CN108959071B

CN108959071B - 一种基于RASP的PHP变形webshell的检测方法及系统

Info

Publication number: CN108959071B
Application number: CN201810612344.6A
Authority: CN
Inventors: 文伟平; 叶晓亮; 张汉; 张涛
Original assignee: Hunan Dingyuan Lanjian Information Technology Co ltd
Current assignee: Hunan Dingyuan Lanjian Information Technology Co ltd
Priority date: 2018-06-14
Filing date: 2018-06-14
Publication date: 2021-09-24
Anticipated expiration: 2038-06-14
Also published as: CN108959071A

Abstract

本发明公布了一种基于RASP的PHP变形webshell的检测方法及系统，针对检测系统，通过部署RASP探针，检测出编程语言是PHP的变形webshell；包括：初步检测模块、上下文获取模块、已标记参数监测模块、判断模块、后期分析模块和事后溯源模块；利用本发明提供的技术方案，变形webshell会被初步检测模块和RASP阻断，大大减少webshell检测的漏报率和误报率；而且利用RASP进行跟踪和监控，可更好地理解漏洞成因，从而为漏洞打上补丁；通过合理部署探针，还可进行挖掘0day漏洞，防患于未然。此外，本发明性能损失非常小，可被广泛应用。

Description

一种基于RASP的PHP变形webshell的检测方法及系统

技术领域

本发明涉及信息安全领域，具体涉及一种基于RASP的PHP变形webshell检测方法及系统。

背景技术

近年来，webshell安全事件频频发生，对生产、生活活动造成了巨大的损失。目前webshell的检测方法主要分为两大类：静态检测和动态检测。由于webshell变形，静态检测的漏报率不断加大；相比较于静态检测，虽然动态检测效果较好，但是仍有很高的漏报率和误报率，另外动态检测造成的性能损失也比较大。

RASP(Runtime Application self-protection)是运行时应用自我保护。RSAP将自身注入到应用程序中，与应用程序融为一体，实时监测，而且获取到的payload已经是解码过的真实payload，结合上下文阻断攻击。这相比较于严重依赖特征的WAF，RASP可以大幅度减少误报率和漏报率，并且部署RASP时，应用程序无需在编码时进行任何的修改，只需进行简单的配置即可。

发明内容

本发明的目的是：提供一种基于RASP的PHP(Hypertext Preprocessor，超文本预处理器)变形webshell的检测方法及系统，通过部署RASP和初步检测模块，来减少webshell的误报率和漏报率。

RASP技术是通过在所检测的程序中部署探针，在程序运行过程中可以通过探针，进行基于上下文检测。本发明通过部署探针，可以检测到经过解码、真实的webshell,极大避免了由于webshell变形导致的漏报。

本发明提供的技术方案如下：

一种基于RASP的PHP变形webshell的检测方法，针对检测系统(如web服务器)，通过部署探针，检测出编程语言是PHP的变形webshell；包括如下步骤：

1)获取web服务器的全部目录中的代码文件，通过初步检测，对每个代码文件进行处理，得出初步检测数值，其中数值较大(例如，大于1.40)的代码文件，在之后的过程中予以重点关注。

其中，所述初步检测具体执行如下操作：

统计每个代码文件(即一段代码)中相邻两个空格之间的其他字符的数目，形成代表所检测的代码文件的空格分布情况的一组数据；再将该组数据与正常空格分布范围(本发明取(3，8))进行比较，计算偏离程度。

例如，对代码段：If(a>0)else b＝c；通过统计空格间字符数来表示空格分布情况。

具体实施时，计算偏离程度的方法是经改进的标准差，将标准差原公式的平均数替换为上述的正常范围(3，8)，从而得出上述一组数据与该范围的空格符标准差σ，表示如式1：

其中，正常空格分布范围μ＝(3,8)；x_i-(3,8)的计算方法是：取x_i与该范围的最小距离；x_i表示计算标准差时要输入的数字，比如，要计算{1，2，3}的标准差，那么x_i就是该集合中的每个元素，i从1开始，x₁＝1,x₂＝2,x₃＝3；N为该组数据的个数；

对于换行符的计算方法同上，不同的是该过程中正常换行符分布范围的取值为μ＝(15,30)，通过式1计算得出换行符标准差σ。’

2)确定所检测系统的参数输入点，插入标记探针，通过标记探针标记参数。

确定所检测系统与外部的连接点和连接点处的危险函数，在其危险函数处插入标记探针。

探针其实本质上是一段代码，插入探针有多种方法，对不同函数插入探针的方法也不同，要依据具体情况具体对待，而且不同编程语言的插入方法不同，例如，php语言中的一种方法是：在模块初始化阶段，通过zend_set_user_opcode_handler把原来的处理函数替换成检测探针即可，检测探针根据需要用于进行检测。

具体实施时，连接点包括：所检测系统与数据库的连接点、所检测系统与文件系统的连接点、所检测系统与其他系统的跳转点。危险函数包括：涉及数据库操作的函数、涉及文件操作的函数、涉及管理员执行命令的函数。

3)获取被插入检测探针的待检测代码的上下文。

因为探针和被检测的代码融为一体，探针所拥有的和被检测的代码所拥有的上下文(指当时程序的所有状态如：程序运行环境)相同。

具体实施时，通过上下文获取模块获取上下文，包括：请求的路径、请求的方法、请求的参数、web根目录、请求头、请求体、客户端地址、服务器信息、探针记录的信息。

4)记录步骤2)被标记参数的运行轨迹和行为，监测被标记参数，获得参数的运行轨迹，作为最终记录结果；

参数指由被检测系统的外部输入的参数，例如：

<？php

echo$_GET["name"]；

？>

name就是要标记的参数；上述name参数所经过的函数就是其运行轨迹，为最终记录结果。

具体实施时，通过已标记参数监测模块监测被标记参数，将最终记录结果提交给上下文获取模块。

5)当监测探针检测到被标记的参数时，结合获取得到的上下文进行分析，识别是否是webshell；

具体实施时，通过判断模块进行识别。根据被标记参数的运行轨迹和行为，如果当前被检测代码涉及访问敏感文件、下载敏感文件、大量请求数据、操作数据库时，即识别为webshell。如果不涉及上述操作，则根据步骤4)监测被标记参数的监测结果(运行轨迹和行为)，检查该系统的应用逻辑是否被用户输入所修改，从而判断是否是webshell以及决定是否阻断这个请求。

所述的敏感文件包括：配置信息、网页缓存及密码、SAM文件、项目代码等等。

攻击代码一旦被注入，必然修改了代码的语法树的结构。而追根到底，语法树改变的原因是词法分析结果的改变，因此，只需要对代码部分做词法分析，有下列两种情况之一则为：webshell。

1、判断HTTP请求中的输入(即被标记的参数)是否在词法分析的结果中占据了多个token；

2、经过词法分析后，如果正常程序和被检测程序两者不同，该种情况就是应用逻辑被用户输入修改了，由此识别“应用逻辑是否被用户输入所修改”；

6)根据上下文和调用堆栈，复现漏洞，找出漏洞形成原因，为该漏洞打上补丁。

具体实施时，通过后期分析模块进行分析。后期分析模块根据上下文获取模块中的上下文，调取被标记参数的运行轨迹，根据被标记参数和被标记参数所在函数详细的调用堆栈，可以更好地复现漏洞、理解漏洞形成原因，为该漏洞打上补丁。

本发明方法采用RASP技术，特别是探针的部署与应用，及标记参数方法，可作为漏洞挖掘和打补丁技术的辅助手段。例如：挖掘漏洞人员通过根据需要部署探针，可以获取被标记部分的运行轨迹和行为、调用栈等等信息，从而帮助其挖掘漏洞，有助于复现漏洞，找出漏洞形成，进一步为该漏洞打上补丁。

7)事后溯源：当该web系统被攻击后，根据上下文进行分析，其中访问次数较少，但是执行的敏感操作短时间较为集中(例如，一个小时超过5次)的客户端地址则为本次攻击事件的攻击源。

所述的敏感操作包括：访问或下载敏感文件、数据库操作等等。

事后溯源可作为本发明方案的一种扩展使用，可作为追踪攻击源的一种方法。

本发明还提供一种基于RASP的PHP变形webshell的检测系统，包括：初步检测模块、上下文获取模块、已标记参数监测模块、判断模块、后期分析模块和事后溯源模块；

其中，初步检测模块用于对每个代码文件进行处理，得出初步检测数值，包括：空格符标准差、换行符标准差；

上下文获取模块用于获取上下文；

已标记参数监测模块用于记录被标记参数的运行轨迹和行为，监测被标记参数；

判断模块用于结合获取得到的上下文进行分析，识别是否是webshell；；

后期分析模块用于根据上下文和调用堆栈，复现漏洞，理解漏洞形成原因，为该漏洞打上补丁；

事后溯源模块用于追踪本次攻击的攻击源。

与现有技术相比，本发明的有益效果：

本发明提供一种基于RASP的PHP变形webshell的检测方法，针对检测系统(如web服务器)，通过部署探针，检测出编程语言是PHP的变形webshell。利用本发明提供的技术方案，变形webshell会被初步检测模块和RASP阻断，因为只有成功的攻击才会触发RASP报警，这大大减少webshell检测的漏报率和误报率；而且利用RASP还可以跟踪和监控，这样可以帮助技术人员更好地理解漏洞成因，从而为漏洞打上补丁。另外通过合理部署探针，还可以进行挖掘0day漏洞，防患于未然。

此外，RASP给系统带来的性能损失也非常小，几乎可以忽略不计，故本方案可以被广泛应用。

附图说明

图1是本发明提供方法的流程框图。

具体实施方式

下面结合附图，通过实施例进一步描述本发明，但不以任何方式限制本发明的范围。

本发明提供一种基于RASP的PHP变形webshell的检测方法，针对检测系统(如web服务器)，通过部署探针，检测出编程语言是PHP的变形webshell，可减少webshell的误报率和漏报率。

图1所示是本发明提供方法的流程；本发明的具体实施方式如下：

1、获取web服务器的全部目录中的代码文件，由“初步计算模块”对每个代码文件进行处理，之后得出数值，其中数值较大的代码文件，在之后的过程中予以重点关注。

所述的“初步计算模块”的具体计算细节是：

1)统计相邻两个空格之间字符的数目，从而形成代表空格分布情况的一组数据，之后将该组数据与正常空格分布范围(3，8)进行比较，计算其偏离程度。

本方案采取的计算偏离程度的方法是经改进的标准差，将标准差原公式的平均数替换为上述的正常范围(3，8)，从而得出上述一组数据与该范围的空格符标准差σ。公式如下：

其中μ＝(3,8)；x_i-(3,8)的计算方法是：取x_i与该范围的最小距离；N为该组数据的个数。

本发明方案的所检测的其中代码文件的空格符序列是(6，8，24，12，9，5，6，4)，其空格符标准差σ＝6.28。

2)之后对于换行符的计算方法同上，不过该过程中μ＝(15,30)，得出换行符标准差σ。’

本发明方案的所检测的其中代码文件的换行符序列是(8，33，19)，其换行符标准差σ＝4.96。

2、确定所检测系统的参数输入点，插入标记探针，对输入的所有参数进行标记。

确定所检测系统与外部的连接点和连接点处的危险函数，在其危险函数处插入监测探针。所述的连接点有：与数据库的连接点、与文件系统连接点、与其他系统的跳转点。所述的危险函数有：涉及数据库操作的函数、涉及文件操作的函数、涉及管理员执行命令的函数。

本发明方案参数输入点例如：eval函数的参数、所有来自GET,GET,_POST,$_COOKIE的变量等等。

3、上下文获取模块获取上下文，获取的上下文包括：请求的路径、请求的方法、请求的参数、web根目录、请求头、请求体、客户端地址、服务器信息、探针记录的信息。

4、已标记参数监测模块：负责记录被标记参数的运行轨迹和行为，监测被标记参数，将最终记录结果提交给上下文获取模块。

5、判断模块：当监测探针检测到被标记的参数时，结合上下文获取模块中的上下文进行分析，如果涉及访问敏感文件、下载敏感文件、大量请求数据、操作数据库时，而且空格符标准差σ或换行符标准差σ比较大时，即为webshell。

如果不涉及上述操作，则根据已标记参数监测模块的监测结果，检查该系统的应用逻辑是否被用户输入所修改，再结合空格符标准差σ或换行符标准差σ的大小，从而判断是否是webshell以及决定是否阻断这个请求。若该系统的应用逻辑被用户输入所修改，而且空格符标准差或换行符标准差的大小都超过了技术方案所给的范围，则是webshell，阻断这个请求。

所述敏感文件包括web服务器相关信息、管理员操作记录。

6、后期分析模块：根据上下文获取模块中的上下文，调取可以更好地复现漏洞、理解漏洞形成原因，为该漏洞打上补丁。

目前漏洞分析采用多种方法，其中，可通过堆的详细信息复现堆溢出漏洞。因此，利用采用本发明方法得到的被标记参数的运行轨迹及详细的调用堆栈，有助于进行漏洞分析。

7、事后溯源模块：当该web系统被攻击后，根据上下文获取模块中的客户端地址以及该地址所提交参数的运行轨迹进行分析，其中访问次数较少(如相隔2天及以上都未访问过)，但是执行的敏感操作较为集中的客户端地址则为本次攻击事件的攻击源。

需要注意的是，公布实施例的目的在于帮助进一步理解本发明，但是本领域的技术人员可以理解：在不脱离本发明及所附权利要求的精神和范围内，各种替换和修改都是可能的。因此，本发明不应局限于实施例所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims

1.一种基于RASP的PHP变形webshell的检测方法，针对检测系统，通过部署探针，检测出编程语言是PHP的变形webshell；包括如下步骤：

1)检测系统为web服务器，获取web服务器全部目录中的代码文件，每个代码文件为一段代码，通过初步检测得出初步检测数值；

所述初步检测具体执行如下操作：

对于空格符，统计每个代码文件中相邻两个空格之间的其他字符的数目，形成代表所检测的代码文件的空格分布情况的一组数据；再将该组数据与正常空格分布范围进行比较，计算得到标准差，作为空格符偏离程度；

对于换行符，采用上述方法计算得到标准差，作为换行符偏离程度；

2)确定检测系统的参数输入点，参数输入点为所检测系统与外部的连接点和连接点处的危险函数，在危险函数处插入标记探针，通过标记探针标记参数；

3)将检测探针插入待检测代码，获取被插入检测探针的待检测代码的上下文；上下文信息包括：请求的路径、请求的方法、请求的参数、web根目录、请求头、请求体、客户端地址、服务器信息、探针记录的信息；

5)当检测探针检测到被标记的参数时，结合获取到的上下文进行分析，识别是否是webshell；具体地，根据被标记参数的运行轨迹和行为，如果当前被检测代码涉及访问敏感文件、下载敏感文件、大量请求数据、操作数据库时，即识别为webshell；如果当前被检测代码不涉及上述操作，则根据被标记参数的运行轨迹和行为，检查检测系统的应用逻辑是否被用户输入所修改，从而判断是否是webshell；由此识别检测系统是否被攻击。

2.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，根据被标记参数的运行轨迹，得到被标记参数和被标记参数所在函数详细的调用堆栈，用于分析与复现漏洞。

3.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，若检测是webshell，则识别出检测系统被攻击；当检测系统被攻击后，根据上下文进行分析，其中访问次数较少而执行的敏感操作短时间较为集中的客户端地址则为本次攻击事件的攻击源；较为集中，为一个小时超过5次；敏感操作包括：访问或下载敏感文件、数据库操作。

4.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，步骤1) 初步检测具体通过式1计算改进的标准差得到偏离程度；

其中，μ为正常空格分布范围或正常换行符分布范围；x_i表示每个代码文件中相邻两个空格或换行符之间的其他字符的数目，是计算标准差时要输入的数据；N为数据的个数。

5.如权利要求4所述基于RASP的PHP变形webshell的检测方法，其特征是，正常空格分布范围为(3，8)；正常换行符分布范围的取值为μ＝(15,30)。

6.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，步骤2)参数输入点为所检测系统与外部的连接点和连接点处的危险函数；所述连接点包括：检测系统与数据库的连接点、检测系统与文件系统的连接点、检测系统与其他系统的跳转点；所述危险函数包括：涉及数据库操作的函数、涉及文件操作的函数、涉及管理员执行命令的函数。

7.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，步骤5)中，敏感文件包括：配置信息、网页缓存及密码、SAM文件、项目代码。

8.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，步骤5)中，对代码部分做词法分析，有下列两种情况之一则为webshell:

A.判断HTTP请求中的输入即被标记的参数是否在词法分析的结果中占据了多个token；

B.经过词法分析后，如果正常程序和被检测程序两者不同，则识别为应用逻辑被用户输入修改。

9.一种实现权利要求1～8任一项所述基于RASP的PHP变形webshell的检测方法的系统，其特征是，包括：初步检测模块、上下文获取模块、已标记参数监测模块、判断模块、后期分析模块和事后溯源模块；

上下文获取模块用于获取上下文；

判断模块用于结合获取得到的上下文进行分析，识别是否是webshell；

事后溯源模块用于追踪本次攻击的攻击源。