CN103973664A - 网络木马后门探测/应对系统 - Google Patents
网络木马后门探测/应对系统 Download PDFInfo
- Publication number
- CN103973664A CN103973664A CN201310080172.XA CN201310080172A CN103973664A CN 103973664 A CN103973664 A CN 103973664A CN 201310080172 A CN201310080172 A CN 201310080172A CN 103973664 A CN103973664 A CN 103973664A
- Authority
- CN
- China
- Prior art keywords
- web page
- back door
- object server
- detected object
- wooden horse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42D—BOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
- B42D5/00—Sheets united without binding to form pads or blocks
- B42D5/04—Calendar blocks
- B42D5/047—Calendar blocks in which the calendar sheet or sheets are combined with other articles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42P—INDEXING SCHEME RELATING TO BOOKS, FILING APPLIANCES OR THE LIKE
- B42P2221/00—Books or filing appliances with additional arrangements
- B42P2221/02—Books or filing appliances with additional arrangements with indicating means
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及网络木马后门探测/应对系统。该系统包括:脚本联动部,处理与信息收集脚本的联动;数据库管理部,将探测对象服务器的多个网页结构内容的各自的完整性散列信息预先存储并进行管理;以及信息分析部,将由信息收集脚本来进行周期性或非周期性收集的探测对象服务器的多个网页结构内容的各自的当前散列信息与通过数据库管理部存储的完整性散列信息进行比较,检索伪造的网页结构内容。该系统无需在探测对象服务器中设置编译为二进制文件形式的额外的网络木马后门探测应用程序,而是通过向探测对象服务器的网页首页路径内插入的信息收集脚本,从探测对象服务器中收集信息,并利用收集到的信息,远程判断探测对象服务器是否感染网络木马后门。
Description
技术领域
本发明涉及一种网络木马后门(Webshell)探测技术,尤其,涉及一种网络木马后门探测/应对系统,该系统无需在探测对象服务器中设置编译为二进制文件形式的额外的网络木马后门探测应用程序,也能够方便地探测探测对象服务器中的网络木马后门。
背景技术
网络木马后门(Webshell)是指攻击者为了对入侵对象服务器远程执行指令而制作的asp,php,jsp,cgi等网络脚本(Web Script)文件。攻击者利用网络木马后门获得入侵对象服务器的管理者权限后,能对入侵对象服务器实施网页源代码浏览、入侵对象服务器内的内容等资料的流失、后门程序设置等多种攻击。最近,不仅通过文件上传,还通过例如结构化查询语言(SQL,Structured Query Language)注入(Injection)等在攻击网页脆弱点后持续侵入入侵对象服务器等,其类型逐渐变得巧妙。
韩国公开专利第10-2009-0088687号(2009年08月20日)提出了一种设置于探测对象计算机中,通过网络木马后门特征分析来探测对象计算机是否被网络木马后门感染,在产生未注册的网络木马后门特征时,从服务器中更新网络木马后门特征的网络木马后门探测技术。
但是,这种现有的网络木马后门探测技术还需在探测对象服务器中额外设置以二进制文件形式进行编译的网络木马后门探测应用程序,来探测网络木马后门,因此,存在探测对象服务器中与处理(processing)中的其他应用程序相冲突的可能性,且为了网络木马后门探测而还需要额外的管理人员,并由于网络木马后门而发生事故时,存在由于对网络木马后门的专业知识的不足而很难迅速应对的问题。
因此,本发明人对在探测对象服务器中不额外设置编译为二进制文件形式的网络木马后门探测应用程序的情况下,也能对探测对象服务器的网络木马后门方便地进行探测的网络木马后门探测技术进行了研究。
现有技术文献
专利文献
(专利文献1)韩国公开专利第10-2009-0088687号(2009年08月20日)
发明内容
本发明是在上述宗旨下进行发明的,其目的在于,提供一种网络木马后门探测/应对系统,该系统无需在探测对象服务器中设置编译为二进制文件形式的额外的网络木马后门应用程序,而是通过向探测对象服务器的网页首页路径内插入的信息收集脚本来从探测对象服务器收集信息,并利用收集到的信息,远程判断探测对象服务器是否感染网络木马后门。
为了实现上述目的的本发明的一实施方式的网络木马后门探测/应对系统的特征在于,包括:脚本联动部,其处理与插入探测对象服务器的网页首页路径内并从该探测对象服务器收集信息的信息收集脚本的联动;数据库(DB,database)管理部,其将探测对象服务器的多个网页结构内容的各自的完整性散列信息事先存储并进行管理;以及信息分析部,其将由通过上述脚本联动部进行联动的信息收集脚本来进行周期性或非周期性收集的探测对象服务器的多个网页结构内容的各自的当前散列信息与通过上述数据库管理部存储的探测对象服务器的多个网页结构内容的各自的完整性散列信息相比较,来检索伪造的网页结构内容。
作为本发明的附加实施方式,网络木马后门探测/应对系统的特征在于,信息分析部向信息收集脚本请求进行伪造的网页结构内容文件的传送,从而从探测对象服务器中接收伪造的网页结构内容文件。
作为本发明的附加实施方式,网络木马后门探测/应对系统的特征在于,信息分析部对从探测对象服务器中接收的伪造网页结构内容文件执行网络木马后门特征模式(Webshell Signature Pattern)分析,从而探测该探测对象服务器是否感染网络木马后门(Webshell)。
作为本发明的附加实施方式,网络木马后门探测/应对系统的特征在于,还包括应对管理部,其在由上述信息分析部判断出探测对象服务器感染了网络木马后门(Webshell)时,向该探测对象服务器负责人发出警告。
作为本发明的附加实施方式,网络木马后门探测/应对系统的特征在于,在由信息分析部判断出探测对象服务器未感染网络木马后门时,应对管理部请求进行对网页结构内容的完整性散列信息的更新。
作为本发明的附加实施方式,网络木马后门探测/应对系统的特征在于,上述数据库管理部根据来自上述应对管理部的对网页结构内容的完整性散列信息的更新请求,将上述伪造的网页结构内容的当前散列信息作为该网页结构内容的完整性散列信息来存储到数据库,从而对网页结构内容的完整性散列信息进行更新。
作为本发明的附加实施方式,网络木马后门探测/应对系统的特征在于,脚本联动部检查探测对象服务器的活动或非活动状态,在该探测对象服务器处于活动状态时,向上述信息分析部请求对伪造的网页结构内容的检索。
作为本发明的附加实施方式,网络木马后门探测/应对系统的特征在于,脚本联动部在上述探测对象服务器处于非活动状态时,将该探测对象服务器连接失败日志进行存储。
作为本发明的附加实施方式,网络木马后门探测/应对系统的特征在于,上述散列信息包括探测对象服务器识别信息、网页结构内容文件的散列值、存储网页结构内容文件的路径深度(Depth)、网页结构内容文件名、存储网页结构内容文件的路径名、网页结构内容文件的执行权限、网页结构内容文件的最后修改日期、以及网页结构内容文件的注册日期。
作为本发明的附加实施方式,网络木马后门探测/应对系统的特征在于,信息收集脚本包括:装置联动部,其与网络木马后门探测/应对系统联动;散列信息处理部,其对探测对象服务器的网页首页路径内的所有网页结构内容文件生成当前散列信息,向通过上述装置联动部进行联动的网络木马后门探测/应对系统进行传送;以及文件处理部,其根据来自通过上述装置联动部进行联动的网络木马后门探测/应对系统中的伪造的网页结构内容文件的传送请求,将探测对象服务器的网页首页路径内的伪造的网页结构内容文件向网络木马后门探测/应对系统进行传送。
本发明具有如下效果:无需在探测对象服务器中设置编译为二进制文件形式的额外的网络木马后门探测应用程序,在远程状态下利用探测对象服务器中收集到的信息,来探测探测对象服务器是否感染网络木马后门,从而在探测对象服务器中完全不存在与进行处理(processing)中的其他应用程序相冲突的可能性,探测对象服务器的运营方也不必为了网络木马后门探测而需要额外的管理人员,并且在探测对象服务器因网络木马后门而发生事故时,能够通过远程方式由综合管理网络木马后门的专业技术人员来进行迅速的应对。
附图说明
图1是适用于本发明的网络木马后门探测/应对系统的网络示意图。
图2是图示本发明的网络木马后门探测/应对系统的一实施例的构成的框图。
图3是图示向探测对象服务器的网页首页路径内插入,并从探测对象服务器收集信息的信息收集脚本的一实施例的构成的框图。
图4是图示本发明网络木马后门探测/应对系统的网络木马后门探测动作的一例的流程图。
具体实施方式
以下,通过参照附图记述的优选实施例,为了使本发明所属技术领域普通技术人员能容易地理解和再现而进行详细的记述。
在对本发明进行说明的过程中,若判断为相关公知功能或结构的具体说明会对本发明实施例的主旨的理解产生不必要的影响时,省略对此的详细说明。
本发明说明书全文中所使用的术语是考虑本发明实施例中的功能来进行定义的术语,根据使用人员或运用人员的意图、惯例等,能充分变形,因此,这些术语的定义应以本说明书整体的内容为基础来进行解释。
图1是适用于本发明的网络木马后门探测/应对系统的网络概要图。如图1所示,本发明的网络木马后门探测/应对系统100通过网络,与至少一个探测对象服务器200相连接。每个探测对象服务器200的网页首页路径内插入信息收集脚本300,从每个探测对象服务器200收集信息,并向网络木马后门探测/应对系统100传送。
网络木马后门探测/应对系统100通过向探测对象服务器200的网页首页路径内插入并从该探测对象服务器收集信息的信息收集脚本300,来将周期性或非周期性收集的探测对象服务器的多个网页结构内容的各自的当前散列信息与事先存储的探测对象服务器的多个网页结构内容的各自的完整性散列信息进行比较,来检索伪造的网页结构内容。
而且,网络木马后门探测/应对系统100通过信息收集脚本300接收来自探测对象服务器200的伪造的网页结构内容文件,并对伪造的网页结构内容文件执行网络木马后门特征模式(Webshell Signature Pattern)分析,来探测该探测对象服务器是否感染网络木马后门(Webshell)。
由此,本发明无需在探测对象服务器中设置编译为二进制文件形式的额外的网络木马后门探测应用程序,在远程状态下利用由探测对象服务器收集到的信息,来探测探测对象服务器是否感染网络木马后门,从而在探测对象服务器中完全不存在与进行处理(processing)中的其他应用程序相冲突的可能性,探测对象服务器的运营方也不必为了网络木马后门探测而需要额外的管理人员,并且在探测对象服务器因网络木马后门而发生事故时,能够通过远程方式由对网络木马后门进行综合管理的专业人员来进行迅速的应对。
图2是图示本发明的网络木马后门探测/应对系统的一实施例的构成的框图。如图2所示,一实施例的网络木马后门探测/应对系统100包括脚本联动部110、数据库管理部120及信息分析部130。
上述脚本联动部110对与向探测对象服务器200的网页首页路径内插入的信息收集脚本300之间的联动进行处理,该信息收集脚本300从该探测对象服务器收集信息。
例如,上述脚本联动部110与信息收集脚本300执行周期性或非周期性的套接字(Socket)通信,从而实现网络木马后门探测/应对系统100与信息收集脚本300的联动。信息收集脚本300的具体结构之后说明。
另一方面,脚本联动部110检查探测对象服务器200的活动或非活动状态,当该探测对象服务器200为活动状态时,还能够向信息分析部130请求检索伪造的网页结构内容。
如果,上述探测对象服务器为非活动状态时,上述脚本联动部110存储该探测对象服务器连接失败日志。探测对象服务器连接失败日志中能够记录探测对象服务器的识别信息、探测对象服务器的IP地址及试图连接时间等。
上述数据库管理部120将探测对象服务器200的多个网页结构内容的各自的完整性散列信息事先存储于数据库并进行管理。例如,通过信息收集脚本300最初从探测对象服务器200收集信息时,上述数据库管理部120从探测对象服务器200接收该探测对象服务器的多个网页结构内容的各自的完整性散列信息,并存储于数据库,因此,探测对象服务器200的多个网页结构内容的各自的完整性散列信息注册于网络木马后门探测/应对系统100。
上述信息分析部130将由通过上述脚本联动部110联动的信息收集脚本300周期性或非周期性收集的探测对象服务器200的多个网页结构内容的各自的当前散列信息与由上述数据库管理部存储的探测对象服务器的多个网页结构内容的各自的完整性散列信息相比较,来检索伪造的网页结构内容。
此时,上述完整性散列信息及通过信息收集脚本300进行周期性或非周期性收集的当前散列信息包括:类似探测对象服务器的个人秘钥(Private Key)之类的探测对象服务器识别信息、将网页结构内容文件作为特定的散列函数(Hash Function)的种子值来计算出的网页结构内容文件的散列值、存储有网页结构内容文件的路径深度(Depth)、网页结构内容文件名、存储网页结构内容文件的路径名、网页结构内容文件的执行权限、网页结构内容文件的最终修改日期、网页结构内容文件的注册日期等。
即,事先存储的探测对象服务器的多个网页结构内容的各自的完整性散列信息与通过信息收集脚本300进行周期性或非周期性收集的探测对象服务器的多个网页结构内容的各自的当前散列信息中相互不同的探测对象服务器的多个网页结构内容就是伪造的内容,因此,能够通过上述信息分析部130检索伪造的网页结构内容。
例如,判断探测对象服务器的网页结构内容的完整性散列信息与包含在当前散列信息中的探测对象服务器识别信息相互不同、或网页结构内容文件的散列值相互不同、或网结构内容文件存储的路径深度(Depth)相互不同、或网页结构内容文件名相互不同、或网页结构内容文件存储的路径名相互不同、或网页结构内容文件的执行权限相互不同、或网页结构内容文件的最终修改日期相互不同、或网页结构内容文件的注册日期相互不同时,上述信息分析部130能判断为该网页结构内容是伪造的。
另一方面,作为发明的附加实施方式,可构成为:上述信息分析部130向信息手机脚本300请求进行伪造的网页结构内容文件的传送,从而从探测对象服务器200接收伪造的网页结构内容文件。
检索到伪造的网页结构内容时,有必要分析伪造的网页结构内容是由攻击者恶意追加或变更的网络木马后门(Webshell),还是并非网络木马后门的正当变更所致。
为此,上述信息分析部130向信息收集脚本300请求伪造的网络木马后门内容文件的传送时,信息收集脚本300在探测对象服务器200对伪造的网页结构内容文件进行检索,从而向网络木马后门探测/应对系统100传送伪造的网页结构内容文件,而网络木马后门探测/应对系统100则通过信息分析部130接收伪造的网页结构内容文件。
另一方面,作为发明的附加实施方式,可被构成为:上述信息分析部130对从探测对象服务器接收的伪造的网页结构内容文件执行网络木马后门特征模式(Webshell Signature Pattern)分析,从而探测该探测对象服务器是否感染网络木马后门(Webshell)。
例如,网络木马后门探测/应对系统100事先将多个网络木马后门特征模式(Webshell Signature Pattern)存储于数据库,检查从探测对象服务器200接收的伪造的网页结构内容文件是否包括存储于数据库的网络木马后门特征模式(Webshell Signature Pattern),从而探测该探测对象服务器200是否感染了网络木马后门(Webshell)。
另一方面,作为发明的附加实施方式,上述网络木马后门探测/应对系统100还包括应对管理部140。上述应对管理部140在通过上述信息分析部130判断出探测对象服务器感染了网络木马后门(Webshell)时,向该探测对象服务器负责人发出警告。
例如,上述应对管理部140通过探测对象服务器负责人的邮箱(e–mail)或短消息服务(SMS,Short Messaging Service)等,传送包括该探测对象服务器感染网络木马后门的网页结构内容文件名、网络木马后门识别信息等网络木马后门感染报告,从而通报该探测对象服务器已感染网络木马后门。
另一方面,作为发明的附加实施方式,上述应对管理部140通过上述信息分析部130判断为探测对象服务器未感染网络木马后门(Webshell)时,请求对网页结构内容的完整性散列信息的更新。
如此,上述数据库管理部120根据上述应对管理部140发出的对网页结构内容完整性散列信息的更新请求,将上述伪造(修改)的网页结构内容的当前散列信息作为该网页结构内容的完整性散列信息来存储于数据库,从而对网页结构内容的完整性散列信息进行更新。
即,上述实施例是在伪造(修改)的网页结构内容未感染网络木马后门,以正当方式进行伪造(修改)时,由于伪造(修改)的网页结构内容的完整性散列信息会变更,因此,为了将上述变更的网页结构内容的完整性散列信息更新为该网页结构内容的新的完整性散列信息而实施的实施例。
另一方面,作为发明的附加实施方式,可被构成为:上述信息收集脚本300对伪造的网页结构内容文件进行编码(Encoding)并传送,而接收伪造的网页结构内容文件的网络木马后门探测/应对系统100的信息分析部130对进行了编码的伪造的网页结构内容文件进行解码(Decoding),从而分析是否感染网络木马后门。
另一方面,作为发明的附加实施方式,作为上述信息分析部130对伪造的网页结构内容文件的网络木马后门特征模式(Webshell SignaturePattern)分析执行结果,存储网络木马后门(Webshell)探测日志。网络木马后门探测日志中,能记录探测对象服务器的识别信息、探测对象服务器的IP地址及分析时间等。
另一方面作为发明的附加实施方式,网络木马后门探测/应对系统100的脚本联动部110、数据库管理部120、信息分析部130及应对管理部140能够以物理或逻辑上独立的一个服务器来实现,或者这些分别以物理或逻辑上分散的多个独立服务器来实现。
因此,由此本发明无需在探测对象服务器中设置编译为二进制文件形式的额外的网络木马后门探测应用程序,在远程状态下利用从探测对象服务器中收集到的信息,来探测探测对象服务器是否感染网络木马后门,从而在探测对象服务器中完全不存在与进行处理(processing)中的其他应用程序相冲突的可能性,探测对象服务器的运营方也不需要用于网络木马后门的探测的额外的管理人员,并且在探测对象服务器因网络木马后门而发生事故时,能通过远程方式由对网络木马后门进行综合管理的专业人员来进行迅速的应对。
图3是图示向探测对象服务器的网页首页路径内插入,并从探测对象服务器收集信息的信息收集脚本的一实施例的构成的框图。如图3所示,信息收集脚本300包括装置联动部310、散列信息处理部320及文件处理部330。
上述装置联动部310与网络木马后门探测/应对系统100联动。例如,上述装置联动部310根据来自网络木马后门探测/应对系统100的请求,周期性或非周期性地与网络木马后门探测/应对系统100执行套接字(Socket)通信,从而实现与网络木马后门探测/应对系统100的联动。
套接字(Socket)通信生成一种作为位于通过网络连接的两个计算机的通信节点的通信客体的套接字(Socket),并以通过该套接字相互交换数据的方式,将一方所发出的信号由另一方接收时,连接成立,之后相互收发数据,利用能够保障可靠性的IP协议的传输控制协议(TCP,TransportControl Protocol)数据包或不能保障可靠性的IP协议的用户数据报协议(UDP,User Data Protocol)数据包,来收发数据。
上述散列信息处理部320生成针对探测对象服务器200的网页首页路径内的所有网页结构内容文件的当前散列信息,并向通过上述装置联动部联动的网络木马后门探测/应用程序系统进行传送。
例如,当前散列信息包括探测对象服务器识别信息、网页结构内容文件的散列值、存储网页结构内容文件的路径深度(Depth)、网页结构内容文件名、存储网页结构内容文件的路径名、网页结构内容文件的执行权限、网页结构内容文件的最终修改日期及网页结构内容文件的注册日期等。
上述散列信息处理部320掌握探测对象服务器的网页首页路径内的所有网页结构内容文件的散列值、存储的路径深度(Depth)、文件名、路径名、执行权限、最终修改日期及注册日期,并对此追加与该探测对象服务器的识别信息,从而生成分别针对探测对象服务器200的多个网页结构内容文件的当前散列信息。
此时,最初生成分别针对探测对象服务器200的多个网页结构内容文件的当前散列信息时,这些最初生成的多个网页结构内容文件的各自的当前散列信息可被当做探测对象服务器200的多个网页结构内容的各自的完整性散列信息。
上述文件处理部330根据来自通过上述装置联动部310联动的网络木马后门探测/应对系统的伪造的网页结构内容文件的传送请求,向网络木马后门探测/应对系统传送探测对象服务器200的网页首页路径内的伪造的网页结构内容文件。
如上面进行的说明,通过网络木马后门探测/应对系统100检索到伪造的网页结构内容时,有必要分析伪造的网页结构内容是由攻击者恶意追加或变更的网络木马后门(Webshell)还是正当变更所致,并且,网络木马后门探测/应对系统100通过信息分析部130向信息收集脚本300请求伪造的网页结构内容文件的传送。
如此,信息收集脚本300的文件处理部330在探测对象服务器200的网页首页路径中检索伪造的网页结构内容文件,并向网络木马后门探测/应对系统100传送伪造的网页结构内容文件。如此,网络木马后门探测/应对系统100通过信息分析部130接收伪造的网页结构内容文件,并执行对伪造的网页结构内容是由攻击者恶意追加或变更的网络木马后门(Webshell)还是正当变更所致的分析。
通过图4对如上所述的本发明的网络木马后门探测/应对系统的网络木马后门探测步骤进行说明。图4是图示本发明网络木马后门探测/应对系统的网络木马后门探测动作的一例的流程图。
在进行说明之前,假设已经在探测对象服务器的网页首页路径内插入了从该探测对象服务器收集信息的信息收集脚本,并且,探测对象服务器的多个网页结构内容的各自的完整性散列信息及多个网络木马后门特征模式(Webshell Signature Pattern)事先已存储于网络木马后门探测/应对系统中。
首先,步骤410中,网络木马后门探测/应对系统周期性或非周期性地与从探测对象服务器收集信息的信息收集脚本进行联动。与网络木马后门探测/应对系统的信息收集脚本联动相关的内容已进行了说明,因此,将省略重复说明。
经上述步骤410,如果网络木马后门探测/应对系统与信息收集脚本之间进行了联动,在步骤420中,网络木马后门探测/应对系统将通过信息收集脚本收集探测对象服务器的多个网页结构内容的各自的当前散列信息。与探测对象服务器的多个网页结构内容的各自的当前散列信息的生成及传送相关的内容已进行了说明,因此,将省略重复说明。
经上述步骤420接收到探测对象服务器的多个网页结构内容的各自的当前散列信息时,在步骤430中,将网络木马后门探测/应对系统接收到的探测对象服务器的多个网页结构内容的各自的当前散列信息与事先存储的探测对象服务器的多个网页结构内容的各自的完整性散列信息相比较,从而对伪造的网页结构内容进行检索。对伪造的网页结构内容的检索相关的内容已进行了说明,因此,将省略重复说明。
经上述步骤430检索到伪造的网页结构内容文件时,在步骤440中,网络木马后门探测/应对系统向信息收集脚本请求伪造的网页结构内容文件的传送,从而接收。
根据伪造的网页结构内容文件的传送请求,信息收集脚本在探测对象服务器的网页首页路径中检索伪造的网页结构内容文件,并向网络木马后门探测/应对系统传送伪造的网页结构内容文件,而网络木马后门探测/应对系统对此进行接收。
接收伪造的网页结构内容文件的网络木马后门探测/应对系统在步骤450中执行关于伪造的网页结构内容是由攻击者恶意追加或变更的网络木马后门(Webshell)还是正当变更所致的分析。
此时,通过检索伪造的网页结构内容文件是否包括事先存储的网络木马后门特征模式(Webshell Signature Pattern)等,就能判断伪造的网页结构内容是由攻击者恶意追加或变更的网络木马后门(Webshell)还是正当变更所致的。
如果,经步骤450的判断结果,判断为探测对象服务器感染了网络木马后门(Webshell)时,在步骤460中,网络木马后门探测/应对系统向相关探测对象服务器负责人发出警告。对感染网络木马后门(Webshell)时发出警告的相关内容已进行了说明,因此,将省略重复说明。
另一方面,经步骤450的判断结果,判断为探测对象服务器未感染网络木马后门(Webshell)时,在步骤470中,网络木马后门探测/应对系统执行网页结构内容的完整性散列信息的更新。对与网页结构内容的完整性散列信息更新相关的内容已进行了说明,因此,将省略重复说明。
因此,这样构成的本发明无需在探测对象服务器中设置编译为二进制文件形式的额外的网络木马后门探测应用程序,在远程状态下利用从探测对象服务器收集到的信息,来探测探测对象服务器是否感染网络木马后门,从而在探测对象服务器中完全不存在与进行处理(processing)中的其他应用程序相冲突的可能性,探测对象服务器的运营方也不需要用于网络木马后门的探测的额外的管理人员,并且在探测对象服务器因网络木马后门而发生事故时,能够通过远程方式由对网络木马后门进行综合管理的专业人员来进行迅速的应对,因此,能达到上述所提出的本发明目的。
本发明以参照附图来说明的优选实施例为中心进行了记述,但本领域普通技术人员皆知,基于这样的记载,在权利要求书所限定的保护范围内,可不脱离本发明的范围的前提下进行多种变形。
产业上的可利用性
本发明在网络木马后门(Webshell)探测技术领域及其应用程序技术领域中能够用于产业上。
Claims (10)
1.一种网络木马后门探测/应对系统,其特征在于,包括:
脚本联动部,其处理与被插入探测对象服务器的网页首页路径内并从该探测对象服务器收集信息的信息收集脚本的联动;
数据库管理部,其将探测对象服务器的多个网页结构内容的各自的完整性散列信息预先存储并进行管理;以及
信息分析部,其将由通过上述脚本联动部进行联动的信息收集脚本来进行周期性或非周期性收集的探测对象服务器的多个网页结构内容的各自的当前散列信息与通过上述数据库管理部存储的探测对象服务器的多个网页结构内容的各自的完整性散列信息进行比较,来检索伪造的网页结构内容。
2.根据权利要求1所述的网络木马后门探测/应对系统,其特征在于,上述信息分析部向信息收集脚本请求进行伪造的网页结构内容文件的传送,从而从探测对象服务器中接收伪造的网页结构内容文件。
3.根据权利要求2所述的网络木马后门探测/应对系统,其特征在于,上述信息分析部对从探测对象服务器中接收的伪造网页结构内容文件执行网络木马后门特征模式分析,从而探测该探测对象服务器是否感染网络木马后门。
4.根据权利要求3所述的网络木马后门探测/应对系统,其特征在于,还包括应对管理部,其在由上述信息分析部判断出探测对象服务器感染了网络木马后门时,向该探测对象服务器负责人发出警告。
5.根据权利要求4所述的网络木马后门探测/应对系统,其特征在于,在由上述信息分析部判断出探测对象服务器未感染网络木马后门时,上述应对管理部请求进行对网页结构内容的完整性散列信息的更新。
6.根据权利要求5所述的网络木马后门探测/应对系统,其特征在于,上述数据库管理部根据来自上述应对管理部的对网页结构内容的完整性散列信息的更新请求,将上述伪造的网页结构内容的当前散列信息作为该网页结构内容的完整性散列信息来存储到数据库,从而对网页结构内容的完整性散列信息进行更新。
7.根据权利要求1所述的网络木马后门探测/应对系统,其特征在于,上述脚本联动部检查探测对象服务器的活动或非活动状态,在该探测对象服务器处于活动状态时,向上述信息分析部请求对伪造的网页结构内容的检索。
8.根据权利要求7所述的网络木马后门探测/应对系统,其特征在于,上述脚本联动部在上述探测对象服务器处于非活动状态时,对该探测对象服务器连接失败日志进行存储。
9.根据权利要求1至8中任一项所述的网络木马后门探测/应对系统,其特征在于,
上述散列信息包括:
探测对象服务器识别信息、网页结构内容文件的散列值、存储网页结构内容文件的路径深度、网页结构内容文件名、存储网页结构内容文件的路径名、网页结构内容文件的执行权限、网页结构内容文件的最后修改日期以及网页结构内容文件的注册日期。
10.根据权利要求1至8中任一项所述的网络木马后门探测/应对系统,其特征在于,
上述信息收集脚本包括:
装置联动部,其与网络木马后门探测/应对系统进行联动;
散列信息处理部,其对探测对象服务器的网页首页路径内的所有网页结构内容文件生成当前散列信息,向通过上述装置联动部进行联动的网络木马后门探测/应对系统进行传送;以及
文件处理部,其根据来自通过上述装置联动部进行联动的网络木马后门探测/应对系统中的伪造的网页结构内容文件的传送请求,将探测对象服务器的网页首页路径内的伪造的网页结构内容文件向网络木马后门探测/应对系统进行传送。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130009330A KR101291782B1 (ko) | 2013-01-28 | 2013-01-28 | 웹쉘 탐지/대응 시스템 |
| KR10-2013-0009330 | 2013-01-28 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103973664A true CN103973664A (zh) | 2014-08-06 |
Family
ID=48998343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310080172.XA Pending CN103973664A (zh) | 2013-01-28 | 2013-03-13 | 网络木马后门探测/应对系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8832834B2 (zh) |
| JP (1) | JP5410626B1 (zh) |
| KR (1) | KR101291782B1 (zh) |
| CN (1) | CN103973664A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104394176A (zh) * | 2014-12-17 | 2015-03-04 | 中国人民解放军国防科学技术大学 | 一种基于强制访问控制机制的webshell防范方法 |
| CN104796426A (zh) * | 2015-04-29 | 2015-07-22 | 上海络安信息技术有限公司 | 网页后门的检测方法 |
| WO2016127858A1 (zh) * | 2015-02-10 | 2016-08-18 | 阿里巴巴集团控股有限公司 | 网页入侵脚本特征的识别方法及设备 |
| CN106301974A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站后门检测方法和装置 |
| CN107196929A (zh) * | 2017-05-11 | 2017-09-22 | 国网山东省电力公司信息通信公司 | 适用于高频次网络攻防环境下的智能防护方法及其系统 |
| CN110162973A (zh) * | 2019-05-24 | 2019-08-23 | 新华三信息安全技术有限公司 | 一种Webshell文件检测方法及装置 |
| CN110798439A (zh) * | 2018-09-04 | 2020-02-14 | 国家计算机网络与信息安全管理中心 | 主动探测物联网僵尸网络木马的方法、设备及存储介质 |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101585139B1 (ko) | 2014-06-24 | 2016-01-13 | 에스케이인포섹(주) | 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법 |
| CN105100065B (zh) * | 2015-06-26 | 2018-03-16 | 北京奇安信科技有限公司 | 基于云的webshell攻击检测方法、装置及网关 |
| KR101650445B1 (ko) * | 2015-12-11 | 2016-08-23 | 주식회사 윈스 | 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법 |
| CN106911686B (zh) * | 2017-02-20 | 2020-07-07 | 杭州迪普科技股份有限公司 | WebShell检测方法及装置 |
| CN107566371B (zh) * | 2017-09-05 | 2020-08-18 | 成都知道创宇信息技术有限公司 | 一种面向海量日志的WebShell挖掘方法 |
| CN107612925A (zh) * | 2017-10-12 | 2018-01-19 | 成都知道创宇信息技术有限公司 | 一种基于访问行为特征的WebShell挖掘方法 |
| KR102092411B1 (ko) * | 2017-10-31 | 2020-03-23 | 대한민국 | 실시간 웹공격 탐지방법 |
| CN107911355B (zh) * | 2017-11-07 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链的网站后门利用事件识别方法 |
| CN108040036A (zh) * | 2017-11-22 | 2018-05-15 | 江苏翼企云通信科技有限公司 | 一种行业云Webshell安全防护方法 |
| KR101865378B1 (ko) * | 2018-01-31 | 2018-06-07 | 주식회사 에프원시큐리티 | 웹 쉘 탐지 시스템 |
| JP6867552B2 (ja) * | 2018-05-21 | 2021-04-28 | 日本電信電話株式会社 | 判定方法、判定装置および判定プログラム |
| CN109040071B (zh) * | 2018-08-06 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种web后门攻击事件的确认方法 |
| CN110427755A (zh) * | 2018-10-16 | 2019-11-08 | 新华三信息安全技术有限公司 | 一种识别脚本文件的方法及装置 |
| WO2020133083A1 (en) * | 2018-12-27 | 2020-07-02 | Citrix Systems, Inc. | Systems and methods for development of web products |
| CN109743311B (zh) * | 2018-12-28 | 2021-10-22 | 绿盟科技集团股份有限公司 | 一种WebShell检测方法、装置及存储介质 |
| KR102382889B1 (ko) * | 2019-11-28 | 2022-04-05 | 네이버클라우드 주식회사 | 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템 |
| WO2021223177A1 (zh) * | 2020-05-07 | 2021-11-11 | 深圳市欢太科技有限公司 | 异常文件检测方法及相关产品 |
| CN113806742A (zh) * | 2020-06-15 | 2021-12-17 | 中国电信股份有限公司 | WebShell检测装置、WebShell检测方法及计算机可读存储介质 |
| US10933251B1 (en) | 2020-06-17 | 2021-03-02 | Jonathan M Borkum | System for noninvasive pulsed magnetic induction heating of acupoints for the neurorehabilitation of stroke and brain injury, and for the prevention and treatment of dementia, age-related cognitive decline, and depression |
| CN113162761B (zh) * | 2020-09-18 | 2022-02-18 | 广州锦行网络科技有限公司 | 一种webshell监控系统 |
| CN112668005A (zh) * | 2020-12-30 | 2021-04-16 | 北京天融信网络安全技术有限公司 | webshell文件的检测方法及装置 |
| CN113225357B (zh) * | 2021-07-08 | 2021-09-17 | 北京搜狐新媒体信息技术有限公司 | 一种网页后门的取证方法和相关装置 |
| CN114329462A (zh) * | 2021-11-22 | 2022-04-12 | 网宿科技股份有限公司 | 恶意文件检测方法、装置、设备及可读存储介质 |
| CN115174197B (zh) * | 2022-07-01 | 2024-03-29 | 阿里云计算有限公司 | webshell文件的检测方法、系统、电子设备及计算机存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001331374A (ja) * | 2000-05-24 | 2001-11-30 | Ntt Comware Corp | ホームページ改ざん検出方法および装置 |
| JP2009169490A (ja) * | 2008-01-11 | 2009-07-30 | Fuji Xerox Co Ltd | ユーザ属性情報管理プログラム、ユーザ属性情報確認プログラム、ユーザ属性情報管理装置、ユーザ属性情報確認装置及びユーザ属性情報管理システム |
| KR20090088687A (ko) * | 2008-02-15 | 2009-08-20 | 한국정보보호진흥원 | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 |
| CN101626368A (zh) * | 2008-07-11 | 2010-01-13 | 中联绿盟信息技术(北京)有限公司 | 一种防止网页被篡改的设备、方法和系统 |
| CN102546253A (zh) * | 2012-01-05 | 2012-07-04 | 中国联合网络通信集团有限公司 | 网页防篡改方法、系统和管理服务器 |
| CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
| KR20130008119A (ko) * | 2011-07-11 | 2013-01-22 | 주식회사 잉카인터넷 | 파일 변조 검출방법 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8079080B2 (en) * | 2005-10-21 | 2011-12-13 | Mathew R. Syrowik | Method, system and computer program product for detecting security threats in a computer network |
| KR101138988B1 (ko) * | 2009-10-26 | 2012-04-25 | 미라클워터 주식회사 | 자연친화적으로 설계된 초기우수 처리장치 |
| KR101080953B1 (ko) * | 2011-05-13 | 2011-11-08 | (주)유엠브이기술 | 실시간 웹쉘 탐지 및 방어 시스템 및 방법 |
-
2013
- 2013-01-28 KR KR1020130009330A patent/KR101291782B1/ko active IP Right Grant
- 2013-03-13 CN CN201310080172.XA patent/CN103973664A/zh active Pending
- 2013-03-18 US US13/845,360 patent/US8832834B2/en active Active
- 2013-03-22 JP JP2013060408A patent/JP5410626B1/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001331374A (ja) * | 2000-05-24 | 2001-11-30 | Ntt Comware Corp | ホームページ改ざん検出方法および装置 |
| JP2009169490A (ja) * | 2008-01-11 | 2009-07-30 | Fuji Xerox Co Ltd | ユーザ属性情報管理プログラム、ユーザ属性情報確認プログラム、ユーザ属性情報管理装置、ユーザ属性情報確認装置及びユーザ属性情報管理システム |
| KR20090088687A (ko) * | 2008-02-15 | 2009-08-20 | 한국정보보호진흥원 | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 |
| CN101626368A (zh) * | 2008-07-11 | 2010-01-13 | 中联绿盟信息技术(北京)有限公司 | 一种防止网页被篡改的设备、方法和系统 |
| CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
| KR20130008119A (ko) * | 2011-07-11 | 2013-01-22 | 주식회사 잉카인터넷 | 파일 변조 검출방법 |
| CN102546253A (zh) * | 2012-01-05 | 2012-07-04 | 中国联合网络通信集团有限公司 | 网页防篡改方法、系统和管理服务器 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104394176A (zh) * | 2014-12-17 | 2015-03-04 | 中国人民解放军国防科学技术大学 | 一种基于强制访问控制机制的webshell防范方法 |
| CN104394176B (zh) * | 2014-12-17 | 2018-05-08 | 中国人民解放军国防科学技术大学 | 一种基于强制访问控制机制的webshell防范方法 |
| WO2016127858A1 (zh) * | 2015-02-10 | 2016-08-18 | 阿里巴巴集团控股有限公司 | 网页入侵脚本特征的识别方法及设备 |
| CN104796426A (zh) * | 2015-04-29 | 2015-07-22 | 上海络安信息技术有限公司 | 网页后门的检测方法 |
| CN104796426B (zh) * | 2015-04-29 | 2018-04-27 | 上海络安信息技术有限公司 | 网页后门的检测方法 |
| CN106301974A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站后门检测方法和装置 |
| CN107196929A (zh) * | 2017-05-11 | 2017-09-22 | 国网山东省电力公司信息通信公司 | 适用于高频次网络攻防环境下的智能防护方法及其系统 |
| CN110798439A (zh) * | 2018-09-04 | 2020-02-14 | 国家计算机网络与信息安全管理中心 | 主动探测物联网僵尸网络木马的方法、设备及存储介质 |
| CN110798439B (zh) * | 2018-09-04 | 2022-04-19 | 国家计算机网络与信息安全管理中心 | 主动探测物联网僵尸网络木马的方法、设备及存储介质 |
| CN110162973A (zh) * | 2019-05-24 | 2019-08-23 | 新华三信息安全技术有限公司 | 一种Webshell文件检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8832834B2 (en) | 2014-09-09 |
| JP2014146307A (ja) | 2014-08-14 |
| KR101291782B1 (ko) | 2013-07-31 |
| JP5410626B1 (ja) | 2014-02-05 |
| US20140215619A1 (en) | 2014-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103973664A (zh) | 网络木马后门探测/应对系统 | |
| US11063767B2 (en) | Apparatus and method to perform secure data sharing in a distributed network by using a blockchain | |
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| CN106411578B (zh) | 一种适应于电力行业的网站监控系统及方法 | |
| CN102523218B (zh) | 一种网络安全防护方法、设备和系统 | |
| CN103493061B (zh) | 用于应对恶意软件的方法和装置 | |
| CN101512522B (zh) | 分析网络内容的系统和方法 | |
| CN104813332B (zh) | 即时的电子邮件内嵌url的信誉确定 | |
| CN102948117B (zh) | 信息追踪系统和方法 | |
| CN109992989A (zh) | 使用抽象语法树的用于查询注入检测的系统 | |
| CN101714272B (zh) | 一种保护银行卡号及口令不被网络钓鱼网站窃取的方法 | |
| CN104246785A (zh) | 用于移动应用声誉的众包的系统和方法 | |
| CN111930723B (zh) | 基于大数据的科技成果数据融合方法 | |
| CN101304418A (zh) | 客户端侧经由提交者核查来防止偷渡式域欺骗 | |
| CN101964025A (zh) | Xss检测方法和设备 | |
| US20180082061A1 (en) | Scanning device, cloud management device, method and system for checking and killing malicious programs | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| CN101517570A (zh) | 分析网络内容的系统和方法 | |
| CN110417718B (zh) | 处理网站中的风险数据的方法、装置、设备及存储介质 | |
| CN102394885A (zh) | 基于数据流的信息分类防护自动化核查方法 | |
| CN103716394B (zh) | 下载文件的管理方法及装置 | |
| CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
| CN114024773B (zh) | 一种webshell文件检测方法及系统 | |
| KR102022058B1 (ko) | 웹 페이지 위변조 탐지 방법 및 시스템 | |
| CN109862037A (zh) | 基于区块链的数据设备管理方法、装置、介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140806 |