CN109040071B - 一种web后门攻击事件的确认方法 - Google Patents

一种web后门攻击事件的确认方法 Download PDF

Info

Publication number
CN109040071B
CN109040071B CN201810884997.XA CN201810884997A CN109040071B CN 109040071 B CN109040071 B CN 109040071B CN 201810884997 A CN201810884997 A CN 201810884997A CN 109040071 B CN109040071 B CN 109040071B
Authority
CN
China
Prior art keywords
attack
alarm
web
event
attacker
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810884997.XA
Other languages
English (en)
Other versions
CN109040071A (zh
Inventor
王世晋
范渊
郝辰亮
黄进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201810884997.XA priority Critical patent/CN109040071B/zh
Publication of CN109040071A publication Critical patent/CN109040071A/zh
Application granted granted Critical
Publication of CN109040071B publication Critical patent/CN109040071B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全防护技术,旨在提供一种WEB后门攻击事件的确认方法。本发明通过对防火墙、IDS、IPS及相关的WEB服务器日志进行解析,提取WEB后门攻击类型的日志记录,根据各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头,进一步判断WEB后门的攻击是否成功;将确认结果返回到相应的网络防护设备中,并将确认后的WEB后门攻击事件标记为成功的攻击事件展示给用户。本发明能够对WEB后门攻击事件提供更加科学的确认手段,提高网络安全防护设备对WEB后门攻击的识别率和准确率,降低了确认攻击成功的告警误报率。

Description

一种WEB后门攻击事件的确认方法
技术领域
本发明涉及网络安全防护技术,特别涉及一种WEB后门攻击事件的确认方法。
背景技术
WEB后门,英文称WebShell,指的是以网页代码实现的用于非法用途的网页木马。具体表现为:攻击者通过植入WEB后门,从而控制整个WEB服务器,操作文件上传下载、非法篡改文件等。
随着网络攻击事件数量日益增加,网络黑客的攻击技术和手段越来越高明,网上流传的开源黑客工具降低了攻击的成本,因此每天都有数不尽的非法扫描、后门探测等攻击流量,公司的防火墙、IDS、IPS设备上的日志也是每天上千万条攻击数据的累加。而WEB后门攻击事件往往是网络告警日志分析的重中之重,一旦WEB后门攻击成功,对公司的业务和数据都可能造成无法挽回的损失。因此,对WEB后门攻击事件的进行确认是公司用户网络安全防护工作中是重点内容。因为只有对相关事件进行确认之后,才能确定攻击事件是否成功。如果不进行确认,将会导致一堆误报。
目前常用的WEB后门攻击事件的确认手段主要包括:(1)分析人员发现网络安全防护设备上出现WEB后门攻击告警后,人工登录服务器,使用杀毒软件查杀是否存在后门文件。(2)分析人员依靠经验判断网络安全防护设备上出现的WEB后门攻击告警事件是否可能成功。
但是,上述手段存在以下不足之处:(1)安全人员有可能不能及时处理网络安全防护设备上所有的WEB后门攻击事件。因为实际工作中信息安全相关的分析人员往往没有服务器运维的权限,没法及时登录服务器排查。(2)仅仅依靠分析人员自身的经验往往不能够准确的判断后门攻击是否成功,可能会存在误判的情况。(3)网络安全防护设备上误报的告警太多,导致安全人员分析告警记录时需要频繁翻页,容易忽视重要的攻击线索。
发明内容
本发明要解决的技术问题是,克服现有技术中的不足,提供一种WEB后门攻击事件的确认方法。
为解决上述技术问题,本发明采用的解决方案是:
提供一种WEB后门攻击事件的确认方法,包括以下步骤:
(1)从网络安全防护设备获取告警日志,判断是否为WEB后门攻击事件告警,不是则丢弃;
(2)从WEB后门攻击的告警日志中,逐条取出各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头;
(3)根据攻击响应头提取攻击的目标域名或IP,对比预配置的服务器资产库获得被攻击目标的服务支持语言类型;
(4)根据攻击请求头提取攻击者试图请求的URI,判断攻击者在攻击活动中使用的编程语言类型,如果攻击者所使用的后门语言与被攻击目标的服务端的编程语言不一致,则丢弃该条告警日志;
(5)根据攻击响应头提取服务器返回的状态码,判断响应状态是否为200,不是则丢弃;
(6)构造随机不存在文件名,就这个随机文件向被攻击的服务器发送请求,获取响应码;判断该响应码是否为200,是则丢弃;
(7)从攻击告警的请求中获取请求参数或POST参数,解析请求,判断是否尝试在执行WEB语言命令,不是则丢弃;
(8)确认WEB后门攻击事件成功,提取攻击事件的维度数据并写入mysql数据库,标记为成功的攻击事件返回给相应的网络安全防护设备。
本发明中,所述网络安全防护设备是指防火墙或IDS设备。
本发明中,在步骤(1)中,是根据日志的类型描述字段来判断告警日志的记载是否为WEB后门攻击事件。
本发明中,在步骤(3)中,如果对比时发现没有提前配置好的服务器资产库进行配置,则向用户发送进行配置的提醒。
本发明中,在步骤(3)中,在进行服务器资产库配置时,使用具有模板的表格文件导入资产库信息。
本发明中,在步骤(8)中,攻击事件的维度数据是指攻击者IP、攻击者端口、事件和攻击目标。
与现有技术相比,本发明的技术效果是:
本发明能够对WEB后门攻击事件提供更加科学的确认手段,提高网络安全防护设备对WEB后门攻击的识别率和准确率,降低了确认攻击成功的告警误报率。
附图说明
图1为本发明具体实施例的操作流程图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述。
本发明所述WEB后门攻击事件的确认方法,包括以下步骤:
(1)从网络安全防护设备获取告警日志,根据日志的类型描述字段来判断是否为WEB后门攻击事件告警,不是则丢弃;网络安全防护设备可以指防火墙或IDS设备(入侵检测系统,Intrusion Detection Systems)。
(2)从WEB后门攻击的告警日志中,逐条取出各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头;
(3)根据攻击响应头提取攻击的目标域名或IP,对比预配置的服务器资产库获得被攻击目标的服务支持语言类型(PHP、JSP、ASP或其它);如果对比时发现没有提前配置好的服务器资产库进行配置,则向用户发送进行配置的提醒。在进行服务器资产库配置时,可以使用具有模板的表格文件导入资产库信息。
(4)根据攻击请求头提取攻击者试图请求的URI,判断攻击者在攻击活动中使用的编程语言类型,如果攻击者所使用的后门语言与被攻击目标的服务端的编程语言不一致,则丢弃该条告警日志;编程语言不一致时,表明该告警日记记载的是探测事件而非成功的攻击事件,因而可以忽视。
(5)根据攻击响应头提取服务器返回的状态码,判断响应状态是否为200,不是则丢弃;
HTTP状态码(HTTP Status Code)是用以表示网页服务器HTTP响应状态的3位数字代码。它由RFC 2616规范定义的,并得到RFC 2518、RFC 2817、RFC 2295、RFC2774、RFC 4918等规范扩展。HTTP状态码为200时,表示请求已成功,请求所希望的响应头或数据体将随此响应返回。
响应状态不是200时,可以忽视此类告警日志。
(6)构造随机不存在文件名,就这个随机文件向被攻击的服务器发送请求,获取响应码;判断该响应码是否为200,是则丢弃。
(不存在的路径返回200并不意味着访问成功,如果服务器端自定义了404页面,其返回状态码一样是200。)
(7)从攻击告警的请求中获取请求参数或POST参数,解析请求,判断是否尝试在执行命令,不是则丢弃;
(例如,Web攻击就是利用漏洞执行命令的一个过程)
(8)确认WEB后门攻击事件成功,提取攻击事件的维度数据(包括攻击者IP、攻击者端口、事件和攻击目标)并写入mysql数据库,标记为成功的攻击事件返回给相应的网络安全防护设备。
下面结合一个具体的实例,对本发明的具体操作进行说明:
某日志中记录,IP地址A发起一条后门访问服务器B,日志中,是POST请求参数是z0=”whoami”,请求的路径后缀是test.php,响应码为200。
经查询,发现被攻击目标为php语言实现的网站,后台是apache服务;然后伪造一个路径shdkjhsajkhdjksah.php访问发现响应码为404,进而判断“whoami”是系统提权的基本命令,也是黑客常用的命令,因此确认该Web后门攻击事件为成功的攻击事件。

Claims (6)

1.一种WEB后门攻击事件的确认方法,其特征在于,包括以下步骤:
(1)从网络安全防护设备获取告警日志,判断是否为WEB后门攻击事件告警,不是则丢弃;
(2)从WEB后门攻击的告警日志中,逐条取出各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头;
(3)根据攻击响应头提取攻击的目标域名或IP,对比预配置的服务器资产库获得被攻击目标的服务支持语言类型;
(4)根据攻击请求头提取攻击者试图请求的URI,判断攻击者在攻击活动中使用的编程语言类型,如果攻击者所使用的后门语言与被攻击目标的服务端的编程语言不一致,则丢弃该条告警日志;
(5)根据攻击响应头提取服务器返回的状态码,判断状态码是否为200,不是则丢弃;
(6)构造随机不存在文件名,就这个随机文件向被攻击的服务器发送请求,获取响应码;判断该状态码是否为200,是则丢弃;
(7)从攻击告警的请求中获取请求参数或POST参数,解析请求,判断是否尝试在执行WEB语言命令,不是则丢弃;
(8)确认WEB后门攻击事件成功,提取攻击事件的维度数据并写入mysql数据库,标记为成功的攻击事件返回给相应的网络安全防护设备。
2.根据权利要求1所述的方法,其特征在于,所述网络安全防护设备是指防火墙或IDS设备。
3.根据权利要求1所述的方法,其特征在于,在步骤(1)中,是根据日志的类型描述字段来判断告警日志的记载是否为WEB后门攻击事件。
4.根据权利要求1所述的方法,其特征在于,在步骤(3)中,如果对比时发现没有提前配置好的服务器资产库进行配置,则向用户发送进行配置的提醒。
5.根据权利要求4所述的方法,其特征在于,在步骤(3)中,在进行服务器资产库配置时,使用具有模板的表格文件导入资产库信息。
6.根据权利要求1所述的方法,其特征在于,在步骤(8)中,攻击事件的维度数据是指攻击者IP、攻击者端口、事件和攻击目标。
CN201810884997.XA 2018-08-06 2018-08-06 一种web后门攻击事件的确认方法 Active CN109040071B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810884997.XA CN109040071B (zh) 2018-08-06 2018-08-06 一种web后门攻击事件的确认方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810884997.XA CN109040071B (zh) 2018-08-06 2018-08-06 一种web后门攻击事件的确认方法

Publications (2)

Publication Number Publication Date
CN109040071A CN109040071A (zh) 2018-12-18
CN109040071B true CN109040071B (zh) 2021-02-09

Family

ID=64649752

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810884997.XA Active CN109040071B (zh) 2018-08-06 2018-08-06 一种web后门攻击事件的确认方法

Country Status (1)

Country Link
CN (1) CN109040071B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109688004B (zh) * 2018-12-21 2022-01-25 西安四叶草信息技术有限公司 异常数据检测方法及设备
CN110868419A (zh) * 2019-11-18 2020-03-06 杭州安恒信息技术股份有限公司 Web后门攻击事件的检测方法、装置及电子设备
CN111262730B (zh) * 2020-01-10 2022-08-30 中国银联股份有限公司 一种告警信息的处理方法及装置
CN112187719B (zh) * 2020-08-31 2023-04-14 新浪技术(中国)有限公司 被攻击服务器的信息获取方法、装置和电子设备
CN115348042A (zh) * 2021-04-29 2022-11-15 中国移动通信集团上海有限公司 监测方法、装置、电子设备及存储介质
CN113329032B (zh) * 2021-06-23 2023-02-03 深信服科技股份有限公司 一种攻击检测方法、装置、设备和介质
CN114285637A (zh) * 2021-12-23 2022-04-05 北京思特奇信息技术股份有限公司 一种基于日志的自动化安全检查方法、存储介质及系统
CN116112295B (zh) * 2023-04-12 2023-07-04 北京长亭未来科技有限公司 一种外连类攻击结果研判方法及装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101080953B1 (ko) * 2011-05-13 2011-11-08 (주)유엠브이기술 실시간 웹쉘 탐지 및 방어 시스템 및 방법
CN104331663A (zh) * 2014-10-31 2015-02-04 北京奇虎科技有限公司 web shell的检测方法以及web服务器
CN104796426A (zh) * 2015-04-29 2015-07-22 上海络安信息技术有限公司 网页后门的检测方法
CN105933268A (zh) * 2015-11-27 2016-09-07 中国银联股份有限公司 一种基于全量访问日志分析的网站后门检测方法及装置
CN106209826A (zh) * 2016-07-08 2016-12-07 瑞达信息安全产业股份有限公司 一种网络安全设备监测的安全事件分析方法
CN107104924A (zh) * 2016-02-22 2017-08-29 阿里巴巴集团控股有限公司 网站后门文件的验证方法及装置
CN107911355A (zh) * 2017-11-07 2018-04-13 杭州安恒信息技术有限公司 一种基于攻击链的网站后门利用事件识别方法
WO2018107784A1 (zh) * 2016-12-16 2018-06-21 华为技术有限公司 检测网页后门的方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101291782B1 (ko) * 2013-01-28 2013-07-31 인포섹(주) 웹쉘 탐지/대응 시스템

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101080953B1 (ko) * 2011-05-13 2011-11-08 (주)유엠브이기술 실시간 웹쉘 탐지 및 방어 시스템 및 방법
CN104331663A (zh) * 2014-10-31 2015-02-04 北京奇虎科技有限公司 web shell的检测方法以及web服务器
CN104796426A (zh) * 2015-04-29 2015-07-22 上海络安信息技术有限公司 网页后门的检测方法
CN105933268A (zh) * 2015-11-27 2016-09-07 中国银联股份有限公司 一种基于全量访问日志分析的网站后门检测方法及装置
CN107104924A (zh) * 2016-02-22 2017-08-29 阿里巴巴集团控股有限公司 网站后门文件的验证方法及装置
CN106209826A (zh) * 2016-07-08 2016-12-07 瑞达信息安全产业股份有限公司 一种网络安全设备监测的安全事件分析方法
WO2018107784A1 (zh) * 2016-12-16 2018-06-21 华为技术有限公司 检测网页后门的方法和装置
CN107911355A (zh) * 2017-11-07 2018-04-13 杭州安恒信息技术有限公司 一种基于攻击链的网站后门利用事件识别方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
A Webshell Dectection Technology Based on HTTP Traffic Analysis;Wenchuan Yang,Bang Sun,Baojiang cui;《Springer link》;20180608;全文 *
基于web日志的webshell检测方法研究;石刘洋,方勇;《信息安全研究》;20160131;第2卷(第1期);全文 *
攻防课堂之网站的后门Webshell;郑志勇;《电脑迷》;20061031;全文 *

Also Published As

Publication number Publication date
CN109040071A (zh) 2018-12-18

Similar Documents

Publication Publication Date Title
CN109040071B (zh) 一种web后门攻击事件的确认方法
WO2018177210A1 (zh) 防御apt攻击
CN110881044B (zh) 一种计算机防火墙动态防御安全平台
US7752662B2 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
US20170005961A1 (en) Just-In-Time, Email Embedded URL Reputation Determination
CN111651757A (zh) 攻击行为的监测方法、装置、设备及存储介质
CN101816148A (zh) 用于验证、数据传送和防御网络钓鱼的系统和方法
US10375091B2 (en) Method, device and assembly operable to enhance security of networks
CN111431753A (zh) 一种资产信息更新方法、装置、设备及存储介质
CN105704120B (zh) 一种基于自学习形式的安全访问网络的方法
CN103595732A (zh) 一种网络攻击取证的方法及装置
CN112613029A (zh) 一种弱口令检测方法、装置、计算机存储介质以及设备
CN111800405A (zh) 检测方法及检测设备、存储介质
CN116318863B (zh) 一种opc工业安全网关系统
Deng et al. Lexical analysis for the webshell attacks
CN108040036A (zh) 一种行业云Webshell安全防护方法
CN111147625A (zh) 获取本机外网ip地址的方法、装置及存储介质
JP2003263376A (ja) ファイアウォールのセキュリティ管理方法及びその管理プログラム
CN113987508A (zh) 一种漏洞处理方法、装置、设备及介质
CN110958236A (zh) 基于风险因子洞察的运维审计系统动态授权方法
JP5743822B2 (ja) 情報漏洩防止装置及び制限情報生成装置
CN107231365B (zh) 一种取证的方法及服务器以及防火墙
US20140129709A1 (en) System and Method for Identifying Real Users Behind Application Servers
KR101005093B1 (ko) 클라이언트 식별 방법 및 장치
CN109688140B (zh) 一种信息处理方法及信息处理装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A confirmation method of Web backdoor attack

Effective date of registration: 20220125

Granted publication date: 20210209

Pledgee: Bank of Hangzhou Limited by Share Ltd. science and Technology Branch

Pledgor: Dbappsecurity Co.,Ltd.

Registration number: Y2022980001001