CN108959071A - 一种基于RASP的PHP变形webshell的检测方法及系统 - Google Patents
一种基于RASP的PHP变形webshell的检测方法及系统 Download PDFInfo
- Publication number
- CN108959071A CN108959071A CN201810612344.6A CN201810612344A CN108959071A CN 108959071 A CN108959071 A CN 108959071A CN 201810612344 A CN201810612344 A CN 201810612344A CN 108959071 A CN108959071 A CN 108959071A
- Authority
- CN
- China
- Prior art keywords
- webshell
- detection
- module
- parameter
- rasp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 75
- 239000000523 sample Substances 0.000 claims abstract description 34
- 238000004458 analytical method Methods 0.000 claims abstract description 17
- 238000012544 monitoring process Methods 0.000 claims abstract description 13
- 230000015572 biosynthetic process Effects 0.000 claims abstract description 3
- 230000006870 function Effects 0.000 claims description 24
- 238000000034 method Methods 0.000 claims description 21
- 230000000877 morphologic effect Effects 0.000 claims description 7
- 241001269238 Data Species 0.000 claims description 3
- 238000012986 modification Methods 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 239000012141 concentrate Substances 0.000 claims description 2
- 238000010009 beating Methods 0.000 claims 1
- 230000035945 sensitivity Effects 0.000 claims 1
- 238000004364 calculation method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 238000012966 insertion method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3612—Software analysis for verifying properties of programs by runtime analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3608—Software analysis for verifying properties of programs using formal methods, e.g. model checking, abstract interpretation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
- G06F11/366—Software debugging using diagnostics
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公布了一种基于RASP的PHP变形webshell的检测方法及系统,针对检测系统,通过部署RASP探针,检测出编程语言是PHP的变形webshell;包括:初步检测模块、上下文获取模块、已标记参数监测模块、判断模块、后期分析模块和事后溯源模块;利用本发明提供的技术方案,变形webshell会被初步检测模块和RASP阻断,大大减少webshell检测的漏报率和误报率;而且利用RASP进行跟踪和监控,可更好地理解漏洞成因,从而为漏洞打上补丁;通过合理部署探针,还可进行挖掘0day漏洞,防患于未然。此外,本发明性能损失非常小,可被广泛应用。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种基于RASP的PHP变形webshell检测方法及系统。
背景技术
近年来,webshell安全事件频频发生,对生产、生活活动造成了巨大的损失。目前webshell的检测方法主要分为两大类:静态检测和动态检测。由于webshell变形,静态检测的漏报率不断加大;相比较于静态检测,虽然动态检测效果较好,但是仍有很高的漏报率和误报率,另外动态检测造成的性能损失也比较大。
RASP(Runtime Application self-protection)是运行时应用自我保护。RSAP将自身注入到应用程序中,与应用程序融为一体,实时监测,而且获取到的payload已经是解码过的真实payload,结合上下文阻断攻击。这相比较于严重依赖特征的WAF,RASP可以大幅度减少误报率和漏报率,并且部署RASP时,应用程序无需在编码时进行任何的修改,只需进行简单的配置即可。
发明内容
本发明的目的是:提供一种基于RASP的PHP(Hypertext Preprocessor,超文本预处理器)变形webshell的检测方法及系统,通过部署RASP和初步检测模块,来减少webshell的误报率和漏报率。
RASP技术是通过在所检测的程序中部署探针,在程序运行过程中可以通过探针,进行基于上下文检测。本发明通过部署探针,可以检测到经过解码、真实的webshell,极大避免了由于webshell变形导致的漏报。
本发明提供的技术方案如下:
一种基于RASP的PHP变形webshell的检测方法,针对检测系统(如web服务器),通过部署探针,检测出编程语言是PHP的变形webshell;包括如下步骤:
1)获取web服务器的全部目录中的代码文件,通过初步检测,对每个代码文件进行处理,得出初步检测数值,其中数值较大(例如,大于1.40)的代码文件,在之后的过程中予以重点关注。
其中,所述初步检测具体执行如下操作:
统计每个代码文件(即一段代码)中相邻两个空格之间的其他字符的数目,形成代表所检测的代码文件的空格分布情况的一组数据;再将该组数据与正常空格分布范围(本发明取(3,8))进行比较,计算偏离程度。
例如,对代码段:If(a>0)else b=c;通过统计空格间字符数来表示空格分布情况。
具体实施时,计算偏离程度的方法是经改进的标准差,将标准差原公式的平均数替换为上述的正常范围(3,8),从而得出上述一组数据与该范围的空格符标准差σ,表示如式1:
其中,正常空格分布范围μ=(3,8);xi-(3,8)的计算方法是:取xi与该范围的最小距离;xi表示计算标准差时要输入的数字,比如,要计算{1,2,3}的标准差,那么xi就是该集合中的每个元素,i从1开始,x1=1,x2=2,x3=3;N为该组数据的个数;
对于换行符的计算方法同上,不同的是该过程中正常换行符分布范围的取值为μ=(15,30),通过式1计算得出换行符标准差σ。’
2)确定所检测系统的参数输入点,插入标记探针,通过标记探针标记参数。
确定所检测系统与外部的连接点和连接点处的危险函数,在其危险函数处插入标记探针。
探针其实本质上是一段代码,插入探针有多种方法,对不同函数插入探针的方法也不同,要依据具体情况具体对待,而且不同编程语言的插入方法不同,例如,php语言中的一种方法是:在模块初始化阶段,通过zend_set_user_opcode_handler把原来的处理函数替换成检测探针即可,检测探针根据需要用于进行检测。
具体实施时,连接点包括:所检测系统与数据库的连接点、所检测系统与文件系统的连接点、所检测系统与其他系统的跳转点。危险函数包括:涉及数据库操作的函数、涉及文件操作的函数、涉及管理员执行命令的函数。
3)获取被插入检测探针的待检测代码的上下文。
因为探针和被检测的代码融为一体,探针所拥有的和被检测的代码所拥有的上下文(指当时程序的所有状态如:程序运行环境)相同。
具体实施时,通过上下文获取模块获取上下文,包括:请求的路径、请求的方法、请求的参数、web根目录、请求头、请求体、客户端地址、服务器信息、探针记录的信息。
4)记录步骤2)被标记参数的运行轨迹和行为,监测被标记参数,获得参数的运行轨迹,作为最终记录结果;
参数指由被检测系统的外部输入的参数,例如:
<?php
echo$_GET["name"];
?>
name就是要标记的参数;上述name参数所经过的函数就是其运行轨迹,为最终记录结果。
具体实施时,通过已标记参数监测模块监测被标记参数,将最终记录结果提交给上下文获取模块。
5)当监测探针检测到被标记的参数时,结合获取得到的上下文进行分析,识别是否是webshell;
具体实施时,通过判断模块进行识别。根据被标记参数的运行轨迹和行为,如果当前被检测代码涉及访问敏感文件、下载敏感文件、大量请求数据、操作数据库时,即识别为webshell。如果不涉及上述操作,则根据步骤4)监测被标记参数的监测结果(运行轨迹和行为),检查该系统的应用逻辑是否被用户输入所修改,从而判断是否是webshell以及决定是否阻断这个请求。
所述的敏感文件包括:配置信息、网页缓存及密码、SAM文件、项目代码等等。
攻击代码一旦被注入,必然修改了代码的语法树的结构。而追根到底,语法树改变的原因是词法分析结果的改变,因此,只需要对代码部分做词法分析,有下列两种情况之一则为:webshell。
1、判断HTTP请求中的输入(即被标记的参数)是否在词法分析的结果中占据了多个token;
2、经过词法分析后,如果正常程序和被检测程序两者不同,该种情况就是应用逻辑被用户输入修改了,由此识别“应用逻辑是否被用户输入所修改”;
6)根据上下文和调用堆栈,复现漏洞,找出漏洞形成原因,为该漏洞打上补丁。
具体实施时,通过后期分析模块进行分析。后期分析模块根据上下文获取模块中的上下文,调取被标记参数的运行轨迹,根据被标记参数和被标记参数所在函数详细的调用堆栈,可以更好地复现漏洞、理解漏洞形成原因,为该漏洞打上补丁。
本发明方法采用RASP技术,特别是探针的部署与应用,及标记参数方法,可作为漏洞挖掘和打补丁技术的辅助手段。例如:挖掘漏洞人员通过根据需要部署探针,可以获取被标记部分的运行轨迹和行为、调用栈等等信息,从而帮助其挖掘漏洞,有助于复现漏洞,找出漏洞形成,进一步为该漏洞打上补丁。
7)事后溯源:当该web系统被攻击后,根据上下文进行分析,其中访问次数较少,但是执行的敏感操作短时间较为集中(例如,一个小时超过5次)的客户端地址则为本次攻击事件的攻击源。
所述的敏感操作包括:访问或下载敏感文件、数据库操作等等。
事后溯源可作为本发明方案的一种扩展使用,可作为追踪攻击源的一种方法。
本发明还提供一种基于RASP的PHP变形webshell的检测系统,包括:初步检测模块、上下文获取模块、已标记参数监测模块、判断模块、后期分析模块和事后溯源模块;
其中,初步检测模块用于对每个代码文件进行处理,得出初步检测数值,包括:空格符标准差、换行符标准差;
上下文获取模块用于获取上下文;
已标记参数监测模块用于记录被标记参数的运行轨迹和行为,监测被标记参数;
判断模块用于结合获取得到的上下文进行分析,识别是否是webshell;;
后期分析模块用于根据上下文和调用堆栈,复现漏洞,理解漏洞形成原因,为该漏洞打上补丁;
事后溯源模块用于追踪本次攻击的攻击源。
与现有技术相比,本发明的有益效果:
本发明提供一种基于RASP的PHP变形webshell的检测方法,针对检测系统(如web服务器),通过部署探针,检测出编程语言是PHP的变形webshell。利用本发明提供的技术方案,变形webshell会被初步检测模块和RASP阻断,因为只有成功的攻击才会触发RASP报警,这大大减少webshell检测的漏报率和误报率;而且利用RASP还可以跟踪和监控,这样可以帮助技术人员更好地理解漏洞成因,从而为漏洞打上补丁。另外通过合理部署探针,还可以进行挖掘0day漏洞,防患于未然。
此外,RASP给系统带来的性能损失也非常小,几乎可以忽略不计,故本方案可以被广泛应用。
附图说明
图1是本发明提供方法的流程框图。
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
本发明提供一种基于RASP的PHP变形webshell的检测方法,针对检测系统(如web服务器),通过部署探针,检测出编程语言是PHP的变形webshell,可减少webshell的误报率和漏报率。
图1所示是本发明提供方法的流程;本发明的具体实施方式如下:
1、获取web服务器的全部目录中的代码文件,由“初步计算模块”对每个代码文件进行处理,之后得出数值,其中数值较大的代码文件,在之后的过程中予以重点关注。
所述的“初步计算模块”的具体计算细节是:
1)统计相邻两个空格之间字符的数目,从而形成代表空格分布情况的一组数据,之后将该组数据与正常空格分布范围(3,8)进行比较,计算其偏离程度。
本方案采取的计算偏离程度的方法是经改进的标准差,将标准差原公式的平均数替换为上述的正常范围(3,8),从而得出上述一组数据与该范围的空格符标准差σ。公式如下:
其中μ=(3,8);xi-(3,8)的计算方法是:取xi与该范围的最小距离;N为该组数据的个数。
本发明方案的所检测的其中代码文件的空格符序列是(6,8,24,12,9,5,6,4),其空格符标准差σ=6.28。
2)之后对于换行符的计算方法同上,不过该过程中μ=(15,30),得出换行符标准差σ。’
本发明方案的所检测的其中代码文件的换行符序列是(8,33,19),其换行符标准差σ=4.96。
2、确定所检测系统的参数输入点,插入标记探针,对输入的所有参数进行标记。
确定所检测系统与外部的连接点和连接点处的危险函数,在其危险函数处插入监测探针。所述的连接点有:与数据库的连接点、与文件系统连接点、与其他系统的跳转点。所述的危险函数有:涉及数据库操作的函数、涉及文件操作的函数、涉及管理员执行命令的函数。
本发明方案参数输入点例如:eval函数的参数、所有来自GET,GET,_POST,$_COOKIE的变量等等。
3、上下文获取模块获取上下文,获取的上下文包括:请求的路径、请求的方法、请求的参数、web根目录、请求头、请求体、客户端地址、服务器信息、探针记录的信息。
4、已标记参数监测模块:负责记录被标记参数的运行轨迹和行为,监测被标记参数,将最终记录结果提交给上下文获取模块。
5、判断模块:当监测探针检测到被标记的参数时,结合上下文获取模块中的上下文进行分析,如果涉及访问敏感文件、下载敏感文件、大量请求数据、操作数据库时,而且空格符标准差σ或换行符标准差σ比较大时,即为webshell。
如果不涉及上述操作,则根据已标记参数监测模块的监测结果,检查该系统的应用逻辑是否被用户输入所修改,再结合空格符标准差σ或换行符标准差σ的大小,从而判断是否是webshell以及决定是否阻断这个请求。若该系统的应用逻辑被用户输入所修改,而且空格符标准差或换行符标准差的大小都超过了技术方案所给的范围,则是webshell,阻断这个请求。
所述敏感文件包括web服务器相关信息、管理员操作记录。
6、后期分析模块:根据上下文获取模块中的上下文,调取可以更好地复现漏洞、理解漏洞形成原因,为该漏洞打上补丁。
目前漏洞分析采用多种方法,其中,可通过堆的详细信息复现堆溢出漏洞。因此,利用采用本发明方法得到的被标记参数的运行轨迹及详细的调用堆栈,有助于进行漏洞分析。
7、事后溯源模块:当该web系统被攻击后,根据上下文获取模块中的客户端地址以及该地址所提交参数的运行轨迹进行分析,其中访问次数较少(如相隔2天及以上都未访问过),但是执行的敏感操作较为集中的客户端地址则为本次攻击事件的攻击源。
所述的敏感操作包括:访问或下载敏感文件、数据库操作等等。
需要注意的是,公布实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解:在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (9)
1.一种基于RASP的PHP变形webshell的检测方法,针对检测系统,通过部署探针,检测出编程语言是PHP的变形webshell;包括如下步骤:
1)检测系统为web服务器,获取web服务器全部目录中的代码文件,每个代码文件为一段代码,通过初步检测得出初步检测数值;
所述初步检测具体执行如下操作:
对于空格符,统计每个代码文件中相邻两个空格之间的其他字符的数目,形成代表所检测的代码文件的空格分布情况的一组数据;再将该组数据与正常空格分布范围进行比较,计算得到标准差,作为空格符偏离程度;
对于换行符,采用上述方法计算得到标准差,作为换行符偏离程度;
2)确定检测系统的参数输入点,参数输入点为所检测系统与外部的连接点和连接点处的危险函数,在危险函数处插入标记探针,通过标记探针标记参数;
3)将检测探针插入待检测代码,获取被插入检测探针的待检测代码的上下文;上下文信息包括:请求的路径、请求的方法、请求的参数、web根目录、请求头、请求体、客户端地址、服务器信息、探针记录的信息;
4)记录步骤2)被标记参数的运行轨迹和行为,监测被标记参数,获得参数的运行轨迹,作为最终记录结果;
5)当检测探针检测到被标记的参数时,结合获取到的上下文进行分析,识别是否是webshell;具体地,根据被标记参数的运行轨迹和行为,如果当前被检测代码涉及访问敏感文件、下载敏感文件、大量请求数据、操作数据库时,即识别为webshell;如果当前被检测代码不涉及上述操作,则根据被标记参数的运行轨迹和行为,检查检测系统的应用逻辑是否被用户输入所修改,从而判断是否是webshell;由此识别检测系统是否被攻击。
2.如权利要求1所述基于RASP的PHP变形webshell的检测方法,其特征是,根据被标记参数的运行轨迹,得到被标记参数和被标记参数所在函数详细的调用堆栈,用于分析与复现漏洞。
3.如权利要求1所述基于RASP的PHP变形webshell的检测方法,其特征是,若检测是webshell,则识别出检测系统被攻击;当检测系统被攻击后,根据上下文进行分析,其中访问次数较少而执行的敏感操作短时间较为集中的客户端地址则为本次攻击事件的攻击源;较为集中,优选为一个小时超过5次;敏感操作包括:访问或下载敏感文件、数据库操作。
4.如权利要求1所述基于RASP的PHP变形webshell的检测方法,其特征是,步骤1) 初步检测具体通过式1计算改进的标准差得到偏离程度;
其中,μ为正常空格分布范围或正常换行符分布范围;xi表示每个代码文件中相邻两个空格或换行符之间的其他字符的数目,是计算标准差时要输入的数据;N为数据的个数;
5.如权利要求4所述基于RASP的PHP变形webshell的检测方法,其特征是,优选地,正常空格分布范围为(3,8);正常换行符分布范围的取值为μ=(15,30)。
6.如权利要求1所述基于RASP的PHP变形webshell的检测方法,其特征是,步骤2)参数输入点为所检测系统与外部的连接点和连接点处的危险函数;所述连接点包括:检测系统与数据库的连接点、检测系统与文件系统的连接点、检测系统与其他系统的跳转点;所述危险函数包括:涉及数据库操作的函数、涉及文件操作的函数、涉及管理员执行命令的函数。
7.如权利要求1所述基于RASP的PHP变形webshell的检测方法,其特征是,步骤5)中,敏感文件包括:配置信息、网页缓存及密码、SAM文件、项目代码。
8.如权利要求1所述基于RASP的PHP变形webshell的检测方法,其特征是,步骤5)中,对代码部分做词法分析,有下列两种情况之一则为webshell:
A.判断HTTP请求中的输入即被标记的参数是否在词法分析的结果中占据了多个token;
B.经过词法分析后,如果正常程序和被检测程序两者不同,则识别为应用逻辑被用户输入修改。
9.一种基于RASP的PHP变形webshell的检测系统,其特征是,包括:初步检测模块、上下文获取模块、已标记参数监测模块、判断模块、后期分析模块和事后溯源模块;
其中,初步检测模块用于对每个代码文件进行处理,得出初步检测数值,包括:空格符标准差、换行符标准差;
上下文获取模块用于获取上下文;
已标记参数监测模块用于记录被标记参数的运行轨迹和行为,监测被标记参数;
判断模块用于结合获取得到的上下文进行分析,识别是否是webshell;;
后期分析模块用于根据上下文和调用堆栈,复现漏洞,理解漏洞形成原因,为该漏洞打上补丁;
事后溯源模块用于追踪本次攻击的攻击源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810612344.6A CN108959071B (zh) | 2018-06-14 | 2018-06-14 | 一种基于RASP的PHP变形webshell的检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810612344.6A CN108959071B (zh) | 2018-06-14 | 2018-06-14 | 一种基于RASP的PHP变形webshell的检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108959071A true CN108959071A (zh) | 2018-12-07 |
CN108959071B CN108959071B (zh) | 2021-09-24 |
Family
ID=64488624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810612344.6A Expired - Fee Related CN108959071B (zh) | 2018-06-14 | 2018-06-14 | 一种基于RASP的PHP变形webshell的检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108959071B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
CN110633567A (zh) * | 2019-05-31 | 2019-12-31 | 天津理工大学 | 一种基于rasp的智能合约虚拟机漏洞检测系统及方法 |
CN111800405A (zh) * | 2020-06-29 | 2020-10-20 | 深信服科技股份有限公司 | 检测方法及检测设备、存储介质 |
CN114386045A (zh) * | 2021-12-24 | 2022-04-22 | 深圳开源互联网安全技术有限公司 | 一种Web应用程序漏洞检测方法、装置及存储介质 |
CN115174197A (zh) * | 2022-07-01 | 2022-10-11 | 阿里云计算有限公司 | webshell文件的检测方法、系统、电子设备及计算机存储介质 |
CN115935341A (zh) * | 2022-11-10 | 2023-04-07 | 杭州孝道科技有限公司 | 一种漏洞防御方法、系统、服务器及存储介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571796A (zh) * | 2012-01-13 | 2012-07-11 | 电子科技大学 | 一种移动互联网中僵尸木马防护方法及其系统 |
CN104715195A (zh) * | 2015-03-12 | 2015-06-17 | 广东电网有限责任公司信息中心 | 基于动态插桩的恶意代码检测系统及方法 |
CN104834859A (zh) * | 2015-04-24 | 2015-08-12 | 南京邮电大学 | 一种Android应用中恶意行为的动态检测方法 |
CN106650452A (zh) * | 2016-12-30 | 2017-05-10 | 北京工业大学 | 一种Android系统内置应用漏洞挖掘方法 |
CN106909847A (zh) * | 2017-02-17 | 2017-06-30 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及系统 |
CN106933956A (zh) * | 2017-01-22 | 2017-07-07 | 深圳市华成峰科技有限公司 | 数据挖掘方法和装置 |
US20170242999A1 (en) * | 2014-09-02 | 2017-08-24 | Gemalto Sa | System and method for protecting a device against attacks on processing flow using a code pointer complement |
CN107103237A (zh) * | 2016-02-23 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 一种恶意文件的检测方法及装置 |
CN107341399A (zh) * | 2016-04-29 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 评估代码文件安全性的方法及装置 |
CN107888554A (zh) * | 2016-09-30 | 2018-04-06 | 腾讯科技(深圳)有限公司 | 服务器攻击的检测方法和装置 |
US9973531B1 (en) * | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
-
2018
- 2018-06-14 CN CN201810612344.6A patent/CN108959071B/zh not_active Expired - Fee Related
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571796A (zh) * | 2012-01-13 | 2012-07-11 | 电子科技大学 | 一种移动互联网中僵尸木马防护方法及其系统 |
US9973531B1 (en) * | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US20170242999A1 (en) * | 2014-09-02 | 2017-08-24 | Gemalto Sa | System and method for protecting a device against attacks on processing flow using a code pointer complement |
CN104715195A (zh) * | 2015-03-12 | 2015-06-17 | 广东电网有限责任公司信息中心 | 基于动态插桩的恶意代码检测系统及方法 |
CN104834859A (zh) * | 2015-04-24 | 2015-08-12 | 南京邮电大学 | 一种Android应用中恶意行为的动态检测方法 |
CN107103237A (zh) * | 2016-02-23 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 一种恶意文件的检测方法及装置 |
CN107341399A (zh) * | 2016-04-29 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 评估代码文件安全性的方法及装置 |
CN107888554A (zh) * | 2016-09-30 | 2018-04-06 | 腾讯科技(深圳)有限公司 | 服务器攻击的检测方法和装置 |
CN106650452A (zh) * | 2016-12-30 | 2017-05-10 | 北京工业大学 | 一种Android系统内置应用漏洞挖掘方法 |
CN106933956A (zh) * | 2017-01-22 | 2017-07-07 | 深圳市华成峰科技有限公司 | 数据挖掘方法和装置 |
CN106909847A (zh) * | 2017-02-17 | 2017-06-30 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及系统 |
Non-Patent Citations (5)
Title |
---|
PETER M. WRENCH AND BARRY V. W. IRWIN: "Towards a PHP Webshell Taxonomy using", 《IEEE》 * |
TRUONG DINH TU等: "Webshell Detection Techniques in Web Applications", 《IEEE》 * |
WEIXIN_34178244: "浅谈从PHP内核层面防范PHP WebShell", 《HTTPS://BLOG.CSDN.NET/WEIXIN_34178244/ARTICLE/DETAILS/91617501》 * |
张增波; 栗天池; 白云飞: "基于行为的政府网站未知Webshel检测方法研究", 《警察技术》 * |
杜海章; 方勇: "PHP webshell实时动态检测", 《网络安全技术与应用》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110633567A (zh) * | 2019-05-31 | 2019-12-31 | 天津理工大学 | 一种基于rasp的智能合约虚拟机漏洞检测系统及方法 |
CN110633567B (zh) * | 2019-05-31 | 2023-01-13 | 天津理工大学 | 一种基于rasp的智能合约虚拟机漏洞检测系统及方法 |
CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
CN110266669B (zh) * | 2019-06-06 | 2021-08-17 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
CN111800405A (zh) * | 2020-06-29 | 2020-10-20 | 深信服科技股份有限公司 | 检测方法及检测设备、存储介质 |
CN114386045A (zh) * | 2021-12-24 | 2022-04-22 | 深圳开源互联网安全技术有限公司 | 一种Web应用程序漏洞检测方法、装置及存储介质 |
CN115174197A (zh) * | 2022-07-01 | 2022-10-11 | 阿里云计算有限公司 | webshell文件的检测方法、系统、电子设备及计算机存储介质 |
CN115174197B (zh) * | 2022-07-01 | 2024-03-29 | 阿里云计算有限公司 | webshell文件的检测方法、系统、电子设备及计算机存储介质 |
CN115935341A (zh) * | 2022-11-10 | 2023-04-07 | 杭州孝道科技有限公司 | 一种漏洞防御方法、系统、服务器及存储介质 |
CN115935341B (zh) * | 2022-11-10 | 2023-09-19 | 杭州孝道科技有限公司 | 一种漏洞防御方法、系统、服务器及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108959071B (zh) | 2021-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108959071A (zh) | 一种基于RASP的PHP变形webshell的检测方法及系统 | |
CN106055980B (zh) | 一种基于规则的JavaScript安全性检测方法 | |
Shar et al. | Mining SQL injection and cross site scripting vulnerabilities using hybrid program analysis | |
CN104767757B (zh) | 基于web业务的多维度安全监测方法和系统 | |
CN110266669A (zh) | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 | |
CN104156665B (zh) | 一种网页篡改监测的方法 | |
CN106650452A (zh) | 一种Android系统内置应用漏洞挖掘方法 | |
CN107360152A (zh) | 一种基于语义分析的Web威胁感知系统 | |
CN101751530B (zh) | 检测漏洞攻击行为的方法及设备 | |
CN103793284A (zh) | 基于共同序列模式的、用于智能客户服务的分析系统和方法 | |
Gauthier et al. | AFFOGATO: runtime detection of injection attacks for node. js | |
CN105141647A (zh) | 一种检测Web应用的方法和系统 | |
CN107016298B (zh) | 一种网页篡改监测方法及装置 | |
CN106294162B (zh) | 一种基于数据挖掘的第三方构件安全性测试方法 | |
CN107004086A (zh) | 安全信息和事件管理 | |
Singh et al. | Sql injection detection and correction using machine learning techniques | |
CN110278207A (zh) | 一种点击劫持漏洞检测方法、装置及计算机设备 | |
CN112380533A (zh) | 一种计算机终端安全基线核查方法 | |
CN112988509A (zh) | 一种告警消息过滤方法、装置、电子设备及存储介质 | |
CN113595975A (zh) | 一种Java内存Webshell的检测方法及装置 | |
CN107302530A (zh) | 一种基于白名单的工控系统攻击检测装置及其检测方法 | |
CN114205216A (zh) | 微服务故障的根因定位方法、装置、电子设备和介质 | |
CN114826639B (zh) | 基于函数调用链跟踪的应用攻击检测方法及装置 | |
US9442818B1 (en) | System and method for dynamic data collection | |
Mitropoulos et al. | Dismal code: Studying the evolution of security bugs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210924 |