CN111031025A - 一种自动化检测验证Webshell的方法及装置 - Google Patents

一种自动化检测验证Webshell的方法及装置 Download PDF

Info

Publication number
CN111031025A
CN111031025A CN201911245952.9A CN201911245952A CN111031025A CN 111031025 A CN111031025 A CN 111031025A CN 201911245952 A CN201911245952 A CN 201911245952A CN 111031025 A CN111031025 A CN 111031025A
Authority
CN
China
Prior art keywords
webshell
module
verifying
record
screening
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911245952.9A
Other languages
English (en)
Other versions
CN111031025B (zh
Inventor
李铭晖
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911245952.9A priority Critical patent/CN111031025B/zh
Publication of CN111031025A publication Critical patent/CN111031025A/zh
Application granted granted Critical
Publication of CN111031025B publication Critical patent/CN111031025B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种自动化检测验证Webshell的方法及装置,用户端部署,以原始安全事件筛选模块以预设条件进行查询,将需要进一步检测分析的内容输出并存至本地,自动化爬虫验证模块对内容进行检查、筛选,访问规律分析模块获得更新结果后查询和统计,筛选记录,风险分值评估模块计算每条记录的风险分值、排序,结束模块输出验证为可疑Webshell的结果。本发明提高审计效率,对不同厂商、设备的告警进行处理,网络安全知识掌握较少的人员也可以完成;快速筛选验证可疑网站目录,输出置信度较高的Webshell地址;配置容易,条件灵活,可根据实际差异调整,可联动不同类型的日志和告警,大幅提升审计效率。

Description

一种自动化检测验证Webshell的方法及装置
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种自动化检测验证Webshell的方法及装置。
背景技术
Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,在云互联网时代通常被黑客用作入侵网站服务器的后门工具。黑客成功入侵服务器后,为了维持对服务器的控制或为了进行深度操作,通常会上传Webshell文件至后台,之后就可以通过访问该Webshell资源作为渗透的入口。
通常来说,黑客进行网络攻击、上传Webshell后,为了隐藏,会进行混淆,使得真实的Webshell表现为如下特点:
1、资源文件名进行伪装,尽量使其与正常网站资源相似,如index1.php、login.aspx等,防止被网站运维管理员发现及删除;
2、部分Webshell资源无法通过直接访问得到,其会返回一些无意义的字符,只有使用特殊的请求方法才能利用;
3、黑客完成某些攻击阶段后,会主动删除后门文件,以防后期被检测发现。
因此,检测Webshell需要从多个维度进行判别,不仅需要对实时流量进行分析,后期动态审计也是重要的复盘、验证过程。
现有的各网络安全公司和厂商对Webshell的检测均各有一套技术,但是在实际中的困难和误差主要表现如下:
1、各厂商的实现逻辑各有差异,在现实中上线后经常会产生大量告警,真实的Webshell威胁会被淹没在其中,网站运维管理员从中筛查的效率差,且没有网络安全知识的人员很难进行分析;
2、黑客为了防止Webshell被安防设备发现,可能会对其进行加密处理,相关远控指令会以密文的形式进行传递,大大减少被检测的概率;
3、部分业务系统在开发时存在代码不规范的问题,可能会被误判;
4、不同厂商的安全设备各自独立,彼此之间无法进行联动。
基于上述困难和误差,在广域的互联网下构建一个可以多维分析、共享联动的检测Webshell的体系非常重要。
发明内容
本发明解决了现有技术中存在的问题,提供了一种优化的自动化检测验证Webshell的方法及装置。
本发明所采用的技术方案是,一种自动化检测验证Webshell的方法,所述方法包括以下步骤:
步骤1:在用户端部署系统,开始检测;
步骤2:原始安全事件筛选模块以预设条件进行查询,筛选得到需要进一步检测分析的内容输出并存储到本地;
步骤3:保持网络可达,自动化爬虫验证模块对步骤2存储到本地的内容进行逐条检查、筛选,更新;
步骤4:访问规律分析模块获得步骤3更新的结果,逐条进行查询和统计,筛选记录,将正常资源触发的误报筛除;
步骤5:风险分值评估模块计算每条记录的风险分值,将分值自高至低排序;
步骤6:结束模块输出分值高于阈值分值的记录,作为验证为可疑Webshell的结果。
优选地,所述步骤2包括以下步骤:
步骤2.1:所述原始安全事件筛选模块在安全设备产生的原始告警中以预设条件进行查询;
步骤2.2:对查询后的结果进行过滤,过滤掉Http头中包含referer或源地址为内网的记录,得到需要进一步检测分析的内容;
步骤2.3:对过滤后的内容以预设的格式存储至本地。
优选地,所述步骤2.1中,预设条件为返回码为200且URL资源后缀名为服务器架构后缀名。
优选地,所述步骤3中,自动化爬虫验证模块的工作包括以下步骤:
步骤3.1:读取步骤2输出的内容,采集并且拼接为合法URI;
步骤3.2:使用自动化爬虫请求验证,标记每一条记录的返回结果;
步骤3.3:筛去无法访问、过期的资源,保留URL可达的记录;
步骤3.4:更新结果。
优选地,所述步骤3.3中,无法访问、过期的资源包括删除返回码为4或3开头、或返回内容中包括错误信息、或返回内容中包含安全防火墙拦截关键字的条目。
优选地,所述步骤4中,将步骤3更新的结果以每条记录中的URL为条件,逐条在流量探针或访问日志存储系统的原始访问记录中进行查询和统计,将访问量超过阈值的记录判定为误报记录,进行筛除,得到筛选记录。
优选地,若任一URL的源IP访问量小于阈值,标记为可疑。
优选地,所述步骤5包括以下步骤:
步骤5.1:风险分值评估模块基于分析指标,在安全设备的告警集合中进行检索;
步骤5.2:对于发现的告警记录,基于告警记录的类型附以对应的标记分,所有类型只附分一次;
步骤5.3:计算每条记录的总风险分值,将分值自高至低排序;分值为新标签,更新到每条记录中。
优选地,所述步骤5.1中,分析指标为对每个攻击阶段及其对应分值的预定义。
一种采用自动化检测验证Webshell的方法的装置,所述装置包括:
一原始安全事件筛选模块,用于对原始安全事件进行初步筛选和过滤;
一自动化爬虫验证模块,用于检查资源是否合法且可到达;
一访问规律分析模块,用于统计任一资源的访问频次,筛选正常资源触发的误报;
一风险分值计算模块,用于计算疑似Webshell资源的危险分;
一结束模块,用于输出最终的Webshell判别结果。
本发明提供了一种优化的自动化检测验证Webshell的方法及装置,通过在用户端部署系统,开始检测,以原始安全事件筛选模块以预设条件进行查询,筛选得到需要进一步检测分析的内容输出并存储到本地,保持网络可达,自动化爬虫验证模块对存储到本地的内容进行逐条检查、筛选,更新,访问规律分析模块获得更新的结果,逐条进行查询和统计,筛选记录,将正常资源触发的误报筛除,风险分值评估模块计算每条记录的风险分值,将分值自高至低排序,最后由结束模块输出分值高于阈值分值的记录,作为验证为可疑Webshell的结果。
本发明可以大幅度提高网站运维管理员的审计效率,同时对不同厂商、设备的告警进行处理,网络安全知识掌握较少的人员也可以完成巡检;相当于对一般安全设备的Webshell告警进行了二次分析,在一定程度上缓解实际环境中告警量大、类型多、误报多的问题,快速筛选验证可疑的网站目录,输出置信度较高的Webshell地址;配置容易,条件灵活,使用时可根据实际差异进行调整,可以联动各不同类型的日志和告警,大幅度提升审计效率。
附图说明
图1为本发明的方法流程图;
图2为本发明的结构示意图,其中,箭头表示信息传输的方向。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种自动化检测验证Webshell的方法,所述方法包括以下步骤。
步骤1:在用户端部署系统,开始检测。
步骤2:原始安全事件筛选模块以预设条件进行查询,筛选得到需要进一步检测分析的内容输出并存储到本地。
所述步骤2包括以下步骤:
步骤2.1:所述原始安全事件筛选模块在安全设备产生的原始告警中以预设条件进行查询;
所述步骤2.1中,预设条件为返回码为200且URL资源后缀名为服务器架构后缀名。
步骤2.2:对查询后的结果进行过滤,过滤掉Http头中包含referer或源地址为内网的记录,得到需要进一步检测分析的内容;
步骤2.3:对过滤后的内容以预设的格式存储至本地。
本发明中,后缀名为服务器架构后缀的记录,其后缀名通常包括但不限于php、php3、php4、php5、phtml、pht、asp、aspx、ashx、asa、asax、jsp、jspx、cer、cdx、py。
本发明中,预设格式一般为json、xml等。
步骤3:保持网络可达,自动化爬虫验证模块对步骤2存储到本地的内容进行逐条检查、筛选,更新。
所述步骤3中,自动化爬虫验证模块的工作包括以下步骤:
步骤3.1:读取步骤2输出的内容,采集并且拼接为合法URI;
步骤3.2:使用自动化爬虫请求验证,标记每一条记录的返回结果;
步骤3.3:筛去无法访问、过期的资源,保留URL可达的记录;
所述步骤3.3中,无法访问、过期的资源包括删除返回码为4或3开头、或返回内容中包括错误信息、或返回内容中包含安全防火墙拦截关键字的条目。
步骤3.4:更新结果。
本发明中,步骤3.1中以步骤2输出的内容拼接成合法URI是指域名与URL的拼接;举例来说,记录条目中域名为www.baidu.com,URL为/login.jsp,则,拼接后的URI为http://www.baidu.com/login.jsp。
本发明中,步骤3.3中,每条记录中仅有一个URL,保留URL可达的记录指保留条目本身,若某个URL合法且可达,则整个条目保留。
本发明中,步骤3.3中,包含安全防火墙拦截关键字的条目是指通常被网络防火墙拦截的资源会显示拦截关键字,例如“请求已被XX厂商防火墙阻断”。
步骤4:访问规律分析模块获得步骤3更新的结果,逐条进行查询和统计,筛选记录,将正常资源触发的误报筛除。
所述步骤4中,将步骤3更新的结果以每条记录中的URL为条件,逐条在流量探针或访问日志存储系统的原始访问记录中进行查询和统计,将访问量超过阈值的记录判定为误报记录,进行筛除,得到筛选记录。
若任一URL的源IP访问量小于阈值,标记为可疑。
本发明中,最初的步骤中,在告警中进行记录的查询统计,步骤4则是在所有的原始访问记录中进行筛选统计,因为告警只有孤立且数量少的条目,而统计该用户的访问规律则需要溯源至服务器的原始访问日志。
本发明中,步骤4的阈值可以根据实际的数据时间范围进行调整,如10。
步骤5:风险分值评估模块计算每条记录的风险分值,将分值自高至低排序。
所述步骤5包括以下步骤:
步骤5.1:风险分值评估模块基于分析指标,在安全设备的告警集合中进行检索;
所述步骤5.1中,分析指标为对每个攻击阶段及其对应分值的预定义。
步骤5.2:对于发现的告警记录,基于告警记录的类型附以对应的标记分,所有类型只附分一次;
步骤5.3:计算每条记录的总风险分值,将分值自高至低排序;分值为新标签,更新到每条记录中。
本发明中,分析指标只基于严重程度对每个攻击阶段及其对应分值的预定义。
本发明中,具体来说,当发现信息收集类的告警记录时计1分、扫描探测类告警记录计1分、漏洞利用类告警记录计2分、文件上传成功的告警记录计4分、Webshell连接告警记录计3分、后渗透过程类告警记录计8分;在给与相应标记计分的同时,每种类型的告警记录只计分一次,不重复叠加。
步骤6:结束模块输出分值高于阈值分值的记录,作为验证为可疑Webshell的结果。
本发明中,基于上述的实施例,一般来说,当最终结果高于7分时,可以判定为可疑Webshell的结果,当然,此分值可以根据实际情况进行调整。
一种采用自动化检测验证Webshell的方法的装置,所述装置包括:
一原始安全事件筛选模块,用于对原始安全事件进行初步筛选和过滤;
一自动化爬虫验证模块,用于检查资源是否合法且可到达;
一访问规律分析模块,用于统计任一资源的访问频次,筛选正常资源触发的误报;
一风险分值计算模块,用于计算疑似Webshell资源的危险分;
一结束模块,用于输出最终的Webshell判别结果。
本发明中,基于各个模块,给出一个实施例。
假设给定一组安全设备原始告警,原始安全事件筛选模块查询请求,获取到表1结果,共计12个;
表1:原始安全事件筛选模块对原始安全事件进行初步筛选的结果
Figure BDA0002307636600000061
Figure BDA0002307636600000071
根据条件,告警1、告警5、告警6分别因为返回码、资源类型、http-referer原因,需要过滤,得到如下输出,选取合适格式存储至本地,得到表2结果,共计9个;
表2:原始安全事件筛选模块对原始安全事件进行过滤的结果
Figure BDA0002307636600000072
以自动化爬虫验证模块检查资源是否合法且可到达,得到表3结果;
表3:自动化爬虫验证模块检查资源后的结果
Figure BDA0002307636600000073
Figure BDA0002307636600000081
基于表3的结果进行筛选,得到表4,共计7个;
表4:基于自动化爬虫验证模块筛选后的结果
Figure BDA0002307636600000082
取输出结果中每个条目的URL作为条件,在安全设备的告警集合中进行检索,统计访问IP数量如表5;
表5:访问规律分析模块逐条查询和统计的结果
序号 URL 请求源地址数量 标记
告警2 www.bbb.cn/api.php 305 误报
告警3 www.ccc.cn/_js/application/spjspshell.jsp 2 可疑
告警4 www.ddd.cn/config.php 4 可疑
告警9 www.iii.cn/rich/getdoc/?p=phpspy2010.php 1 可疑
告警10 www.jjj.com/login.php 1095 误报
告警11 www.kkk.cn/api.php 1 可疑
告警12 www.lll.cn/config.inc.php 2 可疑
对于表5的结果,基于访问规律分析模块的工作原理进行筛选,得到的结果如表6,共计5个;
表6:访问规律分析模块筛选后的结果
Figure BDA0002307636600000083
风险分值评估模块基于分析指标,进行风险分值计算,结果如表7;
表7:风险分值评估模块的风险分值计算结果:
序号 域名 风险分值
告警3 www.ccc.cn 1+2+4+3=10
告警4 www.ddd.cn 1+3=4
告警9 www.iii.cn 2+4+3+8=17
告警11 www.kkk.cn 2+3=5
告警12 www.lll.cn 1+1+2=4
以风险分值作为新标签,更新结果后得到表8;
表8:更新风险分值后的待评估URL
Figure BDA0002307636600000091
对风险分值进行降序排序,高于7分(分值可根据实际情况上下调整)的判定为可疑webshell记录,最终输出如表9,共计2个;
表9:结束模块输出的验证为可疑Webshell的结果
Figure BDA0002307636600000092
本发明通过在用户端部署系统,开始检测,以原始安全事件筛选模块以预设条件进行查询,筛选得到需要进一步检测分析的内容输出并存储到本地,保持网络可达,自动化爬虫验证模块对存储到本地的内容进行逐条检查、筛选,更新,访问规律分析模块获得更新的结果,逐条进行查询和统计,筛选记录,将正常资源触发的误报筛除,风险分值评估模块计算每条记录的风险分值,将分值自高至低排序,最后由结束模块输出分值高于阈值分值的记录,作为验证为可疑Webshell的结果。
本发明可以大幅度提高网站运维管理员的审计效率,同时对不同厂商、设备的告警进行处理,网络安全知识掌握较少的人员也可以完成巡检;相当于对一般安全设备的Webshell告警进行了二次分析,在一定程度上缓解实际环境中告警量大、类型多、误报多的问题,快速筛选验证可疑的网站目录,输出置信度较高的Webshell地址;配置容易,条件灵活,使用时可根据实际差异进行调整,可以联动各不同类型的日志和告警,大幅度提升审计效率。

Claims (10)

1.一种自动化检测验证Webshell的方法,其特征在于:所述方法包括以下步骤:
步骤1:在用户端部署系统,开始检测;
步骤2:原始安全事件筛选模块以预设条件进行查询,筛选得到需要进一步检测分析的内容输出并存储到本地;
步骤3:保持网络可达,自动化爬虫验证模块对步骤2存储到本地的内容进行逐条检查、筛选,更新;
步骤4:访问规律分析模块获得步骤3更新的结果,逐条进行查询和统计,筛选记录,将正常资源触发的误报筛除;
步骤5:风险分值评估模块计算每条记录的风险分值,将分值自高至低排序;
步骤6:结束模块输出分值高于阈值分值的记录,作为验证为可疑Webshell的结果。
2.根据权利要求1所述的一种自动化检测验证Webshell的方法,其特征在于:所述步骤2包括以下步骤:
步骤2.1:所述原始安全事件筛选模块在安全设备产生的原始告警中以预设条件进行查询;
步骤2.2:对查询后的结果进行过滤,过滤掉Http头中包含referer或源地址为内网的记录,得到需要进一步检测分析的内容;
步骤2.3:对过滤后的内容以预设的格式存储至本地。
3.根据权利要求2所述的一种自动化检测验证Webshell的方法,其特征在于:所述步骤2.1中,预设条件为返回码为200且URL资源后缀名为服务器架构后缀名。
4.根据权利要求1所述的一种自动化检测验证Webshell的方法,其特征在于:所述步骤3中,自动化爬虫验证模块的工作包括以下步骤:
步骤3.1:读取步骤2输出的内容,采集并且拼接为合法URI;
步骤3.2:使用自动化爬虫请求验证,标记每一条记录的返回结果;
步骤3.3:筛去无法访问、过期的资源,保留URL可达的记录;
步骤3.4:更新结果。
5.根据权利要求4所述的一种自动化检测验证Webshell的方法,其特征在于:所述步骤3.3中,无法访问、过期的资源包括删除返回码为4或3开头、或返回内容中包括错误信息、或返回内容中包含安全防火墙拦截关键字的条目。
6.根据权利要求1所述的一种自动化检测验证Webshell的方法,其特征在于:所述步骤4中,将步骤3更新的结果以每条记录中的URL为条件,逐条在流量探针或访问日志存储系统的原始访问记录中进行查询和统计,将访问量超过阈值的记录判定为误报记录,进行筛除,得到筛选记录。
7.根据权利要求6所述的一种自动化检测验证Webshell的方法,其特征在于:若任一URL的源IP访问量小于阈值,标记为可疑。
8.根据权利要求1所述的一种自动化检测验证Webshell的方法,其特征在于:所述步骤5包括以下步骤:
步骤5.1:风险分值评估模块基于分析指标,在安全设备的告警集合中进行检索;
步骤5.2:对于发现的告警记录,基于告警记录的类型附以对应的标记分,所有类型只附分一次;
步骤5.3:计算每条记录的总风险分值,将分值自高至低排序;分值为新标签,更新到每条记录中。
9.根据权利要求8所述的一种自动化检测验证Webshell的方法,其特征在于:所述步骤5.1中,分析指标为对每个攻击阶段及其对应分值的预定义。
10.一种采用权利要求1~9之一的自动化检测验证Webshell的方法的装置,其特征在于:所述装置包括:
一原始安全事件筛选模块,用于对原始安全事件进行初步筛选和过滤;
一自动化爬虫验证模块,用于检查资源是否合法且可到达;
一访问规律分析模块,用于统计任一资源的访问频次,筛选正常资源触发的误报;
一风险分值计算模块,用于计算疑似Webshell资源的危险分;
一结束模块,用于输出最终的Webshell判别结果。
CN201911245952.9A 2019-12-07 2019-12-07 一种自动化检测验证Webshell的方法及装置 Active CN111031025B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911245952.9A CN111031025B (zh) 2019-12-07 2019-12-07 一种自动化检测验证Webshell的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911245952.9A CN111031025B (zh) 2019-12-07 2019-12-07 一种自动化检测验证Webshell的方法及装置

Publications (2)

Publication Number Publication Date
CN111031025A true CN111031025A (zh) 2020-04-17
CN111031025B CN111031025B (zh) 2022-04-29

Family

ID=70207536

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911245952.9A Active CN111031025B (zh) 2019-12-07 2019-12-07 一种自动化检测验证Webshell的方法及装置

Country Status (1)

Country Link
CN (1) CN111031025B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112532625A (zh) * 2020-11-27 2021-03-19 杭州安恒信息安全技术有限公司 网络态势感知评估数据更新方法、装置及可读存储介质
CN113014601A (zh) * 2021-03-26 2021-06-22 深信服科技股份有限公司 一种通信检测方法、装置、设备和介质
CN116471066A (zh) * 2023-04-06 2023-07-21 华能信息技术有限公司 一种基于流量探针的流量分析方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080244742A1 (en) * 2007-04-02 2008-10-02 Microsoft Corporation Detecting adversaries by correlating detected malware with web access logs
CN106657025A (zh) * 2016-11-29 2017-05-10 神州网云(北京)信息技术有限公司 网络攻击行为检测方法及装置
CN107135199A (zh) * 2017-03-29 2017-09-05 国家电网公司 网页后门的检测方法和装置
CN107590227A (zh) * 2017-09-05 2018-01-16 成都知道创宇信息技术有限公司 一种结合爬虫的日志分析方法
CN107911355A (zh) * 2017-11-07 2018-04-13 杭州安恒信息技术有限公司 一种基于攻击链的网站后门利用事件识别方法
CN108156131A (zh) * 2017-10-27 2018-06-12 上海观安信息技术股份有限公司 Webshell检测方法、电子设备和计算机存储介质
CN108337269A (zh) * 2018-03-28 2018-07-27 杭州安恒信息技术股份有限公司 一种WebShell检测方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080244742A1 (en) * 2007-04-02 2008-10-02 Microsoft Corporation Detecting adversaries by correlating detected malware with web access logs
CN106657025A (zh) * 2016-11-29 2017-05-10 神州网云(北京)信息技术有限公司 网络攻击行为检测方法及装置
CN107135199A (zh) * 2017-03-29 2017-09-05 国家电网公司 网页后门的检测方法和装置
CN107590227A (zh) * 2017-09-05 2018-01-16 成都知道创宇信息技术有限公司 一种结合爬虫的日志分析方法
CN108156131A (zh) * 2017-10-27 2018-06-12 上海观安信息技术股份有限公司 Webshell检测方法、电子设备和计算机存储介质
CN107911355A (zh) * 2017-11-07 2018-04-13 杭州安恒信息技术有限公司 一种基于攻击链的网站后门利用事件识别方法
CN108337269A (zh) * 2018-03-28 2018-07-27 杭州安恒信息技术股份有限公司 一种WebShell检测方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112532625A (zh) * 2020-11-27 2021-03-19 杭州安恒信息安全技术有限公司 网络态势感知评估数据更新方法、装置及可读存储介质
CN113014601A (zh) * 2021-03-26 2021-06-22 深信服科技股份有限公司 一种通信检测方法、装置、设备和介质
CN116471066A (zh) * 2023-04-06 2023-07-21 华能信息技术有限公司 一种基于流量探针的流量分析方法

Also Published As

Publication number Publication date
CN111031025B (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
CN107438079B (zh) 一种网站未知异常行为的检测方法
CN108449345B (zh) 一种网络资产持续安全监控方法、系统、设备及存储介质
US11012472B2 (en) Security rule generation based on cognitive and industry analysis
US20200396237A1 (en) Phishing data item clustering and analysis
US9781133B2 (en) Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications
CN111031025B (zh) 一种自动化检测验证Webshell的方法及装置
EP2532121B1 (en) Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions
CN111245793A (zh) 网络数据的异常分析方法及装置
US20160344758A1 (en) External malware data item clustering and analysis
CN106961419A (zh) WebShell检测方法、装置及系统
CN108156131A (zh) Webshell检测方法、电子设备和计算机存储介质
CN115134099B (zh) 基于全流量的网络攻击行为分析方法及装置
US20070016960A1 (en) NTO input validation technique
CN104935601B (zh) 基于云的网站日志安全分析方法、装置及系统
CN111404937B (zh) 一种服务器漏洞的检测方法和装置
KR102047929B1 (ko) 웹사이트 검증 방법
CN112822147A (zh) 一种用于分析攻击链的方法、系统及设备
CN113987504A (zh) 一种网络资产管理的漏洞检测方法
CN114244564A (zh) 攻击防御方法、装置、设备及可读存储介质
CN110837646A (zh) 一种非结构化数据库的风险排查装置
US20230094119A1 (en) Scanning of Content in Weblink
CN111770097A (zh) 一种基于白名单的内容锁防火墙方法及系统
CN112738068B (zh) 一种网络脆弱性扫描方法及装置
CN114500122A (zh) 一种基于多源数据融合的特定网络行为分析方法和系统
EP3220303B1 (en) Selective extended archiving of data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant