CN110096872B - 网页入侵脚本攻击工具的检测方法及服务器 - Google Patents

网页入侵脚本攻击工具的检测方法及服务器 Download PDF

Info

Publication number
CN110096872B
CN110096872B CN201810088481.4A CN201810088481A CN110096872B CN 110096872 B CN110096872 B CN 110096872B CN 201810088481 A CN201810088481 A CN 201810088481A CN 110096872 B CN110096872 B CN 110096872B
Authority
CN
China
Prior art keywords
webpage
access
preset
suspected
matching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810088481.4A
Other languages
English (en)
Other versions
CN110096872A (zh
Inventor
杭小勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN201810088481.4A priority Critical patent/CN110096872B/zh
Publication of CN110096872A publication Critical patent/CN110096872A/zh
Application granted granted Critical
Publication of CN110096872B publication Critical patent/CN110096872B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Abstract

本发明提供了一种网页入侵脚本攻击工具的检测方法及服务器,其方法包括:获取预设时间段内受保护站点下各网页的网页出入度值;根据网页出入度值,确定包含疑似网页入侵脚本攻击工具webshell文件的候选集合;根据预设特征行为,确定候选集合中的webshell文件。本发明通过对受保护站点下各网页的网页出入度进行预检,确定一部分疑似webshell文件的候选集合,以降低文件检测的计算量,再通过预设特征行为检测对疑似webshell文件进行再次验证以确定候选集合中的webshell文件,提高webshell文件识别的准确率。

Description

网页入侵脚本攻击工具的检测方法及服务器
技术领域
本发明涉及通信技术领域,尤其涉及一种网页入侵脚本攻击工具的检测方法及服务器。
背景技术
网页入侵脚本攻击工具(webshell)是以动态服务器页面(Active Server Pages,asp)、超文本预处理器(PHP:Hypertext Preprocessor,php)和java服务器页面(JavaServer Pages,jsp)等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页后门。黑客可以通过入侵网站或非法上传等方式,将需要的木马后门放置在服务器上与正常的页面文件混在一起,通过浏览器来访问或者通过相关的工具进行访问,得到一个命令执行环境,以达到控制网站服务器的目的。
目前,现有的webshell检测技术主要有基于主机的文件检测和基于网络数据流的行为检测。其中,基于主机的文件检测是对所有脚本文件进行检测,并匹配异常信息,这种方法计算量大、效率低下,且不易检测变种木马,从而漏、误报率较高。而基于网络数据流的行为检测是采集检测对象的流量,并匹配行为特征,这种方法计算简单,但比较依赖于特征库,且由于是基于网络数据流所以会涉及全局文件,因此对于一些正常文件调用高危函数也会被匹配到,因此误报率较高。
发明内容
本发明提供一种网页入侵脚本攻击工具的检测方法及服务器,解决了现有技术中网页入侵脚本攻击工具的检测方法计算量大且误报率高的问题。
本发明的实施例提供一种网页入侵脚本攻击工具的检测方法,包括:
获取预设时间段内受保护站点下各网页的网页出入度值;
根据网页出入度值,确定包含疑似网页入侵脚本攻击工具webshell文件的候选集合;
根据预设特征行为,确定候选集合中的webshell文件。
本发明的实施例还提供了一种服务器,包括:
第一获取模块,用于获取预设时间段内受保护站点下各网页的网页出入度值;
第一处理模块,用于根据网页出入度值,确定包含疑似网页入侵脚本攻击工具webshell文件的候选集合;
第二处理模块,用于根据预设特征行为,确定候选集合中的webshell文件。
本发明的实施例还提供了一种服务器,包括:处理器;与处理器相连接的存储器,以及与处理器相连接的收发机;其中,处理器用于调用并执行存储器中所存储的计算机程序,处理器执行计算机程序时实现上述网页入侵脚本攻击工具的检测方法的步骤。
本发明的实施例还提供了一种计算机存储介质,其上存储有计算机指令,该指令并处理器执行时实现上述网页入侵脚本攻击工具的检测方法的步骤。
本发明的上述技术方案的有益效果是:通过对受保护站点下各网页的网页出入度进行预检,确定一部分疑似webshell文件的候选集合,以降低文件检测的计算量,再通过预设特征行为检测对疑似webshell文件进行再次验证以确定候选集合中的webshell文件,提高webshell文件识别的准确率。
附图说明
图1表示本发明实施例的网页入侵脚本攻击工具的检测方法的流程示意图;
图2表示本发明实施例的服务器的模块结构示意图;
图3表示本发明服务器的结构框图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。在下面的描述中,提供诸如具体的配置和组件的特定细节仅仅是为了帮助全面理解本发明的实施例。因此,本领域技术人员应该清楚,可以对这里描述的实施例进行各种改变和修改而不脱离本发明的范围和精神。另外,为了清楚和简洁,省略了对已知功能和构造的描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常可互换使用。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
如图1所示,本发明的实施例提供了一种网页入侵脚本攻击工具的检测方法,具体包括以下步骤:
步骤11:获取预设时间段内受保护站点下各网页的网页出入度值。
其中,网页出入度指的是从当前网页跳转到其他网页或由其他网页跳转至当前网页。
步骤12:根据网页出入度值,确定包含疑似网页入侵脚本攻击工具webshell文件的候选集合。
webshell文件的出入度比较小且访问来源比较单一,根据获取到各个网页的网页出入度值,可确定出包含疑似webshell文件的候选集合,以缩小webshell文件检测的范围,降低计算量。
步骤13:根据预设特征行为,确定候选集合中的webshell文件。
预设特征行为为危险特征行为库中的一项,将候选集合中的疑似webshell文件进行预设特征行为匹配,将匹配成功的疑似webshell文件确定为webshell文件。
优选地,步骤11可参照以下方式实现:获取预设时间段内受保护站点的访问流量;根据访问流量,计算受保护站点下各网页的网页出度值和网页入度值;根据网页出度值和网页入度值,计算各网页的网页出入度值。在一种实施例中,服务器包括:流量采集工具、出入度检测模块与特征匹配检测模块。利用流量采集工具,采集预设时间段T内受保护站点下各个网页的访问流量,根据各个网页的访问流量,列出受保护站点所有的页面文件集合:S={S1,S2,...,Si,...,Sn-1,Sn},根据页面Si的访问流量,计算页面Si的网页出度值和网页入度值,再根据网页出度值和网页入度值计算页面Si的网页出入度值。
可选地,根据访问流量,计算受保护站点下各网页的网页出度值和网页入度值的步骤可参照以下步骤实现:根据访问流量,确定受保护站点的网页Si;根据
Figure BDA0001563046620000041
计算网页Si的出度值;根据
Figure BDA0001563046620000042
计算网页Si的入度值。其中,根据网页出度值和网页入度值,计算各网页的网页出入度值的步骤包括:根据ALLi=OUTi+INi,计算网页Si的出入度值。其中,outj表示所述访问流量中与网页Si相对应的第j条流量的出度值,inj表示所述访问流量中与网页Si相对应的第j条流量的入度值,N为所述访问流量中网页Si的访问流量条数。其中,针对任意一个访问,页面Si的出度outi取值为0或1。当页面Si指向其他页面时,取值为1,否则取值为0。页面Si入度ini取值为0或1,当其他页面指向页面Si时,取值为1,否则取值为0。
优选地,步骤12包括:根据网页出入度值,选取出入度值最小的前M个网页确定为目标网页;获取每个目标网页中相同访问来源地址的访问次数;若访问次数满足预设条件,则将对应的目标网页确定为疑似webshell文件;根据所有疑似webshell文件,确定候选集合。其中M为正整数。
优选地,根据网页出入度值,选取出入度值最小的前M个网页确定为目标网页的步骤包括:按照网页出入度值由小至大,对受保护站点下各网页进行排序,得到一网页序列;将网页序列中前M个网页确定为目标网页。这里是说,对受保护站点页面出入度总和由小至大进行排名得到一排序序列S’={S’1,S’2,...,S’i,...,S’n-1,S’n}。优选地,可取排序序列中排名前a%位的页面,得到P={P1,P2,...,Pk;a为正整数,取值范围为0<a≤5,k为整数,取证范围为0<a≤[n*a%],n为受保护站点的总页面数。
较佳地,若访问次数满足预设条件,则将对应的目标网页确定为疑似webshell文件的步骤包括:若访问次数最高的前P次的访问量大于或等于目标网页的总访问量的预设百分比,则将对应的目标网页确定为疑似webshell文件。具体地,获取受保护站点下各网页的访问来源地址;统计来自同一访问来源地址的访问次数;并进一步对访问次数由高至低排序;如果前P个访问来源的访问量超过该页面访问总量的预设百分比,则怀疑此页面为websell文件,加入候选集合。其中,P可设置为3,预设百分比可设置为80%。
在一种实施例中,步骤13包括:获取候选集合中第一疑似webshell文件的访问流量;根据预设特征行为,对第一疑似webshell文件的访问流量进行匹配;若匹配成功,则确定第一疑似webshell文件为webshell文件。其中,第一疑似webshell文件为候选集合中疑似webshell文件中的一个。其中,该步骤为匹配访问流量中的特征数据,主要基于webshell页面的危险特征行为库,在疑似webshell文件的候选集合中进一步确认是否为webshell页面。具体地,将采集到的流量进行过滤,得到仅包含第一疑似webshell文件的访问流量,由于攻击者访问webshell文件时访问流量会产生危险特征行为,因此可进一步基于危险特征行为库对第一疑似webshell文件的访问流量进行匹配。
具体匹配过程可参照以下方式实现:调用预设函数,对第一疑似webshell文件的访问流量进行特征行为匹配。其中,预设函数包括特定字段、特定字段的变形、特定字段的加密和特定字段的拼接中的至少一项。或者,利用预设工具,对第一疑似webshell文件的访问流量进行特征行为匹配;其中,预设工具用于产生特定的特征流量和标准化日志中的至少一项。若至少一项预设函数或预设工具匹配成功,则确定第一疑似webshell文件匹配成功。
其中,调用预设函数(又可称为危险函数),对第一疑似webshell文件的访问流量进行特征行为匹配的步骤包括以下至少一项:
根据预设函数,对第一疑似webshell文件的访问流量中的访问文件名进行匹配;即对访问文件名进行匹配。
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含的字段;即对危险函数名包含的字段进行匹配。
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的变形;即对危险函数的变形进行匹配。
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的加密;即对危险函数的加密进行匹配。
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的拼接,即对危险函数的拼接进行匹配。
若第一疑似webshell文件的访问流量中的访问文件名、危险函数名包含的字段、危险函数的变形、危险函数的加密和危险函数的拼接中至少一项匹配成功,则确定第一疑似webshell文件匹配成功。
另一种实施例中,利用预设工具(如特殊工具特征),对第一疑似webshell文件的访问流量进行特征行为匹配的步骤包括以下至少一项:
利用预设工具中特征流量的特征数据,对第一疑似webshell文件的访问流量进行正则匹配;即对特征流量中的特征数据,进行正则匹配。
利用预设工具中标准化日志的特征数据,对第一疑似webshell文件的访问流量进行正则匹配,即对标准化日志中的特征数据,进行正则匹配。
若利用预设工具中特征流量的特征数据和预设工具中标准化日志的特征数据中的至少一项,对第一疑似webshell文件的访问流量进行正则匹配并匹配成功,则确定第一疑似webshell文件匹配成功。
本发明实施例的网页入侵脚本攻击工具的检测方法中,通过对受保护站点下各网页的网页出入度进行预检,确定一部分疑似webshell文件的候选集合,以降低文件检测的计算量,再通过预设特征行为检测对疑似webshell文件进行再次验证以确定候选集合中的webshell文件,提高webshell文件识别的准确率。具体地,通过服务器中出入度检测模块与特征匹配检测模块对webshell进行检测与判定,进行双重验证,只有出入度检测模块判定成功并且同时通过特征匹配检测模块判定成功,才会被列为webshell文件。该检测方法改进了以往基于网络数据流的行为检测易出现的误报情况,极大降低误报率,同时提高了检测效率,赢得更多的用户满意度。
以上实施例分别就本发明的网页入侵脚本攻击工具的检测方法做出介绍,下面本实施例将结合附图对其对应的服务器做进一步说明。
具体地,如图2所示,本发明实施例的服务器200包括:
第一获取模块210,用于获取预设时间段内受保护站点下各网页的网页出入度值;
第一处理模块220,用于根据网页出入度值,确定包含疑似网页入侵脚本攻击工具webshell文件的候选集合;
第二处理模块230,用于根据预设特征行为,确定候选集合中的webshell文件。
其中,第一获取模块210包括:
第一获取子模块,用于获取预设时间段内受保护站点的访问流量;
第一计算子模块,用于根据访问流量,计算受保护站点下各网页的网页出度值和网页入度值;
第二计算子模块,用于根据网页出度值和网页入度值,计算各网页的网页出入度值。
其中,第一计算子模块包括:
第一确定单元,用于根据访问流量,确定受保护站点的网页Si
第一计算单元,用于根据
Figure BDA0001563046620000071
计算网页Si的出度值;
第二计算单元,用于根据
Figure BDA0001563046620000072
计算网页Si的入度值;
其中,第二计算子模块包括:
第三计算单元,用于根据ALLi=OUTi+INi,计算网页Si的出入度值;
其中,outj表示访问流量中与网页Si相对应的第j条流量的出度值,inj表示访问流量中与网页Si相对应的第j条流量的入度值,N为访问流量中网页Si的访问流量条数。
其中,第一处理模块220包括:
第一选取子模块,用于根据网页出入度值,选取出入度值最小的前M个网页确定为目标网页;
第二获取子模块,用于获取每个目标网页中相同访问来源地址的访问次数;
第一确定子模块,用于若访问次数满足预设条件,则将对应的目标网页确定为疑似webshell文件;
第二确定子模块,用于根据所有疑似webshell文件,确定候选集合。
其中,第一选取子模块包括:
第一排序单元,用于按照网页出入度值由小至大,对受保护站点下各网页进行排序,得到一网页序列;
第二确定单元,用于将网页序列中前M个网页确定为目标网页。
其中,第一确定子模块包括:
第三确定单元,用于若访问次数最高的前P次的访问量大于或等于目标网页的总访问量的预设百分比,则将对应的目标网页确定为疑似webshell文件。
其中,第二处理模块230包括:
第三获取子模块,用于获取候选集合中第一疑似webshell文件的访问流量;其中,第一疑似webshell文件为候选集合中疑似webshell文件中的一个;
匹配子模块,用于根据预设特征行为,对第一疑似webshell文件的访问流量进行匹配;
第三确定子模块,用于若匹配成功,则确定第一疑似webshell文件为webshell文件。
其中,匹配子模块包括:
第一匹配单元,用于调用预设函数,对第一疑似webshell文件的访问流量进行特征行为匹配;其中,预设函数包括特定字段、特定字段的变形、特定字段的加密和特定字段的拼接中的至少一项;
或者,
第二匹配单元,用于利用预设工具,对第一疑似webshell文件的访问流量进行特征行为匹配;其中,预设工具用于产生特定的特征流量和标准化日志中的至少一项。
其中,第一匹配单元包括以下至少一项:
第一匹配子单元,用于根据预设函数,对第一疑似webshell文件的访问流量中的访问文件名进行匹配;
第二匹配子单元,用于根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含的字段;
第三匹配子单元,用于根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的变形;
第四匹配子单元,用于根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的加密;
第五匹配子单元,用于根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的拼接。
其中,第二匹配单元包括以下至少一项:
第六匹配子单元,用于利用预设工具中特征流量的特征数据,对第一疑似webshell文件的访问流量进行正则匹配;
第七匹配子单元,用于利用预设工具中标准化日志的特征数据,对第一疑似webshell文件的访问流量进行正则匹配。
其中,匹配子模块还包括:
确定单元,用于若至少一项预设函数或预设工具匹配成功,则确定第一疑似webshell文件匹配成功。
本发明的服务器实施例是与上述网页入侵脚本攻击工具的检测方法的实施例对应的,上述方法实施例中的所有实现手段均适用于该服务器的实施例中,也能达到相同的技术效果。该服务器通过对受保护站点下各网页的网页出入度进行预检,确定一部分疑似webshell文件的候选集合,以降低文件检测的计算量,再通过预设特征行为检测对疑似webshell文件进行再次验证以确定候选集合中的webshell文件,提高webshell文件识别的准确率。
为了更好的实现上述目的,如图3所示,本发明的实施例还提供了一种服务器,该服务器包括:处理器300;通过总线接口与所述处理器300相连接的存储器320,以及通过总线接口与处理器300相连接的收发机310;所述存储器320用于存储所述处理器在执行操作时所使用的程序和数据;通过所述收发机310发送数据信息或者导频,还通过所述收发机310接收上行控制信道;当处理器300调用并执行存储器320中所存储的程序和数据时,实现如下的功能:
处理器300用于读取存储器320中的程序,执行下列过程:获取预设时间段内受保护站点下各网页的网页出入度值;
根据网页出入度值,确定包含疑似网页入侵脚本攻击工具webshell文件的候选集合;
根据预设特征行为,确定候选集合中的webshell文件。
收发机310,用于在处理器300的控制下接收和发送数据。
其特征在于,处理器执行计算机程序时实现以下步骤:
获取预设时间段内受保护站点的访问流量;
根据访问流量,计算受保护站点下各网页的网页出度值和网页入度值;
根据网页出度值和网页入度值,计算各网页的网页出入度值。
其中,处理器300执行计算机程序时实现以下步骤:
根据访问流量,确定受保护站点的网页Si
根据
Figure BDA0001563046620000101
计算网页Si的出度值;
根据
Figure BDA0001563046620000102
计算网页Si的入度值;
根据ALLi=OUTi+INi,计算网页Si的出入度值;
其中,outj表示访问流量中与网页Si相对应的第j条流量的出度值,inj表示访问流量中与网页Si相对应的第j条流量的入度值,N为访问流量中网页Si的访问流量条数。
其中,处理器300执行计算机程序时实现以下步骤:
根据网页出入度值,选取出入度值最小的前M个网页确定为目标网页;
获取每个目标网页中相同访问来源地址的访问次数;
若访问次数满足预设条件,则将对应的目标网页确定为疑似webshell文件;
根据所有疑似webshell文件,确定候选集合。
其中,处理器300执行计算机程序时实现以下步骤:
按照网页出入度值由小至大,对受保护站点下各网页进行排序,得到一网页序列;
将网页序列中前M个网页确定为目标网页。
其中,处理器300执行计算机程序时实现以下步骤:
若访问次数最高的前P次的访问量大于或等于目标网页的总访问量的预设百分比,则将对应的目标网页确定为疑似webshell文件。
其中,处理器300执行计算机程序时实现以下步骤:
获取候选集合中第一疑似webshell文件的访问流量;其中,第一疑似webshell文件为候选集合中疑似webshell文件中的一个;
根据预设特征行为,对第一疑似webshell文件的访问流量进行匹配;
若匹配成功,则确定第一疑似webshell文件为webshell文件。
其中,处理器300执行计算机程序时实现以下步骤:
调用预设函数,对第一疑似webshell文件的访问流量进行特征行为匹配;其中,预设函数包括特定字段、特定字段的变形、特定字段的加密和特定字段的拼接中的至少一项;
或者,
利用预设工具,对第一疑似webshell文件的访问流量进行特征行为匹配;其中,预设工具用于产生特定的特征流量和标准化日志中的至少一项。
其中,处理器300执行计算机程序时实现以下步骤:
根据预设函数,对第一疑似webshell文件的访问流量中的访问文件名进行匹配;
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含的字段;
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的变形;
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的加密;
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的拼接。
其中,处理器300执行计算机程序时实现以下步骤:
利用预设工具中特征流量的特征数据,对第一疑似webshell文件的访问流量进行正则匹配;
利用预设工具中标准化日志的特征数据,对第一疑似webshell文件的访问流量进行正则匹配。
其中,处理器300执行计算机程序时实现以下步骤:若至少一项预设函数或预设工具匹配成功,则确定第一疑似webshell文件匹配成功。
其中,在图3中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器300代表的一个或多个处理器和存储器320代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机310可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器300负责管理总线架构和通常的处理,存储器320可以存储处理器300在执行操作时所使用的数据。
本领域技术人员可以理解,实现上述实施例的全部或者部分步骤可以通过硬件来完成,也可以通过计算机程序来指示相关的硬件来完成,所述计算机程序包括执行上述方法的部分或者全部步骤的指令;且该计算机程序可以存储于一可读存储介质中,存储介质可以是任何形式的存储介质。本发明实施例还提供一种计算机存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现上述网页入侵脚本攻击工具的检测方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random AccessMemory,简称RAM)、磁碟或者光盘等。
此外,需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行,某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言,能够理解本发明的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。
因此,本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本发明的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本发明,并且存储有这样的程序产品的存储介质也构成本发明。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (12)

1.一种网页入侵脚本攻击工具的检测方法,其特征在于,包括:
获取预设时间段内受保护站点下各网页的网页出入度值;
根据所述网页出入度值,确定包含疑似网页入侵脚本攻击工具webshell文件的候选集合,包括:根据所述网页出入度值,选取出入度值最小的前M个网页确定为目标网页;获取每个目标网页中相同访问来源地址的访问次数;若所述访问次数满足预设条件,则将对应的目标网页确定为疑似webshell文件;根据所有疑似webshell文件,确定候选集合;
根据预设特征行为,确定所述候选集合中的webshell文件,包括:
获取所述候选集合中第一疑似webshell文件的访问流量,第一疑似webshell文件为候选集合中疑似webshell文件中的一个;根据预设特征行为,对第一疑似webshell文件的访问流量进行匹配,包括:调用预设函数,对第一疑似webshell文件的访问流量进行特征行为匹配,所述预设函数包括特定字段、特定字段的变形、特定字段的加密和特定字段的拼接中的至少一项;或者,利用预设工具,对第一疑似webshell文件的访问流量进行特征行为匹配,预设工具用于产生特定的特征流量和标准化日志中的至少一项;
所述利用预设工具,对第一疑似webshell文件的访问流量进行特征行为匹配的步骤包括以下至少一项:利用预设工具中特征流量的特征数据,对第一疑似webshell文件的访问流量进行正则匹配;利用预设工具中标准化日志的特征数据,对第一疑似webshell文件的访问流量进行正则匹配;
若匹配成功,则确定第一疑似webshell文件为webshell文件;
其中,根据网页出入度值,选取出入度值最小的前M个网页确定为目标网页的步骤包括:按照网页出入度值由小至大,对受保护站点页面出入度总和由小至大进行排名得到一排序序列S’={S’1,S’2,...,S’i,...,S’n-1,S’n};将网页序列中前M个网页确定为目标网页;其中,前M个网页是取排序序列中排名前a%位的页面,得到P={P1,P2,...,Pk};a为正整数,取值范围为0<a≤5,k为整数,取整范围为0<k≤[n*a%],n为受保护站点的总页面数。
2.根据权利要求1所述的网页入侵脚本攻击工具的检测方法,其特征在于,获取预设时间段内受保护站点下各网页的网页出入度值的步骤,包括:
获取预设时间段内受保护站点的访问流量;
根据所述访问流量,计算受保护站点下各网页的网页出度值和网页入度值;
根据所述网页出度值和网页入度值,计算各网页的网页出入度值。
3.根据权利要求2所述的网页入侵脚本攻击工具的检测方法,其特征在于,根据所述访问流量,计算受保护站点下各网页的网页出度值和网页入度值的步骤,包括:
根据所述访问流量,确定受保护站点的网页Si
根据
Figure DEST_PATH_IMAGE002
,计算所述网页Si的出度值;
根据
Figure DEST_PATH_IMAGE004
,计算所述网页Si的入度值;
其中,根据所述网页出度值和网页入度值,计算各网页的网页出入度值的步骤,包括:
根据
Figure DEST_PATH_IMAGE006
,计算网页Si的出入度值;
其中,
Figure DEST_PATH_IMAGE008
表示所述访问流量中与网页Si相对应的第j条流量的出度值,
Figure DEST_PATH_IMAGE010
表示所述访问流量中与网页Si相对应的第j条流量的入度值,N为所述访问流量中网页Si的访问流量条数。
4.根据权利要求1所述的网页入侵脚本攻击工具的检测方法,其特征在于,调用预设函数,对第一疑似webshell文件的访问流量进行特征行为匹配的步骤,包括以下至少一项:
根据预设函数,对第一疑似webshell文件的访问流量中的访问文件名进行匹配;
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含的字段;
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的变形;
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的加密;
根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的拼接。
5.根据权利要求1所述的网页入侵脚本攻击工具的检测方法,其特征在于,根据预设特征行为,对第一疑似webshell文件的访问流量进行匹配的步骤之后,还包括:
若至少一项预设函数或预设工具匹配成功,则确定第一疑似webshell文件匹配成功。
6.一种服务器,其特征在于,包括:
第一获取模块,用于获取预设时间段内受保护站点下各网页的网页出入度值;
第一处理模块,用于根据所述网页出入度值,确定包含疑似网页入侵脚本攻击工具webshell文件的候选集合;
第二处理模块,用于根据预设特征行为,确定候选集合中的webshell文件;
第一处理模块包括:
第一选取子模块,用于根据所述网页出入度值,选取出入度值最小的前M个网页确定为目标网页;
第二获取子模块,用于获取每个目标网页中相同访问来源地址的访问次数;
第一确定子模块,用于若所述访问次数满足预设条件,则将对应的目标网页确定为疑似webshell文件;
第二确定子模块,用于根据所有疑似webshell文件,确定候选集合;
其中,所述根据网页出入度值,选取出入度值最小的前M个网页确定为目标网页包括:按照网页出入度值由小至大,对受保护站点页面出入度总和由小至大进行排名得到一排序序列S’={S’1,S’2,...,S’i,...,S’n-1,S’n};将网页序列中前M个网页确定为目标网页;其中,前M个网页是取排序序列中排名前a%位的页面,得到P={P1,P2,...,Pk};a为正整数,取值范围为0<a≤5,k为整数,取整范围为0<k≤[n*a%],n为受保护站点的总页面数;
所述第二处理模块包括:
第三获取子模块,用于获取所述候选集合中第一疑似webshell文件的访问流量,第一疑似webshell文件为候选集合中疑似webshell文件中的一个;
匹配子模块,用于根据预设特征行为,对第一疑似webshell文件的访问流量进行匹配;
第三确定子模块,用于若匹配成功,则确定第一疑似webshell文件为webshell文件;
所述匹配子模块包括:
第一匹配单元,用于调用预设函数,对第一疑似webshell文件的访问流量进行特征行为匹配,所述预设函数包括特定字段、特定字段的变形、特定字段的加密和特定字段的拼接中的至少一项;
第二匹配单元,用于利用预设工具,对第一疑似webshell文件的访问流量进行特征行为匹配,预设工具用于产生特定的特征流量和标准化日志中的至少一项;
所述第二匹配单元包括以下至少一项:
第六匹配子单元,用于利用预设工具中特征流量的特征数据,对第一疑似webshell文件的访问流量进行正则匹配;
第七匹配子单元,用于利用预设工具中标准化日志的特征数据,对第一疑似webshell文件的访问流量进行正则匹配。
7.根据权利要求6所述的服务器,其特征在于,所述第一获取模块:
第一获取子模块,用于获取预设时间段内受保护站点的访问流量;
第一计算子模块,用于根据所述访问流量,计算受保护站点下各网页的网页出度值和网页入度值;
第二计算子模块,用于根据所述网页出度值和网页入度值,计算各网页的网页出入度值。
8.根据权利要求7所述的服务器,其特征在于,所述第一计算子模块包括:
第一确定单元,用于根据所述访问流量,确定受保护站点的网页Si
第一计算单元,用于根据
Figure 942105DEST_PATH_IMAGE002
,计算所述网页Si的出度值;
第二计算单元,用于根据
Figure 328086DEST_PATH_IMAGE004
,计算所述网页Si的入度值;
第三计算单元,用于根据
Figure 311086DEST_PATH_IMAGE006
,计算网页Si的出入度值;
其中,
Figure 909558DEST_PATH_IMAGE008
表示所述访问流量中与网页Si相对应的第j条流量的出度值,
Figure 927192DEST_PATH_IMAGE010
表示所述访问流量中与网页Si相对应的第j条流量的入度值,N为所述访问流量中网页Si的访问流量条数。
9.根据权利要求6所述的服务器,其特征在于,所述第一匹配单元包括以下至少一项:
第一匹配子单元,用于根据预设函数,对第一疑似webshell文件的访问流量中的访问文件名进行匹配;
第二匹配子单元,用于根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含的字段;
第三匹配子单元,用于根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的变形;
第四匹配子单元,用于根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的加密;
第五匹配子单元,用于根据预设函数,确定第一疑似webshell文件的访问流量中是否包含预设函数的函数名所包含字段的拼接。
10.根据权利要求6所述的服务器,其特征在于,匹配子模块还包括:
确定单元,用于若至少一项预设函数或预设工具匹配成功,则确定第一疑似webshell文件匹配成功。
11.一种服务器,其特征在于,包括:处理器;与所述处理器相连接的存储器,以及与处理器相连接的收发机;其中,所述处理器用于调用并执行所述存储器中所存储的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至权利要求5任一项所述网页入侵脚本攻击工具的检测方法的步骤。
12.一种计算机存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现权利要求1至权利要求5任一项所述网页入侵脚本攻击工具的检测方法的步骤。
CN201810088481.4A 2018-01-30 2018-01-30 网页入侵脚本攻击工具的检测方法及服务器 Active CN110096872B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810088481.4A CN110096872B (zh) 2018-01-30 2018-01-30 网页入侵脚本攻击工具的检测方法及服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810088481.4A CN110096872B (zh) 2018-01-30 2018-01-30 网页入侵脚本攻击工具的检测方法及服务器

Publications (2)

Publication Number Publication Date
CN110096872A CN110096872A (zh) 2019-08-06
CN110096872B true CN110096872B (zh) 2022-04-05

Family

ID=67442135

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810088481.4A Active CN110096872B (zh) 2018-01-30 2018-01-30 网页入侵脚本攻击工具的检测方法及服务器

Country Status (1)

Country Link
CN (1) CN110096872B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113132316A (zh) * 2019-12-31 2021-07-16 深信服科技股份有限公司 一种Web攻击检测方法、装置、电子设备及存储介质
CN111163094B (zh) * 2019-12-31 2022-04-19 奇安信科技集团股份有限公司 网络攻击检测方法、网络攻击检测装置、电子设备和介质
CN113746784B (zh) * 2020-05-29 2023-04-07 深信服科技股份有限公司 一种数据检测方法、系统及相关设备
CN114465741B (zh) * 2020-11-09 2023-09-26 腾讯科技(深圳)有限公司 一种异常检测方法、装置、计算机设备及存储介质
CN112668005A (zh) * 2020-12-30 2021-04-16 北京天融信网络安全技术有限公司 webshell文件的检测方法及装置
CN115186274A (zh) * 2022-09-14 2022-10-14 深圳开源互联网安全技术有限公司 基于iast的安全测试方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105760379A (zh) * 2014-12-16 2016-07-13 中国移动通信集团公司 一种基于域内页面关联关系检测 webshell 页面的方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105933268B (zh) * 2015-11-27 2019-05-10 中国银联股份有限公司 一种基于全量访问日志分析的网站后门检测方法及装置
CN106572117B (zh) * 2016-11-11 2019-10-18 北京安普诺信息技术有限公司 一种WebShell文件的检测方法和装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105760379A (zh) * 2014-12-16 2016-07-13 中国移动通信集团公司 一种基于域内页面关联关系检测 webshell 页面的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于Web日志的Webshell检测方法研究;石刘洋 等;《信息安全研究》;20160131;第2卷(第1期);第67-69页 *

Also Published As

Publication number Publication date
CN110096872A (zh) 2019-08-06

Similar Documents

Publication Publication Date Title
CN110096872B (zh) 网页入侵脚本攻击工具的检测方法及服务器
US10904286B1 (en) Detection of phishing attacks using similarity analysis
US7438226B2 (en) Fraud risk advisor
Srinivasa Rao et al. Detecting phishing websites using automation of human behavior
CN106657057B (zh) 反爬虫系统及方法
AU2015241299B2 (en) Systems and methods for detecting copied computer code using fingerprints
CN106899549B (zh) 一种网络安全检测方法及装置
US20200394318A1 (en) Privacy trustworthiness based api access
US9495542B2 (en) Software inspection system
CN112307374A (zh) 基于待办事项的跳转方法、装置、设备及存储介质
CN110659807B (zh) 一种基于链路的风险用户识别方法及装置
CN111753302A (zh) 检测代码漏洞的方法、装置、计算机可读介质及电子设备
US8364776B1 (en) Method and system for employing user input for website classification
CN112214402B (zh) 一种代码验证算法的选择方法、装置及存储介质
CN110011964B (zh) 一种网页环境检测方法和装置
CN109684844B (zh) 一种webshell检测方法、装置以及计算设备、计算机可读存储介质
CN116089920A (zh) 一种敏感字段预警方法、系统、计算机设备及介质
CN115964701A (zh) 应用安全检测方法、装置、存储介质及电子设备
CN110674491B (zh) 用于安卓应用的实时取证的方法、装置和电子设备
CN109241742B (zh) 一种恶意程序的识别方法及电子设备
CN114579419A (zh) 一种数据处理方法及装置、存储介质
CN113542204A (zh) 防护规则生成方法、装置和存储介质
CN115225532B (zh) 网络安全态势预测方法、装置、设备及存储介质
CN111967043B (zh) 确定数据相似度的方法、装置、电子设备及存储介质
CN115809466B (zh) 基于stride模型的安全需求生成方法、装置、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant