CN104967616A - 一种Web服务器中的WebShell文件的检测方法 - Google Patents
一种Web服务器中的WebShell文件的检测方法 Download PDFInfo
- Publication number
- CN104967616A CN104967616A CN201510305411.6A CN201510305411A CN104967616A CN 104967616 A CN104967616 A CN 104967616A CN 201510305411 A CN201510305411 A CN 201510305411A CN 104967616 A CN104967616 A CN 104967616A
- Authority
- CN
- China
- Prior art keywords
- file
- weights
- webshell
- apocrypha
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公布了一种Web服务器中的WebShell文件检测方法,包括基于引用的检测过程、基于时间的检测过程和基于特征值的检测过程;通过扫描待检测文件,分别计算得到待检测文件的引用检测权值、时间检测权值和特征检测权值;再计算得出最终权值,从而得出待检测文件是正常文件、可疑WebShell文件还是确定的WebShell文件。计算得出最终检测权值的方法包括低误报模式、低漏报模式和均衡模式。本发明对文件扫描检测的效率高,能够快速、精确地检测出服务器中的WebShell文件,从而保证服务器的安全。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种开启了Web服务的服务器下的WebShell文件的检测方法。
背景技术
随着互联网技术的高速发展,互联网信息安全已经成为了人们关注的焦点。WebShell是Web入侵的脚本攻击工具。对于WebShell的理解,“Web”指的是服务器开放Web服务的服务器,“Shell”指的是取得对服务器某种程度上的操作权限。WebShell常常被称为匿名用户(入侵者)通过Web服务端口对Web服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现,也有人称之为网站后门工具。
WebShell是一种常见的网页后门,总体上,WebShell有两方面的作用,一方面,WebShell常常被网站站长用于网站管理和服务器管理等,根据文件系统对象FSO权限的不同,WebShell的管理作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。另一方面,WebShell被入侵者利用来达到控制网站服务器的目的。这些入侵网站服务器的网页脚本常被称为Web脚本木马,目前比较流行的WebShell脚本木马有ASP、JSP或PHP木马,也有基于.NET的脚本木马。
因此,WebShell常常被攻击者用来获取Web服务器的操作权限。攻击者在进行网站入侵时,通常会将WebShell文件与Web目录下的长长网页文件放置在一起,然后通过浏览器访问WebShell文件,从而获取命令执行环境,最终达到控制网站服务器的目的。当网站服务器被控制后,就可以在其上任意查看数据库、上传下载文件以及执行任意程序命令等。WebShell与正常网页具有相同的运行环境和服务端口,它与远程主机通过WWW(80)端口进行数据交换,能够很容易地避开杀毒软件的检测和穿透防火墙入侵网站。
现有技术大多是通过静态检测的方法来检测是否存在WebShell。静态检测方法是通过将Web服务器端的脚本与恶意特征码进行二进制匹配,若匹配成功,则确定该脚本为WebShell。这种检测方法不能快速、精准地检测出是否存在WebShell,对服务器端WebShell的误判率较高,对保障服务器的安全有一定影响。
发明内容
为了克服上述现有技术的不足,本发明提供一种Web服务器中的WebShell文件的检测方法,通过基于引用的检测过程、基于时间的检测过程和基于特征值的检测过程扫描待检测文件,分别计算得到待检测文件的检测权值,再计算得出最终权值,从而得出检测结果。本发明对文件扫描检测的效率高,能够快速、精确地检测出服务器中的WebShell文件,从而保证服务器的安全。
本发明的原理是:本发明提供的Web服务器中的WebShell文件的检测方法,包括基于引用的检测过程、基于时间的检测过程和基于特征值的检测过程;其中,基于引用的检测过程中,当没有任何文件,而只是有链接指向某一文件时,即只有链接,而没有链接对应的实际文件存在在目录中,这种文件为目录下的引用文件;本方案认为这种引用文件为可疑WebShell。而这种引用文件,被引用的越多,则越趋向于正常文件。基于创建时间的检测过程具体是:我们将所有文件,依据创建时间进行分组,每组文件的创建时间接近(接近的程度是指小于某个设定的阈值),当某一组的文件个数小于某个数值,则认为其为可疑WebShell的可能性很大。基于特征值的检测过程具体是:本方案将用于与待检测文件匹配的特征分为特征码和可疑特征码,一待检测文件与特征码匹配成功则该文件很有可能是WebShell,相对应赋予比较高的特征检测权值,而由于与可疑特征码匹配成功的内容很多普通文件可能也会带有,所以待检测文件与可疑特征码匹配成功时,相对应赋予的特征检测权值会很小。基于特征值检测方法的核心是特征提取,选取特征的好坏直接关系到检测结果的优劣。因此,在进行特征选取时,首先应对Web页面本身进行充分考虑,使得选取的特征能够很好地表现出静态页面。其次,选取的特征还应该具有动态特点,可以体现出页面所进行的操作。如果提取网页的全部特征进行处理,则无法检测出变形的WebShell,也会因为特征过多而对效率产生影响。如果检测特征过少,则有可能产生误报。WebShell特征库的特征码是从已有的恶意WebShell文件中提取的恶意代码。本发明通过将多个WebShell特征库综合在一起,同时,也利用到国外的开源的WebShell库,综合构建了一个强大的WebShell特征库,这个特征库构成了基于特征值检测WebShell的依据。本发明提供的WebShell文件的检测方法包括低误报模式、低漏报模式和均衡模式。其中,低误报模式是先做基于引用的和基于时间的检测,将两者的检测可疑文件集取交集,再做基于特征值的检测;低漏报模式同样是先做基于引用的和基于时间的检测,将两者的检测可疑文件集取并集,再特做基于特征值的检测;均衡模式是基于引用的检测过程、基于时间的检测过程和基于特征值的检测过程进行检测,再计算总权值。
本发明提供的技术方案如下:
一种Web服务器中的WebShell文件检测方法,包括基于引用的检测过程、基于时间的检测过程和基于特征值的检测过程;通过上述检测过程扫描待检测文件,分别计算得到待检测文件的引用检测权值、时间检测权值和特征检测权值;再计算得出最终权值,从而得出待检测文件是正常文件、可疑WebShell文件还是确定的WebShell文件,包括如下步骤:
1)获取指定目录中的所有文件和文件创建信息;
指定目录为需要检测的目录,一般需要检测Web文件存在的目录。开启Web服务的服务器都会有默认的Web文件存放目录,默认情况下检测这些目录,用户也可以自己选择指定需要检测的目录。获取指定目录中的文件包括引用的文件;文件创建信息包括文件名称和文件创建时间信息。
2)进行基于时间的检测过程:根据文件创建时间,将所有文件进行分组,赋予每一个文件的时间检测权值,并记录时间检测可疑文件集;
根据文件创建时间进行分组,根据文件创建时间和分组中的文件数目,给文件赋予不同的时间检测权值:将文件创建时间相接近的(小于某个阈值的)文件放到一个分组中,文件数较少的分组中的文件是WebShell文件的几率比较大,即是WebShell可疑文件。找出这些WebShell可疑文件,文件创建时间越晚WebShell文件的可能性越大,根据文件创建时间的不同给文件添加不同的时间检测权值,具体通过一个变量T记录时间检测权值,并记录时间检测可疑文件集为Tt;
文件创建时间越晚和分组中的文件数目越少的文件相应的权值越大:基于时间检测是将文件按创建时间进行分组,时间间隔在一定的阈值内的文件被分为一组,组里的文件个数少的是WebShell的可能性比较大,对于组内的文件再按照创建时间的先后进行赋权值,越晚(离当前时间越近)创建的越可能是WebShell,相应的权值越大,检测结果是可疑的分组文件以及相应的权值;
3)进行基于引用的检测过程:获取引用文件,根据引用次数赋予每一个文件的引用检测权值,并记录引用检测可疑文件集;
对于引用的文件,获取引用文件并检测引用的次数,引用文件是WebShell的可能性很大,次数越大的是WebShell的可能性越小,选取不同的引用次数作为阈值,划到不同阈值下的引用文件赋上不同的引用检测权值,引用次数多的添加的引用检测权值越小,用变量Q来表示权值,并记录引用检测可疑文件集为Qq;
4)进行基于特征的检测过程:对需要做基于特征的检测过程的文件,针对每一个文件进行特征码匹配,若匹配成功则记录并赋予该文件特征检测权值;若未匹配成功则对文件内容进行base64编码,然后再次进行特征码匹配,匹配成功则记录并赋予该文件特征检测权值,未匹配成功则对文件进行可疑特征码匹配,匹配成功则记录并赋予该文件特征检测权值;该文件特征检测权值记为S;
匹配具体是对文件内容进行扫描,与WebShell特征库中的特征码进行正则匹配;WebShell特征库包括特征库WebShellDetector等;
5)根据待检测文件在步骤2)得到的时间检测权值、步骤3)得到的引用检测权值和步骤4)得到的特征检测权值,再计算得出最终检测权值,通过设置权值阈值,得出待检测文件的扫描检测结果;
待检测文件的扫描检测结果包括:是正常文件、是可疑WebShell文件或者是确定的WebShell文件。
针对上述Web服务器中的WebShell文件检测方法,步骤5)计算得出最终检测权值的方法包括低误报模式、低漏报模式和均衡模式;其中:
当采用低漏报模式时,将步骤2)得到的时间检测可疑文件集Tt和步骤3)得到的引用检测可疑文件集Qq取并集,即Tt∪Qq;得到的检测可疑文件集中的文件的相应检测权值相加;从而形成可疑文件集和可疑文件对应的权值;步骤4)针对上述可疑文件集中所有文件做基于特征的检测过程,得到特征检测权值;再将上述可疑文件对应的权值与步骤4)得到的特征检测权值相加,计算得出最终检测权值;
当采用低误报模式时,将步骤2)得到的时间检测可疑文件集Tt和步骤3)得到的引用检测可疑文件集Qq取交集,即Tt∩Qq;从而形成可疑文件集,可疑文件集中的文件的相应检测权值相加,得到可疑文件相对应的检测权值;步骤4)针对上述可疑文件集中所有文件做基于特征的检测过程,得到特征检测权值;再将上述可疑文件对应的权值与步骤4)得到的特征检测权值相加,计算得出最终检测权值;
当采用均衡模式时,步骤4)针对目录下所有文件做基于特征的检测过程,得到特征检测结果;将步骤2)得到的时间检测权值结果、步骤3)得到的引用检测权值结果和步骤4)得到的特征检测权值结果相加,计算得出最终检测权值。
针对上述Web服务器中的WebShell文件检测方法,步骤5)通过设置权值阈值,将最终检测权值与权值阈值进行比较,得出待检测文件的扫描检测结果;在本发明实施例中,设置 权值阈值为1和15,最终检测权值大于15为WebShell,最终检测权值在1和15之间为可疑WebShell,最终检测权值小于1为正常文件。
本发明的有益效果是:
利用本发明提供的技术方案,能够实现对Web服务的服务器下的WebShell文件进行检测,文件扫描检测的效率高,能够快速、精确地检测出服务器中的WebShell文件,从而保证服务器的安全。其中,低漏报模式可以降低对服务器WebShell检测的漏报率,低误报模式提高了WebShell检测的准确度,均衡模式则是一种折中的方法,利用本方案,可以很全面、系统的对WebShell进行检测,同时本方案的低漏报、低误报模式也提高了检测的速度。
附图说明
图1是本发明提供的WebShell文件检测方法的流程框图。
图2本发明实施例中低误报模式的流程框图。
图3本发明实施例中低漏报模式的流程框图。
图4本发明实施例中均衡模式的流程框图。
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
本发明提供一种Web服务器中的WebShell文件检测方法,包括基于引用的检测过程、基于时间的检测过程和基于特征值的检测过程;通过上述检测过程扫描待检测文件,分别计算得到待检测文件的引用检测权值、时间检测权值和特征检测权值;再计算得出最终权值,从而得出待检测文件是正常文件、可疑WebShell文件还是确定的WebShell文件,包括如下步骤:
1)、获取指定目录中的所有文件和文件创建信息;
指定目录为需要检测的目录,一般需要检测Web文件存在的目录。开启Web服务的服务器都会有默认的Web文件存放目录,默认情况下检测这些目录,用户也可以自己选择指定需要检测的目录。获取指定目录中的文件包括引用的文件;文件创建信息包括文件名称和文件创建时间信息。
2)、进行基于时间的检测过程:根据文件创建时间,将所有文件进行分组并添加时间检测权值;
将文件创建时间相接近的(小于某个阈值的)文件放到一个分组中,文件数较少的分组中的文件是WebShell文件的几率比较大,即是WebShell可疑文件。找出这些WebShell可疑文件,并为其中的可疑文件赋权值,具体通过一个变量T记录时间检测权值,并记录时间检测可疑文件集为Tt;本实施例中,设置时间间隔t=5minutes,即当创建的时间间隔小于5分钟时的文件被分到一个组中。如果这些分好组的文件个数小于或者等于5,则将这组文件视为可疑WebShell文件,记录在时间检测可疑文件集Tt中,并赋予了这些可疑文件一样的权值T=2;
基于时间检测是将文件按创建时间进行分组,时间间隔在一定的阈值内的文件被分为一组,组里的文件个数少的是WebShell的可能性比较大,对于组内的文件再按照创建时间的先后进行赋权值,越晚创建的越可能是WebShell,相应的权值越大,检测结果是可疑的分组文件以及相应的权值;
3)、进行基于引用的检测过程:获取引用文件,根据引用次数添加引用检测权值;
对于引用的文件,获取引用文件并检测引用的次数,引用文件是WebShell的可能性很大,次数越大的是WebShell的可能性越小,选取不同的引用次数作为阈值,划到不同阈值下的引用文件赋上引用检测权值,引用次数越少的文件是WebShell文件的可能性越大,用变量Q来表示引用检测权值,并记录引用检测可疑文件集为Qq;
在本实施例中,引用次数的阈值设为5,当引用次数小于5的文件为一组,小于10大于5的文件为一组,依次分下去;小于引用次数5的文件为可疑WebShell文件,记录在引用检测可疑文件集Qq中,并为这些文件赋权值Q=2;
4)进行基于特征的检测过程:对需要做基于特征的检测过程的文件,针对每一个文件进行特征码匹配,若匹配成功则记录并赋予该文件特征检测权值;若未匹配成功则对文件内容进行base64编码,然后再次进行特征码匹配,匹配成功则记录并赋予该文件特征检测权值,未匹配成功则对文件进行可疑特征码匹配,匹配成功则记录并赋予该文件特征检测权值;该文件特征检测权值记为S;
匹配具体是对文件内容进行扫描与特征码进行正则匹配;在本实施例中,特征匹配是指检测特征库与文件内容,每匹配到一个字符串(恶意WebShell的特征库组成,即特征码)权值加0.2,当检测的量大于一定的数目时它才可能被确定为WebShell,当这个检测量大于5个时,判断为可疑WebShell;当检测的量大于75个时,判断为WebShell文件。
5)根据待检测文件在步骤2)得到的时间检测权值、步骤3)得到的引用检测权值和步 骤4)得到的特征检测权值,再计算得出最终检测权值,通过设置权值阈值,得出待检测文件的扫描检测结果;
待检测文件的扫描检测结果包括:是正常文件、是可疑WebShell文件或者是确定的WebShell文件。
针对上述Web服务器中的WebShell文件检测方法,步骤5)计算得出最终检测权值的方法包括低误报模式、低漏报模式和均衡模式;其中:
当采用低漏报模式时,将步骤2)得到的时间检测可疑文件集Tt和步骤3)得到的引用检测可疑文件集Qq取并集,即Tt∪Qq;相应检测权值相加;从而形成可疑文件集和可疑文件对应的权值;步骤4)针对上述可疑文件集中所有文件做基于特征的检测过程,得到特征检测结果;再将上述可疑文件对应的权值与步骤4)得到的特征检测权值相加,计算得出最终检测权值;
当采用低误报模式时,将步骤2)得到的时间检测可疑文件集Tt和步骤3)得到的引用检测可疑文件集Qq取交集,即Tt∩Qq;相应检测权值相加;从而形成可疑文件集,以及可疑文件对应的权值;步骤4)针对上述可疑文件集中所有文件做基于特征的检测过程,得到特征检测权值结果;再将上述可疑文件对应的权值与步骤4)得到的特征检测权值结果相加,计算得出最终检测权值;当采用均衡模式时,步骤4)针对目录下所有文件做基于特征的检测过程,得到特征检测权值结果;将步骤2)得到的时间检测权值结果、步骤3)得到的引用检测权值结果和步骤4)得到的特征检测权值结果相加,计算得出最终检测权值。
针对上述Web服务器中的WebShell文件检测方法,步骤5)通过设置权值阈值,将最终检测权值与权值阈值进行比较,得出待检测文件的扫描检测结果;在本发明实施例中,设置权值阈值为1和15,最终检测权值大于15为WebShell,最终检测权值在1和15之间为可疑WebShell,最终检测权值小于1为正常文件。
对于均衡模式、低漏报率、低误报率三种模式的实现方式,具体如下:(如图2~4所示):
B1、获取目录下文件信息,包括用户选择的模式信息,若模式为低误报模式进行步骤B2,若模式为低漏报模式进行步骤B4,若模式为均衡模式进行步骤B5;
B2、如果用户选择的是低误报模式则进行基于引用的检测,结果得到引用的文件以及为引用的文件添附的引用检测权值;进行基于时间的的检测,结果得到疑似WebShell的文件以及疑似WebShell文件的时间检测权值;
B3、将两种检测结果取交集,再对这些取交集得到的文件进行特征值匹配,将之前的引 用检测权值与时间检测权值的交集与新的特征检测权值加和,得到最终检测权值结果;
B4、如果用户选择低漏报模式则同B2步骤操作,在步骤B3时,则将步骤B2中产生的可疑文件集结果取并集,得到一个并集结果后,进行特征值匹配,将之前的引用检测权值与时间检测权值相加后再与新的特征检测权值加和,得到最终检测权值结果;
B5、若是均衡模式则是分别进行基于引用的检测、基于时间的的检测和基于特征的检测,将三种检测的结果进行加和,得到最终检测权值结果。
本发明技术方案在四个地方用到权值,1)文件创建时间比对时,文件创建时间间隔越大,WebShell的可能性就越大,这样文件按时间分组时文件数越少分组中的文件的权值也会较大;2)特征匹配时,对文件与已经知道的WebShell的特征进行匹配,匹配率越高赋的权值越大;3)对文件进行base64编码后进行特征匹配,这时候文件也会有对应的权值;4)可疑特征码特征匹配。通过这四个地方权值的修改,最终每个文件均会有对应的权值,当这个值达到设定的阈值,本方案就认为它是WebShell或者是可疑WebShell,会将结果返回给用户。
最终地,一个可疑WebShell文件会有三种检测得到的权值,低误报或低漏报模式将权值直接相加;而均衡模式中,有的文件可能只符合其中一种检测的方法,得到一个权值,有的可能得到多个权值,得到多个权值则将多个权值相加,若只有一个则保留一个,最终,都会得到该文件对应的检测权值。与设定的阈值进行比较则得到检测结果,再显示并导出扫描结果:所有文件扫描的结果信息包括文件名,以及该文件是可疑WebShell、确定WebShell或是正常文件。
下面通过实例对本发明做进一步说明。
实施例:
假设一个用C语言编写的C/S模式的应用中,管理端是一台以windows为操作系统的终端电脑M,代理端是一台以Linux为系统的服务器S,当前用户为Admin,登录管理端M,并且连接到代理端S,用户可以选择以下三种模式中的任意模式进行WebShell检测(均衡模式、低漏报率模式或低误报率模式)。
假定用户Admin选择三种模式中的低误报率模式,并且选定扫描的目录是Web目录,则具体通过如下步骤(如附图2),对Web目录进行扫描,检测是否存在WebShell文件:
1)从M端传输:低误报模式以及需要扫描的目录Web;
2)S端接收M端传入的信息,根据传来的目录Web以及低误报模式;
3)根据需要扫描目录(Web)以及模式信息(低误报模式)获取目录下的文件信息,包 括文件的创建时间,以及是否是引用的文件;
4)分别进行基于时间的检测与基于引用的检测,得到两个可疑文件的集合Tt、Qq,以及这些文件的权值T、Q,如果得到的Tt、Qq中的文件均为test.php,即该文件引用创建的时间比较晚,在一定的时间间隔下只有test.php;则赋予T=2(权值为2),Q=2(权值为2);
对于以上基于时间的检测与基于引用的检测的具体步骤是:
a.基于时间的检测,读取目录下文件创建的时间信息,将文件按照相近时间(小于某个阈值的)进行分组,对分好组的文件,文件个数小于一定阈值的文件组为可疑WebShell的可能性较大,再对这些文件进行排序,创建时间越晚,为WebShell的可能性越大,相应的赋的权值也就越大,以此为这些可疑文件按照创建的时间的顺序进行赋权值;
b.基于引用的检测,读取目录下的引用,引用文件是WebShell可疑文件的几率比较大,并且读取引用的次数,引用次数越多越趋于正常文件,引用文件赋的权值按照应用越多,赋的权值越小;
5)对两种检测的结果取交集得到C3,C3=(Tt∩Qq);C3中的文件的权值,相对应地,是T与Q的相加,记为T3=(T+Q);文件test.php的T3=4,再对这些可疑文件进行基于特征值的检测,得到权值T4,最终文件的权值T=T3+T4,文件test.php与特征码匹配,T4=12(假设匹配到的特征值为60个,则T4=0.2*60,最终值为12),得到T=16;
6)判断文件权值,test.php的权值在1到15之间是可疑WebShell,得出检测结果权值大于15,则文件test.php是WebShell,将文件名test.php和是WebShell文件信息记为扫描检测的结果L,将扫描的结果L返回给M端。
假定用户Admin选择三种模式中的低漏报模式,并且选定扫描的目录是Web目录,则具体通过如下步骤(如附图3),对Web目录进行扫描,检测是否存在WebShell文件:
1)从M端传输:低漏报模式以及需要扫描的目录Web;
2)S端接收M端传入的信息,根据传来的目录Web以及低误报模式;
3)根据需要扫描目录(Web)以及模式信息(低漏报模式)获取目录下文件信息,包括文件的创建时间,以及是引用的文件;
4)分别进行基于时间的检测与基于引用的检测(如以上步骤a、b),得到两个可疑文件的集合Tt、Qq,以及这些文件的权值T、Q,如果文件test.php,既是引用创建的时间也比较晚,在一定的时间间隔下就只有test.php,则T=2(权值为2),Q=2(权值为2);
5)对两种检测的结果取并集得到C3,C3=(Tt∪Qq),C3中的文件的权值,是T与Q的相 加,记为T3=(T+Q),test.php文件在基于时间检测时为可疑文件,在基于引用时的检测并不是可疑文件,所以test.php的T3=2,再对这些可疑文件进行基于特征值的检测,得到特征检测权值T4,最终文件的权值T=T3+T4,test.php文件中与特征码匹配,T4=12(假设匹配到的特征值为60个,则T4=0.2*60,最终值为12),T=14;
6)判断文件权值,test.php的权值在1到15之间是可疑WebShell,得出检测结果为文件test.php的权值小于15,则文件test.php是可疑WebShell,将文件名test.php和是WebShell文件信息记为扫描检测的结果L,将扫描的结果L返回给M端。。
假定用户Admin选择三种模式中的均衡模式,并且选定扫描的目录是Web目录,则具体通过如下步骤(如附图4),对Web目录进行扫描,检测是否存在WebShell文件:
1)从M端传输:均衡模式以及需要扫描的目录Web;
2)S端接收M端传入的信息,根据传来的目录Web以及均衡模式;
3)根据需要扫描目录(Web)以及模式信息(均衡模式)获取目录下文件信息,包括文件的创建时间,以及是引用的文件;
4)分别进行基于时间的检测、基于引用的检测与基于特征码的检测(如以上步骤a、b),得到三个个可疑文件的集合Tt、Qq、C3,以及这些文件对应的时间检测权值T、引用检测权值Q和特征检测权值T3,如果检测出文件test.php,是一个引用文件,且引用较少,则Q=2(权值为2);创建的时间相对较晚,基本无文件和它在一个时间间隔中,则T=2(权值为2);特征码匹配时查到有匹配的特征码则T3=12(假设匹配到的特征值为60个,则T4=0.2*60,最终值为12);
5)对三种检测的结果Tt、Qq、C3,取并集,即Tt∪Qq∪C3;
假设一文件是Tt∪Qq∪C3集合中,它可以有以下情况:在或不在Tt、在或不在Qq、在或不在C3,所以经过分析可知该文件存在的权值,可能是T、Q、T3中的一个、两个或三个,如果该文件不是基于引用检测的可疑文件,则Q就不会记录被赋权值(系统初值Q=0);同理如果它不是基于时间检测的可疑文件,则T也不会记录权值(系统初值T=0)。
6)将并集文件中的每一个文件对应的时间检测权值T、引用检测权值Q和特征检测权值T相加,得到检测总权值Total=T+Q+T3=16,比较文件检测总权值和设定权值阈值,检测总权值在15到1之间的为可疑Webshell;文件检测总权值大于15,所以文件test.php为WebShell。得出结果L,结果L包括文件名以及是确定的WebShell文件,将扫描检测的结果L返回给M端的。
需要注意的是,公布实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解:在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (10)
1.一种Web服务器中的WebShell文件检测方法,包括基于引用的检测过程、基于时间的检测过程和基于特征值的检测过程;通过扫描待检测文件,分别计算得到待检测文件的引用检测权值、时间检测权值和特征检测权值;再计算得出最终权值,从而得出待检测文件是正常文件、可疑WebShell文件还是确定的WebShell文件,包括如下步骤:
1)获取指定目录中的所有文件和文件创建信息;文件创建信息包括文件名称和文件创建时间信息;
2)进行基于时间的检测过程:根据文件创建时间,将所有文件进行分组,赋予每一个文件时间检测权值,并记录时间检测可疑文件集;
3)进行基于引用的检测过程:获取引用文件,根据引用次数赋予每一个文件引用检测权值,并记录引用检测可疑文件集;
4)进行基于特征的检测过程:对需要做基于特征的检测过程的文件,针对每一个文件进行特征码匹配,若匹配成功则记录并赋予该文件特征检测权值;若未匹配成功则对文件内容进行base64编码,然后再次进行特征码匹配,匹配成功则记录并赋予该文件特征检测权值,未匹配成功则对文件进行可疑特征码匹配,匹配成功则记录并赋予该文件特征检测权值;
5)根据待检测文件在步骤2)得到的时间检测权值、步骤3)得到的引用检测权值和步骤4)得到的特征检测权值,再计算得出最终检测权值,通过设置权值阈值,得出待检测文件的扫描检测结果。
2.如权利要求1所述Web服务器中的WebShell文件检测方法,其特征是,步骤2)所述将所有文件进行分组,赋予每一个文件时间检测权值,具体是根据文件创建时间进行分组;根据文件创建时间和分组中的文件数目,给文件赋予时间检测权值。
3.如权利要求1所述Web服务器中的WebShell文件检测方法,其特征是,步骤3)所述根据引用次数赋予每一个文件引用检测权值,具体是对引用次数越多的文件,赋予的引用检测权值越小。
4.如权利要求1所述Web服务器中的WebShell文件检测方法,其特征是,步骤4)所述匹配具体是对文件内容进行扫描,与WebShell特征库中的特征码进行正则匹配。
5.如权利要求1所述Web服务器中的WebShell文件检测方法,其特征是,步骤5)所述待检测文件的扫描检测结果包括:是正常文件、是可疑WebShell文件或者是确定的WebShell文件。
6.如权利要求1所述Web服务器中的WebShell文件检测方法,其特征是,步骤5)计算得出最终检测权值的方法包括低误报模式、低漏报模式和均衡模式。
7.如权利要求6所述Web服务器中的WebShell文件检测方法,其特征是,所述低漏报模式具体是:
将步骤2)得到的时间检测可疑文件集和步骤3)得到的引用检测可疑文件集取并集,得到的检测可疑文件集;并集中的文件的相应检测权值相加;从而形成可疑文件集和可疑文件对应的权值;步骤4)具体针对上述可疑文件集中所有文件做基于特征的检测过程,得到特征检测权值;再将所述可疑文件对应的权值与步骤4)得到的特征检测权值相加,计算得出最终检测权值。
8.如权利要求6所述Web服务器中的WebShell文件检测方法,其特征是,所述低误报模式具体是:
将步骤2)得到的时间检测可疑文件集和步骤3)得到的引用检测可疑文件集取交集,从而形成可疑文件集,可疑文件集中的文件的相应检测权值相加,得到可疑文件相对应的检测权值;步骤4)针对上述可疑文件集中所有文件做基于特征的检测过程,得到特征检测权值;再将上述可疑文件对应的权值与步骤4)得到的特征检测权值相加,计算得出最终检测权值。
9.如权利要求6所述Web服务器中的WebShell文件检测方法,其特征是,所述均衡模式具体是:
步骤4)针对目录下所有文件做基于特征的检测过程,得到特征检测结果;将步骤2)得到的时间检测权值结果、步骤3)得到的引用检测权值结果和步骤4)得到的特征检测权值结果相加,计算得出最终检测权值。
10.如权利要求1所述Web服务器中的WebShell文件检测方法,其特征是,步骤5)所述设置权值阈值,具体为设置权值阈值为1和15,最终检测权值大于15为WebShell,最终检测权值在1和15之间为可疑WebShell,最终检测权值小于1为正常文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510305411.6A CN104967616A (zh) | 2015-06-05 | 2015-06-05 | 一种Web服务器中的WebShell文件的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510305411.6A CN104967616A (zh) | 2015-06-05 | 2015-06-05 | 一种Web服务器中的WebShell文件的检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104967616A true CN104967616A (zh) | 2015-10-07 |
Family
ID=54221558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510305411.6A Pending CN104967616A (zh) | 2015-06-05 | 2015-06-05 | 一种Web服务器中的WebShell文件的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104967616A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105549962A (zh) * | 2015-12-08 | 2016-05-04 | 浪潮电子信息产业股份有限公司 | 一种应用于linux系统启动及运行的方案 |
| CN106203095A (zh) * | 2016-07-07 | 2016-12-07 | 众安在线财产保险股份有限公司 | 一种webshell的检测方法和检测系统 |
| CN106572117A (zh) * | 2016-11-11 | 2017-04-19 | 北京安普诺信息技术有限公司 | 一种WebShell文件的检测方法和装置 |
| CN106850617A (zh) * | 2017-01-25 | 2017-06-13 | 余洋 | webshell检测方法及装置 |
| CN106911686A (zh) * | 2017-02-20 | 2017-06-30 | 杭州迪普科技股份有限公司 | WebShell检测方法及装置 |
| CN107135199A (zh) * | 2017-03-29 | 2017-09-05 | 国家电网公司 | 网页后门的检测方法和装置 |
| CN107294982A (zh) * | 2017-06-29 | 2017-10-24 | 深信服科技股份有限公司 | 网页后门检测方法、装置及计算机可读存储介质 |
| CN107508829A (zh) * | 2017-09-20 | 2017-12-22 | 杭州安恒信息技术有限公司 | 一种非侵入式的webshell检测方法 |
| CN107770133A (zh) * | 2016-08-19 | 2018-03-06 | 北京升鑫网络科技有限公司 | 一种适应性webshell检测方法及系统 |
| CN109067696A (zh) * | 2018-05-29 | 2018-12-21 | 湖南鼎源蓝剑信息科技有限公司 | 基于图相似度分析的webshell检测方法及系统 |
| CN113992409A (zh) * | 2021-10-28 | 2022-01-28 | 上海钧正网络科技有限公司 | WebShell拦截方法、系统、介质及计算机设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101668012A (zh) * | 2009-09-23 | 2010-03-10 | 成都市华为赛门铁克科技有限公司 | 安全事件检测方法及装置 |
| CN103294952A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于页面关系检测webshell的方法及系统 |
| CN103546470A (zh) * | 2013-10-24 | 2014-01-29 | 腾讯科技(武汉)有限公司 | 安全访问方法、系统及装置 |
| CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
-
2015
- 2015-06-05 CN CN201510305411.6A patent/CN104967616A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101668012A (zh) * | 2009-09-23 | 2010-03-10 | 成都市华为赛门铁克科技有限公司 | 安全事件检测方法及装置 |
| CN103294952A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于页面关系检测webshell的方法及系统 |
| CN103546470A (zh) * | 2013-10-24 | 2014-01-29 | 腾讯科技(武汉)有限公司 | 安全访问方法、系统及装置 |
| CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 石磊,宋昭: "webshell检测的新思路", 《第二届全国信息安全等级保护技术大会会议论文集》 * |
| 胡建康: "基于决策树的Webshell检测方法研究", 《网络新媒体技术》 * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105549962A (zh) * | 2015-12-08 | 2016-05-04 | 浪潮电子信息产业股份有限公司 | 一种应用于linux系统启动及运行的方案 |
| CN105549962B (zh) * | 2015-12-08 | 2019-08-02 | 浪潮电子信息产业股份有限公司 | 一种应用于linux系统启动及运行的方法 |
| CN106203095A (zh) * | 2016-07-07 | 2016-12-07 | 众安在线财产保险股份有限公司 | 一种webshell的检测方法和检测系统 |
| CN107770133A (zh) * | 2016-08-19 | 2018-03-06 | 北京升鑫网络科技有限公司 | 一种适应性webshell检测方法及系统 |
| CN107770133B (zh) * | 2016-08-19 | 2020-08-14 | 北京升鑫网络科技有限公司 | 一种适应性webshell检测方法及系统 |
| CN106572117A (zh) * | 2016-11-11 | 2017-04-19 | 北京安普诺信息技术有限公司 | 一种WebShell文件的检测方法和装置 |
| CN106850617A (zh) * | 2017-01-25 | 2017-06-13 | 余洋 | webshell检测方法及装置 |
| CN106850617B (zh) * | 2017-01-25 | 2018-05-15 | 余洋 | webshell检测方法及装置 |
| CN106911686A (zh) * | 2017-02-20 | 2017-06-30 | 杭州迪普科技股份有限公司 | WebShell检测方法及装置 |
| CN106911686B (zh) * | 2017-02-20 | 2020-07-07 | 杭州迪普科技股份有限公司 | WebShell检测方法及装置 |
| CN107135199B (zh) * | 2017-03-29 | 2020-05-01 | 国家电网公司 | 网页后门的检测方法和装置 |
| CN107135199A (zh) * | 2017-03-29 | 2017-09-05 | 国家电网公司 | 网页后门的检测方法和装置 |
| CN107294982A (zh) * | 2017-06-29 | 2017-10-24 | 深信服科技股份有限公司 | 网页后门检测方法、装置及计算机可读存储介质 |
| CN107294982B (zh) * | 2017-06-29 | 2021-12-21 | 深信服科技股份有限公司 | 网页后门检测方法、装置及计算机可读存储介质 |
| CN107508829A (zh) * | 2017-09-20 | 2017-12-22 | 杭州安恒信息技术有限公司 | 一种非侵入式的webshell检测方法 |
| CN107508829B (zh) * | 2017-09-20 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 一种非侵入式的webshell检测方法 |
| CN109067696A (zh) * | 2018-05-29 | 2018-12-21 | 湖南鼎源蓝剑信息科技有限公司 | 基于图相似度分析的webshell检测方法及系统 |
| CN109067696B (zh) * | 2018-05-29 | 2020-12-08 | 湖南鼎源蓝剑信息科技有限公司 | 基于图相似度分析的webshell检测方法及系统 |
| CN113992409A (zh) * | 2021-10-28 | 2022-01-28 | 上海钧正网络科技有限公司 | WebShell拦截方法、系统、介质及计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104967616A (zh) | 一种Web服务器中的WebShell文件的检测方法 | |
| Gupta et al. | PHP-sensor: a prototype method to discover workflow violation and XSS vulnerabilities in PHP web applications | |
| CN108156131B (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| CN110177108B (zh) | 一种异常行为检测方法、装置及验证系统 | |
| KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
| Moustafa et al. | Generalized outlier gaussian mixture technique based on automated association features for simulating and detecting web application attacks | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN110855661B (zh) | 一种WebShell检测方法、装置、设备及介质 | |
| CN103164698B (zh) | 文本指纹库生成方法及装置、文本指纹匹配方法及装置 | |
| CN108718298B (zh) | 一种恶意外连流量检测方法及装置 | |
| CN105072089A (zh) | 一种web恶意扫描行为异常检测方法与系统 | |
| CN102082792A (zh) | 钓鱼网页检测方法及设备 | |
| CN105760379B (zh) | 一种基于域内页面关联关系检测webshell页面的方法及装置 | |
| CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
| CN111865925A (zh) | 基于网络流量的诈骗团伙识别方法、控制器和介质 | |
| CN103888480B (zh) | 基于云监测的网络信息安全性鉴定方法及云端设备 | |
| CN107911355A (zh) | 一种基于攻击链的网站后门利用事件识别方法 | |
| CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
| CN104009964A (zh) | 网络链接检测方法和系统 | |
| CN104935601A (zh) | 基于云的网站日志安全分析方法、装置及系统 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| CN105530251A (zh) | 识别钓鱼网站的方法及装置 | |
| CN114844689A (zh) | 一种基于有限状态机的网站逻辑漏洞检测方法及系统 | |
| TW201902174A (zh) | 結合網域情資與網路流量之惡意網域偵測方法 | |
| Khan et al. | Implementation of IDS for web application attack using evolutionary algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151007 |
|
| WD01 | Invention patent application deemed withdrawn after publication |