CN113746784A - 一种数据检测方法、系统及相关设备 - Google Patents
一种数据检测方法、系统及相关设备 Download PDFInfo
- Publication number
- CN113746784A CN113746784A CN202010475570.1A CN202010475570A CN113746784A CN 113746784 A CN113746784 A CN 113746784A CN 202010475570 A CN202010475570 A CN 202010475570A CN 113746784 A CN113746784 A CN 113746784A
- Authority
- CN
- China
- Prior art keywords
- data
- dimensional
- packet
- detection
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明实施例提供了一种数据检测方法、系统及相关设备,用于提高非法数据的检出率,提高检测精度。本发明实施例方法包括:获取客户端和/或服务端发送的数据包,并提取所述数据包中一维或多维特征数据;将所述一维或多维特征数据与指纹库中的指纹进行匹配,若所述一维或多维特征数据匹配到第一规则指纹,则向所述客户端发送检测包,所述检测包中包含预设检测程序,所述第一规则指纹中包含不合法数据对应的一维或多维特征数据;接收所述客户端发送的回应包,并检测所述回应包是否符合预设条件,若不符合,则判定所述数据包不合法。
Description
技术领域
本发明涉及数据检测技术领域,尤其涉及一种数据检测方法、系统及相关设备。
背景技术
WebShell是一种以网页文件形式存在的命令执行程序,也称为后门文件,是黑客对网站和主机进一步渗透的重要工具。由于安全领域激烈的红蓝对抗,导致WebShell工具功能越来越强大,有些WebShell工具为了提高客户端和服务端通讯过程中流量的隐蔽性,使用了些加密手段,致使检测变得困难。
当前对于WebShell流量,业界的检测技术一般采用规则匹配:通过分析加密WebShell工具再和服务端通信过程的流量信息,获取有别于正常流量的强特征和规则,然后通过这些强特征和规则,去判定当前的流量是否存在异常。
对于使用加密手段的WebShell工具,其产生的流量特征较弱,导致现有方案的检出率低下。
发明内容
本发明实施例提供了一种数据检测方法、系统及相关设备,用于提高非法数据的检出率,提高检测精度。
本发明实施例第一方面提供了一种数据检测方法,可包括:
获取客户端和/或服务端发送的数据包,并提取所述数据包中一维或多维特征数据;
将所述一维或多维特征数据与指纹库中的指纹进行匹配,若所述一维或多维特征数据匹配到第一规则指纹,则向所述客户端发送检测包,所述检测包中包含预设检测程序,所述第一规则指纹中包含不合法数据对应的一维或多维特征数据;
接收所述客户端发送的回应包,并检测所述回应包是否符合预设条件,若不符合,则判定所述数据包不合法。
可选的,作为一种可能的实施方式,所述预设检测程序为基于JS语言的检测程序,本发明实施例中的数据检测方法,还可以包括:
采用加密算法对所述预设检测程序进行混淆加密,并对所述加密算法周期性切换。
可选的,作为一种可能的实施方式,所述预设检测程序中还包括采用预设算法加密的字符序列,所述检测所述回应包是否符合预设条件可包括:
校验所述回应包中是否包含正确的字符序列。
可选的,作为一种可能的实施方式,本发明实施例中的数据检测方法,还可以包括:
当所述一维或多维特征数据匹配到第二规则指纹时,则直接判定所述数据包不合法。
本发明实施例第二方面提供了一种数据检测系统,可包括:
获取模块,用于获取客户端和/或服务端发送的数据包,并提取所述数据包中一维或多维特征数据;
匹配模块,用于将所述一维或多维特征数据与指纹库中的指纹进行匹配,若所述一维或多维特征数据匹配到第一规则指纹,则向所述客户端发送检测包,所述检测包中包含预设检测程序,所述第一规则指纹中包含不合法数据对应的一维或多维特征数据;
校验模块,用于接收所述客户端发送的回应包,并检测所述回应包是否符合预设条件,若不符合,则判定所述数据包不合法。
可选的,作为一种可能的实施方式,所述预设检测程序为基于JS语言的检测程序,本发明实施例中的数据检测系统,还可以包括:
加密模块,用于采用加密算法对所述预设检测程序进行混淆加密,并对所述加密算法周期性切换。
可选的,作为一种可能的实施方式,本发明实施例中的数据检测系中所述校验模块可以包括:
校验单元,用于校验所述回应包中是否包含正确的字符序列。
可选的,作为一种可能的实施方式,本发明实施例中的数据检测系统,还可以包括:
判定模块,当所述一维或多维特征数据匹配到第二规则指纹时,则直接判定所述数据包不合法。
本发明实施例第三方面提供了一种计算机装置,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。
本发明实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,可以提取待检测数据包中一维或多维特征数据,将一维或多维特征数据与指纹库中的指纹进行匹配,若一维或多维特征数据匹配到第一规则指纹,则向客户端发送检测包,检测包中包含预设检测程序;接收客户端发送的回应包,并检测回应包是否符合预设条件,若不符合,则判定数据包不合法。相对于现有技术中的第二规则匹配,本发明实施例中,可以对满足第一规则的数据包对应的客户端发送包含预设检测程序的检测包,若回应包是否符合预设条件,可以判定数据包不合法,提高了非法数据的检出率,有效提高检测精度。
附图说明
图1为本发明实施例中一种数据检测方法的一个实施例示意图;
图2为本发明实施例中一种数据检测方法的一个具体应用实施例示意图;
图3为本发明实施例中一种数据检测系统的一个实施例示意图;
图4为本发明实施例中一种计算机装置的一个实施例示意图。
具体实施方式
本发明实施例提供了一种数据检测方法、系统及相关设备,用于提高非法数据的检出率,提高检测精度。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提出了基于指纹和反向检测程序的数据检测方案。根据响应包和/或请求包中的特征,定位出一些可能是WebShell加密后的流量包,然后通过反向检测程序进行反向探测,对通信进程中的客户端进行探测,通过客户端返回的信息和预设信息的对应性,来判定是否为WebShell加密流量。
为了便于理解,下面对本发明实施例中的具体流程进行描述,请参阅图1,本发明实施例中一种数据检测方法的一个实施例可包括:
101、获取客户端和/或服务端发送的数据包,并提取数据包中一维或多维特征数据;
实际运用中,WebShell工具加密后的流量包的指纹特征可能只存在响应包中,比如冰蝎工具的aes加密的弱特征只存在响应包中,其他一些WebShell工具的指纹特征可能比较常出现在请求包中。因此可以根据检测需求,获取客户端或服务端发送的数据包,也可以同时获取客户端和服务端发送的数据包,并提取获取到的数据包中一维或多维特征数据作为识别的依据。
具体的,数据包中可以包含header数据和body数据(一般是传输的数据),header有url,host,use-agent,cookie等字段,可以根据预先设置的字段提取对应的字段值。其中,一个字段中可以提取一个或多个字段值,一个字段值或多个字段值可以作为一维特征数据,一个指纹是一维或多维特征数据的集合。
102、将一维或多维特征数据与指纹库中的指纹进行匹配,若一维或多维特征数据匹配到第一规则指纹,则向客户端发送检测包;
本发明实施例中,可以预先设置指纹库,该指纹库中的指纹分为第一规则指纹和第二规则指纹。其中,第二规则指纹中包含一维或多维特征数据的集合,可以直接根据判定数据包是否合法(合法即与预设安全条件匹配,或不与预设判黑条件匹配)。例如,比如b374k系列的后门会在cookie中使用“b374k”作为cookie的前缀,满足这类特征的流量一定就是webshell工具对应的流量数据包,该特征与预设判黑条件匹配,可以直接判定对应的流量数据包不符合安全规定。第一规则指纹中包含不符合规定数据对应的一维或多维特征数据,但不能直接判定数据包是否合法,需要进一步检测确认。例如,webshell工具的页面背景色特征值经常是纯黑或者纯红色,但不是只要是纯黑或者纯红色的页面就是webshell工具。因此,该特征可以作为非法数据包的辅助识别特征。可以通过广泛设置弱特征指纹,可以命中一些没提过特征的加密工具,提高检测精度。
可选的,当一维或多维特征数据匹配到第二规则指纹时,则直接判定数据包不合法。当一维或多维特征数据匹配到第一规则指纹时,可以向客户端发送包含预设检测程序的检测包。具体的检测程序的实现形式及内容此处不做限定,只需要正常的客户端(例如,浏览器)在正确执行该预设检测程序时,可以返回符合规定的回应包,而伪装的客户端(例如,webshell工具)则不能返回回应包或返回不正确的回应包。优选的,当客户端为浏览器时,检测程序是基于JS(JavaScript)的代码。
103、接收客户端发送的回应包,并检测回应包是否符合预设条件,若不符合,则判定数据包不合法。
当接收到客户端发送的回应包,可以检测该回应包是否符合预设条件,若不符合,则判定上述步骤中获取到的数据包不合法,可以对不合法的数据包进行拦截,可以将拦截记录保存在日志。
本发明实施例中,可以提取待检测数据包中一维或多维特征数据,将一维或多维特征数据与指纹库中的指纹进行匹配,若一维或多维特征数据匹配到第一规则指纹,则向客户端发送检测包,检测包中包含预设检测程序;接收客户端发送的回应包,并检测回应包是否符合预设条件,若不符合,则判定数据包不合法。相对于现有技术中的第二规则匹配,本发明实施例中,可以对满足第一规则的数据包对应的客户端发送包含预设检测程序的检测包,若回应包是否符合预设条件,可以判定数据包不合法,提高了非法数据的检出率,有效提高检测精度。
在上述图1所示的实施例的基础上,在实际运用中,为了防止检测包中包含预设检测程序被破解,有必要对该预设检测程序进行保护。具体的,在上述图1所示的实施例的基础上,可选的,作为一种可能的实施方式,本发明实施例中还可以采用加密算法对预设检测程序进行混淆加密,并对加密算法周期性切换。具体的混淆加密可以是通过一些名称替换、移位、流程混淆的方式实现。
可选的,为了进一步增加代码破解难度,本发明实施例中还可以在预设检测程序中设置采用预设算法加密的字符序列(该字符序列可以是随机产生的token令牌),在检测回应包是否符合预设条件时,可以校验回应包中是否包含正确的字符序列。
为了便于理解,请参阅图2,下面将结合具体的运用实施例对本发明实施例中的数据检测方法进行描述。本发明提出的加密WebShell流量检测系统的架构如图2所示。该系统主要包含四个过程,分别是请求包指纹匹配、响应包指纹匹配、动态混淆JS反向探测和反向校验。其中
2.1请求包指纹匹配:
大部分WebShell都会使用WebShell工具进行加密,这种加密方式是公开的,所以一般厂商会根据这些加密方式的特征在请求包中进行检测。但是只是检测这部分会带来两大问题:1)WebShell工具繁多,无法遍历所有的加密工具的特有加密方式;2)有一些加密方式是通过交换秘钥来实现的,这种加密方式的特征较弱,容易造成误报。针对上面两个问题,这里做了以下改进:将加密特征分成弱特征和强特征,弱特征设置较泛,可以命中一些没提过特征的加密工具,命中弱特征进入JS反向探测模块,命中强特征直接判定。
具体的请求包指纹识别模块的工作流程如下:
1.获取请求方向的完整数据包,提取报文中相应字段的值。
2.对上面提取到的每个字段值匹配指纹库里面的指纹,指纹库里面的指纹分成第二规则指纹和第一规则指纹。
3.匹配到第一规则指纹就会进入下一个动态混淆JS反向探测模块,匹配中第二规则指纹直接判黑。
2.2响应包指纹匹配:
服务器端接收到客户端的请求数据后,会向客户端发送响应数据,响应数据包含了服务器对客户端请求的一切响应行为,一般情况下如果不是双向加密的WebShell工具都是直接在请求方向就会被匹配拦截,交换秘钥的加密WebShell在响应方向会存在一定的弱指纹特征。类似请求包指纹匹配的逻辑,命中弱特征进入动态JS反向探测模块,命中强特征直接判定。
具体的响应包指纹匹配流程如下:
1.获取响应方向的完整数据包,提取报文中相应字段的值。
2.对上面提取到的每个字段值匹配指纹库里面的指纹,指纹库里面的指纹分成第二规则指纹和第一规则指纹。
3.匹配到第一规则指纹就会进入下一个混淆JS方向探测模块,匹配中第二规则指纹直接判黑。
2.3动态混淆JS反向探测:
对于客户端的请求,可以在同一个连接中模拟服务器返回相应的响应包给客户端,但是这些响应包中,会插入JS代码,主要目的是验证浏览器的环境,检测当前的请求包是来自于工具,还是来自于正常的浏览器。但是考虑到JS代码会有被破解的风险,本发明提出了一种动态的混淆JS反向检测机制,其优点是安全性较高,具体如下:
1)对返回给客户端的JS代码进行混淆加密,从而掩盖JS代码的意图,防止攻击者知道意图后进行伪造信息;
2)对JS进行混淆加密的算法进行动态切换,增加逆向混淆算法的难度;
3)JS代码附带加密的token序列,攻击者如果想破解防御过程,需要在破解JS混淆代码的同时,破解token加密过程,进一步增加被破解的难度。
2.4反向校验:
反向校验模块主要有两个作用,第一是校验当前这个回包是不是我们设计的回包,在上面JS反向探测模块中,我们设计了加密token序列,只有正确返回这个token,我们才能信任当前回包是正常浏览器返回的,而不是攻击者模拟的。第二是校验当前的回包中,获取到的浏览器信息是否正常,如果不是正常的浏览器信息,那么极有可能是工具或代码发送的包。如果上面两个信息都正常,就直接放过,如果上面存在一个信息不正常,就直接拦截。
本实施例中提出了一种结合指纹识别和混淆JS反向探测技术的加密WebShell的检测方案,不仅能识别强特征的加密webshell,而且能够有效识别出一些弱特征的加密Webshell,并且误报率低。提出了结合响应包和请求包的指纹识别方案,而不是只是用请求包,该方案能结合多个维度的特征去判定当前流量是否存在异常,这种方式可以大大降低对于加密流量的误判,同时减少进入JS反向探测的流量,提高性能。其次,由于本方案是结合了加密token的动态JS代码混淆技术,具有较高的安全性,可以有效提高攻击者对JS代码的破解成本,从而阻止攻击者模仿反向探测行为。
请参阅图3,本发明实施例还提供了一种数据检测系统,可包括:
获取模块301,用于获取客户端和/或服务端发送的数据包,并提取数据包中一维或多维特征数据;
匹配模块302,用于将一维或多维特征数据与指纹库中的指纹进行匹配,若一维或多维特征数据匹配到第一规则指纹,则向客户端发送检测包,检测包中包含预设检测程序,第一规则指纹中包含不合法数据对应的一维或多维特征数据;
校验模块303,用于接收客户端发送的回应包,并检测回应包是否符合预设条件,若不符合,则判定数据包不合法。
可选的,作为一种可能的实施方式,预设检测程序为基于JS语言的检测程序,本发明实施例中的数据检测系统,还可以包括:
加密模块,用于采用加密算法对预设检测程序进行混淆加密,并对加密算法周期性切换。
可选的,作为一种可能的实施方式,本发明实施例中的数据检测系中校验模块可以包括:
校验单元,用于校验回应包中是否包含正确的字符序列。
可选的,作为一种可能的实施方式,本发明实施例中的数据检测系统,还可以包括:
判定模块,当一维或多维特征数据匹配到第二规则指纹时,则直接判定数据包不合法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
上面从模块化功能实体的角度对本发明实施例中的数据检测系统进行了描述,请参阅图4,下面从硬件处理的角度对本发明实施例中的计算机装置进行描述:
该计算机装置1可以包括存储器11、处理器12和输入输出总线13。处理器11执行计算机程序时实现上述图1所示的数据检测方法实施例中的步骤,例如图1所示的步骤101至103。或者,处理器执行计算机程序时实现上述各装置实施例中各模块或单元的功能。
本发明的一些实施例中,处理器具体用于实现如下步骤:
获取客户端和/或服务端发送的数据包,并提取数据包中一维或多维特征数据;
将一维或多维特征数据与指纹库中的指纹进行匹配,若一维或多维特征数据匹配到第一规则指纹,则向客户端发送检测包,检测包中包含预设检测程序,第一规则指纹中包含不合法数据对应的一维或多维特征数据;
接收客户端发送的回应包,并检测回应包是否符合预设条件,若不符合,则判定数据包不合法。
可选的,作为一种可能的实施方式,预设检测程序为基于JS语言的检测程序,处理器还可以用于实现如下步骤:
采用加密算法对预设检测程序进行混淆加密,并对加密算法周期性切换。
可选的,作为一种可能的实施方式,预设检测程序中还包括采用预设算法加密的字符序列,处理器还可以用于实现如下步骤:
校验回应包中是否包含正确的字符序列。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
当一维或多维特征数据匹配到第二规则指纹时,则直接判定数据包不合法。
其中,存储器11至少包括一种类型的可读存储介质,可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器11在一些实施例中可以是计算机装置1的内部存储单元,例如该计算机装置1的硬盘。存储器11在另一些实施例中也可以是计算机装置1的外部存储设备,例如计算机装置1上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器11还可以既包括计算机装置1的内部存储单元也包括外部存储设备。存储器11不仅可以用于存储安装于计算机装置1的应用软件及各类数据,例如计算机程序01的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器12在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器11中存储的程序代码或处理数据,例如执行计算机程序01等。
该输入输出总线13可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。
进一步地,计算机装置还可以包括有线或无线网络接口14,网络接口14可选的可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该计算机装置1与其他电子设备之间建立通信连接。
可选地,该计算机装置1还可以包括用户接口,用户接口可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的,用户接口还可以包括标准的有线接口、无线接口。可选的,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在计算机装置1中处理的信息以及用于显示可视化的用户界面。
图4仅示出了具有组件11-14以及计算机程序01的计算机装置1,本领域技术人员可以理解的是,图4示出的结构并不构成对计算机装置1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,可以实现如下步骤:
获取客户端和/或服务端发送的数据包,并提取数据包中一维或多维特征数据;
将一维或多维特征数据与指纹库中的指纹进行匹配,若一维或多维特征数据匹配到第一规则指纹,则向客户端发送检测包,检测包中包含预设检测程序,第一规则指纹中包含不合法数据对应的一维或多维特征数据;
接收客户端发送的回应包,并检测回应包是否符合预设条件,若不符合,则判定数据包不合法。
可选的,作为一种可能的实施方式,预设检测程序为基于JS语言的检测程序,处理器还可以用于实现如下步骤:
采用加密算法对预设检测程序进行混淆加密,并对加密算法周期性切换。
可选的,作为一种可能的实施方式,预设检测程序中还包括采用预设算法加密的字符序列,处理器还可以用于实现如下步骤:
校验回应包中是否包含正确的字符序列。
可选的,作为一种可能的实施方式,处理器还可以用于实现如下步骤:
当一维或多维特征数据匹配到第二规则指纹时,则直接判定数据包不合法。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种数据检测方法,其特征在于,包括:
获取客户端和/或服务端发送的数据包,并提取所述数据包中一维或多维特征数据;
将所述一维或多维特征数据与指纹库中的指纹进行匹配,若所述一维或多维特征数据匹配到第一规则指纹,则向所述客户端发送检测包,所述检测包中包含预设检测程序,所述第一规则指纹中包含不合法数据对应的一维或多维特征数据;
接收所述客户端发送的回应包,并检测所述回应包是否符合预设条件,若不符合,则判定所述数据包不合法。
2.根据权利要求1所述的方法,其特征在于,所述预设检测程序为基于JS语言的检测程序,所述方法还包括:
采用加密算法对所述预设检测程序进行混淆加密,并对所述加密算法周期性切换。
3.根据权利要求2所述的方法,其特征在于,所述预设检测程序中还包括采用预设算法加密的字符序列,所述检测所述回应包是否符合预设条件包括:
校验所述回应包中是否包含正确的字符序列。
4.根据权利要求1至3中任一项所述的方法,其特征在于,还包括:
当所述一维或多维特征数据匹配到第二规则指纹时,则直接判定所述数据包不合法。
5.一种数据检测系统,其特征在于,包括:
获取模块,用于获取客户端和/或服务端发送的数据包,并提取所述数据包中一维或多维特征数据;
匹配模块,用于将所述一维或多维特征数据与指纹库中的指纹进行匹配,若所述一维或多维特征数据匹配到第一规则指纹,则向所述客户端发送检测包,所述检测包中包含预设检测程序,所述第一规则指纹中包含不合法数据对应的一维或多维特征数据;
校验模块,用于接收所述客户端发送的回应包,并检测所述回应包是否符合预设条件,若不符合,则判定所述数据包不合法。
6.根据权利要求5所述的系统,其特征在于,所述预设检测程序为基于JS语言的检测程序,所述系统还包括:
加密模块,用于采用加密算法对所述预设检测程序进行混淆加密,并对所述加密算法周期性切换。
7.根据权利要求6所述的系统,其特征在于,所述预设检测程序中还包括采用预设算法加密的字符序列,所述校验模块包括:
校验单元,用于校验所述回应包中是否包含正确的字符序列。
8.根据权利要求5至7中任一项所述的系统,其特征在于,还包括:
判定模块,当所述一维或多维特征数据匹配到第二规则指纹时,则直接判定所述数据包不合法。
9.一种计算机装置,其特征在于,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至4中任意一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1至4中任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010475570.1A CN113746784B (zh) | 2020-05-29 | 2020-05-29 | 一种数据检测方法、系统及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010475570.1A CN113746784B (zh) | 2020-05-29 | 2020-05-29 | 一种数据检测方法、系统及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113746784A true CN113746784A (zh) | 2021-12-03 |
| CN113746784B CN113746784B (zh) | 2023-04-07 |
Family
ID=78724632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010475570.1A Active CN113746784B (zh) | 2020-05-29 | 2020-05-29 | 一种数据检测方法、系统及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113746784B (zh) |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090031393A (ko) * | 2009-03-05 | 2009-03-25 | 김동규 | 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법 |
| CN103905422A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及系统 |
| CN106572117A (zh) * | 2016-11-11 | 2017-04-19 | 北京安普诺信息技术有限公司 | 一种WebShell文件的检测方法和装置 |
| CN107103237A (zh) * | 2016-02-23 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 一种恶意文件的检测方法及装置 |
| CN107294982A (zh) * | 2017-06-29 | 2017-10-24 | 深信服科技股份有限公司 | 网页后门检测方法、装置及计算机可读存储介质 |
| CN107302586A (zh) * | 2017-07-12 | 2017-10-27 | 深信服科技股份有限公司 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
| CN107612926A (zh) * | 2017-10-12 | 2018-01-19 | 成都知道创宇信息技术有限公司 | 一种基于客户端识别的一句话WebShell拦截方法 |
| CN107689940A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | WebShell检测方法及装置 |
| US20180082063A1 (en) * | 2016-09-16 | 2018-03-22 | Rapid7, Inc. | Web shell detection |
| KR101865378B1 (ko) * | 2018-01-31 | 2018-06-07 | 주식회사 에프원시큐리티 | 웹 쉘 탐지 시스템 |
| CN108985057A (zh) * | 2018-06-27 | 2018-12-11 | 平安科技(深圳)有限公司 | 一种webshell检测方法及相关设备 |
| CN109598124A (zh) * | 2018-12-11 | 2019-04-09 | 厦门服云信息科技有限公司 | 一种webshell检测方法以及装置 |
| CN109743311A (zh) * | 2018-12-28 | 2019-05-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种WebShell检测方法、装置及存储介质 |
| CN109905396A (zh) * | 2019-03-11 | 2019-06-18 | 北京奇艺世纪科技有限公司 | 一种WebShell文件检测方法、装置及电子设备 |
| CN110096872A (zh) * | 2018-01-30 | 2019-08-06 | 中国移动通信有限公司研究院 | 网页入侵脚本攻击工具的检测方法及服务器 |
| CN110572397A (zh) * | 2019-09-10 | 2019-12-13 | 上海斗象信息科技有限公司 | 一种基于流量的webshell的检测方法 |
| CN110610088A (zh) * | 2019-09-12 | 2019-12-24 | 北京升鑫网络科技有限公司 | 一种基于php的webshell检测方法 |
-
2020
- 2020-05-29 CN CN202010475570.1A patent/CN113746784B/zh active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090031393A (ko) * | 2009-03-05 | 2009-03-25 | 김동규 | 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법 |
| CN103905422A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及系统 |
| CN107103237A (zh) * | 2016-02-23 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 一种恶意文件的检测方法及装置 |
| CN107689940A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | WebShell检测方法及装置 |
| US20180082063A1 (en) * | 2016-09-16 | 2018-03-22 | Rapid7, Inc. | Web shell detection |
| CN106572117A (zh) * | 2016-11-11 | 2017-04-19 | 北京安普诺信息技术有限公司 | 一种WebShell文件的检测方法和装置 |
| CN107294982A (zh) * | 2017-06-29 | 2017-10-24 | 深信服科技股份有限公司 | 网页后门检测方法、装置及计算机可读存储介质 |
| CN107302586A (zh) * | 2017-07-12 | 2017-10-27 | 深信服科技股份有限公司 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
| CN107612926A (zh) * | 2017-10-12 | 2018-01-19 | 成都知道创宇信息技术有限公司 | 一种基于客户端识别的一句话WebShell拦截方法 |
| CN110096872A (zh) * | 2018-01-30 | 2019-08-06 | 中国移动通信有限公司研究院 | 网页入侵脚本攻击工具的检测方法及服务器 |
| KR101865378B1 (ko) * | 2018-01-31 | 2018-06-07 | 주식회사 에프원시큐리티 | 웹 쉘 탐지 시스템 |
| CN108985057A (zh) * | 2018-06-27 | 2018-12-11 | 平安科技(深圳)有限公司 | 一种webshell检测方法及相关设备 |
| CN109598124A (zh) * | 2018-12-11 | 2019-04-09 | 厦门服云信息科技有限公司 | 一种webshell检测方法以及装置 |
| CN109743311A (zh) * | 2018-12-28 | 2019-05-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种WebShell检测方法、装置及存储介质 |
| CN109905396A (zh) * | 2019-03-11 | 2019-06-18 | 北京奇艺世纪科技有限公司 | 一种WebShell文件检测方法、装置及电子设备 |
| CN110572397A (zh) * | 2019-09-10 | 2019-12-13 | 上海斗象信息科技有限公司 | 一种基于流量的webshell的检测方法 |
| CN110610088A (zh) * | 2019-09-12 | 2019-12-24 | 北京升鑫网络科技有限公司 | 一种基于php的webshell检测方法 |
Non-Patent Citations (4)
| Title |
|---|
| TINGTING LI,CHUNHUI REN,YUSHENG FU,JIE XU,JINHONG GUO,XINYU CHEN: "Webshell Detection Based on the Word Attention Mechanism", 《IEEE ACCESS》 * |
| TRUONG DINH TU; CHENG GUANG; GUO XIAOJUN; PAN WUBIN: "Webshell detection techniques in web applications", 《FIFTH INTERNATIONAL CONFERENCE ON COMPUTING, COMMUNICATIONS AND NETWORKING TECHNOLOGIES (ICCCNT)》 * |
| 王应军: "基于流量的Webshell通信识别", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
| 赵彤彤: "基于文件和行为特征的WebShell检测系统的研究与实现", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113746784B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110881044B (zh) | 一种计算机防火墙动态防御安全平台 | |
| CN104301302B (zh) | 越权攻击检测方法及装置 | |
| US9455981B2 (en) | Method and system for protection against information stealing software | |
| US9495539B2 (en) | Method and system for protection against information stealing software | |
| CN100383693C (zh) | 用于安全地交换对称密钥的系统和方法 | |
| US8959634B2 (en) | Method and system for protection against information stealing software | |
| CN104469767B (zh) | 一套移动办公系统中集成式安全防护子系统的实现方法 | |
| CN103581105B (zh) | 登录验证方法和登录验证系统 | |
| CN103401957B (zh) | 一种web环境下唯一标识客户端机器的方法 | |
| CN107209830A (zh) | 用于识别并抵抗网络攻击的方法 | |
| US8825728B2 (en) | Entering confidential information on an untrusted machine | |
| CN103310150A (zh) | 一种检测pdf漏洞的方法和装置 | |
| CA2718594A1 (en) | Method and system for protection against information stealing software | |
| CN116049859A (zh) | 一种数据安全治理方法、系统、终端设备及存储介质 | |
| CN113496024B (zh) | 一种Web页面的登录方法、装置、存储介质及电子设备 | |
| CN107612915A (zh) | 基于验证码变换的双保密形式的防密码破解的方法和装置 | |
| CN113746784B (zh) | 一种数据检测方法、系统及相关设备 | |
| CN112613000A (zh) | 一种敏感信息保护方法、装置、电子设备及可读存储介质 | |
| CN102592101A (zh) | 一种led显示管理软件安全的方法与系统 | |
| CN111949952A (zh) | 验证码请求处理方法及计算机可读存储介质 | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| KR20110014177A (ko) | 맨 인 더 미들 컴퓨터 해킹 기술을 무력화하는 방법 및 시스템 | |
| KR101153115B1 (ko) | 해킹 툴을 탐지하는 방법, 서버 및 단말기 | |
| CN105306427A (zh) | 登录、允许虚拟机的方法以及虚拟机登录系统 | |
| CN116668120A (zh) | 基于访问习性分析的网络安全防护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |