CN107770133B - 一种适应性webshell检测方法及系统 - Google Patents

一种适应性webshell检测方法及系统 Download PDF

Info

Publication number
CN107770133B
CN107770133B CN201610687023.3A CN201610687023A CN107770133B CN 107770133 B CN107770133 B CN 107770133B CN 201610687023 A CN201610687023 A CN 201610687023A CN 107770133 B CN107770133 B CN 107770133B
Authority
CN
China
Prior art keywords
scanning
webshell
server
web server
matched
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610687023.3A
Other languages
English (en)
Other versions
CN107770133A (zh
Inventor
程度
张福
董燕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Shengxin Network Technology Co ltd
Original Assignee
Beijing Shengxin Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Shengxin Network Technology Co ltd filed Critical Beijing Shengxin Network Technology Co ltd
Priority to CN201610687023.3A priority Critical patent/CN107770133B/zh
Publication of CN107770133A publication Critical patent/CN107770133A/zh
Application granted granted Critical
Publication of CN107770133B publication Critical patent/CN107770133B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

本发明公开了一种适应性webshell检测方法及系统,它涉及网页安全技术领域。检测系统包括静态间隔扫描、实时扫描、旁路检测三大模块,静态间隔扫描的步骤和方式为:分析服务器是否运行web服务器,如果没有运行直接结束;对有web服务的进行清点,读取web服务器配置文件,获取web服务器相关信息;对服务器上所配置的所有站点路径下的全部脚本文件针对相关策略进行扫描;记录每次扫描的时间,在下次扫描时,只扫描新增的部分文件及之前判定为是webshell的文件。本发明通过多手段结合的方式对webshell检测,能够有效地检测出webshell,降低误报率、漏报率和因webshell导致的信息安全事件。

Description

一种适应性webshell检测方法及系统
技术领域
本发明涉及的是网页安全技术领域,具体涉及一种适应性webshell检测方法及系统。
背景技术
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
在web系统目前非常流行的当下,受攻击最多的也是web系统,一般情况下90%以上的被攻击的web系统都会被植入webshell作为攻击者的控制方式。webshell可以穿越服务器防火墙,由于与被控制的服务器或远程过80端口传递的,因此不会被防火墙拦截,并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。
webshell就是一个web的页面,但是它的功能非常强大可以获得一些管理员不希望你获得的权限,比如执行系统命令、删除web页面、修改主页等,对web系统下的webshell的检测就显得极其重要。为了防止webshell的危害,就必须提前将webshell检测并删除才能达到消除安全威胁的目的。目前,大部分的webshell检测可以分为动态和静态的检测两种方式:动态的方式主要采用旁路的方式分析流量中的请求来发现是否是webshell上传或者是webshell执行,这个主要依赖于检测引擎以及特征库,对于潜伏很久的webshell或者隐藏在正常文件里的webshell很难检测出来;其它静态的webshell检测方案,只是着重于一点或者一个方面,一般来说是基于签名和特征的匹配,或者是形式上采用云查杀的方式,这种单一的情况会导致漏报率和误报率很高。
现有技术的缺点是:(1)无法对潜伏的webshell或者是隐藏很深的websehll进行检测;(2)只采用一种方式,基于签名或者指纹的方式很容易被绕过,因为webshell修改成本非常低;(3)现在的情况变化特别快,必须采用威胁情报技术能够检测最新产生的webshell;(4)缺乏多种形式检测方式的配合,导致检出率非常低。
为了解决上述问题,设计一种适应性webshell检测方法及系统还是很有必要的。
发明内容
针对现有技术上存在的不足,本发明目的是在于提供一种适应性webshell检测方法及系统,通过多维度、多手段结合的方式对webshell检测,能够有效地检测出webshell,大大降低误报率和漏报率,降低因webshell导致的信息安全事件,易于推广使用。
为了实现上述目的,本发明是通过如下的技术方案来实现:一种适应性webshell检测方法及系统,其检测系统包括静态间隔扫描、实时扫描、旁路检测三大模块,其中静态间隔扫描的实施步骤和方式为:
(1)分析服务器是否运行了web服务器,如果没有运行web服务直接结束;
(2)对有web服务的进行清点,来读取web服务器配置文件,获取web服务器相关信息;所述相关信息包括:站点个数、站点路径、域名或者端口号;
(3)对服务器上所配置的所有站点路径下的全部脚本文件进行扫描,针对相关的策略进行扫描;
(4)为了增强扫描的有效性以及效率,会记录每次扫描的时间,在下一次扫描的时候,只会扫描新增的部分文件以及之前判定为是webshell的文件。
实时扫描的实施步骤和方式为:(1)分析服务器是否运行了web服务器,如果没有运行web服务直接结束;
(2)对有web服务的进行清点,来读取web服务器配置文件,获取web服务器相关信息;所述相关信息包括:站点个数、站点路径、域名或者端口号;
(3)对所有web站点的目录进行实时监控,如果发现新增的文件或者目录直接触发扫描动作;
(4)对新增的脚本文件进行扫描,针对相关策略进行扫描,扫描策略和静态间隔扫描相同。
旁路检测的主要方式就是检测请求文件的文件名以及路径以及文件本身的来实现的,以及服务器的响应信息也是参考。
作为优选,所述的静态间隔扫描、实时扫描还包括:特征值匹配、正则匹配、沙箱检测、相似度检测、威胁情报检测、机器学习检测等模块,静态间隔扫描、实时扫描的扫描策略为:首先判断是否匹配严格正则,是则上报为webshell,否则继续检测是否匹配宽泛正则,如果不匹配宽泛正则,则判断是否沙箱检测为webshell,如果沙箱检测为webshell,则上报为webshell,如果不是则结束扫描;如果匹配宽泛正则,判断是否匹配MD5病毒库,如果匹配MD5病毒库则上报为webshell,如果不匹配,则检测是否达到模糊度匹配阙值,若达到模糊度匹配阙值,则上报为webshell,如果没有达到则继续检测是否匹配威胁情报,如果匹配,则上报为webshell,如果不匹配,继续检测机器学习结果是否为负,机器学习结果为负,则上报为webshell并结束扫描,否则直接结束扫描。
本发明的有益效果:通过多维度、多手段结合的方式对webshell检测,能够有效地检测出webshell,大大降低误报率和漏报率,降低因webshell导致的信息安全事件:
(1)采用了多种方式并行的方式来发现webshell,既有静态的全量的扫描,也有实时的扫描,更有旁路的方式检测;
(2)在静态扫描里,引入了沙箱的机制模拟执行能够发现执行层面出现的webshell,也引入了威胁情报辅助检测,还有机器学习对webshell的检测;
(3)将webshell的检测做到了实时监控,这样可以把webshell的对业务的伤害降到最低。
附图说明
下面结合附图和具体实施方式来详细说明本发明;
图1为本发明静态间隔扫描及实时扫描的扫描策略流程图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参照图1,本具体实施方式采用以下技术方案:一种适应性webshell检测方法及系统,其检测系统包括静态间隔扫描、实时扫描、旁路检测三大模块,所述的静态间隔扫描、实时扫描还包括:特征值匹配、正则匹配、沙箱检测、相似度检测、威胁情报检测、机器学习检测等模块,通过多种方式的结合以及配合,可以将webshell检测的漏报率和误报率降到最低。具体的检测方法如下:
(1)静态间隔扫描的实施步骤和方式为:
①分析服务器是否运行了web服务器,如果没有运行web服务直接结束;
②对有web服务的进行清点,来读取web服务器配置文件,获取web服务器相关信息;所述相关信息包括:站点个数、站点路径、域名或者端口号;
③对服务器上所配置的所有站点路径下的全部脚本文件进行扫描,针对相关的策略进行扫描(扫描策略如图1);
④为了增强扫描的有效性以及效率,会记录每次扫描的时间,在下一次扫描的时候,只会扫描新增的部分文件以及之前判定为是webshell的文件。
(2)实时扫描的实施步骤和方式为:
①分析服务器是否运行了web服务器,如果没有运行web服务直接结束;
②对有web服务的进行清点,来读取web服务器配置文件,获取web服务器相关信息;所述相关信息包括:站点个数、站点路径、域名或者端口号;
③对所有web站点的目录进行实时监控,如果发现新增的文件或者目录直接触发扫描动作;
④对新增的脚本文件进行扫描,针对相关策略进行扫描,扫描策略和静态间隔扫描的扫描策略相同。
(3)旁路检测的主要方式就是检测请求文件的文件名以及路径以及文件本身的来实现的,以及服务器的响应信息也是参考。根据这几个因素的综合结果,将可能的webshell报警出来。
值得注意的是,所述静态间隔扫描、实时扫描的扫描策略具体步骤为:首先判断是否匹配严格正则,是则上报为webshell,否则继续检测是否匹配宽泛正则,如果不匹配宽泛正则,则判断是否沙箱检测为webshell,如果沙箱检测为webshell,则上报为webshell,如果不是则结束扫描;如果匹配宽泛正则,判断是否匹配MD5病毒库,如果匹配MD5病毒库则上报为webshell,如果不匹配,则检测是否达到模糊度匹配阙值,若达到模糊度匹配阙值,则上报为webshell,如果没有达到则继续检测是否匹配威胁情报,如果匹配,则上报为webshell,如果不匹配,继续检测机器学习结果是否为负,机器学习结果为负,则上报为webshell并结束扫描,否则直接结束扫描。
本具体实施方式通过旁路检测、静态间隔扫描以及实时扫描三种方式进行webshell检测,能够自动适应各种linux系统以及各种web服务器,静态间隔扫描创新性地引入沙箱检查、威胁情报检查以及相似度检查,且为了提高扫描效率,创建了缓存机制;实时扫描方式根据对web目录的监控,可以对web目录做到实时监控;该系统相较于现有技术,具有以下优点:(1)采用多种方式并行的方式来发现webshell,既有静态的全量的扫描,也有实时的扫描,更有旁路的方式检测,通过多维度、多手段结合的方式达到webshell检测误报率和漏报率低的效果;(2)在静态扫描里,引入了沙箱的机制模拟执行能够发现执行层面出现的webshell,也引入了威胁情报辅助检测,还有机器学习对webshell的检测;(3)将webshell的检测做到了实时监控,这样可以把webshell的对业务的伤害降到最低。
本具体实施方式能够有效的检测出webshell,降低因webshell导致的信息安全事件,比其它检测技术的漏报率和误报率都要低,且经过实验阶段和模拟阶段,在客户实际环境中证明真实有效,具有广阔的市场应用前景。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (2)

1.一种适应性webshell检测系统,其特征在于,其检测系统包括静态间隔扫描、实时扫描和旁路检测三大模块,其中静态间隔扫描的实施步骤和方式为:
(1)分析服务器是否运行了web 服务器,如果没有运行web服务直接结束;
(2)对有web服务的进行清点,来读取web服务器配置文件,获取web服务器相关信息;所述相关信息包括:站点个数、站点路径、域名或者端口号;
(3)对服务器上所配置的所有站点路径下的全部脚本文件进行扫描,针对相关的策略进行扫描;
(4)为了增强扫描的有效性以及效率,会记录每次扫描的时间,在下一次扫描的时候,只会扫描新增的部分文件以及之前判定为是webshell的文件;
实时扫描的实施步骤和方式为:(1)分析服务器是否运行了web 服务器,如果没有运行web服务直接结束;
(2)对有web服务的进行清点,来读取web服务器配置文件,获取web服务器相关信息;所述相关信息包括:站点个数、站点路径、域名或者端口号;
(3)对所有web站点的目录进行实时监控,如果发现新增的文件或者目录直接触发扫描动作;
(4)对新增的脚本文件进行扫描,针对相关策略进行扫描,扫描策略和静态间隔扫描相同;
旁路检测的主要方式就是检测请求文件的文件名以及路径以及文件本身的来实现的,以及服务器的响应信息也是参考。
2.根据权利要求1所述的适应性webshell检测系统,其特征在于,所述的静态间隔扫描和实时扫描还包括:特征值匹配、正则匹配、沙箱检测、相似度检测、威胁情报检测和机器学习检测模块;
静态间隔扫描、实时扫描的扫描策略为:首先判断是否匹配严格正则,是则上报为webshell,否则继续检测是否匹配宽泛正则,如果不匹配宽泛正则,则判断是否沙箱检测为webshell,如果沙箱检测为webshell,则上报为webshell,如果不是则结束扫描;如果匹配宽泛正则,判断是否匹配MD5病毒库,如果匹配MD5病毒库则上报为webshell,如果不匹配,则检测是否达到模糊度匹配阙值,若达到模糊度匹配阙值,则上报为webshell,如果没有达到则继续检测是否匹配威胁情报,如果匹配,则上报为webshell,如果不匹配,继续检测机器学习结果是否为负,机器学习结果为负,则上报为webshell并结束扫描,否则直接结束扫描。
CN201610687023.3A 2016-08-19 2016-08-19 一种适应性webshell检测方法及系统 Active CN107770133B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610687023.3A CN107770133B (zh) 2016-08-19 2016-08-19 一种适应性webshell检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610687023.3A CN107770133B (zh) 2016-08-19 2016-08-19 一种适应性webshell检测方法及系统

Publications (2)

Publication Number Publication Date
CN107770133A CN107770133A (zh) 2018-03-06
CN107770133B true CN107770133B (zh) 2020-08-14

Family

ID=61262038

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610687023.3A Active CN107770133B (zh) 2016-08-19 2016-08-19 一种适应性webshell检测方法及系统

Country Status (1)

Country Link
CN (1) CN107770133B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351220A (zh) * 2018-04-02 2019-10-18 蓝盾信息安全技术有限公司 一种基于包过滤实现网闸高效数据扫描技术
CN110166420A (zh) * 2019-03-28 2019-08-23 江苏通付盾信息安全技术有限公司 反弹shell阻断方法及装置
CN113162761B (zh) * 2020-09-18 2022-02-18 广州锦行网络科技有限公司 一种webshell监控系统
CN113507439A (zh) * 2021-06-07 2021-10-15 广发银行股份有限公司 一种jsp文件安全监控方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090088687A (ko) * 2008-02-15 2009-08-20 한국정보보호진흥원 웹쉘 탐지 시스템 및 웹쉘 탐지 방법
CN103905422A (zh) * 2013-12-17 2014-07-02 哈尔滨安天科技股份有限公司 一种本地模拟请求辅助查找webshell的方法及系统
CN104468477A (zh) * 2013-09-16 2015-03-25 杭州迪普科技有限公司 一种WebShell的检测方法及系统
CN104765883A (zh) * 2015-04-30 2015-07-08 中电运行(北京)信息技术有限公司 一种用于Webshell的检测方法
CN104967616A (zh) * 2015-06-05 2015-10-07 北京安普诺信息技术有限公司 一种Web服务器中的WebShell文件的检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090088687A (ko) * 2008-02-15 2009-08-20 한국정보보호진흥원 웹쉘 탐지 시스템 및 웹쉘 탐지 방법
CN104468477A (zh) * 2013-09-16 2015-03-25 杭州迪普科技有限公司 一种WebShell的检测方法及系统
CN103905422A (zh) * 2013-12-17 2014-07-02 哈尔滨安天科技股份有限公司 一种本地模拟请求辅助查找webshell的方法及系统
CN104765883A (zh) * 2015-04-30 2015-07-08 中电运行(北京)信息技术有限公司 一种用于Webshell的检测方法
CN104967616A (zh) * 2015-06-05 2015-10-07 北京安普诺信息技术有限公司 一种Web服务器中的WebShell文件的检测方法

Also Published As

Publication number Publication date
CN107770133A (zh) 2018-03-06

Similar Documents

Publication Publication Date Title
CN103428196A (zh) 一种基于url白名单的web应用入侵检测方法和装置
CN107770133B (zh) 一种适应性webshell检测方法及系统
CN109586282B (zh) 一种电网未知威胁检测系统及方法
CN102647421B (zh) 基于行为特征的web后门检测方法和装置
CN108282440B (zh) 一种安全检测方法、安全检测装置及服务器
CN104766011A (zh) 基于主机特征的沙箱检测告警方法和系统
CN109918907B (zh) Linux平台进程内存恶意代码取证方法、控制器及介质
Xie et al. Pagoda: A hybrid approach to enable efficient real-time provenance based intrusion detection in big data environments
CN107426196B (zh) 一种识别web入侵的方法及系统
CN111818062A (zh) 基于Docker的CentOS高交互蜜罐系统及其实现方法
CN113472772B (zh) 网络攻击的检测方法、装置、电子设备及存储介质
KR101080953B1 (ko) 실시간 웹쉘 탐지 및 방어 시스템 및 방법
CN107612924A (zh) 基于无线网络入侵的攻击者定位方法及装置
CN107579997A (zh) 无线网络入侵检测系统
US20170061123A1 (en) Detecting Suspicious File Prospecting Activity from Patterns of User Activity
CN105095751A (zh) 一种面向Android平台的钓鱼恶意应用检测方法
KR101068931B1 (ko) 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법
CN111611590B (zh) 涉及应用程序的数据安全的方法及装置
CN111464526A (zh) 一种网络入侵检测方法、装置、设备及可读存储介质
CN107566401A (zh) 虚拟化环境的防护方法及装置
CN108040036A (zh) 一种行业云Webshell安全防护方法
CN107509200A (zh) 基于无线网络入侵的设备定位方法及装置
KR101327740B1 (ko) 악성코드의 행동 패턴 수집장치 및 방법
CN111786990A (zh) 一种针对web主动推送跳转页面的防御方法和系统
CN115134166A (zh) 一种基于蜜洞的攻击溯源方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant