CN110619209A - 一种针对web入侵事件的分析和判断方法及系统 - Google Patents

一种针对web入侵事件的分析和判断方法及系统 Download PDF

Info

Publication number
CN110619209A
CN110619209A CN201910793981.2A CN201910793981A CN110619209A CN 110619209 A CN110619209 A CN 110619209A CN 201910793981 A CN201910793981 A CN 201910793981A CN 110619209 A CN110619209 A CN 110619209A
Authority
CN
China
Prior art keywords
abnormal
user
file
searching
recording
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910793981.2A
Other languages
English (en)
Inventor
牛彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Wave Intelligent Technology Co Ltd
Original Assignee
Suzhou Wave Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Wave Intelligent Technology Co Ltd filed Critical Suzhou Wave Intelligent Technology Co Ltd
Priority to CN201910793981.2A priority Critical patent/CN110619209A/zh
Publication of CN110619209A publication Critical patent/CN110619209A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明一种针对web入侵事件的分析和判断方法及系统,该方法分析系统本省行为特征变化,判断系统是否存在异常行为,保存异常信息。通过遍历已创建用户列表、登录过的所有用户信息、最近一次登录信息以及错误的登录列表获取系统异常用户信息;对通信IP搜集获取异常登录用户;获取敏感目录文件、新增文件和特殊权限的文件的信息;获取系统所有进程,通过白名单过滤记录异常进程和异常通信端口;找到异常计划任务和异常启动项。基于本发明提出的方法,还提出了一种系统,本发明分析现有web入侵检测方法和攻击者实施web入侵的特点,提出通过收集目标系统的信息,分析系统本省行为特征变化,可实现针对web入侵事件的快速和精准判断。

Description

一种针对web入侵事件的分析和判断方法及系统
技术领域
本发明属于网络安全技术领域,特别涉及一种针对web入侵事件的分析和判断方法及系统。
背景技术
随着web应用越来越多,web应用给人们带来极大的方便同时,引起黑客极大的关注,经常有恶意攻击者入侵网站,并设置网页后门达到控制网站服务器的目的,存在极大风险,因此针对web入侵事件快速分析和定位显得尤为重要。
目前针对web入侵的分析,通常通过分析入侵行为特征,分析流量行为特征或者本地日志信息,这些方法通常适用于某一类或一些微博入侵的检测,不具有通用性,如通过分析入侵行为特征,web入侵存在对于系统调用、数据库、文件的操作动作,可以通过关键词匹配脚本文件找出,但经常会存在黑客在上传完后门,获取到自己想要的信息后,就会删除掉,这时候通过关键词去找到web入侵的方法就不适用了。
发明内容
本发明提出了一种针对web入侵事件的分析和判断方法及系统。通过分析现有web入侵检测方法和攻击者实施web入侵的特点,提出通过收集目标系统的信息,分析系统本省行为特征变化,可实现针对web入侵事件的快速和精准判断。
为了实现上述目的,本发明提出了一种针对web入侵事件的分析和判断方法,对系统异常用户和通信IP、异常文件、异常进程和异常计划任务分别进行搜集和分析,判断系统是否存在异常行为,根据判断保存异常信息,包括:
通过遍历已创建用户列表、登录过本系统的所有用户信息、最近一次登录信息以及错误的登录列表获取系统异常用户信息;通过获取root用户登录时的源IP地址对通信IP搜集获取异常登录用户;
对异常文件进行搜寻和分析,获取敏感目录文件、新增文件和特殊权限的文件的信息;
对异常进程进行搜寻和分析;获取系统所有进程,通过白名单过滤记录异常进程和异常通信端口;
遍历系统计划任务列表,通过白名单过滤记录找到异常计划任务和异常启动项。
进一步的,所述通过遍历已创建用户列表、登录过本系统的所有用户信息、最近一次登录信息以及错误的登录列表获取系统异常用户信息;通过获取root用户登录时的源IP地址对通信IP搜集获取异常登录用户,包括:
遍历已创建用户列表,通过分析UID为0用户,创建UID为0的用户白名单,记录不在白名单中的用户;创建shell权限用户白名单,记录不在白名单中的用户;分析所有用户sudo授权信息,记录无需密码就执行root+命令的用户;
遍历登录过本系统的用户信息,统计系统所有用户的登录时间和信息,通过安全事件时间反推,确认接近安全事件时间的用户信息,过滤掉用户白名单中的用户后保存;
遍历系统所有用户的最近一次登录信息,确认用户白名单中不可登录的用户是否登陆过,记录登录用户名;
遍历系统所有用户错误的登录列表,对同一类数据登录用户进行聚合统计排序;
获取root用户登录时的源IP地址,通过白名单过滤,记录有异常ssh登录,通过同类型业务聚类,记录超范围访问IP;遍历root用户公钥登录时公钥信息,根据白名单过滤root下公钥用户,记录异常的用户,在同类数据中聚合统计,记录超过范围的异常公钥用户。
进一步的,所述对异常文件进行搜寻和分析,获取敏感目录文件、新增文件和特殊权限的文件的信息包括:
使用stat指令针对可疑文件进行创建、修改时间和访问时间的分析,若修改时间距离事件日期接近且有线性关联,则文件被篡改,记录可疑文件相关信息;
通过安全事件时间反推,确认接近安全事件时间的新增文件,并记录新增文件相关信息;
通过遍历目录,查找777权限文件并记录特殊权限文件。
进一步的,所述对异常进程进行搜寻和分析;获取系统所有进程,通过白名单过滤记录异常进程和异常通信端口包括;
获取系统所有进程,根据白名单过滤记录父进程为1的异常进程、记录cpu和内存占用高的恶意进程、无父进程的孤立进程、已处于deleted状态的异常进程,通过对比不同方式下获取的进程数是否相等来判断是否有正在运行的进程被隐藏;
通过白名单过滤记录可疑的具有suid权限的可执行文件,已处于deleted状态的异常进程;对可疑进程文件执行MD5计算并和已知MD5值作对比,判断文件是否被替换;
查看所有开放的端口,通过白名单过滤记录异常通信端口。
进一步的,所述遍历系统计划任务列表,通过白名单过滤记录找到异常计划任务和异常启动项,包括:
遍历系统计划任务列表,通过白名单过滤记录找到异常的计划任务;
遍历系统自启动项,通过白名单过滤发现异常启动项。
本发明还提出了一种针对web入侵事件的分析和判断系统,包括:异常用户搜寻分析模块、异常文件搜寻分析模块、异常进程搜寻分析模块、异常计划搜寻分析模块和记录保存异常信息模块;
所述异常用户搜寻分析模块用于通过遍历已创建用户列表、登录过本系统的所有用户信息、最近一次登录信息以及错误的登录列表获取系统异常用户信息;通过获取root用户登录时的源IP地址对通信IP搜集获取异常登录用户;
所述异常文件搜寻分析模块用于对异常文件进行搜寻和分析,获取敏感目录文件、新增文件和特殊权限的文件的信息;
所述异常进程搜寻分析模块用于对异常进程进行搜寻和分析;获取系统所有进程,通过白名单过滤记录异常进程和异常通信端口;
所述异常计划搜寻分析模块用于遍历系统计划任务列表,通过白名单过滤记录找到异常计划任务和异常启动项;
所述记录保存异常信息模块用于保存异常信息,所述异常信息包括系统异常用户、异常通信IP、系统异常文件、异常进程和异常计划任务。
进一步的,所述异常用户搜寻分析模块包括第一异常用户搜寻分析模块、第二异常用户搜寻分析模块、第三异常用户搜寻分析模块、第四异常用户搜寻分析模块和通信IP搜寻分析模块;
所述第一异常用户搜寻分析模块用于遍历已创建用户列表,通过分析UID为0用户,创建UID为0的用户白名单,记录不在白名单中的用户;创建shell权限用户白名单,记录不在白名单中的用户;分析所有用户sudo授权信息,记录无需密码就执行root命令的用户;
所述第二异常用户搜寻分析模块用于遍历登录过本系统的用户信息,统计系统所有用户的登录时间和信息,通过安全事件时间反推,确认接近安全事件时间的用户信息,过滤掉用户白名单中的用户后保存;
所述第三异常用户搜寻分析模块用于遍历系统所有用户的最近一次登录信息,确认用户白名单中不可登录的用户是否登陆过,记录登录用户名;
第四异常用户搜寻分析模块用于遍历系统所有用户错误的登录列表,对同一类数据登录用户进行聚合统计排序;
所述通信IP搜寻分析模块用于获取root用户登录时的源IP地址,通过白名单过滤,记录有异常ssh登录,通过同类型业务聚类,记录超范围访问IP;遍历root用户公钥登录时公钥信息,根据白名单过滤root下公钥用户,记录异常的用户,在同类数据中聚合统计,记录超过范围的异常公钥用户。
进一步的,所述异常文件搜寻分析模块包括可疑文件搜寻分析模块、新增文件搜寻分析模块和特殊权限文件搜寻分析模块;
所述可疑文件搜寻分析模块用于使用stat指令针对可疑文件进行创建、修改时间和访问时间的分析,若修改时间距离事件日期接近且有线性关联,则文件被篡改,记录可疑文件相关信息;
所述新增文件搜寻分析模块用于通过安全事件时间反推,确认接近安全事件时间的新增文件,并记录新增文件相关信息;
所述特殊权限文件搜寻分析模块用于通过遍历目录,查找777权限文件并记录特殊权限文件。
进一步的,所述异常进程搜寻分析模块包括获取模块、判断模块和记录模块;
所述获取模块用于获取系统所有进程,根据白名单过滤记录父进程为1的异常进程、记录cpu和内存占用高的恶意进程、无父进程的孤立进程、已处于deleted状态的异常进程,通过对比不同方式下获取的进程数是否相等来判断是否有正在运行的进程被隐藏;
所述判断模块用于通过白名单过滤记录可疑的具有suid权限的可执行文件,已处于deleted状态的异常进程;对可疑进程文件执行MD5计算并和已知MD5值作对比,判断文件是否被替换;
所述记录模块用于查看所有开放的端口,通过白名单过滤记录异常通信端口。
进一步的,所述异常计划搜寻分析模块包括搜寻异常计划任务模块和搜寻异常启动项模块;
所述搜寻异常计划任务模块用于遍历系统计划任务列表,通过白名单过滤记录找到异常的计划任务;
所述搜寻异常启动项模块用于遍历系统自启动项,通过白名单过滤发现异常启动项。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
本发明实施例提出了一种针对web入侵事件的分析和判断方法,对系统异常用户和通信IP、异常文件、异常进程和异常计划任务分别进行搜集和分析,判断系统是否存在异常行为,根据判断保存异常信息,该方法包括:通过遍历已创建用户列表、登录过本系统的所有用户信息、最近一次登录信息以及错误的登录列表获取系统异常用户信息;通过获取root用户登录时的源IP地址对通信IP搜集获取异常登录用户。对异常文件进行搜寻和分析,获取敏感目录文件、新增文件和特殊权限的文件的信息;使用stat指令针对可疑文件进行创建、修改时间和访问时间的分析,若修改时间距离事件日期接近且有线性关联,则文件被篡改,记录可疑文件相关信息;通过安全事件时间反推,确认接近安全事件时间的新增文件,并记录新增文件相关信息;通过遍历目录,查找777权限文件并记录特殊权限文件。对异常进程进行搜寻和分析;获取系统所有进程,通过白名单过滤记录异常进程和异常通信端口。遍历系统计划任务列表,通过白名单过滤记录找到异常计划任务和异常启动项。根据判断保存异常信息,其中异常信息包括系统异常用户、异常通信IP、系统异常文件、异常进程和异常计划任务等。基于本发明实施例1提出的一种针对web入侵事件的分析和判断方法,还提出了一种针对web入侵事件的分析和判断系统。本发明通过分析现有web入侵判断方法和攻击者实施web入侵特点,提出通过收集目标系统的信息,分析系统本身行为特征变化,如系统用户、通信IP、系统文件、进程和计划任务等变化,借助Python脚本实现系统异常信息自动化收集和初步分析,再结合人工进一步判断,可实现针对web入侵事件的快速和精准判断。
附图说明
如图1给出了本发明实施例1一种针对web入侵事件的分析和判断方法流程图;
如图2给出了本发明实施例1一种针对web入侵事件的分析和判断系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
实施例1
本发明实施例1提出了一种针对web入侵事件的分析和判断方法和系统。如图1所示,给出了一种针对web入侵事件的分析和判断方法;
在步骤S101中,开始处理该流程;
在步骤S102中,对系统异常用户和通信IP、异常文件、异常进程和异常计划任务分别进行搜集和分析,判断系统是否存在异常行为。
通过遍历已创建用户列表、登录过本系统的所有用户信息、最近一次登录信息以及错误的登录列表获取系统异常用户信息;通过获取root用户登录时的源IP地址对通信IP搜集获取异常登录用户,包括:遍历已创建用户列表,通过分析UID为0用户,创建UID为0的用户白名单,记录不在白名单中的用户;例如可通过/etc/passwd文件得到用户列表,然后通过python代码分析,得到异常用户;分析shell权限的帐号,创建shell权限用户白名单,记录不在白名单中的用户;分析所有用户sudo授权信息,记录无需密码就可以执行root命令的用户,例如可通过/etc/sudoers文件得到所有用户sudo授权信息。
遍历登录过本系统的用户信息,例如通过last指令分析,统计系统所有用户的登录时间和信息,包括系统曾经进行过重启操作的重启时间信息,获取用户成功登陆的时间点和在线时长,通过安全事件时间反推,确认接近安全事件时间的用户信息,过滤掉用户白名单中的用户后保存。
遍历系统所有用户的最近一次登录信息,如通过对lastlog指令内容分析,确认用户白名单中一般不可登录的用户是否曾经登陆过,记录登录用户名。
遍历系统所有用户错误的登录列表,如通过lastb指令分析,查找IP地址白名单以外的IP,对同一类数据登录用户进行聚合统计排序,若登录错误过多IP中存在登录成功情况,则记录该用户与IP。
获取root用户登录时的源IP地址,如分析文件/root/.ssh/known_hosts,通过白名单过滤,记录有异常ssh登录,通过同类型业务聚类,记录超范围访问IP;遍历root用户公钥登录时公钥信息,如分析文件/root/.ssh/authorized_keys,根据白名单过滤root下公钥用户,记录异常的用户,在同类数据中聚合统计,记录超过范围的异常公钥用户。
对异常文件进行搜寻和分析,获取敏感目录文件、新增文件和特殊权限的文件的信息包括:Linux系统文件多,针对特定目录执行深度分析,可缩短检测时间,提升检测效率。查看/tmp、/init.d、/usr/bin、/usr/sbin等敏感目录有无可疑的文件,使用stat指令针对可疑的文件进行创建、修改时间和访问时间的详细分析,若修改时间距离事件日期接近,有线性关联,说明可能被篡改,记录文件相关信息。
Web入侵通常会创建后门,而很多后门都会创建出很多文件,通过安全事件时间反推,确认接近安全事件时间的新增文件,并记录文件相关信息。
攻击者实施web入侵,通常会拿到shell权限,执行文件操作,必然会修改文件权限。具有777权限的文件,通常存在安全风险,通过遍历目录,查找777权限文件并记录。如通过find指令find/tmp*.jsp-perm4777确认/tmp目录下具有777权限文件。
对异常进程进行搜寻和分析;获取系统所有进程,通过白名单过滤记录异常进程和异常通信端口包括:获取系统所有进程,如通过对ps指令内容分析,根据白名单过滤记录父进程为1的异常进程,记录cpu和内存占用高的恶意进程、无父进程的孤立进程、已处于deleted状态的异常进程;采用多种方式获取系统进程,通过对比不同方式下获取的进程数是否相等来判断是否有正在运行的进程被隐藏。
通过白名单过滤记录可疑的具有suid权限的可执行文件,已处于deleted状态的异常进程;对可疑进程文件执行MD5计算并和已知MD5值作对比,判断文件是否被替换。
查看所有开放的端口,通过白名单过滤记录异常通信端口,可以配合netstat和lsof指令,通过对获取的数据对比分析发现异常端口和连接。
遍历系统计划任务列表,通过白名单过滤记录找到异常计划任务和异常启动项包括:遍历系统计划任务列表,如通过对文件/etc/cron.d/内容分析,通过白名单过滤记录找到异常的计划任务;遍历系统自启动项,如通过对systemctl list-unit-files指令内容的分析,通过白名单过滤发现异常启动项。
在步骤S103中,根据判断保存异常信息,其中异常信息包括系统异常用户、异常通信IP、系统异常文件、异常进程和异常计划任务等。
在步骤S104中,流程结束。
基于发明实施例1提出的一种针对web入侵事件的分析和判断方法,如图2所示,给出了一种针对web入侵事件的分析和判断系统。异常用户搜寻分析模块、异常文件搜寻分析模块、异常进程搜寻分析模块和异常计划搜寻分析模块和记录保存异常信息模块。
异常用户搜寻分析模块用于通过遍历已创建用户列表、登录过本系统的所有用户信息、最近一次登录信息以及错误的登录列表获取系统异常用户信息;通过获取root用户登录时的源IP地址对通信IP搜集获取异常登录用户。
异常文件搜寻分析模块用于对异常文件进行搜寻和分析,获取敏感目录文件、新增文件和特殊权限的文件的信息。
异常进程搜寻分析模块用于对异常进程进行搜寻和分析;获取系统所有进程,通过白名单过滤记录异常进程和异常通信端口。
异常计划搜寻分析模块用于遍历系统计划任务列表,通过白名单过滤记录找到异常计划任务和异常启动项;
记录保存异常信息模块用于保存异常信息,其中异常信息包括系统异常用户、异常通信IP、系统异常文件、异常进程和异常计划任务。
其中,异常用户搜寻分析模块包括第一异常用户搜寻分析模块、第二异常用户搜寻分析模块、第三异常用户搜寻分析模块、第四异常用户搜寻分析模块和通信IP搜寻分析模块。
第一异常用户搜寻分析模块用于遍历已创建用户列表,通过分析UID为0用户,创建UID为0的用户白名单,记录不在白名单中的用户;例如可通过/etc/passwd文件得到用户列表,然后通过python代码分析,得到异常用户;分析shell权限的帐号,创建shell权限用户白名单,记录不在白名单中的用户;分析所有用户sudo授权信息,记录无需密码就可以执行root命令的用户,例如可通过/etc/sudoers文件得到所有用户sudo授权信息。
第二异常用户搜寻分析模块通过遍历登录过本系统的用户信息,例如通过last指令分析,统计系统所有用户的登录时间和信息,包括系统曾经进行过重启操作的重启时间信息,获取用户成功登陆的时间点和在线时长,通过安全事件时间反推,确认接近安全事件时间的用户信息,过滤掉用户白名单中的用户后保存。
第三异常用户搜寻分析模块用于遍历系统所有用户的最近一次登录信息,如通过对lastlog指令内容分析,确认用户白名单中一般不可登录的用户是否曾经登陆过,记录登录用户名。
第四异常用户搜寻分析模块用于遍历系统所有用户错误的登录列表,如通过lastb指令分析,查找IP地址白名单以外的IP,对同一类数据登录用户进行聚合统计排序,若登录错误过多IP中存在登录成功情况,则记录该用户与IP。
通信IP搜寻分析模块用于获取root用户登录时的源IP地址,如分析文件/root/.ssh/known_hosts,通过白名单过滤,记录有异常ssh登录,通过同类型业务聚类,记录超范围访问IP;遍历root用户公钥登录时公钥信息,如分析文件/root/.ssh/authorized_keys,根据白名单过滤root下公钥用户,记录异常的用户,在同类数据中聚合统计,记录超过范围的异常公钥用户。
异常文件搜寻分析模块包括可疑文件搜寻分析模块、新增文件搜寻分析模块和特殊权限文件搜寻分析模块。
Linux系统文件多,针对特定目录执行深度分析,可缩短检测时间,提升检测效率。查看/tmp、/init.d、/usr/bin、/usr/sbin等敏感目录有无可疑的文件,可疑文件搜寻分析模块用于使用stat指令针对可疑的文件进行创建、修改时间和访问时间的详细分析,若修改时间距离事件日期接近,有线性关联,说明可能被篡改,记录文件相关信息。
Web入侵通常会创建后门,而很多后门都会创建出很多文件,新增文件搜寻分析模块用于通过安全事件时间反推,确认接近安全事件时间的新增文件,并记录文件相关信息。
攻击者实施web入侵,通常会拿到shell权限,执行文件操作,必然会修改文件权限。具有777权限的文件,通常存在安全风险,特殊权限文件搜寻分析模块用于通过遍历目录,查找777权限文件并记录。如通过find指令find/tmp*.jsp-perm4777确认/tmp目录下具有777权限文件。
异常进程搜寻分析模块包括获取模块、判断模块和记录模块。
获取模块用于获取系统所有进程,根据白名单过滤记录父进程为1的异常进程、记录cpu和内存占用高的恶意进程、无父进程的孤立进程、已处于deleted状态的异常进程,通过对比不同方式下获取的进程数是否相等来判断是否有正在运行的进程被隐藏。
判断模块用于通过白名单过滤记录可疑的具有suid权限的可执行文件,已处于deleted状态的异常进程;对可疑进程文件执行MD5计算并和已知MD5值作对比,判断文件是否被替换。
记录模块用于查看所有开放的端口,可以配合netstat和lsof指令,通过对获取的数据对比分析发现异常端口和连接。
异常计划搜寻分析模块包括搜寻异常计划任务模块和搜寻异常启动项模块。搜寻异常计划任务模块用于遍历系统计划任务列表,通过白名单过滤记录找到异常的计划任务。
搜寻异常启动项模块用于遍历系统自启动项,通过白名单过滤发现异常启动项。
以上内容仅仅是对本发明的结构所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。

Claims (10)

1.一种针对web入侵事件的分析和判断方法,其特征在于,对系统异常用户和通信IP、异常文件、异常进程和异常计划任务分别进行搜集和分析,判断系统是否存在异常行为,根据判断保存异常信息;包括:
通过遍历已创建用户列表、登录过本系统的所有用户信息、最近一次登录信息以及错误的登录列表获取系统异常用户信息;通过获取root用户登录时的源IP地址对通信IP搜集获取异常登录用户;
对异常文件进行搜寻和分析,获取敏感目录文件、新增文件和特殊权限的文件的信息;
对异常进程进行搜寻和分析;获取系统所有进程,通过白名单过滤记录异常进程和异常通信端口;
遍历系统计划任务列表,通过白名单过滤记录找到异常计划任务和异常启动项。
2.根据权利要求1所述的一种针对web入侵事件的分析和判断方法,其特征在于,所述通过遍历已创建用户列表、登录过本系统的所有用户信息、最近一次登录信息以及错误的登录列表获取系统异常用户信息;通过获取root用户登录时的源IP地址对通信IP搜集获取异常登录用户,包括:
遍历已创建用户列表,通过分析UID为0用户,创建UID为0的用户白名单,记录不在白名单中的用户;创建shell权限用户白名单,记录不在白名单中的用户;分析所有用户sudo授权信息,记录无需密码就执行root+命令的用户;
遍历登录过本系统的用户信息,统计系统所有用户的登录时间和信息,通过安全事件时间反推,确认接近安全事件时间的用户信息,过滤掉用户白名单中的用户后保存;
遍历系统所有用户的最近一次登录信息,确认用户白名单中不可登录的用户是否登陆过,记录登录用户名;
遍历系统所有用户错误的登录列表,对同一类数据登录用户进行聚合统计排序;
获取root用户登录时的源IP地址,通过白名单过滤,记录有异常ssh登录,通过同类型业务聚类,记录超范围访问IP;遍历root用户公钥登录时公钥信息,根据白名单过滤root下公钥用户,记录异常的用户,在同类数据中聚合统计,记录超过范围的异常公钥用户。
3.根据权利要求1所述的一种针对web入侵事件的分析和判断方法,其特征在于,所述对异常文件进行搜寻和分析,获取敏感目录文件、新增文件和特殊权限的文件的信息包括:
使用stat指令针对可疑文件进行创建、修改时间和访问时间的分析,若修改时间距离事件日期接近且有线性关联,则文件被篡改,记录可疑文件相关信息;
通过安全事件时间反推,确认接近安全事件时间的新增文件,并记录新增文件相关信息;
通过遍历目录,查找777权限文件并记录特殊权限文件。
4.根据权利要求1所述的一种针对web入侵事件的分析和判断方法,其特征在于,所述对异常进程进行搜寻和分析;获取系统所有进程,通过白名单过滤记录异常进程和异常通信端口包括;
获取系统所有进程,根据白名单过滤记录父进程为1的异常进程、记录cpu和内存占用高的恶意进程、无父进程的孤立进程、已处于deleted状态的异常进程,通过对比不同方式下获取的进程数是否相等来判断是否有正在运行的进程被隐藏;
通过白名单过滤记录可疑的具有suid权限的可执行文件,已处于deleted状态的异常进程;对可疑进程文件执行MD5计算并和已知MD5值作对比,判断文件是否被替换;
查看所有开放的端口,通过白名单过滤记录异常通信端口。
5.根据权利要求1所述的一种针对web入侵事件的分析和判断方法,其特征在于,所述遍历系统计划任务列表,通过白名单过滤记录找到异常计划任务和异常启动项,包括:
遍历系统计划任务列表,通过白名单过滤记录找到异常的计划任务;
遍历系统自启动项,通过白名单过滤发现异常启动项。
6.一种针对web入侵事件的分析和判断系统,其特征在于,包括:
异常用户搜寻分析模块、异常文件搜寻分析模块、异常进程搜寻分析模块、异常计划搜寻分析模块和记录保存异常信息模块;
所述异常用户搜寻分析模块用于通过遍历已创建用户列表、登录过本系统的所有用户信息、最近一次登录信息以及错误的登录列表获取系统异常用户信息;通过获取root用户登录时的源IP地址对通信IP搜集获取异常登录用户;
所述异常文件搜寻分析模块用于对异常文件进行搜寻和分析,获取敏感目录文件、新增文件和特殊权限的文件的信息;
所述异常进程搜寻分析模块用于对异常进程进行搜寻和分析;获取系统所有进程,通过白名单过滤记录异常进程和异常通信端口;
所述异常计划搜寻分析模块用于遍历系统计划任务列表,通过白名单过滤记录找到异常计划任务和异常启动项;
所述记录保存异常信息模块用于保存异常信息,所述异常信息包括系统异常用户、异常通信IP、系统异常文件、异常进程和异常计划任务。
7.根据权利要求6所述的一种针对web入侵事件的分析和判断系统,其特征在于,所述异常用户搜寻分析模块包括第一异常用户搜寻分析模块、第二异常用户搜寻分析模块、第三异常用户搜寻分析模块、第四异常用户搜寻分析模块和通信IP搜寻分析模块;
所述第一异常用户搜寻分析模块用于遍历已创建用户列表,通过分析UID为0用户,创建UID为0的用户白名单,记录不在白名单中的用户;创建shell权限用户白名单,记录不在白名单中的用户;分析所有用户sudo授权信息,记录无需密码就执行root命令的用户;
所述第二异常用户搜寻分析模块用于遍历登录过本系统的用户信息,统计系统所有用户的登录时间和信息,通过安全事件时间反推,确认接近安全事件时间的用户信息,过滤掉用户白名单中的用户后保存;
所述第三异常用户搜寻分析模块用于遍历系统所有用户的最近一次登录信息,确认用户白名单中不可登录的用户是否登陆过,记录登录用户名;
第四异常用户搜寻分析模块用于遍历系统所有用户错误的登录列表,对同一类数据登录用户进行聚合统计排序;
所述通信IP搜寻分析模块用于获取root用户登录时的源IP地址,通过白名单过滤,记录有异常ssh登录,通过同类型业务聚类,记录超范围访问IP;遍历root用户公钥登录时公钥信息,根据白名单过滤root下公钥用户,记录异常的用户,在同类数据中聚合统计,记录超过范围的异常公钥用户。
8.根据权利要求6所述的一种针对web入侵事件的分析和判断系统,其特征在于,所述异常文件搜寻分析模块包括可疑文件搜寻分析模块、新增文件搜寻分析模块和特殊权限文件搜寻分析模块;
所述可疑文件搜寻分析模块用于使用stat指令针对可疑文件进行创建、修改时间和访问时间的分析,若修改时间距离事件日期接近且有线性关联,则文件被篡改,记录可疑文件相关信息;
所述新增文件搜寻分析模块用于通过安全事件时间反推,确认接近安全事件时间的新增文件,并记录新增文件相关信息;
所述特殊权限文件搜寻分析模块用于通过遍历目录,查找777权限文件并记录特殊权限文件。
9.根据权利要求6所述的一种针对web入侵事件的分析和判断系统,其特征在于,所述异常进程搜寻分析模块包括获取模块、判断模块和记录模块;
所述获取模块用于获取系统所有进程,根据白名单过滤记录父进程为1的异常进程、记录cpu和内存占用高的恶意进程、无父进程的孤立进程、已处于deleted状态的异常进程,通过对比不同方式下获取的进程数是否相等来判断是否有正在运行的进程被隐藏;
所述判断模块用于通过白名单过滤记录可疑的具有suid权限的可执行文件,已处于deleted状态的异常进程;对可疑进程文件执行MD5计算并和已知MD5值作对比,判断文件是否被替换;
所述记录模块用于查看所有开放的端口,通过白名单过滤记录异常通信端口。
10.根据权利要求6所述的一种针对web入侵事件的分析和判断系统,其特征在于,所述异常计划搜寻分析模块包括搜寻异常计划任务模块和搜寻异常启动项模块;
所述搜寻异常计划任务模块用于遍历系统计划任务列表,通过白名单过滤记录找到异常的计划任务;
所述搜寻异常启动项模块用于遍历系统自启动项,通过白名单过滤发现异常启动项。
CN201910793981.2A 2019-08-27 2019-08-27 一种针对web入侵事件的分析和判断方法及系统 Pending CN110619209A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910793981.2A CN110619209A (zh) 2019-08-27 2019-08-27 一种针对web入侵事件的分析和判断方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910793981.2A CN110619209A (zh) 2019-08-27 2019-08-27 一种针对web入侵事件的分析和判断方法及系统

Publications (1)

Publication Number Publication Date
CN110619209A true CN110619209A (zh) 2019-12-27

Family

ID=68922045

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910793981.2A Pending CN110619209A (zh) 2019-08-27 2019-08-27 一种针对web入侵事件的分析和判断方法及系统

Country Status (1)

Country Link
CN (1) CN110619209A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112363983A (zh) * 2020-11-10 2021-02-12 北京思特奇信息技术股份有限公司 一种集群主机的文件核查方法和系统
CN114676429A (zh) * 2022-03-18 2022-06-28 山东鼎夏智能科技有限公司 一种启动项未知风险的检测方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105912945A (zh) * 2016-04-05 2016-08-31 浪潮电子信息产业股份有限公司 一种操作系统安全加固装置及运行方法
CN109325346A (zh) * 2018-09-06 2019-02-12 郑州云海信息技术有限公司 一种基于Linux系统的入侵检测方法
CN110099060A (zh) * 2019-05-07 2019-08-06 瑞森网安(福建)信息科技有限公司 一种网络信息安全保护方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105912945A (zh) * 2016-04-05 2016-08-31 浪潮电子信息产业股份有限公司 一种操作系统安全加固装置及运行方法
CN109325346A (zh) * 2018-09-06 2019-02-12 郑州云海信息技术有限公司 一种基于Linux系统的入侵检测方法
CN110099060A (zh) * 2019-05-07 2019-08-06 瑞森网安(福建)信息科技有限公司 一种网络信息安全保护方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
极客安全: "Linux入侵检测", 《HTTPS://BLOG.CSDN.NET/U011696312/ARTICLE/DETAILS/88544723?UTM_MEDIUM=DISTRIBUTE.PC_RELEVANT.NONE-TASK-BLOG-OPENSEARCH-1.CONTROL&DEPTH_1-UTM_SOURCE=DISTRIBUTE.PC_RELEVANT.NONE-TASK-BLOG-OPENSEARCH-1.CONTROL》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112363983A (zh) * 2020-11-10 2021-02-12 北京思特奇信息技术股份有限公司 一种集群主机的文件核查方法和系统
CN114676429A (zh) * 2022-03-18 2022-06-28 山东鼎夏智能科技有限公司 一种启动项未知风险的检测方法及装置

Similar Documents

Publication Publication Date Title
US11916944B2 (en) Network anomaly detection and profiling
US10686829B2 (en) Identifying changes in use of user credentials
US10491630B2 (en) System and method for providing data-driven user authentication misuse detection
US7904456B2 (en) Security monitoring tool for computer network
US6347374B1 (en) Event detection
CN113486351A (zh) 一种民航空管网络安全检测预警平台
KR101676366B1 (ko) 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법
US20180309772A1 (en) Method and device for automatically verifying security event
CN108989150A (zh) 一种登录异常检测方法及装置
US20090164517A1 (en) Automated forensic document signatures
CN110417718B (zh) 处理网站中的风险数据的方法、装置、设备及存储介质
CN110535806B (zh) 监测异常网站的方法、装置、设备和计算机存储介质
CN103428196A (zh) 一种基于url白名单的web应用入侵检测方法和装置
CN111212053A (zh) 一种面向工控蜜罐的同源攻击分析方法
RU2722693C1 (ru) Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
CN113132311A (zh) 异常访问检测方法、装置和设备
CN107846389B (zh) 基于用户主客观数据融合的内部威胁检测方法及系统
CN114389871A (zh) 一种账号异常登录自动分析方法和装置
CN110619209A (zh) 一种针对web入侵事件的分析和判断方法及系统
US7451145B1 (en) Method and apparatus for recursively analyzing log file data in a network
CN112699369A (zh) 一种通过栈回溯检测异常登录的方法及装置
Abbott et al. Automated recognition of event scenarios for digital forensics
US20140247728A1 (en) System and method for network access monitoring
EP3809298A1 (en) System for performing bi-directional inquiry, comparison and tracking on security policies and audit logs, and method therefor

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191227

RJ01 Rejection of invention patent application after publication