CN108337269A

CN108337269A - 一种WebShell检测方法

Info

Publication number: CN108337269A
Application number: CN201810267006.3A
Authority: CN
Inventors: 谷勇浩; 范渊; 王永非; 刘博�; 林明峰; 周纪元; 郭振洋; 李凯悦
Original assignee: Beijing University of Posts and Telecommunications; Hangzhou Dbappsecurity Technology Co Ltd
Current assignee: Beijing University of Posts and Telecommunications; DBAPPSecurity Co Ltd; Hangzhou Dbappsecurity Technology Co Ltd
Priority date: 2018-03-28
Filing date: 2018-03-28
Publication date: 2018-07-27
Anticipated expiration: 2038-03-28
Also published as: CN108337269B

Abstract

本发明涉及一种WebShell检测方法，对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度并各取值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。本发明针对攻击通过非动态网页攻击也能有效检测，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测，避免仅通过单一指标检测存在的误报率较高的问题，对未知WebShell也实现有效检测。

Description

一种WebShell检测方法

技术领域

本发明涉及防止未授权行为的保护计算机、其部件、程序或数据的安全装置的技术领域，特别涉及一种通过特征刻画攻击行为以实现从数量众多的日志文件中快速准确找到WebShell的WebShell检测方法。

背景技术

随着网络技术的发展，网络越来越离不开人们的生活，因此不少非法分子将WebShell植入网站服务器，对网站的危害巨大。

WebShell是一种常见的网页后门，它常常被攻击者用来获取Web服务器的操作权限。攻击者在进行网站入侵时，通常会将WebShell文件与Web目录下的正常网页放置在一起，然后通过浏览器访问WebShell文件，从而获取命令执行环境，最终达到控制网站服务器的目的。当网络黑客或者其他不法分子拿到网站的WebShell之后就可以说是拿到了这个网站的权限，可以任意修改网站的内容、进行shell操作，比如下载文件、修改文件、删除文件，甚至是修改网页的内容、查看数据库、在线编辑网络脚本；一旦WebShell被执行，就能为远程攻击者提供操作服务器的任意接口，如文件传输、命令执行、数据库连接等等。WebShell也是渗透测试中由Web权限提升到系统权限的辅助工具。WebShell危害非常大，如果发现Web服务器被植入WebShell，则说明攻击者可以利用漏洞掌控服务器。

现有的WebShell都会在攻击服务器时在Web日志中留下记录，找出WebShell是保证网站信息安全的重点。

目前大多WebShell检测工具是通过特征库匹配方法来实现的，如文献《基于web日志的webshell检测方法研究》提出了从日志入手进行WebShell检测，经过分析可以从文本模式特征、访问频率特征、是否为孤立页面等角度检测WebShell，然而，只从访问频率特征来检测，存在很高的误报率，还需要结合网页文件目录深度、独立访问数等特征综合考虑，每个特征的占比以及每个特征对检测结果的决定都不好确定，同时，该方法在通过Web日志检测WebShell的情况下，还需要依赖特征库，对已知的WebShell有很好的检测效果，在特征库没有更新的情况下，该方法对未知的WebShell检测来说基本是无用的。

专利CN105812196A“一种WebShell检测方法及电子设备”提出了一种从日志访问资源URL出发的WebShell检测方法，通过对URL解析来检测WebShell，然而，目前许多WebShell文件为了躲避杀毒软件的查杀，会进行相应的加密、变形、混淆等处理，该方法只对动态网页URL进行检测，容易被攻击者绕过，比如攻击者将WebShell伪装成图片，则该方法失效，且基于浏览器对URL进行解析还存在不同的浏览器的解析结果可能有所不同的情况，进而对检测结果产生影响，因此现有的WebShell检测技术对于这类文件的检测存在误报率和漏报率均较高的问题。

因此，通过Web日志在不接触WebShell文件的条件下，检测WebShell具有很大的现实意义。

发明内容

为了解决现有技术中存在的问题，本发明提供一种优化的WebShell检测方法，通过定义攻击者通过WebShell访问网站的基本特征，分别定义出两个特征值，根据日志中的访问网站文件记录，计算出每个文件的这两个特征值大小并降序排序，取较大值作为疑似WebShell并给出列表用于排查。

本发明所采用的技术方案是，一种WebShell检测方法，所述方法包括以下步骤：

步骤1：用户访问Web服务器，产生Web日志，通过ftp将Web日志传送到hadoop集群检测服务器，hadoop集群检测服务器中的NameNode结点协调DataNode对Web日志进行分析处理；

步骤2：根据处理结果，将Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度，取入侵访问频次的值最大的N个访问URL，取最大访问连续度的值最大的N个URL；

步骤3：以入侵访问频次的值最大的N个访问URL和最大访问连续度的值最大的N个URL作为疑似WebShell的URL；

步骤4：以疑似WebShell的URL在Web日志中定位，获得疑似攻击IP，以文件形式传到安保服务器，安保服务器根据疑似WebShell和访问IP对应的攻击时间，进行复查，对攻击行为进行取证；

步骤5：输出结果文件。

优选地，所述步骤1中，对Web日志进行分析处理包括对Web日志的原始数据通过提取、分解、过滤、合并，删除无效记录，最终转化成适合进行程序处理的格式。

优选地，所述步骤2中，所述计算入侵访问频次的方法包括以下步骤：

步骤2.1.1：遍历Web日志，统计URL并统计URL对应的IP；

步骤2.1.2：遍历所有的URL，计算入侵访问频次V_url，其中，M_i表示第i个访问此URL的用户的访问次数，N_i是第i个访问此URL的用户在日志中出现的总次数，m表示访问此URL的用户总数。

优选地，所述步骤2.1.2中，根据后缀名和计算结果，将遍历过的URL中WebShell可能性较低的URL记入白名单列表。

优选地，所述步骤2中，所述计算最大访问连续度的方法包括以下步骤：

步骤2.2.1：遍历Web日志，统计以访问用户的IP和被访问的URL为组合的访问记录；

步骤2.2.2：统计在△条连续的访问记录中R_i出现的次数，得到count(R_i)，i＝1,2,3,…,n，n为日志中访问记录的条数，△值表示取第i条访问记录之后的访问记录条数，R_i为访问用户的IP和被访问的URL的组合；将每条访问记录的count(R_i)降序排列，相同的R_i取count(R_i)的高分值去重；

步骤2.2.3：除去访问记录中访问用户的IP，保留被访问的URL，根据URL对应的count(R_i)统计值进行降序排列，相同的URL取count(R_i)的高分值去重；

步骤2.2.4：输出排名最靠前的N个数值对<URL、count(R_i)>作为最大访问连续度。

优选地，所述步骤2.2.2中，对于访问记录中的前n-△条记录，△取前n-△条记录及前n-△条记录之后的记录条数，对于访问记录中最后△条记录，△即取所述最后△条记录。

优选地，所述步骤2.2.4中，将遍历过的日志中WebShell可能性较低的URL记入白名单列表。

优选地，所述步骤4中，复查包括以疑似WebShell和访问IP对应的攻击时间，查看auditd日志中对于网站内网页文件、系统命令的操作情况。

优选地，所述步骤4中，取证包括追踪WebShell的上传、成功利用、shell操作、页面篡改。

优选地，所述步骤5中，结果文件包括WebShell检测结果排序列表和根据两类日志提供攻击取证的文件。

本发明提供了一种优化的WebShell检测方法，通过对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度，取入侵访问频次值最大的N个访问URL和取访问连续度值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。

本发明具有以下有益效果：

(1)本发明依据Web服务器访问日志进行检测，针对攻击通过非动态网页攻击也能有效检测；

(2)本发明是依据的Web日志进行检测，由于Web日志格式相对统一，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测；

(3)本发明根据入侵者在入侵服务器时会长时间多次重复访问某一个或者某几个WebShell文件这一基本特征进行检测，从而避免仅通过单一指标(访问频率)检测存在的误报率较高的问题；

(4)本发明是对WebShell的基本访问特征进行检测的，因此对未知WebShell也实现有效检测。

附图说明

图1为本发明的流程图。

具体实施方式

下面结合实施例对本发明做进一步的详细描述，但本发明的保护范围并不限于此。

本发明涉及一种WebShell检测方法，在实施例中，采用的操作系统为centos7_x64，此操作系统已经安装配置了auditd。本实施例中采用的Web服务器软件为ApacheTomcat，所用的Web日志来自真实网站，为了方便取证，对auditd进行规则配置，使auditd对关键系统文件目录进行监控，在取证阶段，本实施例还使用到其他文件包括auditd日志文件。

本发明中，auditd是Linux系统上的一个审计工具，基本功能是通过配置规则监控文件和目录的操作。

所述方法包括以下步骤。

步骤1：用户访问Web服务器，产生Web日志，通过ftp将Web日志传送到hadoop集群检测服务器，hadoop集群检测服务器中的NameNode结点协调DataNode对Web日志进行分析处理。

所述步骤1中，对Web日志进行分析处理包括对Web日志的原始数据通过提取、分解、过滤、合并，删除无效记录，最终转化成适合进行程序处理的格式。

本发明中，无效记录是指在Web日志中，访问URL的字段不是一个有效的文件路径，如“106.120.243.114--[28/Apr/2016:08:53:51+0800]"GET/SSOService/HTTP/1.1"2000”，此即为无效记录。

本发明中，适合进行程序处理的格式是指转化成便于处理的统一格式，如“IP-访问时间-URL-返回码”，此为本领域技术人员容易理解的内容。

步骤2：根据处理结果，将Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度，取入侵访问频次的值最大的N个访问URL，取最大访问连续度的值最大的N个URL。

所述步骤2中，所述计算入侵访问频次的方法包括以下步骤：

步骤2.1.1：遍历Web日志，统计URL并统计URL对应的IP；

所述步骤2.1.2中，根据后缀名和计算结果，将遍历过的URL中WebShell可能性较低的URL记入白名单列表。

本发明中，入侵访问频次的统计主要指对日志中IP和访问URL组合出现次数的统计，入侵访问频次的统计不是简单的对访问次数的统计，而是结合用户访问的网页广度和网页本身被访问热度进行度量。一般来说，入侵者对整个网站的网页访问广度比较小(即入侵者不关心WebShell以外的网页)，WebShell文件被访问的热度也比较小(即除了入侵者以外的大多数用户很少访问WebShell文件)。

本发明中，一般情况下，由于入侵者访问的URL个数相对较少，故M_i/N_i的值相对较大，同时m的取值一般较小，所以对于WebShell来说其访问频次V_url较大，也就是说V_url的值越大，此URL是WebShell的可能性就越大。

本发明中，为了降低每次运算的成本，可以进行白名单处理，根据后缀名和计算结果，将WebShell可能性较低的文件类型去掉，如“.txt”、“.zip”等文件类型。

所述步骤2中，所述计算最大访问连续度的方法包括以下步骤：

所述步骤2.2.2中，对于访问记录中的前n-△条记录，△取前n-△条记录及前n-△条记录之后的记录条数，对于访问记录中最后△条记录，△即取所述最后△条记录。

所述步骤2.2.4中，将遍历过的日志中WebShell可能性较低的URL记入白名单列表。

本发明中，通过对入侵Web日志文件分析和WebShell入侵机制的分析，发现入侵者在入侵和数据传送等过程中会出现对某个或者某几个特定脚本文件连续访问的情况，即在一定时间段内入侵者对WebShell的连续访问程度明显高于某个正常用户对某个正常网页的访问。

本发明中，亦由于用户访问网站的并发性和服务器日志记录的时序性，导致入侵者连续访问记录中间会插入正常访问的记录，因此日志记录的连续访问不是严格的连续。

本发明中，访问连续度是指访问者IP在很短的一段时间内连续访问同一网页程度的度量，在计算访问连续度时，把日志一条记录中的访问IP和访问URL的组合作为次数计算单位。

本发明中，以V_TOP-N表示待测URL的最大连续访问度排名TOP-N的结果列表，V_TOP-N＝max_TOP-N(R_i)，max_TOP-N函数的计算流程如步骤2.2.2-步骤2.2.4。

本发明中，△的取值大小直接影响访问连续度中的连续精度，如果取值过小会导致本来连续的访问被分割开，如果取值过大会导致误判，将本不连续访问合并按连续计算，因此，△的取值要结合日志文件的大小和时间长短进行综合取值，例如，可以取每2秒产生的日志记录，也可以取日志总量的1％等。

步骤3：以入侵访问频次的值最大的N个访问URL和最大访问连续度的值最大的N个URL作为疑似WebShell的URL。

本发明中，N值与日志总量大小、攻击检测效率、漏报率、误报率等多种因素有关，和某些因素成正比、与另外一些因素成反比。例如，在日志量较大时，N的取值自然较大，否则容易漏报；当N值较大时，漏报会少、误报会大，N值较小时，误报会小、漏报会大。本发明的意义在于不用再从海量日志中找疑似WebShell，只需要在疑似WebShell的URL中查找，减少工作量。

本发明中，当N取值较大时，误报率较高，当N取值较小时，漏报率较高，因此需要根据实际检测日志总量大小、检测攻击效率、漏报率范围等综合决定N值，故N值并不存在取值范围，N为正数。

步骤4：以疑似WebShell的URL在Web日志中定位，获得疑似攻击IP，以文件形式传到安保服务器，安保服务器根据疑似WebShell和访问IP对应的攻击时间，进行复查，对攻击行为进行取证。

所述步骤4中，复查包括以疑似WebShell和访问IP对应的攻击时间，查看auditd日志中对于网站内网页文件、系统命令的操作情况。

所述步骤4中，取证包括追踪WebShell的上传、成功利用、shell操作、页面篡改。

本发明中，系统命令包括linux常见的命令，如ls、cd、ps等。

步骤5：输出结果文件。

所述步骤5中，结果文件包括WebShell检测结果排序列表和根据两类日志提供攻击取证的文件。

本发明通过对用户访问Web服务器产生的Web日志预处理后，以Web日志中的IP字段作为访问用户的唯一标识符计算入侵访问频次和最大访问连续度，取入侵访问频次值最大的N个访问URL和取访问连续度值最大的N个URL作为疑似WebShell的URL，在Web日志中定位以获得疑似攻击IP，以文件形式传到安保服务器，由安保服务器根据疑似WebShell和访问IP对应的攻击时间进行复查，对攻击行为进行取证及输出。本发明依据Web服务器访问日志进行检测，针对攻击通过非动态网页攻击也能有效检测；本发明是依据的Web日志进行检测，由于Web日志格式相对统一，不存在解析结果差异问题，可以实现对多种浏览器攻击行为的检测；本发明根据入侵者在入侵服务器时会长时间多次重复访问某一个或者某几个WebShell文件这一基本特征进行检测，从而避免仅通过单一指标(访问频率)检测存在的误报率较高的问题；本发明是对WebShell的基本访问特征进行检测的，因此对未知WebShell也实现有效检测。

Claims

1.一种WebShell检测方法，其特征在于：所述方法包括以下步骤：

步骤5：输出结果文件。

2.根据权利要求1所述的一种WebShell检测方法，其特征在于：

3.根据权利要求1所述的一种WebShell检测方法，其特征在于：

所述步骤2中，所述计算入侵访问频次的方法包括以下步骤：

步骤2.1.1：遍历Web日志，统计URL并统计URL对应的IP；

4.根据权利要求3所述的一种WebShell检测方法，其特征在于：

5.根据权利要求1所述的一种WebShell检测方法，其特征在于：

6.根据权利要求5所述的一种WebShell检测方法，其特征在于：

7.根据权利要求5所述的一种WebShell检测方法，其特征在于：

8.根据权利要求1所述的一种WebShell检测方法，其特征在于：

9.根据权利要求1所述的一种WebShell检测方法，其特征在于：

10.根据权利要求1所述的一种WebShell检测方法，其特征在于：