CN111327569A - Web后门检测方法和系统、存储计算层 - Google Patents

Web后门检测方法和系统、存储计算层 Download PDF

Info

Publication number
CN111327569A
CN111327569A CN201811528634.9A CN201811528634A CN111327569A CN 111327569 A CN111327569 A CN 111327569A CN 201811528634 A CN201811528634 A CN 201811528634A CN 111327569 A CN111327569 A CN 111327569A
Authority
CN
China
Prior art keywords
web
backdoor
source
threat intelligence
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811528634.9A
Other languages
English (en)
Other versions
CN111327569B (zh
Inventor
李诗旸
汪来富
史国水
刘东鑫
邓博仁
王帅
张昊迪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201811528634.9A priority Critical patent/CN111327569B/zh
Publication of CN111327569A publication Critical patent/CN111327569A/zh
Application granted granted Critical
Publication of CN111327569B publication Critical patent/CN111327569B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开一种Web后门检测方法和系统、存储计算层。该Web后门检测方法包括:生成Web后门相关的多源异构安全数据;分布式采集系统的多源异构安全数据;对采集的多源异构安全数据进行关联分析。本发明通过从多个维度检测Web后门和黑客的完整攻击过程,Web后门检测分析更准确、全面和高效。

Description

Web后门检测方法和系统、存储计算层
技术领域
本发明涉及网络与信息安全领域,特别涉及一种Web后门检测方法和系统、存储计算层。
背景技术
Web(World Wide Web,全球广域网)后门具备Web服务权限的命令执行环境,黑客可利用Web后门实现对Web应用系统的渗透控制。
发明内容
申请人发现:相关技术Web网站后门检测包括两类技术:一种通过提取网站页面源代码,与已有特征库进行对比分析,判断是否存在后门文件,此方法存在无法追溯攻击源及检测变形或加密的后门文件的问题;另一类分析全量web访问日志,通过查找异常访问记录确定后门文件,但由于日志数据量大,存在分析效率低下、误判率高的问题。
鉴于以上技术问题中的至少一项,本发明提供了一种Web后门检测方法和系统、存储计算层,从多个维度检测Web后门和黑客的完整攻击过程,分析更准确、全面、高效。
根据本发明的一个方面,提供一种Web后门检测方法,包括:
生成Web后门相关的多源异构安全数据;
分布式采集系统的多源异构安全数据;
对采集的多源异构安全数据进行关联分析。
在本发明的一些实施例中,所述生成Web后门相关的多源异构安全数据包括:
Web服务端利用中间件记录Web访问日志;
文件储存端基于特征扫描Web上传目录,生成扫描结果;
平台端通过历史分析积累的关于后门特征的威胁情报,反馈更新特征库。
在本发明的一些实施例中,所述分布式采集系统的多源异构安全数据包括:
第一级采集器采集各IT系统的安全数据。
第二级采集器部署在平台侧将第一级采集器采集的安全数据,进行数据汇聚,并写入分析平台完成原始数据存储。
在本发明的一些实施例中,所述对采集的多源异构安全数据进行关联分析包括:
结合威胁情报,关联分析Web访问日志和Web后门扫描结果。
在本发明的一些实施例中,所述结合威胁情报,关联分析Web访问日志和Web后门扫描结果包括:
关联分析Web访问日志及Web后门特征检测结果,以检测Web后门连接信息及追溯攻击者源IP地址。
在本发明的一些实施例中,所述结合威胁情报,关联分析Web访问日志和Web后门扫描结果包括:
关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志该IP的访问记录,以检测出该攻击者的完整攻击行为。
在本发明的一些实施例中,所述结合威胁情报,关联分析Web访问日志和Web后门扫描结果包括:
关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志的上传记录,以检测出潜在的漏洞页面。
在本发明的一些实施例中,所述Web后门检测方法还包括:
根据关联分析结果输出完整攻击链,所述完整攻击链包括IP地址、web后门、攻击尝试和漏洞页面;
在本发明的一些实施例中,所述Web后门检测方法还包括:
使用检测得到的Web后门特征及IP攻击源更新威胁情报。
根据本发明的另一方面,提供一种存储计算层,包括:
威胁情报库,用于通过历史分析积累关于后门特征的威胁情报;
存储计算平台,用于结合威胁情报,关联分析Web访问日志和Web后门扫描结果。
在本发明的一些实施例中,威胁情报库,还用于根据通过历史分析积累的关于后门特征的威胁情报,反馈更新文件储存端的特征库。
在本发明的一些实施例中,存储计算平台,用于结合威胁情报,关联分析Web访问日志和Web后门扫描结果。
在本发明的一些实施例中,存储计算平台,用于关联分析Web访问日志及Web后门特征检测结果,以检测Web后门连接信息及追溯攻击者源IP地址;和/或,关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志该IP的访问记录,以检测出该攻击者的完整攻击行为;和/或,关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志的上传记录,以检测出潜在的漏洞页面。
在本发明的一些实施例中,存储计算平台,用于根据关联分析结果输出完整攻击链,其中,所述完整攻击链包括IP地址、web后门、攻击尝试和漏洞页面;和/或,使用检测得到的Web后门特征及IP攻击源更新威胁情报。
根据本发明的另一方面,提供一种Web后门检测系统,包括:
数据源,用于生成Web后门相关的多源异构安全数据;
汇聚层,用于分布式采集系统的多源异构安全数据;
存储计算层,用于对采集的多源异构安全数据进行关联分析。
在本发明的一些实施例中,所述存储计算层为如上述任一实施例所述的存储计算层。
在本发明的一些实施例中,所述数据源包括:
Web服务端,用于利用中间件记录Web访问日志;
文件储存端,用于基于特征扫描Web上传目录,生成扫描结果。
在本发明的一些实施例中,所述文件储存端为文件服务器,用于基于特征实现后门扫描;
所述Web服务端为WWW服务器。
在本发明的一些实施例中,所述汇聚层包括:
第一级采集器,用于采集各IT系统的安全数据。
第二级采集器,用于将第一级采集器采集的安全数据,进行数据汇聚,并写入存储计算层完成原始数据存储。
本发明通过从多个维度检测Web后门和黑客的完整攻击过程,Web后门检测分析更准确、全面和高效。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明Web后门检测方法一些实施例的示意图。
图2为本发明Web后门检测系统一些实施例的示意图。
图3为本发明Web后门检测方法另一些实施例的示意图。
图4为本发明Web后门检测方法又一些实施例的示意图。
图5为本发明Web后门检测方法再一些实施例的示意图。
图6为本发明Web后门检测方法与相关技术Web后门检测方法的对比示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明Web后门检测方法一些实施例的示意图。优选的,本实施例可由本发明Web后门检测系统执行。该方法包括以下步骤:
步骤11,生成Web后门相关的多源异构安全数据。
步骤12,分布式采集系统的多源异构安全数据。
在本发明的一些实施例中,步骤12可以包括:
步骤121,如图3所示,第一级Flume(日志收集系统)采集器部署在需检测的IT系统侧,负责采集各IT系统的安全数据。其中,
图2为本发明Web后门检测系统一些实施例的示意图。
步骤122,如图3所示,第二级Flume采集器部署在平台侧,用于接收第一级采集器采集的安全数据,进行数据汇聚,并写入分析平台的分布式文件系统Hdfs完成原始数据存储
步骤13,对采集的多源异构安全数据进行关联分析。
图3为本发明Web后门检测方法另一些实施例的示意图。图2实施例的步骤31-33分别与图1实施例的步骤11-13相同或类似。如图2所示,本发明Web后门检测方法可以包括以下步骤:
步骤31,生成Web后门相关的多源异构安全数据。
步骤32,分布式采集系统的多源异构安全数据。
在本发明的一些实施例中,步骤32可以包括:第一级采集代理采集各IT(InternetTechnology,互联网技术)系统的安全数据,再通过第二级汇聚层完成对采集数据的有效数据聚合,最终由汇聚层写入数据存储平台完成数据采集。
步骤33,对采集的多源异构安全数据进行关联分析。
步骤34,输出结果及反馈威胁情报。
下面通过具体实施例对本发明图1和图2实施例的Web后门检测方法进行进一步说明。
图4为本发明Web后门检测方法又一些实施例的示意图。优选的,图4实施例可由本发明Web后门检测系统执行。如图4所示,图1实施例中的步骤11或图3实施例的步骤31(即所述安全数据生成的步骤)可以包括:
步骤41,Web服务端利用中间件记录Web访问日志。
步骤42,文件储存端基于特征扫描Web上传目录,生成扫描结果(即,生成Web后门特征检测结果)。
步骤43,平台端通过历史分析积累的关于后门特征的威胁情报,可反馈更新特征库。
在本发明的一些实施例中,如图4所示,图1实施例中的步骤13或图3实施例的步骤33(即所述Web后门分析的步骤)可以包括:
步骤44,关联分析Web访问日志及Web后门特征检测结果,可以检测Web后门连接信息及追溯攻击者源IP(Internet Protocol,网际协议)地址。
步骤45,关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志该IP的访问记录,可以检测出该攻击者的完整攻击行为。
步骤46,关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志的Post上传记录,可以检测出潜在的漏洞页面。
在本发明的一些实施例中,如图4所示,图3实施例的步骤34(即所述输出结果及反馈威胁情报的步骤)可以包括:
步骤47,将同个攻击者的攻击链所有环节(IP地址、Web后门、攻击尝试、漏洞页面)完整输出,可以得到攻击者的完整攻击过程;将检测得到的Web后门特征及IP攻击源更新威胁情报库;之后,执行步骤43,即,反馈输出威胁情报,以提升后续分析的准确性和效率。
基于本发明上述实施例提供的Web后门检测方法,针对现有web后门分析方法分析孤立低效的问题,提出一种基于关联分析的Web后门检测方法,进行多维安全数据的关联分析,分析web后门及攻击过程的每个环节,追溯攻击者IP及其完整的攻击过程,发现潜在漏洞页面,还原完整攻击链。本发明上述实施例包括安全数据生成、采集、存储、分析、反馈的全流程。本发明上述实施例的后门检测分析更准确、全面、高效。
本发明上述实施例的方法可以从多个维度采集并存储安全事件和访问数据,基于特征检测发现web后门文件,关联分析web日志及威胁情报,追溯攻击源,检测黑客的完整攻击过程、发现漏洞利用页面,从而还原完整攻击链。本发明上述实施例通过反馈补充威胁情报和规则库,可以不断完善自身系统。
图5为本发明Web后门检测方法再一些实施例的示意图。优选的,本实施例可由本发明Web后门检测系统执行。
在本发明的一些实施例中,本发明上述实施例可以基于大数据技术Flume(日志收集系统)、Hdfs(Hadoop Distributed File System,Hadoop分布式文件系统)、Spark(专为大规模数据处理而设计的快速通用的计算引擎)实现的。
图5实施例具体可以包括以下步骤:
第一、安全数据生成。
在本发明的一些实施例中,如图5所示,图1实施例的步骤11或图3实施例的步骤31(即所述安全数据生成的步骤)可以包括:
步骤51,平台端通过历史分析积累的关于后门特征的威胁情报,反馈更新特征库。
步骤52,文件储存端基于特征扫描Web上传目录,生成扫描结果。
在本发明的一些实施例中,步骤52可以包括:通过Web后门扫描脚本和定时分析程序,周期性扫描Web上传目录,检测Web后门。
步骤53,Web服务端利用中间件记录Web访问日志。
在本发明的一些实施例中,步骤53可以包括:通过syslog或开发采集脚本,实时采集web服务器的web访问日志。
第二、分布式数据采集。
在本发明的一些实施例中,如图5所示,图1实施例的步骤12或图3实施例的步骤32(即所述分布式数据采集的步骤)可以包括:
步骤54,采集汇聚Web访问日志和Web后面扫描结果。
在本发明的一些实施例中,步骤54可以包括:通过部署两级分布式采集网络,完成数据采集,数据采集实现是通过Flume实现的,具体实现如下:
第一级Flume采集器部署在需检测的IT系统侧,负责采集各IT系统的安全数据。
第二级Flume采集器部署在平台侧,负责接收第一级采集器的安全数据,进行数据汇聚,并写入分析平台的分布式文件系统Hdfs完成原始数据存储。
第三、分布式存储与计算
在分布式文件系统Hdfs中,为各IT系统分配目录及权限,由Flume汇聚节点将其各类安全日志写入,并完成数据的管理与存储。
通过分布式计算平台Spark实现安全分析,从Hdfs读入数据,进行分布式计算,完成关联分析。
第四、Web后门检测过程
在本发明的一些实施例中,如图5所示,图1实施例中的步骤13或图3实施例的步骤33(即所述Web后门检测过程)可以包括:
步骤55,结合威胁情报,关联分析Web访问日志和Web后门扫描结果。
在本发明的一些实施例中,步骤55可以包括:
步骤551,关联分析Web访问日志及Web后门特征检测结果,可以检测Web后门连接信息及追溯攻击者源IP地址。
步骤552,关联分析检测出的攻击者源IP或威胁情报的IP与Web访问日志该IP的访问记录,可检测出该攻击者的完整攻击行为。
步骤553,关联分析检测出的攻击者源IP及Web访问日志的Post(目的服务器发出更新请求)上传记录,可检测出潜在的漏洞页面。
第五、输出结果及反馈威胁情报
在本发明的一些实施例中,如图4所示,图3实施例的步骤34(即所述输出结果及反馈威胁情报的步骤)可以包括:
步骤56,将同个攻击者的攻击链所有环节(IP地址、Web后门、攻击尝试、漏洞页面)完整输出,可以得到攻击者的完整攻击过。
步骤57,将检测得到的Web后门特征及IP攻击源更新威胁情报库;执行步骤51,反馈输出威胁情报,以提升后续分析的准确性和效率。
本发明上述实施例基于关联分析的Web后门检测方法,(1)关联分析web访问日志与主机web后门结果,追溯连接web后门的攻击者IP地址;(2)关联分析攻击者IP地址或威胁情报攻击者IP与web访问日志,纠查黑客的所有访问行为及攻击尝试;(3)再从所有攻击尝试中过滤出攻击者访问的post记录,找到潜在存在上传漏洞的web页面。本发明上述实施例经过多次关联分析,完整还原黑客在攻击尝试的所有环节(IP地址、web后门、攻击尝试、漏洞页面),可以还原完整的攻击链。本发明实施例的后门检测比相关技术更加准确、全面和高效。
图6为本发明Web后门检测方法与相关技术Web后门检测方法的对比示意图。如图6所示,所述Web后门攻击流程可以包括:流程61,踩点扫描;流程62,攻击尝试;流程63,找到上传点,上传Web后门;流程64,连接Web后门;流程65,进一步攻击。
相关技术的一种Web后门分析方法,通过分析页面代码特征进行检测,该分析方法只是针对流程63的检测。该方法存在无法追溯攻击源及检测变形或加密的后门文件的问题。
相关技术的另一种Web后门分析方法,通过分析全量连接记录来进行检测,针对流程64进行检测。通过查找异常访问记录确定后门文件,但由于日志数据量大,存在分析效率低下、误判率高的问题。
总之,相关技术的Web后门分析方法--分析全量连接记录或分析页面代码特征的方法主要有分析片面而低效,检测精确度不高、执行效率低,还孤立了攻击过程,无法追溯攻击源及其完整攻击行为的问题。
而本发明上述实施例的Web后门检测方法,针对Web后门攻击的全流程(流程61-流程65)进行全面检测。
本发明上述实施例的Web后门检测方法可以包括:
步骤1,基于特征扫描Web上传目录,该步骤针对流程63进行检测。
步骤2,关联分析Web访问日志及扫描结果(Web后门特征检测结果),以检测Web后门连接信息(由此针对流程64可以分析出后门连接状况)及追溯攻击者源IP地址。
步骤3,关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志该IP的访问记录,以检测出该攻击者的完整攻击行为(由此可以针对流程61-62、流程65分析出攻击者的全部攻击行为)。
本发明上述实施例的Web后门检测方法从多个维度检测Web后门和黑客的完整攻击过程。本发明上述实施例还可以追溯攻击源、检测黑客完整攻击行为、漏洞利用页面,从而还原完整攻击链。与相关技术相比,本发明上述实施例的后门分析检测更准确、全面和高效。
图2为本发明Web后门检测系统一些实施例的示意图。如图2所示,所述Web后门检测系统可以包括数据源、汇聚层和存储计算层,其中:
数据源,用于生成Web后门相关的多源异构安全数据。
汇聚层,用于分布式采集系统的多源异构安全数据。
存储计算层,用于对采集的多源异构安全数据进行关联分析。
在本发明的一些实施例中,所述存储计算层可以实现为如图5实施例所示的分析平台端。
在本发明的一些实施例中,如图2所示,所述数据源可以包括WWW服务器和文件服务器,其中:
WWW服务器,用于利用中间件记录Web访问日志。
文件服务器,用于基于特征扫描Web上传目录,生成扫描结果。
在本发明的一些实施例中,所述文件服务器可以实现为如图5实施例所示的文件储存端,用于基于特征实现后门扫描;
在本发明的一些实施例中,所述WWW服务器可以实现为如图5实施例所示的Web服务端。
在本发明的一些实施例中,所述Web后门检测系统可以执行如上述任一实施例(例如图1、图3-图6任一实施例)所述的Web后门检测方法。
在本发明的一些实施例中,如图2所示,所述汇聚层可以包括第一级采集器和第二级采集器,其中:
第一级采集器,部署在需检测的IT系统侧,用于采集各IT系统的安全数据。
第二级采集器,部署在平台侧,用于将第一级采集器采集的安全数据,进行数据汇聚,并写入存储计算层完成原始数据存储。
基于本发明上述实施例提供的Web后门检测系统,针对现有web后门分析方法分析孤立低效的问题,提出一种基于关联分析的Web后门检测系统,可以关联分析web访问日志与主机web后门结果,追溯连接web后门的攻击者IP地址;并关联分析攻击者IP地址或威胁情报攻击者IP与web访问日志,纠查黑客的所有访问行为及攻击尝试;再从所有攻击尝试中过滤出攻击者访问的post记录,找到潜在存在上传漏洞的web页面。本发明上述实施例经过多次关联分析,完整还原黑客在攻击尝试的所有环节(IP地址、web后门、攻击尝试、漏洞页面),由此可以还原完整的攻击链。本发明实施例的后门检测比相关技术更加准确、全面和高效。
图2还给出了本发明存储计算层一些实施例的示意图。如图2所示,所述存储计算层可以包括威胁情报库和存储计算平台,其中:
威胁情报库,用于通过历史分析积累关于后门特征的威胁情报。
在本发明的一些实施例中,威胁情报库可以用于根据通过历史分析积累的关于后门特征的威胁情报,反馈更新文件储存端的特征库。
存储计算平台,用于结合威胁情报,关联分析Web访问日志和Web后门扫描结果。
在本发明的一些实施例中,存储计算平台可以用于结合威胁情报,关联分析Web访问日志和Web后门扫描结果。
在本发明的一些实施例中,存储计算平台可以用于关联分析Web访问日志及Web后门特征检测结果,以检测Web后门连接信息及追溯攻击者源IP地址;和/或,关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志该IP的访问记录,以检测出该攻击者的完整攻击行为;和/或,关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志的上传记录,以检测出潜在的漏洞页面。
在本发明的一些实施例中,存储计算平台可以用于根据关联分析结果输出完整攻击链,其中,所述完整攻击链包括IP地址、web后门、攻击尝试和漏洞页面;和/或,使用检测得到的Web后门特征及IP攻击源更新威胁情报。
基于本发明上述实施例提供的存储计算层,针对现有web后门分析方法分析孤立低效的问题,提出一种基于关联分析的存储计算层,进行多维安全数据的关联分析,分析web后门及攻击过程的每个环节,追溯攻击者IP及其完整的攻击过程,发现潜在漏洞页面,还原完整攻击链。本发明上述实施例的分析更准确、全面、高效。
在上面所描述的文件服务器、WWW服务器、第一级采集器、第二级采集器、威胁情报库和存储计算平台均可以用安装了相应大数据组件的物理/虚拟的服务器实现。
在上面所描述的文件服务器、WWW服务器、第一级采集器、第二级采集器、威胁情报库和存储计算平台均可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (16)

1.一种Web后门检测方法,其特征在于,包括:
生成Web后门相关的多源异构安全数据;
分布式采集系统的多源异构安全数据;
对采集的多源异构安全数据进行关联分析。
2.根据权利要求1所述的Web后门检测方法,其特征在于,所述生成Web后门相关的多源异构安全数据包括:
Web服务端利用中间件记录Web访问日志;
文件储存端基于特征扫描Web上传目录,生成扫描结果;
平台端通过历史分析积累的关于后门特征的威胁情报,反馈更新特征库。
3.根据权利要求1或2所述的Web后门检测方法,其特征在于,所述分布式采集系统的多源异构安全数据包括:
第一级采集器采集各IT系统的安全数据。
第二级采集器部署在平台侧将第一级采集器采集的安全数据,进行数据汇聚,并写入分析平台完成原始数据存储。
4.根据权利要求1或2所述的Web后门检测方法,其特征在于,所述对采集的多源异构安全数据进行关联分析包括:
结合威胁情报,关联分析Web访问日志和Web后门扫描结果。
5.根据权利要求4所述的Web后门检测方法,其特征在于,所述结合威胁情报,关联分析Web访问日志和Web后门扫描结果包括:
关联分析Web访问日志及Web后门特征检测结果,以检测Web后门连接信息及追溯攻击者源IP地址;
和/或,
关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志该IP的访问记录,以检测出该攻击者的完整攻击行为;
和/或,
关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志的上传记录,以检测出潜在的漏洞页面。
6.根据权利要求1或2所述的Web后门检测方法,其特征在于,还包括:
根据关联分析结果输出完整攻击链,所述完整攻击链包括IP地址、web后门、攻击尝试和漏洞页面;
和/或,
使用检测得到的Web后门特征及IP攻击源更新威胁情报。
7.一种存储计算层,其特征在于,包括:
威胁情报库,用于通过历史分析积累关于后门特征的威胁情报;
存储计算平台,用于结合威胁情报,关联分析Web访问日志和Web后门扫描结果。
8.根据权利要求7所述的存储计算层,其特征在于,
威胁情报库,还用于根据通过历史分析积累的关于后门特征的威胁情报,反馈更新文件储存端的特征库。
9.根据权利要求7或8所述的存储计算层,其特征在于,
存储计算平台,用于结合威胁情报,关联分析Web访问日志和Web后门扫描结果。
10.根据权利要求7或8所述的存储计算层,其特征在于,
存储计算平台,用于关联分析Web访问日志及Web后门特征检测结果,以检测Web后门连接信息及追溯攻击者源IP地址;和/或,关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志该IP的访问记录,以检测出该攻击者的完整攻击行为;和/或,关联分析检测出的攻击者源IP或威胁情报的IP,与Web访问日志的上传记录,以检测出潜在的漏洞页面。
11.根据权利要求7或8所述的存储计算层,其特征在于,
存储计算平台,用于根据关联分析结果输出完整攻击链,其中,所述完整攻击链包括IP地址、web后门、攻击尝试和漏洞页面;和/或,使用检测得到的Web后门特征及IP攻击源更新威胁情报。
12.一种Web后门检测系统,其特征在于,包括:
数据源,用于生成Web后门相关的多源异构安全数据;
汇聚层,用于分布式采集系统的多源异构安全数据;
存储计算层,用于对采集的多源异构安全数据进行关联分析。
13.根据权利要求12所述的Web后门检测系统,其特征在于,所述存储计算层为如权利要求7-11中任一项所述的存储计算层。
14.根据权利要求12或13所述的Web后门检测系统,其特征在于,所述数据源包括:
Web服务端,用于利用中间件记录Web访问日志;
文件储存端,用于基于特征扫描Web上传目录,生成扫描结果。
15.根据权利要求14所述的Web后门检测系统,其特征在于,
所述文件储存端为文件服务器,用于基于特征实现后门扫描;
所述Web服务端为WWW服务器。
16.根据权利要求12或13所述的Web后门检测系统,其特征在于,所述汇聚层包括:
第一级采集器,用于采集各IT系统的安全数据。
第二级采集器,用于将第一级采集器采集的安全数据,进行数据汇聚,并写入存储计算层完成原始数据存储。
CN201811528634.9A 2018-12-14 2018-12-14 Web后门检测方法和系统、存储计算装置 Active CN111327569B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811528634.9A CN111327569B (zh) 2018-12-14 2018-12-14 Web后门检测方法和系统、存储计算装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811528634.9A CN111327569B (zh) 2018-12-14 2018-12-14 Web后门检测方法和系统、存储计算装置

Publications (2)

Publication Number Publication Date
CN111327569A true CN111327569A (zh) 2020-06-23
CN111327569B CN111327569B (zh) 2022-05-10

Family

ID=71170234

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811528634.9A Active CN111327569B (zh) 2018-12-14 2018-12-14 Web后门检测方法和系统、存储计算装置

Country Status (1)

Country Link
CN (1) CN111327569B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114244539A (zh) * 2020-09-08 2022-03-25 中国电信股份有限公司 Web应用攻击分析方法和装置、计算机可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101272286A (zh) * 2008-05-15 2008-09-24 上海交通大学 网络入侵事件关联检测方法
US20090157574A1 (en) * 2007-12-17 2009-06-18 Sang Hun Lee Method and apparatus for analyzing web server log by intrusion detection system
CN102426634A (zh) * 2011-10-26 2012-04-25 中国信息安全测评中心 源代码后门发现方法
CN103561012A (zh) * 2013-10-28 2014-02-05 中国科学院信息工程研究所 一种基于关联树的web后门检测方法及系统
CN104601591A (zh) * 2015-02-02 2015-05-06 中国人民解放军国防科学技术大学 网络攻击源组织检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090157574A1 (en) * 2007-12-17 2009-06-18 Sang Hun Lee Method and apparatus for analyzing web server log by intrusion detection system
CN101272286A (zh) * 2008-05-15 2008-09-24 上海交通大学 网络入侵事件关联检测方法
CN102426634A (zh) * 2011-10-26 2012-04-25 中国信息安全测评中心 源代码后门发现方法
CN103561012A (zh) * 2013-10-28 2014-02-05 中国科学院信息工程研究所 一种基于关联树的web后门检测方法及系统
CN104601591A (zh) * 2015-02-02 2015-05-06 中国人民解放军国防科学技术大学 网络攻击源组织检测方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114244539A (zh) * 2020-09-08 2022-03-25 中国电信股份有限公司 Web应用攻击分析方法和装置、计算机可读存储介质
CN114244539B (zh) * 2020-09-08 2023-11-14 中国电信股份有限公司 Web应用攻击分析方法和装置、计算机可读存储介质

Also Published As

Publication number Publication date
CN111327569B (zh) 2022-05-10

Similar Documents

Publication Publication Date Title
Uwagbole et al. Applied machine learning predictive analytics to SQL injection attack detection and prevention
US11036858B2 (en) System and method for training a model for detecting malicious objects on a computer system
CN111565205B (zh) 网络攻击识别方法、装置、计算机设备和存储介质
Nelms et al. {ExecScent}: Mining for New {C&C} Domains in Live Networks with Adaptive Control Protocol Templates
US9715588B2 (en) Method of detecting a malware based on a white list
Perdisci et al. Alarm clustering for intrusion detection systems in computer networks
US9177141B2 (en) Active defense method on the basis of cloud security
EP3432186B1 (en) System and method of machine learning of malware detection model
Xie et al. Pagoda: A hybrid approach to enable efficient real-time provenance based intrusion detection in big data environments
Han et al. {SIGL}: Securing software installations through deep graph learning
Roussev Hashing and data fingerprinting in digital forensics
CN103428196A (zh) 一种基于url白名单的web应用入侵检测方法和装置
CN110262949A (zh) 智能设备日志处理系统及方法
CN110704841A (zh) 一种基于卷积神经网络的大规模安卓恶意应用检测系统及方法
Minaei et al. Lethe: Conceal content deletion from persistent observers
US20160205118A1 (en) Cyber black box system and method thereof
CN107770133B (zh) 一种适应性webshell检测方法及系统
CN111327569B (zh) Web后门检测方法和系统、存储计算装置
Jiang et al. Design and implementation of a machine learning enhanced web honeypot system
KR100986479B1 (ko) 디지털증거 획득 시스템 및 방법
CN116383189A (zh) 业务数据的处理方法、装置、计算机设备、存储介质
Hao et al. AutoMal: automatic clustering and signature generation for malwares based on the network flow
Ajmera et al. A survey report on identifying different machine learning algorithms in detecting domain generation algorithms within enterprise network
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
Han Detection of web application attacks with request length module and regex pattern analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant