CN112995168B - 一种Web服务器安全防护方法、系统及计算机存储介质 - Google Patents
一种Web服务器安全防护方法、系统及计算机存储介质 Download PDFInfo
- Publication number
- CN112995168B CN112995168B CN202110197467.XA CN202110197467A CN112995168B CN 112995168 B CN112995168 B CN 112995168B CN 202110197467 A CN202110197467 A CN 202110197467A CN 112995168 B CN112995168 B CN 112995168B
- Authority
- CN
- China
- Prior art keywords
- access request
- web server
- access
- suspicious
- directory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例涉及一种Web服务器安全防护方法、系统及计算机存储介质,通过将第一访问请求转发至存储于安全执行环境中的可疑Webshe l l文件,以使得可疑Webshe l l文件在安全执行环境中执行第一访问请求。由于攻击者运行可疑Webshe l l文件并未实际对Web服务器进行攻击操作,因此攻击者无法利用可疑Webshe l l文件对Web服务器进行真实攻击,实现了Web服务器的安全防护。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种Web服务器安全防护方法、系统及计算机存储介质。
背景技术
Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,一般视为一种网页后门。由于Webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类),经常会被攻击者利用,攻击者通过一些上传方式,将自己编写的Webshell上传到Web服务器的页面的目录下,然后通过页面访问的形式进行入侵,或者通过插入一句话连接本地的一些相关工具直接对Web服务器进行入侵操作,以达到控制Web服务器的目的。
因此防护Webshell攻击对于网站安全十分重要,目前现有技术中Webshell文件检测主要通过一些机器学习、模型分析、沙箱等方式进行,这些方式通常需要大量数据来支撑模型训练,不仅工作量大,且存在误报问题。
发明内容
有鉴于此,本发明实施例所解决的技术问题之一在于提供一种Web服务器安全防护方法、系统及计算机存储介质,用以克服现有技术中对可疑Webshell文件进行防护存在工作量大,误报情况较多的问题。
本申请实施例第一方面公开一种Web服务器安全防护方法,包括:接收对可疑Webshell文件进行访问的第一访问请求;
将所述第一访问请求转发至存储于安全执行环境中的所述可疑Webshell文件,以使得所述可疑Webshell文件在所述安全执行环境中执行所述第一访问请求。
本申请实施例第二方面公开一种Web服务器安全防护系统,包括:请求接收模块,用于接收对可疑Webshell文件进行访问的第一访问请求;
转发模块,用于将所述第一访问请求转发至存储于安全执行环境中的所述可疑Webshell文件,以使得所述可疑Webshell文件在所述安全执行环境中执行所述第一访问请求。
本申请实施例第三方面公开一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序包括用于执行前述Web服务器安全防护方法的部分或全部步骤。
与现有技术相比,本申请实施例通过将第一访问请求转发至存储于安全执行环境中的可疑Webshell文件,以使得可疑Webshell文件在安全执行环境中执行第一访问请求,并未实际对Web服务器进行攻击操作,因此攻击者无法利用可疑Webshell文件对Web服务器进行真实攻击,实现了Web服务器的安全防护。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例一公开的一种Web服务器安全防护方法的流程示意图;
图2是本申请实施例二公开的一种Web服务器安全防护方法的流程示意图;
图3是本申请实施例三公开的一种Web服务器安全防护系统的结构示意框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同的对象,而不是用于描述特定顺序。本申请实施例的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
如图1所示,图1为本申请实施例一公开的一种Web服务器安全防护方法的示意性流程图,该Web服务器安全防护方法包括:
步骤S101,接收对可疑Webshell文件进行访问的第一访问请求。
本实施例中,Webshell中的Web指的是Web服务器,而shell是用脚本语言编写的脚本程序,Webshell就是Web的一个管理工具,可以对Web服务器进行操作的权限,因此经常被网站管理者用来对网站进行管理。可疑Webshell文件是指有可能是攻击者用于对Web服务器进行入侵操作的文件,本实施例中对可疑Webshell文件的检测方式不限,例如可使用现有技术中的机器学习、模型分析、沙箱等方式。
本实施例中,第一访问请求用于请求执行可疑Webshell文件,以对Web服务器进行相关操作行为。第一访问请求的数量不限,并且对Web服务器进行操作的操作种类不限。例如,相关操作行为可以是调用其他软件的操作行为、网络操作行为和主机操作行为等。其中,网络操作行为可包括开启端口、向外发出数据、接受外面的数据等具体行为,主机操作行为可包括各类对内核的调用行为。
本实施例中,第一访问请求的接收方可以是Web服务器,也可以是存储可疑Webshell文件的系统,或者是其他第三方中转设备/系统等,在实际应用中根据不同功能模块的部署方式确定第一访问请求的接收方,本实施例在此不做限制。
步骤S102,将第一访问请求转发至存储于安全执行环境中的可疑Webshell文件,以使得可疑Webshell文件在安全执行环境中执行第一访问请求。
本实施例中,安全执行环境用于提供真实的环境存放可疑Webshell文件,并可按照攻击者的需求执行可疑Webshell文件。由于可疑Webshell文件是在安全执行环境中执行,因此攻击者无法利用可疑Webshell文件对Web服务器进行真实攻击,实现对Web服务器的安全保护。
可选地,为了保证攻击者可顺利执行可疑Webshell文件,安全执行环境至少包括操作系统和Web服务器软件,以提供可疑Webshell文件执行所需的环境、软件和操作系统。例如,操作系统可包括Linux、Windows Server等;Web服务器软件可包括Apache、Nginx、IIS等。
由以上本发明实施例可见,本发明实施例通过将第一访问请求转发至存储于安全执行环境中的可疑Webshell文件,以使得可疑Webshell文件在安全执行环境中执行第一访问请求,并未实际对Web服务器进行攻击操作,因此攻击者无法利用可疑Webshell文件对Web服务器进行真实攻击,实现了Web服务器的安全防护。
实施例二
如图2所示,图2为本申请实施例二公开的一种Web服务器安全防护方法的示意性流程图,该Web服务器安全防护方法包括:
步骤S201,若根据对Web服务器进行访问的第二访问请求确定存在目录扫描行为,则将路径信息发送至第二访问请求对应的地址。其中,路径信息用于指示第二访问请求对应的访问目标存在。
本实施例中,第二访问请求为同一客户端或者IP地址所发送的请求,用于请求确认Web服务器中是否存在一个或者多个访问目标,其中访问目标可以为指定的目录或者文件。
本实施例中,在通常情况下,Web服务器接收到一个第二访问请求后,会向该第二访问请求对应的地址发送应答信息,即告知发送每个第二访问请求的客户端或者IP地址是否存在该第二访问请求对应的访问目标。例如,攻击者或者正常访问者均可向Web服务器发送一个http的请求,然后获取Web服务器所返回的应答信息,从而攻击者或者正常访问者可通过解析应答信息来判断该请求对应的文件或目录是否存在。
如果同一客户端或者IP地址在一定时间范围内向Web服务器发送多个第二访问请求,例如在1个小时内发送1000个第二访问请求,则表明有可能是攻击者所发起的目录扫描行为,需要采取相应的措施进行防范。即在确定某一客户端或者IP地址存在目录扫描行为后,后续如果再接收到该客户端或者IP地址发送的第二访问请求,则不再发送Web服务器真实的应答信息,而是直接将路径信息发送至第二访问请求对应的地址,告知该第二访问请求对应的访问目标存在,以达到诱骗攻击者的目的。
本实施例中,路径信息的数据记录形式和内容不限。例如,数据记录形式可以是十进制数字、二进制数字或者字母等;内容可以是直接指示访问目标存在;也可以是指示访问目标的存储地址,通过判断内容为存储地址,进一步确定访问目标存在。
本实施例中,可通过S201a、步骤S201b中的至少一种对目录扫描行为进行准确判断,即根据对Web服务器进行访问的第二访问请求确定存在目录扫描行为可包括:
步骤S201a,若超过第一预设比例或者第一预设数量的第二访问请求均包括预设的扫描关键词信息,则确定存在目录扫描行为。
具体地,若同一客户端或者IP地址在第一预设时间范围内发送的多个第二访问请求中,有超过第一预设数量或者第一预设比例的第二访问请求中包括预设的扫描关键词信息,则认为是攻击者通过该客户端或者IP地址进行的目录扫描行为。其中,第一预设时间范围、第一预设数量或者第一预设比例,以及预设的扫描关键词信息可根据实际应用中的数据特点进行合理设置,本实施例在此不做限制。
步骤S201b,若超过第二预设比例或者第二预设数量的第二访问请求对应的访问目标在Web服务器中不存在,则确定存在目录扫描行为。
具体地,攻击者的目录扫描行为通常是对上千个目标目录或者目标文件进行扫描探测,以尝试获知目标目录或者目标文件是否存在,实际上大部分的目标目录或者目标文件在Web服务器中是不存在的,因此根据是否有超过第二预设比例或者第二预设数量的第二访问请求对应的访问目标在Web服务器中不存在,确定是否存在目录扫描行为。
即,若同一客户端或者IP地址在第二预设时间范围内发送的多个第二访问请求中,有超过第二预设数量或者第二预设比例的第二访问请求对应的访问目标在Web服务器中不存在,则认为是攻击者通过该客户端或者IP地址进行的目录扫描行为。其中,第二预设时间范围、第二预设数量或者第二预设比例可根据实际应用中的数据特点进行合理设置,本实施例在此不做限制。
可选地,为了在保证判断目录扫描行为准确性的同时,减少数据运算量,在步骤S201b中,若在第二预设时间范围内接收的N个第二访问请求中,有M个第二访问请求对应的访问目标在Web服务器中不存在,则确定存在目录扫描行为,其中,N大于或者等于20,M大于或者等于16。
可选地,M除以N的值大于或者等于0.8。即若同一客户端或者IP地址在第二预设时间范围内所发送的大于或者等于80%比例的第二访问请求中,对应的访问目标在Web服务器中不存在,则认为攻击者通过该客户端或者IP地址进行了目录扫描行为。
本实施例中,由于通常攻击者进行目录扫描行为时,大部分第二访问请求对应的访问目标在Web服务器中是不存在的,在确定存在目录扫描行为后,如果后续每接收到一个第二访问请求便反馈一次路径信息的话,则有可能被攻击者识破路径信息并非为Web服务器真实的应答信息,因此为了达到成功诱骗攻击者的目的,可选择只对后续接收的部分第二访问请求反馈用于诱骗攻击者的路径信息,其他的第二访问请求仍反馈Web服务器所返回的应答信息。
具体地,步骤S201可包括:若根据已接收的第二访问请求确定存在目录扫描行为,则将路径信息发送至后续接收的第三预设数量的第二访问请求对应的地址。其中,选择反馈路径信息的第二访问请求的确定方式不限,例如可以是随机选择,也可以是根据预设时间间隔或者数量间隔进行选择。
可选地,为了获得较好的诱骗效果,第三预设数量大于9,且小于16,即优选向10-15个第二访问请求反馈对应的路径信息。
步骤S202,接收第二访问请求对应的地址上传的可疑Webshell文件,并将可疑Webshell文件存储至安全执行环境中。
本实施例中,由于攻击者为达到对Web服务器进行攻击的目的,在确定第二访问请求对应的访问目标存在后,通常后续会上传可疑Webshell文件。例如,攻击者可将可疑Webshell文件上传至第二访问请求对应的目录中。因此为了实现对Web服务器的安全保护,在根据步骤S201确定第二访问请求对应的地址即为攻击者对应的地址后,可将该地址上传的可疑Webshell文件转存至安全执行环境中。其中,本实施例中的安全执行环境与实施例一中相同,在此不再赘述。
步骤S203,接收对可疑Webshell文件进行访问的第一访问请求。
本实施例中,第一访问请求与实施例一中相同,在此不再赘述。由于攻击者为了隐藏攻击行为,可以使用不同的地址执行不同的行为,因此第一访问请求与第二访问请求对应的地址可以相同也可以不同,本实施例在此不做限制。
步骤S204,将第一访问请求转发至存储于安全执行环境中的可疑Webshell文件,以使得可疑Webshell文件在安全执行环境中执行第一访问请求。
本实施例中,步骤S204与实施例一中的步骤S102相同,本实施例在此不再赘述。
本实施例中,为了达到持续欺骗攻击者的目的,需要避免让攻击者发现实际上并未将其上传的可疑Webshell上传到Web服务器的指定目录下,其对Web服务器进行攻击也并未发生,还可将执行可疑Webshell文件获得的执行结果信息发送至第一访问请求对应的地址。即在步骤S204之后还可包括:将获得的执行结果信息发送至第一访问请求对应的地址。其中,第一访问请求对应的地址可以是发送第一访问请求的IP地址。
步骤S205:记录并存储可疑Webshell文件执行第一访问请求的执行过程信息。
本实施例中,为了便于对可疑Webshell文件进行分析,以及对攻击者的行为进行取证分析,可对用于记录可疑Webshell文件被访问后的行为的执行过程信息进行记录并存储。其中,执行过程信息还可包括执行可疑Webshell文件获得的执行结果信息。
可选地,为了便于对攻击者的行为进行取证分析,执行过程信息可包括调用其他软件的操作行为、网络操作行为和主机操作行为中的至少其一。例如,网络操作行为可包括开启端口、向外发出数据、接受外面的数据等操作行为等,主机操作行为可包括各类对内核的调用行为等。
由以上本发明实施例可见,本发明实施例采用了诱骗的技术思路,提供虚假的路径信息给攻击者,使得攻击者上传的可疑Webshell文件存储在安全执行环境中,在安全执行环境中执行可疑Webshell文件,并获得执行结果,能够保护真实系统免受攻击或者延缓攻击者对真实系统的攻击。本实施例无需进行数据训练和建模,误报率极低,并且可以获得可疑Webshell文件、以及可疑Webshell文件执行过程信息和结果信息,方便后续对可疑Webshell文件进行取证分析。
实施例三
本申请实施例三提供一种Web服务器安全防护系统,图3为本申请实施例三公开的一种Web服务器安全防护系统的结构示意图,该系统包括:
请求接收模块301,用于接收对可疑Webshell文件进行访问的第一访问请求。
转发模块304,用于将第一访问请求转发至存储于安全执行环境305中的可疑Webshell文件,以使得可疑Webshell文件在安全执行环境305中执行第一访问请求。
本实施例中,Web服务器安全防护系统的部署方式不限。
可选地,Web服务器安全防护系统可采用下述部署方式中的至少一种:部署在Web服务器上,例如可与Apache进行集成;部署在Web防护设备上,例如可与Waf进行集成;部署在云服务器上,例如可与云中的一些安全系统进行集成,如SaaS化的Web安全机制,典型的有华为云Waf。
可选地,安全执行环境305至少包括操作系统和Web服务器软件,以提供Webshell文件执行所需的环境、软件和操作系统。
本实施例中,Web服务器安全防护系统还可包括应答模块303,用于若根据对Web服务器进行访问的第二访问请求确定存在目录扫描行为,则将路径信息发送至第二访问请求对应的地址,其中,路径信息用于指示第二访问请求对应的访问目标存在;
转发模块304还用于接收第二访问请求对应的地址上传的可疑Webshell文件,并将可疑Webshell文件存储至安全执行环境305中。
可选地,应答模块303进一步用于:若根据已接收的第二访问请求确定存在目录扫描行为,则将路径信息发送至后续接收的第三预设数量的第二访问请求对应的地址。
可选地,第三预设数量大于9,且小于16。
本实施例中,Web服务器安全防护系统还可包括用于根据对Web服务器进行访问的第二访问请求确定存在目录扫描行为的目录扫描检测模块302,目录扫描检测模块302进一步用于:
若超过第一预设比例或者第一预设数量的第二访问请求均包括预设的扫描关键词信息,则确定存在目录扫描行为;或者,
若超过第二预设比例或者第二预设数量的第二访问请求对应的访问目标在Web服务器中不存在,则确定存在目录扫描行为。
可选地,目录扫描检测模块302进一步用于:若N个第二访问请求中,有M个第二访问请求对应的访问目标在Web服务器中不存在,则确定存在目录扫描行为,其中,N大于或者等于20,M大于或者等于16。
本实施例中,Web服务器安全防护系统还可包括行为记录模块306,用于记录并存储可疑Webshell文件执行第一访问请求的执行过程信息。
通过本实施例的Web服务器安全防护系统,可以实现前述多个方法实施例中相应的Web服务器安全防护方法,并具有相应方法实施例的有益效果,在此不再赘述。
实施例四
本发明实施例还提供了一种计算机存储介质,计算机存储介质中存储有用于执行前述多个方法实施例中相应的方法的计算机程序。具体的,计算机程序包括:
用于执行接收对可疑Webshell文件进行访问的第一访问请求的指令。
用于执行将第一访问请求转发至存储于安全执行环境中的可疑Webshell文件,以使得可疑Webshell文件在安全执行环境中执行第一访问请求的指令。
本实施例中,安全执行环境至少包括操作系统和Web服务器软件,以提供Webshell文件执行所需的环境、软件和操作系统。
本实施例中,计算机程序还包括用于执行若根据对Web服务器进行访问的第二访问请求确定存在目录扫描行为,则将路径信息发送至第二访问请求对应的地址的指令,其中,路径信息用于指示第二访问请求对应的访问目标存在。
用于执行接收第二访问请求对应的地址上传的可疑Webshell文件,并将可疑Webshell文件存储至安全执行环境中的指令。
本实施例中,计算机程序还包括用于执行若超过第一预设比例或者第一预设数量的第二访问请求均包括预设的扫描关键词信息,则确定存在目录扫描行为的指令;或者用于执行若超过第二预设比例或者第二预设数量的第二访问请求对应的访问目标在Web服务器中不存在,则确定存在目录扫描行为的指令。
本实施例中,计算机程序还包括用于执行若N个第二访问请求中,有M个第二访问请求对应的访问目标在Web服务器中不存在,则确定存在目录扫描行为,其中,N大于或者等于20,M大于或者等于16的指令。
本实施例中,计算机程序还包括用于执行若根据已接收的第二访问请求确定存在目录扫描行为,则将路径信息发送至后续接收的第三预设数量的第二访问请求对应的地址的指令。
可选地,第三预设数量大于9,且小于16。
本实施例中,计算机程序还包括用于执行记录并存储可疑Webshell文件执行第一访问请求的执行过程信息的指令。
通过本实施例的计算机存储介质,可以实现前述多个方法实施例中相应的Web服务器安全防护方法,并具有相应方法实施例的有益效果,在此不再赘述。
至此,已经对本申请的特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作可以按照不同的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序,以实现期望的结果。在某些实施方式中,多任务处理和并行处理可以是有利的。
本申请是参照根据本申请实施例的方法的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (6)
1.一种Web服务器安全防护方法,其特征在于,所述方法包括:
若根据对Web服务器进行访问的第二访问请求确定存在目录扫描行为,则将路径信息发送至所述第二访问请求对应的地址,其中,所述路径信息用于指示所述第二访问请求对应的访问目标存在;
接收所述第二访问请求对应的地址上传的可疑Webshell文件,并将所述可疑Webshell文件存储至安全执行环境中;
接收对可疑Webshell文件进行访问的第一访问请求;
将所述第一访问请求转发至存储于安全执行环境中的所述可疑Webshell文件,以使得所述可疑Webshell文件在所述安全执行环境中执行所述第一访问请求;
其中,所述根据对Web服务器进行访问的第二访问请求确定存在目录扫描行为包括:
若超过第一预设比例或者第一预设数量的所述第二访问请求均包括预设的扫描关键词信息,则确定存在所述目录扫描行为;或者,若超过第二预设比例或者第二预设数量的所述第二访问请求对应的所述访问目标在所述Web服务器中不存在,则确定存在所述目录扫描行为。
2.根据权利要求1所述的方法,其特征在于,所述若超过第二预设比例或者第二预设数量的所述第二访问请求对应的所述访问目标在所述Web服务器中不存在,则确定存在所述目录扫描行为包括:
若N个所述第二访问请求中,有M个所述第二访问请求对应的所述访问目标在所述Web服务器中不存在,则确定存在所述目录扫描行为,其中,N大于或者等于20,M大于或者等于16。
3.根据权利要求1所述的方法,其特征在于,所述若根据对Web服务器进行访问的第二访问请求确定存在目录扫描行为,则将路径信息发送至所述第二访问请求对应的地址的包括:
若根据已接收的所述第二访问请求确定存在目录扫描行为,则将所述路径信息发送至后续接收的第三预设数量的所述第二访问请求对应的地址。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
记录并存储所述可疑Webshell文件执行所述第一访问请求的执行过程信息。
5.一种Web服务器安全防护系统,其特征在于,包括:
请求接收模块,用于接收对可疑Webshell文件进行访问的第一访问请求;
转发模块,用于将所述第一访问请求转发至存储于安全执行环境中的所述可疑Webshell文件,以使得所述可疑Webshell文件在所述安全执行环境中执行所述第一访问请求;还用于接收第二访问请求对应的地址上传的所述可疑Webshell文件,并将所述可疑Webshell文件存储至所述安全执行环境中;
应答模块,用于若根据对Web服务器进行访问的第二访问请求确定存在目录扫描行为,则将路径信息发送至所述第二访问请求对应的地址,其中,所述路径信息用于指示所述第二访问请求对应的访问目标存在;
目录扫描检测模块,用于根据对Web服务器进行访问的第二访问请求确定存在目录扫描行为,并进一步用于:若超过第一预设比例或者第一预设数量的所述第二访问请求均包括预设的扫描关键词信息,则确定存在所述目录扫描行为;或者,若超过第二预设比例或者第二预设数量的所述第二访问请求对应的所述访问目标在所述Web服务器中不存在,则确定存在所述目录扫描行为。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序用于执行权利要求1-4中任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110197467.XA CN112995168B (zh) | 2021-02-22 | 2021-02-22 | 一种Web服务器安全防护方法、系统及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110197467.XA CN112995168B (zh) | 2021-02-22 | 2021-02-22 | 一种Web服务器安全防护方法、系统及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995168A CN112995168A (zh) | 2021-06-18 |
| CN112995168B true CN112995168B (zh) | 2022-11-08 |
Family
ID=76349361
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110197467.XA Active CN112995168B (zh) | 2021-02-22 | 2021-02-22 | 一种Web服务器安全防护方法、系统及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995168B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301627A (zh) * | 2021-11-29 | 2022-04-08 | 北京天融信网络安全技术有限公司 | 上传文件安全扫描方法、设备及计算机可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546621A (zh) * | 2010-12-27 | 2012-07-04 | 阿瓦雅公司 | 用于融合的voip服务的voip蜜罐的系统和方法 |
| US9754116B1 (en) * | 2014-09-03 | 2017-09-05 | Amazon Technologies, Inc. | Web services in secure execution environments |
| CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
| CN111683106A (zh) * | 2020-08-13 | 2020-09-18 | 云盾智慧安全科技有限公司 | 主动防护系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10771496B2 (en) * | 2017-07-18 | 2020-09-08 | Imperva, Inc. | Insider threat detection utilizing user group data object access analysis |
-
2021
- 2021-02-22 CN CN202110197467.XA patent/CN112995168B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546621A (zh) * | 2010-12-27 | 2012-07-04 | 阿瓦雅公司 | 用于融合的voip服务的voip蜜罐的系统和方法 |
| US9754116B1 (en) * | 2014-09-03 | 2017-09-05 | Amazon Technologies, Inc. | Web services in secure execution environments |
| CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
| CN111683106A (zh) * | 2020-08-13 | 2020-09-18 | 云盾智慧安全科技有限公司 | 主动防护系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| webshell查杀逃逸技术研究;王亚丽;《网络安全技术与应用》;20171231;第75-76页 * |
| 基于蜜罐的内网威胁感知技术研究;秦玉杰;《中国优秀硕士学位论文电子期刊》;20190315;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995168A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| US9910988B1 (en) | Malware analysis in accordance with an analysis plan | |
| US10102372B2 (en) | Behavior profiling for malware detection | |
| US10515214B1 (en) | System and method for classifying malware within content created during analysis of a specimen | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| EP3588898A1 (en) | Defense against apt attack | |
| US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
| US20180191779A1 (en) | Flexible Deception Architecture | |
| US20150207810A1 (en) | Method and System for Detecting Behaviour of Remotely Intruding into Computer | |
| CN103617395A (zh) | 一种基于云安全拦截广告程序的方法、装置和系统 | |
| CN110875904A (zh) | 实现攻击处理的方法、蜜罐部署方法及介质和设备 | |
| CN111221625B (zh) | 文件检测方法、装置及设备 | |
| US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
| US9998482B2 (en) | Automated network interface attack response | |
| US20240007487A1 (en) | Asset Remediation Trend Map Generation and Utilization for Threat Mitigation | |
| US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| CN115859274B (zh) | 一种监控Windows进程清空系统事件日志行为的方法及系统 | |
| CN113949520A (zh) | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 | |
| CN112242974A (zh) | 基于行为的攻击检测方法、装置、计算设备及存储介质 | |
| CN113886814A (zh) | 一种攻击检测方法及相关装置 | |
| CN112995168B (zh) | 一种Web服务器安全防护方法、系统及计算机存储介质 | |
| CN116015717A (zh) | 一种网络防御方法、装置、设备及存储介质 | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |