CN107888554A - 服务器攻击的检测方法和装置 - Google Patents
服务器攻击的检测方法和装置 Download PDFInfo
- Publication number
- CN107888554A CN107888554A CN201610879008.9A CN201610879008A CN107888554A CN 107888554 A CN107888554 A CN 107888554A CN 201610879008 A CN201610879008 A CN 201610879008A CN 107888554 A CN107888554 A CN 107888554A
- Authority
- CN
- China
- Prior art keywords
- operation behavior
- behavioral data
- evaluation model
- risk evaluation
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种服务器攻击的检测方法和装置。上述方法包括:通过实时应用程序自我保护系统RASP实时监听网页中的操作行为;当所述RASP检测到操作行为中包含预定义的风险行为特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型;通过所述风险评估模型对所述行为数据进行分析,得到分析结果;若根据所述分析结果判定所述操作行为为攻击行为,则将所述网页标记为webshell文件。上述服务器攻击的检测方法和装置,提高了检测webshell文件的准确性,能有效保障网站服务器的信息安全。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种服务器攻击的检测方法和装置。
背景技术
webshell指的是以asp(Active Server Pages,动态服务器页面)、php(HypertextPreprocessor,超文本预处理器)、jsp(Java Server Pages,java服务器页面)或者cgi(Common Gateway Interface,公共网关接口)等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门。入侵者在入侵了一个网站后,通常会将asp或php后门文件与网站服务器的目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,通过webshell取得对网站服务器在某种程度上的操作权限,从而达到控制网站服务器的目的。
在传统的网络安全防御技术中,对webshell的检测主要是通过分析大量的webshell文件及原理建立特征库,通过特征库中的特征码判断一个网页文件是否为webshell文件,若一个网页文件中的代码包含特征库中的特征码,即判定其为webshell文件。然而,特征库中的特征码均是固定的字符串,入侵者只需通过将webshell文件中的代码进行变形,即可轻松绕过特征码的检测。因此,传统的webshell检测方式容易遗漏webshell文件,检测的准确性低,无法有效保障网站服务器安全。
发明内容
基于此,有必要提供一种服务器攻击的检测方法,能够提高检测webshell文件的准确性,有效保障网站服务器的信息安全。
此外,还有必要提供一种服务器攻击的检测装置,能够提高检测webshell文件的准确性,有效保障网站服务器的信息安全。
一种服务器攻击的检测方法,包括:
通过实时应用程序自我保护系统RASP实时监听网页中的操作行为;
当所述RASP检测到操作行为中包含预定义的风险行为特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型;
通过所述风险评估模型对所述行为数据进行分析,得到分析结果;
若根据所述分析结果判定所述操作行为为攻击行为,则将所述网页标记为webshell文件。
一种服务器攻击的检测装置,包括:
监听模块,用于通过RASP实时监听网页中的操作行为;
记录模块,用于当所述RASP检测到操作行为中包含预定义的风险行为特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型;
分析模块,用于通过所述风险评估模型对所述行为数据进行分析,得到分析结果;
标记模块,用于若根据所述分析结果判定所述操作行为为攻击行为,则将所述网页标记为webshell文件。
上述服务器攻击的检测方法和装置,通过RASP实时监听网页中的操作行为,当检测到操作行为中包含预定义的风险行为特征时,通过风险评估模型对该操作行为的行为数据进行分析,若根据分析结果判定该操作行为为攻击行为,则将该网页标记为webshell文件,通过RASP能够实时监控网页的执行情况,对操作行为的行为数据进行分析,而不仅仅是从网页文件的代码进行检测,能准确判断网页是否为webshell文件,提高了检测webshell文件的准确性,有效保障网站服务器的信息安全。
附图说明
图1为一个实施例中服务器的内部结构示意图;
图2为一个实施例中服务器攻击的检测方法的流程示意图;
图3为一个实施例中通过风险评估模型分析行为数据得到分析结果的流程示意图;
图4为另一个实施例中通过风险评估模型分析行为数据得到分析结果的流程示意图;
图5为一个实施例中通过风险评估模型对行为数据及操作行为在网页中的上下文内容进行分析,得到分析结果的流程示意图;
图6为另一个实施例中通过风险评估模型对行为数据及操作行为在网页中的上下文内容进行分析,得到分析结果的流程示意图;
图7为一个实施例中服务器攻击的检测装置的结构示意图;
图8为一个实施例中记录模块和分析模块的内部结构示意图;
图9为另一个实施例中分析模块的内部结构示意图;
图10为一个实施例中分析单元的内部结构示意图;
图11为另一个实施例中分析单元的内部结构示意图;
图12为另一个实施例中服务器攻击的检测装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1为一个实施例中服务器的内部结构示意图。如图1所示,该服务器包括通过系统总线连接的处理器、非易失性存储介质、内存储器和网络接口。其中,该服务器的非易失性存储介质存储有操作系统、数据库和服务器攻击的检测装置,数据库中存储有网站的网页数据,该服务器攻击的检测装置用于实现适用于服务器的一种服务器攻击的检测方法。该服务器的处理器用于提供计算和控制能力,支撑整个服务器的运行。该服务器的内存储器为非易失性存储介质中的服务器攻击的检测装置的运行提供环境,该内存储器中可储存有计算机可读指令,该计算机可读指令被所述处理器执行时,可使得所述处理器执行一种服务器攻击的检测方法。该服务器的网络接口用于据以与外部的终端通过网络连接通信,比如接收终端发送的网页访问请求以及向终端返回网页数据等。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。本领域技术人员可以理解,图1中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的服务器的限定,具体的服务器可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,如图2所示,提供了一种服务器攻击的检测方法,包括以下步骤:
步骤S210,通过实时应用程序自我保护系统RASP实时监听网页中的操作行为。
具体的,RASP(Runtime application self-protection,实时应用程序自我保护)是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,使保护程序与应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。与传统的安全技术是外设在网络周边或终端设备上不同,例如防火墙等,RASP可嵌入到运行的程序当中,能够清楚地获取到程序中用户的逻辑、配置、数据及事件流,可提高安全攻击识别的准确性,减少误报和漏报的机率。在一个实施例中,可通过HOOK(钩子)函数实现RASP对网页中的操作行为的实时监听,在网页中,执行HOOK函数调用运行RASP提供的保护程序,并通过该RASP的保护程序实时监听网页中的操作行为,其中,操作行为指的是网页与用户、数据库、网络及文件系统等的交互行为,可包括网络连接、数据库操作、命令执行、文件操作等。
步骤S220,当RASP检测到操作行为中包含预定义的风险行为特征时,记录操作行为的行为数据,并将行为数据发送至风险评估模型。
具体的,可根据实际需求预先定义风险集合,风险集合中可包括多种风险行为特征,风险行为特征可包括字符串特征、函数特征及行为特征等。其中,字符串特征指的是webshell文件的执行代码中可能包含的一些敏感字符串,例如“Set Server”、“<?php eval($_POST[cmd]);?>”等字符串。函数特征指的是webshell文件可能执行的高危函数,高危函数指的是存在安全隐患的函数,例如:phpinfo()输出PHP环境信息以及相关的模块信息,passthru()允许执行一个外部程序并回显输出等函数。行为特征指的是webshell可能执行的操作,例如更改数据库数据等操作。通过RASP对操作行为的执行代码及函数进行风险行为特征的匹配运算,当检测到操作行为中包含预定义的风险行为特征时,例如,在操作行为的执行代码中检测到包含了风险集合中的字符串特征“Set Server”,则将该操作行为认定为风险行为。RASP可记录被认定为风险行为的操作行为的行为数据,行为数据可包括执行代码、执行函数、参数、执行时间及代码行号等。
可预先采集大量的webshell文件及正常的网页文件,并对采集的webshell文件及正常的网页文件中的行为数据进行分析,得到webshell文件及正常的网页文件的行为数据之间存在的差别,例如:执行轨迹的差别、参数结构的差别、执行函数的差别等,并根据二者的行为数据存在的差别制定判断操作行为是否为攻击行为的评判规则,从而构建风险评估模型。
步骤S230,通过风险评估模型对行为数据进行分析,得到分析结果。
具体的,RASP可将记录的行为数据发送至风险评估模型,风险评估模型中可制定一系列判断操作行为是否为攻击行为的评判方式,可通过风险评估模型中的评判方式对行为数据进行分析,得到分析结果。在本实施例中,当RASP检测到操作行为中包含预定义的风险行为特征时,可实时将记录的行为数据发送至风险评估模型进行分析,提高响应及阻断攻击行为的速度。在其他的实施例中,也可当RASP检测完网页中所有包含预定义的风险行为特征的操作行为后,再将记录的行为数据统一发送至风险评估模型进行分析。
步骤S240,若根据分析结果判定操作行为为攻击行为,则将网页标记为webshell文件。
具体的,可根据风险评估模型的分析结果判断操作行为是否为攻击行为,若操作行为为攻击行为,则可将网页标记为webshell文件。在对网页的操作行为进行风险行为特征匹配的同时,进一步通过风险评估模型分析行为数据判断操作行为是否为攻击行为,减少误报和漏报的机率,可提高检测webshell的准确性。
上述服务器攻击的检测方法,通过RASP实时监听网页中的操作行为,当检测到操作行为中包含预定义的风险行为特征时,通过风险评估模型对该操作行为的行为数据进行分析,若根据分析结果判定该操作行为为攻击行为,则将该网页标记为webshell文件,通过RASP能够实时监控网页的执行情况,对操作行为的行为数据进行分析,而不仅仅是从网页文件的代码进行检测,能准确判断网页是否为webshell文件,提高了检测webshell文件的准确性,有效保障网站服务器的信息安全。
在一个实施例中,如图3所示,步骤S220当RASP检测到操作行为中包含预定义的风险行为特征时,记录操作行为的行为数据,并将行为数据发送至风险评估模型,包括步骤S302-步骤S304,步骤S230通过风险评估模型对行为数据进行分析,得到分析结果,包括步骤S306-步骤S316:
步骤S302,通过RASP分析操作行为中的执行函数。
具体的,RASP可动态获取操作行为的执行函数,并分析执行函数,判断执行函数是否包含风险集合中预定义的加密特征,加密特征可包括加密函数,例如MD5()、crypt()等函数,也可包括赋值得到的参数结构等,可将不直接采用明文调用的执行函数均认定为包含加密特征。
步骤S304,当检测到执行函数中包含预定义的加密特征时,记录操作行为的行为数据,并将行为数据发送至风险评估模型。
具体的,当RASP检测到操作行为中的执行函数中包含预定义的加密特征,则说明执行函数进行了加密,该操作行为可认定为风险行为,RASP可记录该操作行为的行为数据,并将行为数据发送至风险评估模型进行分析。
步骤S306,通过风险评估模型获取行为数据中的执行函数。
具体的,风险评估模型可获取RASP发送的行为数据中的执行函数及执行函数中的参数。
步骤S308,对执行函数的参数进行字符串匹配或正则匹配运算,判断参数是否进行编码,若是,则执行步骤S310,若否,则执行步骤S316。
具体的,风险评估模型可对执行函数的参数进行字符串匹配或正则匹配运算,通过字符串或正则表达式判断参数是否进行编码,若匹配成功,则说明参数进行编码。
步骤S310,获取执行函数的执行体特征。
具体的,若参数进行了编码,风险评估模型可进一步获取执行函数的执行体特征,执行函数的执行体可包括网页文件及操作账号,执行体特征可包括网页的文件名、网页的所有者及执行函数对应的账号信息等,例如账号、密码等。
步骤S312,根据执行体特征判断执行函数的执行体是否为陌生执行体,若是,则执行步骤S314,若否,则执行步骤S316。
具体的,可根据获取的执行体特征判断执行体是否为陌生执行体,陌生执行体指的是不存在于数据库白名单中的执行体,数据库白名单用于记录可被网站服务器认定为通过的执行体。陌生执行体可包括陌生账号、陌生文件、陌生所有者等,例如,可根据执行函数对应的账号信息在数据库中查询是否有对应的账号数据,若没有,则该账号为陌生账号,也可通过网页的文件名判断该网页是否为陌生文件等。若执行函数的执行体为陌生执行体,则可判定操作行为为攻击行为,若执行函数的执行体不是陌生执行体,则可判定操作行为不是攻击行为。
步骤S314,操作行为为攻击行为。
步骤S316,操作行为不是攻击行为。
在本实施例中,可通过RASP检测到执行函数的加密,并通过风险评估模型确定执行函数的参数编码情况,可精准地检测到加密隐藏的webshell,并进一步通过执行体特征进行分析,减少误报的机率,提高检测webshell的准确性。
在一个实施例中,如图4所示,步骤S230通过风险评估模型对行为数据进行分析,得到分析结果,包括以下步骤:
步骤S402,根据行为数据中的代码行号及执行时间获取操作行为在网页中的上下文内容。
具体的,风险评估模型可根据RASP发送的行为数据中的代码行号及执行时间获取操作行为在网页中的上下文内容,操作行为在网页中的上下文内容指的是本次操作行为的上一次操作行为及下一次操作行为的相关行为数据,包括上一次操作行为及下一次操作行为的执行代码、执行函数、数据、执行时间等。
步骤S404,通过风险评估模型对行为数据及上下文内容进行分析,得到分析结果。
具体的,风险评估模型可对操作行为的行为数据及在网页中的上下文内容统一进行分析,同时对多个操作行为的行为数据进行分析,可更加准确地判断出本次的操作行为是否为攻击行为。
在本实施例中,可根据操作行为的行为数据及在网页中的上下文内容统一进行分析,同时对多个操作行为的行为数据进行分析,可更加准确地判断出本次的操作行为是否为攻击行为,提高了检测webshell文件的准确性。
在一个实施例中,如图5所示,步骤S404通过风险评估模型对行为数据及上下文内容进行分析,得到分析结果,包括以下步骤:
步骤S502,通过风险评估模型提取行为数据及上下文内容中的事件标识。
具体的,事件标识可用于表示操作行为的具体操作内容,例如访问文件目录、访问数据库、执行系统命令等,事件标识可从执行函数中提取,例如,提取执行函数的事件标识为get_files,则风险评估模型根据该事件标识可清晰地确定该操作行为的具体操作内容是遍历目录下的文件。
步骤S504,根据事件标识确定操作行为的执行轨迹。
具体的,风险评估模型从行为数据及操作行为在网页中的上下文内容中提取事件标识,根据事件标识可清晰地得到操作行为的具体操作内容,按照执行时间进行排列,可确定完整的操作行为的执行轨迹,例如,风险评估模型从行为数据及上下文内容中提取的事件标识包括get_files、run及download,分别表示具体的操作内容为遍历目录下的文件、执行系统命令及下载文件,根据各个事件标识对应的执行时间,可确定执行轨迹为遍历目录下的文件-执行系统命令-下载文件。
步骤S506,计算执行轨迹的轨迹比率,若轨迹比率小于预设阈值,则操作行为为攻击行为。
具体的,风险评估模型可计算操作行为的执行轨迹在轨迹数据中所占的轨迹比率,其中,轨迹数据可为建立风险评估模型时,对采集的webshell文件及正常的网页文件的行为数据进行分析获取得到,若轨迹比率小于预设阈值,例如,风险评估模型确定的执行轨迹为操作1-操作2-操作3,该操作行为的执行轨迹在轨迹数据中所占的轨迹比率为1%,小于预设阈值10%,则说明操作行为的执行轨迹与其他的执行轨迹存在很大的不同,判定该操作行为为攻击行为。在其他的实施例中,也可根据轨迹比率确定操作行为的级别,不同的级别对应的不同的轨迹比率范围不同,例如级别1对应的轨迹比率范围为80%-100%,级别2对应的轨迹比率范围为60%-80%,并不限于此。可将计算得到的操作行为的轨迹比率与各个轨迹比率范围进行比较,从而确定对应的级别,并将轨迹比率落入最末一级的操作行为判定为攻击行为,也即,将轨迹比率落入最小的轨迹比率范围的操作行为判定为攻击行为。
在本实施例中,风险评估模型可根据行为数据及操作行为在网页的上下文内容中的事件标识确定执行轨迹,能够根据具体的执行轨迹分析操作行为是否为攻击行为,从而准确检测出webshell文件,提高检测webshell文件的准确性,有效保障网站服务器的信息安全。
在一个实施例中,如图6所示,步骤S404通过风险评估模型对行为数据及上下文内容进行分析,得到分析结果,包括以下步骤:
步骤S602,将行为数据及上下文内容导入风险评估模型中预先建立的监督学习模型。
具体的,监督学习是机器学习中的一种方式,可以从给定的训练数据集中学习或建立一个模型,即为监督学习模型,训练数据集由输入及输出组成,输出一般为预测的一个分类标签。在本实施例中,可将正常的网页文件及检测到的webshell文件中的行为数据作为训练数据集构建监督学习模型,预测的结果可为正常或异常。风险评估模型可将行为数据及操作行为在网页中的上下文内容导入监督学习模型,通过监督学习模型对行为数据及上下文内容进行统计分析,得到预测结果。在其他的实施例中,也可直接将行为数据导入监督学习模型中进行分析,输入的数据主要取决于监督学习模型中所需的数据特征。
步骤S604,根据监督学习模型分析行为数据及上下文内容,得到监督学习模型输出的预测结果,若预测结果为异常,则操作行为为攻击行为。
具体的,若通过监督学习模型对行为数据及上下文内容进行统计分析后,得到的预测结果为异常,则可判定操作行为为攻击行为。
需要说明的是,风险评估模型可采用上述的一种方式对RASP发送的行为数据进行分析,也可同时采用多种方式对行为数据进行分析,可综合多种方式的分析结果判定操作行为是否为攻击行为,从而减少误报及漏报的机率,提高检测webshell的准确性。
在本实施例中,可将数据及上下文内容导入风险评估模型中预先建立的监督学习模型进行统计分析,并根据预测结果确定操作行为是否为攻击行为,利用统计学的方式分析行为数据,从而准确检测出webshell文件,提高了检测webshell文件的准确性,有效保障网站服务器的信息安全。
在一个实施例中,在步骤S240若根据分析结果判定操作行为为攻击行为,则将网页标记为webshell文件之后,还包括:通过RASP将标记为webshell文件的网页移动到隔离区中。
具体的,当操作行为被判定为攻击行为,可将网页标记为webshell文件,RASP可调用相应的API(Application Programming Interface,应用程序编程接口)将标记为webshell文件的网页移动到隔离区中,其中,隔离区可以为服务器中不属于网站目录的其他目录,将标记为webshell文件的网页移动到隔离区中,使该网页无法继续执行。在其他的实施例中,可根据标记为webshell文件的网页生成警报信息,警报信息中可包括该网页的文件名、被判定为攻击行为的操作行为的行为数据等,方便管理员根据警报信息查找出安全漏洞,及时进行修复。
在本实施例中,当操作行为被判定为攻击行为,可将网页标记为webshell文件移动到隔离区中,实时对webshell文件进行隔离,阻断攻击行为,有效保障网站服务器的信息安全。
在一个实施例中,如图7所示,提供了一种服务器攻击的检测装置,包括监听模块710、记录模块720、分析模块730及标记模块740。
监听模块710,用于通过RASP实时监听网页中的操作行为。
在一个实施例中,监听模块710,还用于执行钩子函数调用RASP提供的保护程序,并通过RASP的保护程序实时监听网页中的操作行为。
记录模块720,用于当RASP检测到操作行为中包含预定义的风险行为特征时,记录操作行为的行为数据,并将行为数据发送至风险评估模型。
分析模块730,用于通过风险评估模型对行为数据进行分析,得到分析结果。
标记模块740,用于若根据分析结果判定操作行为为攻击行为,则将网页标记为webshell文件。
上述服务器攻击的检测装置,通过RASP实时监听网页中的操作行为,当检测到操作行为中包含预定义的风险行为特征时,通过风险评估模型对该操作行为的行为数据进行分析,若根据分析结果判定该操作行为为攻击行为,则将该网页标记为webshell文件,通过RASP能够实时监控网页的执行情况,对操作行为的行为数据进行分析,而不仅仅是从网页文件的代码进行检测,能准确判断网页是否为webshell文件,提高了检测webshell文件的准确性,有效保障网站服务器的信息安全。
在一个实施例中,如图8所示,记录模块720包括函数分析单元722及记录单元724。
函数分析单元722,用于通过所述RASP分析操作行为中的执行函数。
记录单元724,用于当检测到执行函数中包含预定义的加密特征时,记录操作行为的行为数据,并将行为数据发送至风险评估模型。
分析模块730包括函数获取单元732、参数运算单元734及判断单元736。
函数获取单元732,用于通过风险评估模型获取行为数据中的执行函数。
参数运算单元734,用于对执行函数的参数进行字符串匹配或正则匹配运算,判断参数是否进行编码。
判断单元736,用于若参数进行编码,则获取执行函数的执行体特征,并根据执行体特征判断执行函数的执行体是否为陌生执行体,若执行体为陌生执行体,则操作行为为攻击行为,所述陌生执行体为不存在于数据库白名单中的执行体。
在本实施例中,可通过RASP检测到执行函数的加密,并通过风险评估模型确定执行函数的参数编码情况,可精准地检测到加密隐藏的webshell,并进一步通过执行体特征进行分析,减少误报的机率,提高检测webshell的准确性。
在一个实施例中,如图9所示,分析模块730包括上下文获取单元910及分析单元920。
上下文获取单元910,用于根据行为数据中的代码行号及执行时间获取操作行为在网页中的上下文内容。
分析单元920,用于通过风险评估模型对行为数据及上下文内容进行分析,得到分析结果。
在本实施例中,可根据操作行为的行为数据及在网页中的上下文内容统一进行分析,同时对多个操作行为的行为数据进行分析,可更加准确地判断出本次的操作行为是否为攻击行为,提高了检测webshell文件的准确性。
在一个实施例中,如图10所示,分析单元920包括提取子单元922、确定子单元924及计算子单元926。
提取子单元922,用于通过风险评估模型提取行为数据及上下文内容中的事件标识。
确定子单元924,用于根据事件标识确定操作行为的执行轨迹。
计算子单元926,用于计算执行轨迹的轨迹比率,若轨迹比率小于预设阈值,则操作行为为攻击行为。
在本实施例中,风险评估模型可根据行为数据及操作行为在网页的上下文内容中的事件标识确定执行轨迹,能够根据具体的执行轨迹分析操作行为是否为攻击行为,从而准确检测出webshell文件,提高检测webshell文件的准确性,有效保障网站服务器的信息安全。
在另一个实施例中,如图11所示,分析单元920包括导入子单元9202及预测子单元9204。
导入子单元9202,用于将行为数据及上下文内容导入风险评估模型中预先建立的监督学习模型。
预测子单元9204,用于根据监督学习模型分析行为数据及上下文内容,得到监督学习模型输出的预测结果,若预测结果为异常,则操作行为为攻击行为。
在本实施例中,可将数据及上下文内容导入风险评估模型中预先建立的监督学习模型进行统计分析,并根据预测结果确定操作行为是否为攻击行为,利用统计学的方式分析行为数据,从而准确检测出webshell文件,提高了检测webshell文件的准确性,有效保障网站服务器的信息安全。
在一个实施例中,上述服务器攻击的检测装置,除了包括监听模块710、记录模块720、分析模块730及标记模块740,还包括移动模块750。
移动模块750,用于通过RASP将标记为webshell文件的网页移动到隔离区中。
在本实施例中,当操作行为被判定为攻击行为,可将网页标记为webshell文件移动到隔离区中,实时对webshell文件进行隔离,阻断攻击行为,有效保障网站服务器的信息安全。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (15)
1.一种服务器攻击的检测方法,包括:
通过实时应用程序自我保护系统RASP实时监听网页中的操作行为;
当所述RASP检测到操作行为中包含预定义的风险行为特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型;
通过所述风险评估模型对所述行为数据进行分析,得到分析结果;
若根据所述分析结果判定所述操作行为为攻击行为,则将所述网页标记为webshell文件。
2.根据权利要求1所述的方法,其特征在于,所述通过实时应用程序自我保护系统RASP实时监听网页中的操作行为,包括:
执行钩子函数调用RASP提供的保护程序,并通过所述RASP的保护程序实时监听网页中的操作行为。
3.根据权利要求1所述的方法,其特征在于,所述当所述RASP检测到操作行为中包含预定义的风险行为特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型,包括:
通过所述RASP分析所述操作行为中的执行函数;
当检测到所述执行函数中包含预定义的加密特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型。
4.根据权利要求3所述的方法,其特征在于,所述通过所述风险评估模型对所述行为数据进行分析,得到分析结果,包括:
通过所述风险评估模型获取所述行为数据中的执行函数;
对所述执行函数的参数进行字符串匹配或正则匹配运算,判断所述参数是否进行编码;
若所述参数进行编码,则获取所述执行函数的执行体特征,并根据所述执行体特征判断所述执行函数的执行体是否为陌生执行体,若所述执行体为陌生执行体,则所述操作行为为攻击行为,所述陌生执行体为不存在于数据库白名单中的执行体。
5.根据权利要求1所述的方法,其特征在于,所述通过所述风险评估模型对所述行为数据进行分析,得到分析结果,包括:
根据所述行为数据中的代码行号及执行时间获取所述操作行为在所述网页中的上下文内容;
通过所述风险评估模型对所述行为数据及所述上下文内容进行分析,得到分析结果。
6.根据权利要求5所述的方法,其特征在于,所述通过所述风险评估模型对所述行为数据及所述上下文内容进行分析,得到分析结果,包括:
通过所述风险评估模型提取所述行为数据及所述上下文内容中的事件标识;
根据所述事件标识确定所述操作行为的执行轨迹;
计算所述执行轨迹的轨迹比率,若所述轨迹比率小于预设阈值,则所述操作行为为攻击行为。
7.根据权利要求5所述的方法,其特征在于,所述通过所述风险评估模型对所述行为数据及所述上下文内容进行分析,得到分析结果,包括:
将所述行为数据及所述上下文内容导入所述风险评估模型中预先建立的监督学习模型;
根据所述监督学习模型分析所述行为数据及所述上下文内容,得到所述监督学习模型输出的预测结果,若所述预测结果为异常,则所述操作行为为攻击行为。
8.根据权利要求1至7任一所述的方法,其特征在于,在所述若根据分析结果判定所述操作行为为攻击行为,则标记所述网页为webshell文件的步骤之后,还包括:
通过RASP将标记为webshell文件的网页移动到隔离区中。
9.一种服务器攻击的检测装置,其特征在于,包括:
监听模块,用于通过RASP实时监听网页中的操作行为;
记录模块,用于当所述RASP检测到操作行为中包含预定义的风险行为特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型;
分析模块,用于通过所述风险评估模型对所述行为数据进行分析,得到分析结果;
标记模块,用于若根据所述分析结果判定所述操作行为为攻击行为,则将所述网页标记为webshell文件。
10.根据权利要求9所述的装置,其特征在于,所述监听模块,还用于执行钩子函数调用RASP提供的保护程序,并通过所述RASP的保护程序实时监听网页中的操作行为。
11.根据权利要求9所述的装置,其特征在于,所述记录模块包括:
函数分析单元,用于通过所述RASP分析所述操作行为中的执行函数;
记录单元,用于当检测到所述执行函数中包含预定义的加密特征时,记录所述操作行为的行为数据,并将所述行为数据发送至风险评估模型;
所述分析模块,包括:
函数获取单元,用于通过所述风险评估模型获取所述行为数据中的执行函数;
参数运算单元,用于对所述执行函数的参数进行字符串匹配或正则匹配运算,判断所述参数是否进行编码;
判断单元,用于若所述参数进行编码,则获取所述执行函数的执行体特征,并根据所述执行体特征判断所述执行函数的执行体是否为陌生执行体,若所述执行体为陌生执行体,则所述操作行为为攻击行为,所述陌生执行体为不存在于数据库白名单中的执行体。
12.根据权利要求9所述的装置,其特征在于,所述分析模块包括:
上下文获取单元,用于根据所述行为数据中的代码行号及执行时间获取所述操作行为在所述网页中的上下文内容;
分析单元,用于通过所述风险评估模型对所述行为数据及所述上下文内容进行分析,得到分析结果。
13.根据权利要求12所述的装置,其特征在于,所述分析单元包括:
提取子单元,用于通过所述风险评估模型提取所述行为数据及所述上下文内容中的事件标识;
确定子单元,用于根据所述事件标识确定所述操作行为的执行轨迹;
计算子单元,用于计算所述执行轨迹的轨迹比率,若所述轨迹比率小于预设阈值,则所述操作行为为攻击行为。
14.根据权利要求12所述的装置,其特征在于,所述分析单元,包括:
导入子单元,用于将所述行为数据及所述上下文内容导入所述风险评估模型中预先建立的监督学习模型;
预测子单元,用于根据所述监督学习模型分析所述行为数据及所述上下文内容,得到所述监督学习模型输出的预测结果,,若所述预测结果为异常,则所述操作行为为攻击行为。
15.根据权利要求9至14任一所述的装置,其特征在于,所述装置还包括:
移动模块,用于通过RASP将标记为webshell文件的网页移动到隔离区中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610879008.9A CN107888554B (zh) | 2016-09-30 | 2016-09-30 | 服务器攻击的检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610879008.9A CN107888554B (zh) | 2016-09-30 | 2016-09-30 | 服务器攻击的检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107888554A true CN107888554A (zh) | 2018-04-06 |
| CN107888554B CN107888554B (zh) | 2020-09-01 |
Family
ID=61770156
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610879008.9A Active CN107888554B (zh) | 2016-09-30 | 2016-09-30 | 服务器攻击的检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107888554B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108959071A (zh) * | 2018-06-14 | 2018-12-07 | 湖南鼎源蓝剑信息科技有限公司 | 一种基于RASP的PHP变形webshell的检测方法及系统 |
| CN109165503A (zh) * | 2018-06-22 | 2019-01-08 | 湖南鼎源蓝剑信息科技有限公司 | 基于rasp区分后台线程权限与ui线程权限的方法 |
| CN109194606A (zh) * | 2018-07-05 | 2019-01-11 | 百度在线网络技术(北京)有限公司 | 攻击检测系统、方法、计算机设备及存储介质 |
| CN109214190A (zh) * | 2018-08-30 | 2019-01-15 | 腾讯科技(深圳)有限公司 | 确定漏洞利用样本文件的方法和设备 |
| CN109240922A (zh) * | 2018-08-30 | 2019-01-18 | 北京大学 | 基于RASP提取webshell软件基因进行webshell检测的方法 |
| CN109492401A (zh) * | 2018-09-30 | 2019-03-19 | 阿里巴巴集团控股有限公司 | 一种内容载体风险检测方法、装置、设备及介质 |
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| CN110851840A (zh) * | 2019-11-13 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 基于网站漏洞的web后门检测方法及装置 |
| CN111931166A (zh) * | 2020-09-24 | 2020-11-13 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和系统 |
| CN113486335A (zh) * | 2021-05-27 | 2021-10-08 | 贵州电网有限责任公司 | 一种基于rasp零规则的jni恶意攻击检测方法及装置 |
| CN113495875A (zh) * | 2021-06-18 | 2021-10-12 | 宇龙计算机通信科技(深圳)有限公司 | 一种文件管理方法、装置、存储介质及电子设备 |
| CN113595975A (zh) * | 2021-06-15 | 2021-11-02 | 中国科学院信息工程研究所 | 一种Java内存Webshell的检测方法及装置 |
| CN114143074A (zh) * | 2021-11-29 | 2022-03-04 | 杭州迪普科技股份有限公司 | webshell攻击识别装置及方法 |
| CN116108438A (zh) * | 2023-04-10 | 2023-05-12 | 中国工商银行股份有限公司 | 攻击检测方法、装置、设备、介质和程序产品 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902472A (zh) * | 2010-07-09 | 2010-12-01 | 北京工业大学 | 可信网络中基于行为推送远程声明的方法 |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及系统 |
| CN104484603A (zh) * | 2014-12-31 | 2015-04-01 | 北京奇虎科技有限公司 | 网站后门的检测方法及装置 |
| CN105069355A (zh) * | 2015-08-26 | 2015-11-18 | 厦门市美亚柏科信息股份有限公司 | webshell变形的静态检测方法和装置 |
| KR20160000358A (ko) * | 2014-06-24 | 2016-01-04 | 에스케이인포섹(주) | 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법 |
| CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | 中国银联股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
-
2016
- 2016-09-30 CN CN201610879008.9A patent/CN107888554B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902472A (zh) * | 2010-07-09 | 2010-12-01 | 北京工业大学 | 可信网络中基于行为推送远程声明的方法 |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及系统 |
| KR20160000358A (ko) * | 2014-06-24 | 2016-01-04 | 에스케이인포섹(주) | 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법 |
| CN104484603A (zh) * | 2014-12-31 | 2015-04-01 | 北京奇虎科技有限公司 | 网站后门的检测方法及装置 |
| CN105069355A (zh) * | 2015-08-26 | 2015-11-18 | 厦门市美亚柏科信息股份有限公司 | webshell变形的静态检测方法和装置 |
| CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | 中国银联股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108959071A (zh) * | 2018-06-14 | 2018-12-07 | 湖南鼎源蓝剑信息科技有限公司 | 一种基于RASP的PHP变形webshell的检测方法及系统 |
| CN108959071B (zh) * | 2018-06-14 | 2021-09-24 | 湖南鼎源蓝剑信息科技有限公司 | 一种基于RASP的PHP变形webshell的检测方法及系统 |
| CN109165503A (zh) * | 2018-06-22 | 2019-01-08 | 湖南鼎源蓝剑信息科技有限公司 | 基于rasp区分后台线程权限与ui线程权限的方法 |
| CN109165503B (zh) * | 2018-06-22 | 2021-09-24 | 湖南鼎源蓝剑信息科技有限公司 | 基于rasp区分后台线程权限与ui线程权限的方法 |
| CN109194606A (zh) * | 2018-07-05 | 2019-01-11 | 百度在线网络技术(北京)有限公司 | 攻击检测系统、方法、计算机设备及存储介质 |
| CN109240922B (zh) * | 2018-08-30 | 2021-07-09 | 北京大学 | 基于RASP提取webshell软件基因进行webshell检测的方法 |
| CN109214190A (zh) * | 2018-08-30 | 2019-01-15 | 腾讯科技(深圳)有限公司 | 确定漏洞利用样本文件的方法和设备 |
| CN109240922A (zh) * | 2018-08-30 | 2019-01-18 | 北京大学 | 基于RASP提取webshell软件基因进行webshell检测的方法 |
| CN109214190B (zh) * | 2018-08-30 | 2022-05-20 | 腾讯科技(深圳)有限公司 | 确定漏洞利用样本文件的方法和设备 |
| CN109492401A (zh) * | 2018-09-30 | 2019-03-19 | 阿里巴巴集团控股有限公司 | 一种内容载体风险检测方法、装置、设备及介质 |
| CN109492401B (zh) * | 2018-09-30 | 2022-04-08 | 创新先进技术有限公司 | 一种内容载体风险检测方法、装置、设备及介质 |
| CN110266669B (zh) * | 2019-06-06 | 2021-08-17 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| CN110851840A (zh) * | 2019-11-13 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 基于网站漏洞的web后门检测方法及装置 |
| CN111931166B (zh) * | 2020-09-24 | 2021-06-22 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和系统 |
| CN111931166A (zh) * | 2020-09-24 | 2020-11-13 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和系统 |
| CN113486335A (zh) * | 2021-05-27 | 2021-10-08 | 贵州电网有限责任公司 | 一种基于rasp零规则的jni恶意攻击检测方法及装置 |
| CN113595975A (zh) * | 2021-06-15 | 2021-11-02 | 中国科学院信息工程研究所 | 一种Java内存Webshell的检测方法及装置 |
| CN113595975B (zh) * | 2021-06-15 | 2022-10-14 | 中国科学院信息工程研究所 | 一种Java内存Webshell的检测方法及装置 |
| CN113495875A (zh) * | 2021-06-18 | 2021-10-12 | 宇龙计算机通信科技(深圳)有限公司 | 一种文件管理方法、装置、存储介质及电子设备 |
| CN114143074A (zh) * | 2021-11-29 | 2022-03-04 | 杭州迪普科技股份有限公司 | webshell攻击识别装置及方法 |
| CN114143074B (zh) * | 2021-11-29 | 2023-09-22 | 杭州迪普科技股份有限公司 | webshell攻击识别装置及方法 |
| CN116108438A (zh) * | 2023-04-10 | 2023-05-12 | 中国工商银行股份有限公司 | 攻击检测方法、装置、设备、介质和程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107888554B (zh) | 2020-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888554A (zh) | 服务器攻击的检测方法和装置 | |
| CN105072089B (zh) | 一种web恶意扫描行为异常检测方法与系统 | |
| CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
| CN108259494A (zh) | 一种网络攻击检测方法及装置 | |
| CN105069355B (zh) | webshell变形的静态检测方法和装置 | |
| CN104077396B (zh) | 一种钓鱼网站检测方法及装置 | |
| KR101027928B1 (ko) | 난독화된 악성 웹페이지 탐지 방법 및 장치 | |
| CN109922052A (zh) | 一种结合多重特征的恶意url检测方法 | |
| CN101751530B (zh) | 检测漏洞攻击行为的方法及设备 | |
| CN108616545A (zh) | 一种网络内部威胁的检测方法、系统及电子设备 | |
| CN110365691B (zh) | 基于深度学习的钓鱼网站判别方法及装置 | |
| CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
| CN111030992B (zh) | 检测方法、服务器及计算机可读存储介质 | |
| CN107341399A (zh) | 评估代码文件安全性的方法及装置 | |
| CN105488400A (zh) | 一种恶意网页综合检测方法及系统 | |
| CN114036059A (zh) | 面向电网系统的自动化渗透测试系统、方法和计算机设备 | |
| CN109711163A (zh) | 基于api调用序列的安卓恶意软件检测方法 | |
| CN107180190A (zh) | 一种基于混合特征的Android恶意软件检测方法及系统 | |
| CN107491691A (zh) | 一种基于机器学习的远程取证工具安全分析系统 | |
| CN110750750A (zh) | 网页生成方法、装置、计算机设备和存储介质 | |
| CN109933977A (zh) | 一种检测webshell数据的方法及装置 | |
| CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
| CN112200196A (zh) | 钓鱼网站检测方法、装置、设备及计算机可读存储介质 | |
| CN110598397A (zh) | 一种基于深度学习的Unix系统用户恶意操作检测方法 | |
| CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |