assignee
Beijing Antiy Electronic Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Electronic Equipment Co Ltd filed Critical Beijing Antiy Electronic Equipment Co Ltd
Priority to CN201210498079.6A priority Critical patent/CN103294952B/zh
Publication of CN103294952A publication Critical patent/CN103294952A/zh
Application granted granted Critical
Publication of CN103294952B publication Critical patent/CN103294952B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种基于页面关系检测webshell的方法及系统,识别和遍历WEB服务器中的所有页面,基于遍历到的每一页面进行解析,提取出链接于其他页面的所有关联链接,并收集以下关联信息:页面的唯一标识、关联链接、关联链接页面的唯一标识、关联链接页面的存在性;基于所述关联信息分别判定每一页面是否为无关联页面;从所述无关联页面中排除掉黑页后,剩余所述无关联页面即为webshell页面。所述方法解决了目前基于特征检测webshell页面的方法存在的不足和滞后性。

Description

一种基于页面关系检测webshell的方法及系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于页面关系检测webshell的方法及系统。
背景技术
Webshell是以asp、php、jsp、cgi等网页文件形式存在的一种命令执行环境,也可以称为一种网页后门。入侵者在入侵网站后,经常在WEB服务器的WEB目录中放置webshell后门文件,且与WEB服务器WEB目录下正常的文件混在一起,不易被发现。入侵者可以用WEB方式访问webshell得到命令执行环境以达到控制网站或WEB服务器的目的,可进行的操作包括上传下载文件、查看数据库、执行任意程序命令等。
由于webshell与被控制的WEB服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在WEB服务器的日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。
目前,大多数的webshell文件代码进行了加密,由此绕过了WEB防火墙和防病毒软件的查杀。随着大量漏洞的不断公开、加密技术的提高、各种绕过反病毒监控系统的技术公布,使当前webshell的查杀面临着严峻的考验。且传统的webshell的查杀存在着滞后性,往往是先有特征,才能查杀,并不能进行无特征的扫描或者启发式扫描。
发明内容
针对上述技术问题,本发明提供了一种基于页面关系检测webshell的方法及系统,可以使webshell在无特征情况下快速定位,快速处置,从而弥补了目前webshell通用特征或启发式查杀方法上的不足和滞后性,使得webshell的检测更准确更及时。
本发明采用如下方法来实现:
一种基于页面关系检测webshell的方法:
步骤1、识别和遍历WEB服务器中的所有页面,对于遍历到的每一页面进行解析,提取出链接于其他页面的所有关联链接;
步骤2、对于每一页面收集以下关联信息,包括:页面的唯一标识、关联链接、关联链接页面的唯一标识、关联链接页面的存在性;将所有页面的关联信息存储于关系集数据库中;
所述关联链接页面的唯一标识是指每一页面内每一关联链接所对应页面的唯一标识;
所述关联链接页面的存在性是指所述关联链接在WEB服务器中是否真实存在;
步骤3、基于所述关联信息分别判断每一页面是否为无关联页面:检查当前页面的关联页面的存在性是否为真,如果为真则不是无关联页面,否则遍历关系集数据库中所有关联链接页面的唯一标识,查看是否存在当前页面的唯一标识,若存在,则当前页面不是无关联页面,否则当前页面为无关联页面;
步骤4、从所述无关联页面中排除掉黑页后,剩余所述无关联页面即为webshell页面;
所述黑页,是指公布了入侵者信息的网站主页。
方法中所述的关联信息可以以表、图、树或者库的形式进行表现。
方法中在执行步骤4之前还可以包括如下步骤:针对所述无关联页面进行黑白名单匹配,如果匹配不成功则执行步骤4;如果所述无关联页面与白名单匹配成功,则判定所述无关联页面不是webshell页面,如果所述无关联页面与黑名单匹配成功,则判定所述无关联页面为已知webshell页面。
其中,所述白名单为管理员手动操作,加入或者删除正常无关联页面的相关信息。白名单中包括但不限于以下信息:名称、位置、大小、增加时间、页面功能、管理员姓名或者页面唯一标识。
其中,所述黑名单主要以自动增加为主,存储已知webshell页面信息,黑名单中包括但不限于以下信息:名称、位置、大小、检索时间、清除标识、页面存储或者页面唯一标识。
方法中在步骤4之后还可以包括:报警或者删除所述的webshell页面。
一种基于页面关系检测webshell的系统,包括:
提取模块,识别和遍历WEB服务器中的所有页面,对于遍历到的每一页面进行解析,提取出链接于其他页面的所有关联链接;
关联信息收集模块,对于每一页面收集以下关联信息,包括:页面的唯一标识、关联链接、关联链接页面的唯一标识、关联链接页面的存在性;将所有页面的关联信息存储于关系集数据库中;
所述关联链接页面的唯一标识是指每一页面内每一关联链接所对应页面的唯一标识;
所述关联链接页面的存在性是指所述关联链接在WEB服务器中是否真实存在;
判定模块,基于所述关联信息分别判定每一页面是否为无关联页面:检查当前页面的关联链接页面的存在性是否为真,如果为真则不是无关联页面,否则遍历关系集数据库中所有关联链接页面的唯一标识,查看是否存在当前页面的唯一标识,若存在,则所述页面不是无关联页面,否则当前页面为无关联页面;
webshell模块,从所述无关联页面中排除掉黑页后,剩余所述无关联页面即为webshell页面;
其中,所述黑页为入侵者为了证明自己的存在,在网站主页(在服务器开放WEB服务的情况下)进行改写,从而公布入侵者留下的信息,这样的网页都称为黑页。
系统中关联信息收集模块中所述的关联信息可以以表、图、树或者库的形式进行表现。
系统中在判定模块和webshell模块之间还可以包括黑白名单匹配模块,针对所述无关联页面进行黑白名单匹配,如果匹配不成功则将所述无关联页面发送至webshell模块;如果所述无关联页面与白名单匹配成功,则判定所述无关联页面不是webshell页面;如果所述无关联页面与黑名单匹配成功,则判定所述无关联页面为已知webshell页面。
其中,所述白名单为管理员手动操作,加入或者删除正常无关联页面的相关信息。白名单中包括但不限于以下信息:名称、位置、大小、增加时间、页面功能、管理员姓名或者页面唯一标识。
其中,所述黑名单主要以自动增加为主,存储已知webshell页面信息,黑名单中包括但不限于以下信息:名称、位置、大小、检索时间、清除标识、页面存储或者页面唯一标识
系统中在webshell模块之后还可以包括处置模块,用于报警或者删除所述的webshell页面。
综上所述,本发明提供了一种基于页面关系检测webshell的方法及系统,通过对WEB服务器上所有页面的解析,找出所有页面之间的关联信息,然后过滤出与其他页面没有任何关联关系的无关联页面,最后排除掉黑页之后,就得到了webshell页面。利用如上所述方案,克服了webshell检测的滞后性,即使加密技术、免杀技术、绕过技术做的很成熟,也很难逃过定位与检测。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于页面关系检测webshell的方法流程图;
图2为本发明提供的基于页面关系检测webshell的系统结构图。
具体实施方式
本发明给出了一种基于页面关系检测webshell的方法及系统,为了使本领域的技术人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明提供了一种基于页面关系检测webshell的方法,如图1所示:
S101识别和遍历WEB服务器中的所有页面,对于遍历到的每一页面进行解析,提取出链接于其他页面的所有关联链接;
S102对于每一页面收集以下关联信息,包括:页面的唯一标识、关联链接、关联链接页面的唯一标识、关联链接页面的存在性;将所有页面的关联信息存储于关系集数据库中;
所述关联链接页面的唯一标识是指所述页面内每一关联链接所对应页面的唯一标识;
所述关联链接页面的存在性是指所述关联链接在WEB服务器中是否真实存在;
S103基于所述关联信息分别判断每一页面是否为无关联页面:检查当前页面的关联页面的存在性是否为真,如果为真则不是无关联页面,否则遍历关系集数据库中所有关联链接页面的唯一标识,查看是否存在当前页面的唯一标识,若存在,则当前页面不是无关联页面,否则当前页面为无关联页面;
其中,所述的关联信息可以以表、图、树或者库的形式进行表现。
例如下表,所述的关联信息是以表的形式表现的。
S104从所述无关联页面中排除掉黑页后,剩余所述无关联页面即为webshell页面;
优选地,在S104之后还包括:报警或者删除所述的webshell页面
优选地,在执行S104之前还包括:针对所述无关联页面进行黑白名单匹配,如果匹配不成功则执行S104;如果所述无关联页面与白名单匹配成功,则判定所述无关联页面不是webshell页面,如果所述无关联页面与黑名单匹配成功,则判定所述无关联页面为已知webshell页面;
其中,所述白名单为管理员手动操作,加入或者删除正常无关联页面的相关信息。
本发明还提供了一种基于页面检测webshell的系统,如图2所示包括:
提取模块201,识别和遍历WEB服务器中的所有页面,对于遍历到的每一页面进行解析,提取出链接于其他页面的所有关联链接;
关联信息收集模块202,对于每一页面收集以下关联信息,包括:页面的唯一标识、关联链接、关联链接页面的唯一标识、关联链接页面的存在性;将所有页面的关联信息存储于关系集数据库中;
所述关联链接页面的唯一标识是指所述页面内每一关联链接所对应页面的唯一标识;
所述关联链接页面的存在性是指所述关联链接在WEB服务器中是否真实存在;
判定模块203,基于所述关联信息分别判定每一页面是否为无关联页面:检查当前页面的关联链接页面的存在性是否为真,如果为真则不是无关联页面,否则遍历关系集数据库中所有关联链接页面的唯一标识,查看是否存在当前页面的唯一标识,若存在,则所述页面不是无关联页面,否则当前页面为无关联页面;
webshell模块204,从所述无关联页面中排除掉黑页后,剩余所述无关联页面即为webshell页面;
所述黑页,是指计算机被入侵后,被入侵者改写的,带有入侵者信息的页面。
其中,关联信息收集模块中所述的关联信息以表、图、树或者库的形式进行表现。
优选地,在判定模块和webshell模块之间还包括黑白名单匹配模块,针对所述无关联页面进行黑白名单匹配,如果匹配不成功则将所述无关联页面发送至webshell模块;如果所述无关联页面与白名单匹配成功,则判定所述无关联页面不是webshell页面;如果所述无关联页面与黑名单匹配成功,则判定所述无关联页面为已知webshell页面。
其中,所述白名单为管理员手动操作,加入或者删除正常无关联页面的相关信息。
如上系统中所述黑名单包括以下字段:名称、位置、大小、检索时间、清除标志、页面存储、页面唯一标识。
更为优选地,在webshell模块之后还包括处置模块,用于报警或者删除所述的webshell页面。
如上所述,本发明给出了一种基于页面关系检测webshell的方法及系统,该检测方法与传统的基于特征的检测方法相比,该方法利用WEB服务器中页面之间的关联关系,找出其中的无关联页面,随后可以进一步进行黑白名单的匹配,对于黑白名单中均未匹配到的无关联页面,进一步排除黑页之后,即可得到webshell页面,使得webshell的检测和定位更及时更准确,克服了传统检测方法的不足和滞后性。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (6)

1.一种基于页面关系检测webshell的方法,其特征在于,包括:
步骤1、识别和遍历WEB服务器中的所有页面,对于遍历到的每一页面进行解析,提取出链接于其他页面的所有关联链接;
步骤2、对于每一页面收集以下关联信息,包括:页面的唯一标识、关联链接、关联链接页面的唯一标识、关联链接页面的存在性;将所有页面的关联信息存储于关系集数据库中;
所述关联链接页面的唯一标识是指每一页面内每一关联链接所对应页面的唯一标识;
所述关联链接页面的存在性是指所述关联链接在WEB服务器中是否真实存在;
步骤3、基于所述关联信息分别判断每一页面是否为无关联页面:检查当前页面的关联页面的存在性是否为真,如果为真则不是无关联页面,否则遍历关系集数据库中所有关联链接页面的唯一标识,查看是否存在当前页面的唯一标识,若存在,则当前页面不是无关联页面,否则当前页面为无关联页面;
步骤4、从所述无关联页面中排除掉黑页后,剩余所述无关联页面即为webshell页面;
所述黑页,是指公布了入侵者信息的网站主页。
2.如权利要求1所述的方法,其特征在于,在执行步骤4之前还包括:针对所述无关联页面进行黑白名单匹配,如果匹配不成功则执行步骤4;如果所述无关联页面与白名单匹配成功,则判定所述无关联页面不是webshell页面;如果所述无关联页面与黑名单匹配成功,则判定所述无关联页面为已知webshell页面;
所述白名单中存储的是正常的无关联页面;所述黑名单中存储的是已知的webshell页面。
3.如权利要求1所述的方法,其特征在于,在步骤4之后还包括:报警或者删除所述的webshell页面。
4.一种基于页面关系检测webshell的系统,其特征在于,包括:
提取模块,识别和遍历WEB服务器中的所有页面,对于遍历到的每一页面进行解析,提取出链接于其他页面的所有关联链接;
关联信息收集模块,对于每一页面收集以下关联信息,包括:页面的唯一标识、关联链接、关联链接页面的唯一标识、关联链接页面的存在性;将所有页面的关联信息存储于关系集数据库中;
所述关联链接页面的唯一标识是指每一页面内每一关联链接所对应页面的唯一标识;
所述关联链接页面的存在性是指所述关联链接在WEB服务器中是否真实存在;
判定模块,基于所述关联信息分别判定每一页面是否为无关联页面:检查当前页面的关联链接页面的存在性是否为真,如果为真则不是无关联页面,否则遍历关系集数据库中所有关联链接页面的唯一标识,查看是否存在当前页面的唯一标识,若存在,则所述页面不是无关联页面,否则当前页面为无关联页面;
webshell模块,从所述无关联页面中排除掉黑页后,剩余所述无关联页面即为webshell页面;
所述黑页是指公布了入侵者信息的网站主页。
5.如权利要求4所述的系统,其特征在于,在判定模块和webshell模块之间还包括黑白名单匹配模块,针对所述无关联页面进行黑白名单匹配,如果匹配不成功则将所述无关联页面发送至webshell模块;如果所述无关联页面与白名单匹配成功,则判定所述无关联页面不是webshell页面;如果所述无关联页面与黑名单匹配成功,则判定所述无关联页面为已知webshell页面;
所述白名单中存储的是正常的无关联页面信息;所述黑名单中存储的是已知的webshell页面信息。
6.如权利要求4所述的系统,其特征在于,在webshell模块之后还包括处置模块,用于报警或者删除所述的webshell页面。
CN201210498079.6A 2012-11-29 2012-11-29 一种基于页面关系检测webshell的方法及系统 Active CN103294952B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210498079.6A CN103294952B (zh) 2012-11-29 2012-11-29 一种基于页面关系检测webshell的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210498079.6A CN103294952B (zh) 2012-11-29 2012-11-29 一种基于页面关系检测webshell的方法及系统

Publications (2)

Publication Number Publication Date
CN103294952A CN103294952A (zh) 2013-09-11
CN103294952B true CN103294952B (zh) 2016-03-09

Family

ID=49095794

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210498079.6A Active CN103294952B (zh) 2012-11-29 2012-11-29 一种基于页面关系检测webshell的方法及系统

Country Status (1)

Country Link
CN (1) CN103294952B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905422B (zh) * 2013-12-17 2017-04-26 哈尔滨安天科技股份有限公司 一种本地模拟请求辅助查找webshell的方法及系统
CN105760379B (zh) * 2014-12-16 2020-01-21 中国移动通信集团公司 一种基于域内页面关联关系检测webshell页面的方法及装置
CN105812196A (zh) * 2014-12-30 2016-07-27 中国移动通信集团公司 一种WebShell检测方法及电子设备
CN105989284B (zh) * 2015-02-10 2019-01-11 阿里巴巴集团控股有限公司 网页入侵脚本特征的识别方法及设备
CN104765883A (zh) * 2015-04-30 2015-07-08 中电运行(北京)信息技术有限公司 一种用于Webshell的检测方法
CN104967616A (zh) * 2015-06-05 2015-10-07 北京安普诺信息技术有限公司 一种Web服务器中的WebShell文件的检测方法
CN106911686B (zh) * 2017-02-20 2020-07-07 杭州迪普科技股份有限公司 WebShell检测方法及装置
CN107622202A (zh) * 2017-09-20 2018-01-23 杭州安恒信息技术有限公司 网页后门检测方法及装置
CN110909350B (zh) * 2019-11-16 2022-02-11 杭州安恒信息技术股份有限公司 一种远程精准识别WebShell后门的方法
CN111523118B (zh) * 2020-04-15 2021-04-06 北京升鑫网络科技有限公司 一种Webshell检测方法、装置、存储介质和设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599947A (zh) * 2008-06-06 2009-12-09 盛大计算机(上海)有限公司 基于web网页的木马病毒扫描方法
CN101808093A (zh) * 2010-03-15 2010-08-18 北京安天电子设备有限公司 一种对web安全进行自动化检测的系统和方法
CN102375946A (zh) * 2010-08-19 2012-03-14 腾讯科技(深圳)有限公司 一种检测网页木马的方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101599947A (zh) * 2008-06-06 2009-12-09 盛大计算机(上海)有限公司 基于web网页的木马病毒扫描方法
CN101808093A (zh) * 2010-03-15 2010-08-18 北京安天电子设备有限公司 一种对web安全进行自动化检测的系统和方法
CN102375946A (zh) * 2010-08-19 2012-03-14 腾讯科技(深圳)有限公司 一种检测网页木马的方法和装置

Also Published As

Publication number Publication date
CN103294952A (zh) 2013-09-11

Similar Documents

Publication Publication Date Title
CN103294952B (zh) 一种基于页面关系检测webshell的方法及系统
JP5410626B1 (ja) ウェブシェル検知/対応システム
KR100723867B1 (ko) 피싱웹페이지 차단 장치 및 방법
CN107958322B (zh) 一种城市网络空间综合治理系统
CN110417718B (zh) 处理网站中的风险数据的方法、装置、设备及存储介质
CN104346566A (zh) 检测隐私权限风险的方法、装置、终端、服务器及系统
CN104246785A (zh) 用于移动应用声誉的众包的系统和方法
CN103701769A (zh) 一种检测网络危害源头的方法与系统
CN103268328B (zh) 二维码的验证方法及搜索引擎服务器
CN106027529A (zh) 一种基于溯源信息的入侵检测系统及方法
CN105654077A (zh) 一种社区网格化管理中信息采集的方法
CN112887341B (zh) 一种外部威胁监控方法
CN103905422A (zh) 一种本地模拟请求辅助查找webshell的方法及系统
Bao et al. V-SZZ: automatic identification of version ranges affected by CVE vulnerabilities
KR20140058237A (ko) 악성코드 유포지 및 경유지 주기 점검 시스템 및 방법
CN107392028A (zh) 敏感信息的检测方法及其检测装置、存储介质、电子设备
KR20170101624A (ko) 디지털 콘텐츠 모니터링 시스템 및 그 처리 방법
CN102891861B (zh) 一种基于客户端的钓鱼网站检测方法及其装置
CN110020161B (zh) 数据处理方法、日志处理方法和终端
CN105743732A (zh) 一种记录局域网文件传输路径和分布情况的方法及系统
CN108965327A (zh) 检测系统漏洞的方法、装置、计算机设备以及存储介质
US20160277422A9 (en) System and method for detecting final distribution site and landing site of malicious code
CN103312692A (zh) 链接地址安全性检测方法及装置
KR20130093230A (ko) 웹상에서의 저작권 침해 컨텐츠에 대한 검출 및 관리 시스템
CN106529281A (zh) 一种可执行文件处理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address

Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a

Patentee after: Beijing ahtech network Safe Technology Ltd

Address before: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14

Patentee before: Beijing Antiy Electronic Installation Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and system for detecting webshell based on page relation

Effective date of registration: 20170821

Granted publication date: 20160309

Pledgee: CITIC Bank Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2017990000776

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20180817

Granted publication date: 20160309

Pledgee: CITIC Bank Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2017990000776

PC01 Cancellation of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and system for detecting webshell based on page relation

Effective date of registration: 20180817

Granted publication date: 20160309

Pledgee: CITIC Bank Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2018990000700

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20191021

Granted publication date: 20160309

Pledgee: CITIC Bank Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2018990000700

PC01 Cancellation of the registration of the contract for pledge of patent right