CN113225357A - 一种网页后门的取证方法和相关装置 - Google Patents
一种网页后门的取证方法和相关装置 Download PDFInfo
- Publication number
- CN113225357A CN113225357A CN202110770589.3A CN202110770589A CN113225357A CN 113225357 A CN113225357 A CN 113225357A CN 202110770589 A CN202110770589 A CN 202110770589A CN 113225357 A CN113225357 A CN 113225357A
- Authority
- CN
- China
- Prior art keywords
- backdoor
- webpage
- webpage backdoor
- data packet
- web page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网页后门的取证方法和相关装置,该方法包括:在识别到网页后门流量数据包后,生成安全告警信息并获得网页后门的连接密码和URL地址;基于网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;当接管网页后门成功时,再次模拟网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。该方式通过获得网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;接管成功表示网页后门有效,无需登录受害主机自动取证受害主机关于网页后门攻击事件的各类关键日志;节省人力和时间,降低人工和时间成本。
Description
技术领域
本申请涉及网页数据处理技术领域,尤其涉及一种网页后门的取证方法和相关装置。
背景技术
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。webshell攻击是常见的用来控制web服务器的攻击方法,因此,针对webshell的检测技术十分重要。
目前,针对webshell的检测技术,常见的检测设备例如网站应用级入侵防御系统(Web Application Firewall,WAF)、入侵检测系统(intrusion detection system,IDS)、深度报文检测(Deep Packet Inspection,DPI)等一般都具备webshell检测能力;则可以基于WAF、IDS、DPI等检测设备采用流量检测模式,识别到网页后门流量数据包,生成安全告警信息,针对该安全告警信息进行网页后门的取证需要依赖于专业安全人员,采用人工取证方式。
发明人经过研究发现,上述人工取证方式是指在专业安全人员登录受害主机的情况下,人工分析排查受害主机的日志数据,取证受害主机关于网页后门攻击事件的各类关键日志;该人工取证方式既需要耗费大量的人力和时间,又增加人工和时间成本,降低网页后门取证效率。
发明内容
有鉴于此,本申请实施例提供一种网页后门的取证方法和相关装置,可自动取证受害主机关于网页后门攻击事件的各类关键日志,节省大量的人力和时间,降低人工和时间成本,提高网页后门取证效率。
第一方面,本申请实施例提供了一种网页后门的取证方法,所述方法包括:
当识别到网页后门流量数据包时,生成安全告警信息并获得网页后门的连接密码和统一资源定位器URL地址;
基于所述网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管所述网页后门;
若接管所述网页后门成功,模拟所述网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。
可选的,所述识别到网页后门流量数据包,具体为:
基于深度报文检测DPI设备,利用预置网页后门流量识别策略对各个流量数据包进行报文匹配,若匹配成功,识别到所述网页后门流量数据包。
可选的,所述获得网页后门的连接密码,具体为:
基于所述预置网页后门流量识别策略,利用正则匹配方式获得所述网页后门流量数据包中所述网页后门的连接密码。
可选的,所述基于所述网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管所述网页后门,具体为:
模拟所述网页后门管理工具的功能接口,将所述网页后门的连接密码和URL地址进行数据包重组,接管所述网页后门。
可选的,所述模拟所述网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志,具体为:
模拟所述网页后门管理工具的功能接口发送重组数据包,利用预置插件自动取证所述受害主机关于网页后门攻击事件的各类关键日志。
可选的,所述方法还包括:
利用日志分析引擎溯源分析所述各类关键日志。
可选的,所述利用日志分析引擎溯源分析所述各类关键日志,包括:
利用所述日志分析引擎确定所述各类关键日志对应的索引;
按照所述索引可视化显示所述各类关键日志。
可选的,所述索引包括时间索引或IP地址索引;所述各关键日志包括web日志、系统日志和安全日志。
可选的,所述方法还包括:
若接管所述网页后门失败,确定所述安全告警信息误报。
第二方面,本申请实施例提供了一种网页后门的取证装置,所述装置包括:
获得单元,用于当识别到网页后门流量数据包时,生成安全告警信息并获得网页后门的连接密码和统一资源定位器URL地址;
接管单元,用于基于所述网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管所述网页后门;
取证单元,用于若接管所述网页后门成功,模拟所述网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。
可选的,所述获得单元,具体用于:
基于深度报文检测DPI设备,利用预置网页后门流量识别策略对各个流量数据包进行报文匹配,若匹配成功,识别到所述网页后门流量数据包。
可选的,所述获得单元,具体用于:
基于所述预置网页后门流量识别策略,利用正则匹配方式获得所述网页后门流量数据包中所述网页后门的连接密码。
可选的,所述接管单元,具体用于:
模拟所述网页后门管理工具的功能接口,将所述网页后门的连接密码和URL地址进行数据包重组,接管所述网页后门。
可选的,所述取证单元,具体用于:
模拟所述网页后门管理工具的功能接口发送重组数据包,利用预置插件自动取证所述受害主机关于网页后门攻击事件的各类关键日志。
可选的,所述装置还包括:
溯源分析单元,用于利用日志分析引擎溯源分析所述各类关键日志。
可选的,所述溯源分析单元,用于:
利用所述日志分析引擎确定所述各类关键日志对应的索引;
按照所述索引可视化显示所述各类关键日志。
可选的,所述索引包括时间索引或IP地址索引;所述各关键日志包括web日志、系统日志和安全日志。
可选的,所述装置还包括:
确定单元,用于若接管所述网页后门失败,确定所述安全告警信息误报。
第三方面,本申请实施例提供了一种终端设备,所述终端设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行上述第一方面任一项所述的网页后门的取证方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行上述第一方面任一项所述的网页后门的取证方法。
与现有技术相比,本申请至少具有以下优点:
采用本申请实施例的技术方案,首先,在识别到网页后门流量数据包后,生成安全告警信息并获得网页后门的连接密码和URL地址;然后,基于网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;最后,当接管网页后门成功时,再次模拟网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。该方式通过获得网页后门的连接密码和URL地址,以模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;接管成功表示网页后门有效,无需登录受害主机通过模拟网页后门管理工具的功能接口发送重组数据包,即可自动取证受害主机关于网页后门攻击事件的各类关键日志;节省大量的人力和时间,降低人工和时间成本,提高网页后门取证效率。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例中一种应用场景所涉及的系统框架示意图;
图2为本申请实施例提供的一种网页后门的取证方法的流程示意图;
图3为本申请实施例提供的另一种网页后门的取证方法的流程示意图;
图4为本申请实施例提供的一种网页后门的取证装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现阶段,可以基于WAF、IDS、DPI等检测设备采用流量检测模式检测webshell;即,识别到网页后门流量数据包,生成安全告警信息,针对该安全告警信息,专业安全人员登录受害主机,人工分析排查受害主机的日志数据,取证受害主机关于网页后门攻击事件的各类关键日志。发明人经过研究发现,该取证方式既需要耗费大量的人力和时间,又增加人工和时间成本,降低网页后门取证效率。
为了解决这一问题,在本申请实施例中,在识别到网页后门流量数据包后,生成安全告警信息并获得网页后门的连接密码和URL地址;基于网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;当接管网页后门成功时,再次模拟网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。该方式通过获得网页后门的连接密码和URL地址,以模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;接管成功表示网页后门有效,无需登录受害主机通过模拟网页后门管理工具的功能接口发送重组数据包,即可自动取证受害主机关于网页后门攻击事件的各类关键日志,节省大量的人力和时间,降低人工和时间成本,提高网页后门取证效率。
举例来说,本申请实施例的场景之一,可以是应用到如图1所示的场景中。该场景包括DPI设备101和受害主机102,DPI设备101通过本申请实施例提供的网页后门的取证方法实施方式,实现对受害主机102关于网页后门攻击事件的各类关键日志的取证。
首先,在上述应用场景中,虽然将本申请实施例提供的实施方式的动作描述由DPI设备101执行;但是,本申请实施例在执行主体方面不受限制,只要执行了本申请实施例提供的实施方式所公开的动作即可。
其次,上述场景仅是本申请实施例提供的一个场景示例,本申请实施例并不限于此场景。
下面结合附图,通过实施例来详细说明本申请实施例中网页后门的取证的方法和相关装置的具体实现方式。
示例性方法
参见图2,示出了本申请实施例中一种网页后门的取证方法的流程示意图。在本实施例中,所述方法例如可以包括以下步骤:
步骤201:当识别到网页后门流量数据包时,生成安全告警信息并获得网页后门的连接密码和URL地址。
在本申请实施例中,为了实现网页后门的取证,首先需要采用流量检测模式检测网页后门,即,识别是否有网页后门流量数据包。若识别到网页后门流量数据包,表示检测到网页后门。此时,不仅需要生成安全告警信息,以便通知专业安全人员可能存在网页后门攻击事件;而且需要获得网页后门流量数据包中网页后门的连接密码和统一资源定位器(Uniform Resource Locator,URL)地址,以便后续可以基于该数据进行网页后门的接管。
其中,在识别是否有网页后门流量数据包之前,基于网页后门流量数据包,预先设置与网页后门流量数据包相关的识别策略,作为预置网页后门流量识别策略;基于此,识别是否有网页后门流量数据包,可以是DPI设备利用预置网页后门流量识别策略对各个流量数据包进行报文匹配,匹配成功则表示识别到网页后门流量数据包。因此,在本申请实施例一种可选的实施方式中,所述步骤201中识别到网页后门流量数据包的步骤例如具体可以为:基于深度报文检测DPI设备,利用预置网页后门流量识别策略对各个流量数据包进行报文匹配,若匹配成功,识别到所述网页后门流量数据包。
其中,基于中国菜刀等网页后门管理工具的一句话木马类型的网页后门具有统一固定的接口调用格式,则在预置网页后门流量识别策略的基础上,利用正则匹配方式可以获取网页后门流量数据包中网页后门的连接密码字段,从而获得网页后门的连接密码。因此,在本申请实施例一种可选的实施方式中,所述步骤201中获得网页后门的连接密码的步骤例如具体可以为:基于所述预置网页后门流量识别策略,利用正则匹配方式获得所述网页后门流量数据包中所述网页后门的连接密码。
步骤202:基于所述网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管所述网页后门。
在本申请实施例中,步骤201获得网页后门的连接密码和URL地址之后,利用网页后门的连接密码和URL地址,可以模拟网页后门管理工具的功能接口,通过发送重组流量数据包方式去接管网页后门。
步骤202具体实施时,利用网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包实际上是指通过开发python脚本模拟中国菜刀等网页后门管理工具的功能接口,将网页后门的连接密码和URL地址等关键信息,以中国菜刀等网页后门管理工具的应用程序编程接口 (Application Programming Interface,API)格式进行数据包重组,得到重组数据包并发送,以此接管网页后门。因此,在本申请实施例一种可选的实施方式中,所述步骤202例如具体可以为:模拟所述网页后门管理工具的功能接口,将所述网页后门的连接密码和URL地址进行数据包重组,接管所述网页后门。
步骤203:若接管所述网页后门成功,模拟所述网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。
在本申请实施例中,步骤202接管网页后门的基础上,需要判断接管网页后门是否成功,一种判断结果是接管网页后门成功;接管网页后门成功表示受害主机确实被植入网页后门,即,步骤201安全告警信息正确,受害主机确实受到网页后门攻击事件,以此验证了网页后门的有效性。此时,需要继续通过模拟网页后门管理工具的功能接口,发送重组流量数据包方式,去自动取证受害主机关于网页后门攻击事件的各类关键日志。
步骤203具体实施时,模拟网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志,实际上是指模拟中国菜刀等网页后门管理工具的系统命令执行、文件下载等功能接口,开发定制化python插件完成受害主机关于网页后门攻击事件的各类关键日志的自动化下载,实现自动化取证。因此,在本申请实施例一种可选的实施方式中,所述步骤203中模拟所述网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志的步骤例如具体可以为:模拟所述网页后门管理工具的功能接口发送重组数据包,利用预置插件自动取证所述受害主机关于网页后门攻击事件的各类关键日志。
其中,受害主机关于网页后门攻击事件的各类关键日志主要是指关于网页后门攻击事件的web日志、系统日志和安全日志等。因此,在本申请实施例一种可选的实施方式中,所述各关键日志包括web日志、系统日志和安全日志。
对应地,判断接管网页后门是否成功的另一种判断结果是接管网页后门失败;接管网页后门失败表示受害主机并没有被植入网页后门,受害主机并没有受到网页后门攻击事件,即,步骤201安全告警信息误报。因此,在本申请实施例一种可选的实施方式中,所述方法例如还可以包括步骤:若接管所述网页后门失败,确定所述安全告警信息误报。
通过本实施例提供的各种实施方式,首先,在识别到网页后门流量数据包后,生成安全告警信息并获得网页后门的连接密码和URL地址;然后,基于网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;最后,当接管网页后门成功时,再次模拟网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。该方式通过获得网页后门的连接密码和URL地址,以模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;接管成功表示网页后门有效,无需登录受害主机通过模拟网页后门管理工具的功能接口发送重组数据包,即可自动取证受害主机关于网页后门攻击事件的各类关键日志;节省大量的人力和时间,降低人工和时间成本,提高网页后门取证效率。
需要说明的是,在上述方法实施例自动取证受害主机关于网页后门攻击事件的各类关键日志之后,还可以对自动取证得到的受害主机关于网页后门攻击事件的各类关键日志进行溯源分析,例如,可以利用日志分析引擎对受害主机关于网页后门攻击事件的各类关键日志进行溯源分析。
参见图3,示出了本申请实施例中另一种网页后门的取证方法的流程示意图。在本实施例中,所述方法例如可以包括以下步骤:
步骤301:当识别到网页后门流量数据包时,生成安全告警信息并获得网页后门的连接密码和URL地址。
步骤302:基于所述网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管所述网页后门。
步骤303:若接管所述网页后门成功,模拟所述网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。
在本申请实施例中,由于步骤301-步骤303与上述步骤201-步骤203相同,因此,步骤301-步骤303的具体实施方式可以参考上述步骤201-步骤203的具体实施方式,在此不再赘述。
步骤304:利用日志分析引擎溯源分析所述各类关键日志。
在本申请实施例中,步骤304具体实施时,首先,需要日志分析引擎对自动取证得到的受害主机关于网页后门攻击事件的各类关键日志进行监控,确定各类关键日志对应的索引,并将各类关键日志与其对应的索引进行对应存储。然后,按照上述索引以可视化显示的方式显示自动取证得到的受害主机关于网页后门攻击事件的各类关键日志。因此,在本申请实施例一种可选的实施方式中,所述步骤304例如可以包括以下步骤中步骤3041-步骤3042:
步骤3041、利用所述日志分析引擎确定所述各类关键日志对应的索引。
其中,确定受害主机关于网页后门攻击事件的各类关键日志对应的索引目的是:实现受害主机关于网页后门攻击事件的各类关键日志的溯源分析,则主要确定的是受害主机关于网页后门攻击事件的各类关键日志对应的时间索引或IP地址索引。因此,在本申请实施例一种可选的实施方式中,所述索引包括时间索引或IP地址索引。
其中,日志分析引擎例如可以是ELK等开源日志分析引擎,该ELK是由ElasticSearch、Logstash、 Kibana搭建实时日志分析平台。Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。Logstash是一个完全开源的工具,对日志进行收集、过滤,并将其存储供以后使用(如,搜索)。Kibana 也是一个开源和免费的工具,可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,帮助汇总、分析和搜索重要数据日志。
步骤3042、按照所述索引可视化显示所述各类关键日志。
通过本实施例提供的各种实施方式,首先,在识别到网页后门流量数据包后,生成安全告警信息并获得网页后门的连接密码和URL地址;其次,基于网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;然后,当接管网页后门成功时,再次模拟网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志;最后,利用日志分析引擎溯源分析各类关键日志。该方式通过获得网页后门的连接密码和URL地址,以模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;接管成功表示网页后门有效,无需登录受害主机通过模拟网页后门管理工具的功能接口发送重组数据包,即可自动取证受害主机关于网页后门攻击事件的各类关键日志,并自动对该各类关键日志溯源分析;节省大量的人力和时间,降低人工和时间成本,提高网页后门取证效率,提升网页后门取证结果。
示例性装置
参见图4,示出了本申请实施例中一种网页后门的取证装置的结构示意图。在本实施例中,所述装置例如具体可以包括:
获得单元401,用于当识别到网页后门流量数据包时,生成安全告警信息并获得网页后门的连接密码和URL地址;
接管单元402,用于基于所述网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管所述网页后门;
取证单元403,用于若接管所述网页后门成功,模拟所述网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。
在本申请实施例一种可选的实施方式中,所述获得单元401,具体用于:
基于深度报文检测DPI设备,利用预置网页后门流量识别策略对各个流量数据包进行报文匹配,若匹配成功,识别到所述网页后门流量数据包。
在本申请实施例一种可选的实施方式中,所述获得单元401,具体用于:
基于所述预置网页后门流量识别策略,利用正则匹配方式获得所述网页后门流量数据包中所述网页后门的连接密码。
在本申请实施例一种可选的实施方式中,所述接管单元402,具体用于:
模拟网页后门管理工具的功能接口,将所述网页后门的连接密码和URL地址进行数据包重组,接管所述网页后门。
在本申请实施例一种可选的实施方式中,所述取证单元403,具体用于:
模拟所述网页后门管理工具的功能接口发送重组数据包,利用预置插件自动取证所述受害主机关于网页后门攻击事件的各类关键日志。
在本申请实施例一种可选的实施方式中,所述装置还包括:
溯源分析单元,用于利用日志分析引擎溯源分析所述各类关键日志。
在本申请实施例一种可选的实施方式中,所述溯源分析单元,用于:
利用所述日志分析引擎确定所述各类关键日志对应的索引;
按照所述索引可视化显示所述各类关键日志。
在本申请实施例一种可选的实施方式中,所述索引包括时间索引或IP地址索引;所述各关键日志包括web日志、系统日志和安全日志。
在本申请实施例一种可选的实施方式中,所述装置还包括:
确定单元,用于若接管所述网页后门失败,确定所述安全告警信息误报。
通过本实施例提供的各种实施方式,首先,在识别到网页后门流量数据包后,生成安全告警信息并获得网页后门的连接密码和URL地址;然后,基于网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;最后,当接管网页后门成功时,再次模拟网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。该方式通过获得网页后门的连接密码和URL地址,以模拟网页后门管理工具的功能接口发送重组数据包,接管网页后门;接管成功表示网页后门有效,无需登录受害主机通过模拟网页后门管理工具的功能接口发送重组数据包,即可自动取证受害主机关于网页后门攻击事件的各类关键日志;节省大量的人力和时间,降低人工和时间成本,提高网页后门取证效率。
此外,本申请实施例还提供了一种终端设备,所述终端设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行上述方法实施例所述的网页后门的取证方法。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行上述方法实施例所述的网页后门的取证方法。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅是本申请的较佳实施例而已,并非对本申请作任何形 式上的限制。虽然本申请已以较佳实施例揭露如上,然而并非用以限定本申请。任何熟悉本领域的技术人员,在不脱离本申请技术方案范围情况下,都可利用上述揭示的方法和技术内容对本申请技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本申请技术方案的内容,依据本申请的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本申请技术方案保护的范围内。
Claims (12)
1.一种网页后门的取证方法,其特征在于,包括:
当识别到网页后门流量数据包时,生成安全告警信息并获得网页后门的连接密码和统一资源定位器URL地址;
基于所述网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管所述网页后门;
若接管所述网页后门成功,模拟所述网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。
2.根据权利要求1所述的方法,其特征在于,所述识别到网页后门流量数据包,具体为:
基于深度报文检测DPI设备,利用预置网页后门流量识别策略对各个流量数据包进行报文匹配,若匹配成功,识别到所述网页后门流量数据包。
3.根据权利要求2所述的方法,其特征在于,所述获得网页后门的连接密码,具体为:
基于所述预置网页后门流量识别策略,利用正则匹配方式获得所述网页后门流量数据包中所述网页后门的连接密码。
4.根据权利要求1所述的方法,其特征在于,所述基于所述网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管所述网页后门,具体为:
模拟所述网页后门管理工具的功能接口,将所述网页后门的连接密码和URL地址进行数据包重组,接管所述网页后门。
5.根据权利要求1所述的方法,其特征在于,所述模拟所述网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志,具体为:
模拟所述网页后门管理工具的功能接口发送重组数据包,利用预置插件自动取证所述受害主机关于网页后门攻击事件的各类关键日志。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
利用日志分析引擎溯源分析所述各类关键日志。
7.根据权利要求6所述的方法,其特征在于,所述利用日志分析引擎溯源分析所述各类关键日志,包括:
利用所述日志分析引擎确定所述各类关键日志对应的索引;
按照所述索引可视化显示所述各类关键日志。
8.根据权利要求7所述的方法,其特征在于,所述索引包括时间索引或IP地址索引;所述各关键日志包括web日志、系统日志和安全日志。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若接管所述网页后门失败,确定所述安全告警信息误报。
10.一种网页后门的取证装置,其特征在于,包括:
获得单元,用于当识别到网页后门流量数据包时,生成安全告警信息并获得网页后门的连接密码和统一资源定位器URL地址;
接管单元,用于基于所述网页后门的连接密码和URL地址,模拟网页后门管理工具的功能接口发送重组数据包,接管所述网页后门;
取证单元,用于若接管所述网页后门成功,模拟所述网页后门管理工具的功能接口发送重组数据包,自动取证受害主机关于网页后门攻击事件的各类关键日志。
11.一种终端设备,其特征在于,所述终端设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行权利要求1-9任一项所述的网页后门的取证方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行权利要求1-9任一项所述的网页后门的取证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110770589.3A CN113225357B (zh) | 2021-07-08 | 2021-07-08 | 一种网页后门的取证方法和相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110770589.3A CN113225357B (zh) | 2021-07-08 | 2021-07-08 | 一种网页后门的取证方法和相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113225357A true CN113225357A (zh) | 2021-08-06 |
| CN113225357B CN113225357B (zh) | 2021-09-17 |
Family
ID=77081231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110770589.3A Active CN113225357B (zh) | 2021-07-08 | 2021-07-08 | 一种网页后门的取证方法和相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113225357B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140215619A1 (en) * | 2013-01-28 | 2014-07-31 | Infosec Co., Ltd. | Webshell detection and response system |
| CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | 中国银联股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
| US20160359876A1 (en) * | 2015-06-08 | 2016-12-08 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
| CN107104924A (zh) * | 2016-02-22 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 网站后门文件的验证方法及装置 |
| US20190141075A1 (en) * | 2017-11-09 | 2019-05-09 | Monarx, Inc. | Method and system for a protection mechanism to improve server security |
| CN110808997A (zh) * | 2019-11-11 | 2020-02-18 | 恒安嘉新(北京)科技股份公司 | 对服务器远程取证的方法、装置、电子设备、及存储介质 |
| CN110830483A (zh) * | 2019-11-13 | 2020-02-21 | 杭州安恒信息技术股份有限公司 | 网页日志攻击信息检测方法、系统、设备及可读存储介质 |
| CN110909350A (zh) * | 2019-11-16 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种远程精准识别WebShell后门的方法 |
-
2021
- 2021-07-08 CN CN202110770589.3A patent/CN113225357B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140215619A1 (en) * | 2013-01-28 | 2014-07-31 | Infosec Co., Ltd. | Webshell detection and response system |
| US20160359876A1 (en) * | 2015-06-08 | 2016-12-08 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
| CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | 中国银联股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
| CN107104924A (zh) * | 2016-02-22 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 网站后门文件的验证方法及装置 |
| US20190141075A1 (en) * | 2017-11-09 | 2019-05-09 | Monarx, Inc. | Method and system for a protection mechanism to improve server security |
| CN110808997A (zh) * | 2019-11-11 | 2020-02-18 | 恒安嘉新(北京)科技股份公司 | 对服务器远程取证的方法、装置、电子设备、及存储介质 |
| CN110830483A (zh) * | 2019-11-13 | 2020-02-21 | 杭州安恒信息技术股份有限公司 | 网页日志攻击信息检测方法、系统、设备及可读存储介质 |
| CN110909350A (zh) * | 2019-11-16 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种远程精准识别WebShell后门的方法 |
Non-Patent Citations (1)
| Title |
|---|
| WENCHUAN YANG等: "A Webshell Detection Technology Based on HTTP Traffic Analysis", 《IMIS 2018: INNOVATIVE MOBILE AND INTERNET SERVICES IN UBIQUITOUS COMPUTING》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113225357B (zh) | 2021-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
| CN111651757B (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
| Dumitraş et al. | Toward a standard benchmark for computer security research: The Worldwide Intelligence Network Environment (WINE) | |
| US20180219907A1 (en) | Method and apparatus for detecting website security | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| CN111866016B (zh) | 日志的分析方法及系统 | |
| KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
| CN110881043B (zh) | 一种web服务器漏洞的检测方法及装置 | |
| CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
| CN104811447A (zh) | 一种基于攻击关联的安全检测方法和系统 | |
| CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| CN108965327B (zh) | 检测系统漏洞的方法、装置、计算机设备以及存储介质 | |
| CN108566392B (zh) | 基于机器学习的防御cc攻击系统与方法 | |
| CN112953896A (zh) | 日志报文的回放方法及装置 | |
| CN110365714B (zh) | 主机入侵检测方法、装置、设备及计算机存储介质 | |
| CN110442582B (zh) | 场景检测方法、装置、设备和介质 | |
| CN113595981B (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
| CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
| CN113225357B (zh) | 一种网页后门的取证方法和相关装置 | |
| CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
| CN109688236B (zh) | Sinkhole域名处理方法及服务器 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |