CN114697049A - WebShell检测方法及装置 - Google Patents
WebShell检测方法及装置 Download PDFInfo
- Publication number
- CN114697049A CN114697049A CN202011462865.1A CN202011462865A CN114697049A CN 114697049 A CN114697049 A CN 114697049A CN 202011462865 A CN202011462865 A CN 202011462865A CN 114697049 A CN114697049 A CN 114697049A
- Authority
- CN
- China
- Prior art keywords
- webshell
- data packet
- detected
- traffic
- dpdk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 64
- 238000000034 method Methods 0.000 claims abstract description 15
- 238000005516 engineering process Methods 0.000 claims abstract description 5
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000005206 flow analysis Methods 0.000 claims description 10
- 230000003068 static effect Effects 0.000 claims description 10
- 238000004422 calculation algorithm Methods 0.000 claims description 8
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 5
- 238000013515 script Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 8
- 238000004458 analytical method Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000004083 survival effect Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000010224 classification analysis Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种WebShell检测方法及装置。该方法包括向DPDK应用服务器传输网络流量;通过DPDK对所述网络流量进行采集,得到待检测的数据包;在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警。本申请解决了流量中检测Webshell相关技术中无法满足在高速网络环境的数据包捕获以及检测的技术问题。通过本申请实现了基于高速网络的WebShell综合检测溯源。
Description
技术领域
本申请涉及计算机网络领域,具体而言,涉及一种WebShell检测方法及装置。
背景技术
WebShell是网站被成功入侵后安装的后门程序,入侵者通过控制被入侵的主机(或服务器),以盗取敏感数据或凭据或者作为攻击内网主机的跳板。
相关技术中,WebShell常常被伪装成正常的网站程序,如果不能发现已经安装的WebShell,那么即使修复了网站的漏洞,入侵者仍可以利用隐藏在网站程序中的WebShell来继续控制被入侵的主机。进一步无法溯源到主要木马文件。
针对相关技术中无法满足在高速网络环境的数据包捕获以及检测的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种WebShell检测方法及装置,以解决无法满足在高速网络环境的数据包捕获以及检测的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种WebShell检测方法。
根据本申请的WebShell检测方法包括:向DPDK应用服务器传输网络流量;通过DPDK对所述网络流量进行采集,得到待检测的数据包;在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警。从而在流量数据分析完成之后能确定流量中存在WebShell,并进行溯源操作,不单能检测服务器中存在的WebShell,还能保证WebShell的路径,达到完全检测WebShell的目的。
为了实现上述目的,根据本申请的另一方面,提供了一种WebShell检测装置。
根据本申请的WebShell检测装置包括:传输模块,用于向DPDK应用服务器传输网络流量;采集模块,用于通过DPDK对所述网络流量进行采集,得到待检测的数据包;检测模块,用于在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警。
在本申请实施例中WebShell检测方法及装置,采用向DPDK应用服务器传输网络流量的方式,通过DPDK对所述网络流量进行采集,得到待检测的数据包,达到了在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警的目的,从而实现了基于高速网络的WebShell综合检测溯源的技术效果,进而解决了无法满足在高速网络环境的数据包捕获以及检测的技术问题。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,使得本申请的其它特征、目的和优点变得更明显。本申请的示意性实施例附图及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的系统架构示意图;
图2是根据本申请实施例的WebShell检测方法流程示意图;
图3是根据本申请实施例的WebShell检测装置结构示意图;
图4是根据本申请实施例的技术架构示意图;
图5是根据本申请实施例的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
如图1所示,本申请实施例的系统架构包括:客户端100、服务器端200,在所述客户端100与所述服务器端200之间建立链接,并通过HTTP协议在基于高速网络环境中进行数据传输。
如图2所示,该方法包括如下的步骤S201至步骤S203:
步骤S201,向DPDK应用服务器传输网络流量;
步骤S202,通过DPDK对所述网络流量进行采集,得到待检测的数据包;
步骤S203,在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警。
从以上的描述中,可以看出,本申请实现了如下技术效果:
采用向DPDK应用服务器传输网络流量的方式,通过DPDK对所述网络流量进行采集,得到待检测的数据包,达到了在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警的目的,从而实现了基于高速网络的WebShell综合检测溯源的技术效果,进而解决了无法满足在高速网络环境的数据包捕获以及检测的技术问题。
在一种具体实施例中,在所述步骤203中还包括,通过溯源技术找到主要木马文件,保证了WebShell检测在高速网络环境下的效率。在所述步骤S202中实现了在高速网络环境的数据包捕获和检测WebShell。
在上述步骤S201中将网络真实流量传输到DPDK应用服务器从而达到汇聚整个网络环境核心的流量保证流量的稳定传输和完整性。
在一种具体实施方式中,通过流量镜像的方式进行流量存储。
在另一种具体实施方式中,在真实网络出口通过部署分光器,将镜像出来的流量从核心交换机传输到所述DPDK应用服务器。
在一种较佳实施方式中,所述DPDK应用服务器接收网络流量,并进一步进行流量采集。
在上述步骤S202中流量采集模块通过数据包转发处理套件DPDK实现在高速环境中对数据包进行稳定采集,DPDK可以有效进行数据包的高速转发操作,降低丢包率。
在一种具体实施方式中,采用DPDK基于Linux系统运行,用于快速数据包处理的函数库与驱动集合,可以极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。
在上述步骤S203中将通过DPDK接收的数据进行流量解析、流量分类、流量分析操作,之后如果检测出所述待检测的数据包中存在WebShell,则对存在且有效的所述WebShell进行预警。
在一种具体实施方式中,通过从存储的WebShell流量中提取WebShell的链接并使用批量脚本自动验证WebShell的存活状态。
在另一种具体实施方式中,通过自动验证WebShell的存活之后,得到有效的WebShell链接最终进行相关网站的预警通告。
在一种较佳实施方式中,通过溯源技术找到WebShell中主要的木马文件。
作为本申请可选的实施方式,所述检测出所述待检测的数据包中存在WebShell,包括:对所述DPDK应用服务器接收的待检测的数据包进行流量检测,其中,所述流量检测至少包括如下之一:对数据包的流量解析、对数据包流量分类、对数据包的流量分析操作;在对所述数据包进行所述流量解析、所述流量分类、所述流量分析之后,检测出所述待检测的数据包中是否存在WebShell的木马文件。通过所述流量解析、所述流量分类、所述流量分析的操作之后将数据进行相关WebShell流量存储以待后续操作。
作为本申请可选的实施方式,所述对数据包的流量解析包括:通过DPDK的预置结构体指针偏移函数将所述数据包解析到相对应的协议头结构体变量中;其中,所述协议头结构体变量依次包括:DPDK数据包结构体、二层链路结构体头部、IP头部、TCP头部、HTTP流量信息。
具体实施时,流量解析通过DPDK官方的结构体指针偏移函数可以直接将数据解析到相对应的协议头结构体变量中,其过程依次是DPDK数据包结构体,二层链路结构体头部,IP头部,TCP头部,HTTP流量信息。
作为本申请可选的实施方式,所述对数据包流量分类包括:将数据包中提取的字符形成HTTP数据包前置变量;根据所述HTTP数据包前置变量与HTTP数据包中的关键字进行匹配,解析得到HTTP流量、分类出POST报文、GET报文、HTTP响应报文,其中,所述关键字至少包括如下之一:POST、GET、HTTP1.1/200OK。
具体实施时,流量分类通过将已经数据帧进行剥离到至应用层的数据提取出若干字符形成HTTP数据包前置变量,再与HTTP数据包关键字进行匹配从而成功解析出HTTP流量和分类出POST报文、GET报文、HTTP响应报文。
在一种具体实施方式中,关键字包括但不限于POST、GET、HTTP1.1/200OK。
作为本申请可选的实施方式,对所述对数据包的流量分析包括:使用WebShell的动态检测策略和静态检测策略进行,对所述数据包中预设分类的报文进行WebShell检测。
具体实施时,流量分析通过对三种不同分类的报文(POST报文、GET报文、HTTP响应报文)进行深度包检测,使用WebShell动态和静态检测机制进行WebShell检测。
作为本申请可选的实施方式,所述静态检测策略包括:KMP匹配算法,通过所述KMP匹配算法对已知模式的攻击进行检测;和/或,所述动态检测包括:正则匹配算法,通过所述正则匹配算法对特征库中敏感行为特征以及文件的运行状态进行检测。
具体实施时,动态检测使用正则匹配算法,具体实现为调用正则匹配函数对特征库中敏感行为特征以及文件的运行状态进行监控并与HTTP流量进行正则匹配,匹配成功,则将相关信息写入记录文件。
具体实施时,静态检测使用KMP匹配算法只对已知模式的攻击进行检测,通过循环读取特征库中静态文本特征,如关键字、特征码、危险函数等,并与HTTP流量中关键字或者函数进行匹配,如果匹配成功,就将相关命中信息写入记录文件。
作为本申请可选的实施方式,所述检测出所述待检测的数据包中存在WebShell,还包括:在所述待检测的数据包通过加密传输WebShell的情况下,获取WebShell中预设特征对应的密文并对密文解密;在所述待检测的数据包中匹配经过解密之后的恶意命令,并判断在所述数据包中是否存在WebShell的传输行为。
具体实施时,对于在加密流量中传输的WebShell,首先可以通过特定函数或正则表达式获取WebShell中相关特征的base64密文,如Y21K就是cmd的base64加密密文。然后,再通过KMP以及正则表达式在HTTP流量数据包中匹配解密之后恶意命令,来判断该数据包中是否存在WebShell传输行为。
作为本申请可选的实施方式,所述向DPDK应用服务器传输网络流量,之前还包括:在预设网络出口通过分光器镜像得到网络环境中交换机的流量镜像并储存;和/或,通过DPDK在网络环境中对数据包进行稳定采集和转发。
作为本申请可选的实施方式,所述在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警,包括:从存储有WebShell的网络流量中提取若干WebShell的链接;使用批量脚本验证WebShell中存在且有效的WebShell链接;根据所述WebShell链接对目标网站的进行预警警通告。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本申请实施例,还提供了一种用于实施上述方法的WebShell检测装置,如图3所示,该装置包括:
传输模块31,用于向DPDK应用服务器传输网络流量;
采集模块32,用于通过DPDK对所述网络流量进行采集,得到待检测的数据包;
检测模块33,用于在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警。
本申请实施例中的传输模块31中将网络真实流量传输到DPDK应用服务器从而达到汇聚整个网络环境核心的流量保证流量的稳定传输和完整性。
在一种具体实施方式中,通过流量镜像的方式进行流量存储。
在另一种具体实施方式中,在真实网络出口通过部署分光器,将镜像出来的流量从核心交换机传输到所述DPDK应用服务器。
在一种较佳实施方式中,所述DPDK应用服务器接收网络流量,并进一步进行流量采集。
本申请实施例中的采集模块32中流量采集模块通过数据包转发处理套件DPDK实现在高速环境中对数据包进行稳定采集,DPDK可以有效进行数据包的转发操作,降低丢包率。
在一种具体实施方式中,采用DPDK基于Linux系统运行,用于快速数据包处理的函数库与驱动集合,可以极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。
本申请实施例中的检测模块33中将通过DPDK接收的数据进行流量解析、流量分类、流量分析操作,之后如果检测检测出所述待检测的数据包中存在WebShell,则对存在且有效的所述WebShell进行预警。
在一种具体实施方式中,通过从存储的WebShell流量中提取WebShell的链接并使用批量脚本自动验证WebShell的存活得。
在另一种具体实施方式中,通过自动验证WebShell的存活之后,得到有效的WebShell链接最终进行相关网站的预警通告。
在一种较佳实施方式中,通过溯源技术找到WebShell中主要的木马文件。
为了更好的理解上述WebShell检测方法流程,以下结合优选实施例对上述技术方案进行解释说明,但不用于限定本发明实施例的技术方案。
本申请优选实施例提供了基于高速网络的WebShell综合检测溯源方案以及基于DPDK的WebShell综合检测溯源方案。此外,本申请还提供了HTTP数据包的提取方案。
图4根据本申请实施例的技术架构示意图,主要包括:流量存储模块50、流量采集模块40、流量检测模块30、数据存储模块20、安全预警模块10。
所述流量存储模块50,用于在网络出口通过分光器镜像出来的流量从核心交换机传输到DPDK应用服务器从而达到汇聚整个网络环境核心的流量保证流量的稳定传输和完整性。
所述流量采集模块40,用于通过数据包转发处理套件DPDK实现在高速环境中对数据包进行稳定采集,DPDK可以有效进行数据包的转发操作,降低丢包率。
所述流量检测模块30,用于将DPDK接收的数据进行流量解析、流量分类、流量分析操作,流量解析通过DPDK官方的结构体指针偏移函数可以直接将数据解析到相对应的协议头结构体变量中,其过程依次是DPDK数据包结构体,二层链路结构体头部,IP头部,TCP头部,HTTP流量信息。流量分类通过将已经数据帧进行剥离到至应用层的数据提取几个字符形成HTTP数据包前置变量,再与HTTP数据包关键字进行匹配从而成功解析出HTTP流量和分类出POST报文、GET报文、HTTP响应报文。
所述流量检测模块30中的流量分析模块,通过对三种不同分类的报文进行深度包检测,使用WebShell动态和静态检测机制进行WebShell检测。
静态检测使用KMP匹配算法只对已知模式的攻击进行检测,通过循环读取特征库中静态文本特征,如关键字、特征码、危险函数等,并与HTTP流量中关键字或者函数进行匹配,如果匹配成功,就将相关命中信息写入记录文件。
动态检测使用正则匹配算法,具体实现为调用正则匹配函数对特征库中敏感行为特征以及文件的运行状态进行监控并与HTTP流量进行正则匹配,匹配成功,则将相关信息写入记录文件。
对于在加密流量中传输的WebShell,首先通过特定函数或正则表达式获取WebShell中相关特征的base64密文,如Y21K就是cmd的base64加密密文。然后,再通过KMP以及正则表达式在HTTP流量数据包中匹配解密之后恶意命令,来判断该数据包中是否存在WebShell传输行为。
所述数据存储模块20,用于进行相关命中的WebShell流量存储以待后续操作。
所述安全预警模块10,通过从存储的WebShell流量中提取WebShell的链接并使用批量脚本自动验证WebShell的存活得到有效的WebShell链接最终进行相关网站的预警通告。
本申请实施例还提供了一种计算机设备。如图5所示,计算机设备60可以包括:至少一个处理器601,例如CPU,至少一个网络接口604,用户接口603,存储器605,至少一个通信总线602,可选地,还可以包括显示屏606。其中,通信总线602用于实现这些组件之间的连接通信。其中,用户接口603可以包括触摸屏、键盘或鼠标等等。网络接口604可选的可以包括标准的有线接口、无线接口(如WI-FI接口),通过网络接口604可以与服务器建立通信连接。存储器605可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器,存储器605包括本发明实施例中的flash。存储器605可选的还可以是至少一个位于远离前述处理器601的存储系统。如图5所示,作为一种计算机存储介质的存储器605中可以包括操作系统、网络通信模块、用户接口模块以及程序指令。
需要说明的是,网络接口604可以连接接收器、发射器或其他通信模块,其他通信模块可以包括但不限于WiFi模块、蓝牙模块等,可以理解,本发明实施例中计算机设备也可以包括接收器、发射器和其他通信模块等。
处理器601可以用于调用存储器605中存储的程序指令,并使计算机设备60执行以下操作:
向DPDK应用服务器传输网络流量;
通过DPDK对所述网络流量进行采集,得到待检测的数据包;
在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警。
显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种WebShell检测方法,其特征在于,包括:
向DPDK应用服务器传输网络流量;
通过DPDK对所述网络流量进行采集,得到待检测的数据包;
在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警。
2.根据权利要求1所述的检测方法,其特征在于,所述流量中检测WebShell技术检测出所述待检测的数据包中存在WebShell,包括:
对所述DPDK应用服务器接收的待检测的数据包进行流量检测,其中,所述流量检测至少包括如下之一:对数据包的流量解析、对数据包流量分类、对数据包的流量分析操作;
在对所述数据包进行所述流量解析、所述流量分类、所述流量分析之后,检测出所述待检测的数据包中是否存在WebShell的木马文件。
3.根据权利要求2所述的检测方法,其特征在于,所述对数据包的流量解析包括:
通过DPDK的预置结构体指针偏移函数将所述数据包解析到相对应的协议头结构体变量中;
其中,所述协议头结构体变量依次包括:
DPDK数据包结构体、二层链路结构体头部、IP头部、TCP头部、HTTP流量信息。
4.根据权利要求2所述的检测方法,其特征在于,所述对数据包流量分类包括:
将数据包中提取的字符形成HTTP数据包前置变量;
根据所述HTTP数据包前置变量与HTTP数据包中的关键字进行匹配,解析得到HTTP流量、分类出POST报文、GET报文、HTTP响应报文,其中,所述关键字至少包括如下之一:POST、GET、HTTP1.1/200OK。
5.根据权利要求2所述的检测方法,其特征在于,对所述对数据包的流量分析包括:
使用WebShell的动态检测策略和静态检测策略进行,对所述数据包中预设分类的报文进行WebShell检测。
6.根据权利要求5所述的检测方法,其特征在于,包括:
所述静态检测策略包括:KMP匹配算法,通过所述KMP匹配算法对已知模式的攻击进行检测;
和/或,所述动态检测包括:正则匹配算法,通过所述正则匹配算法对特征库中敏感行为特征以及文件的运行状态进行检测。
7.根据权利要求1所述的检测方法,其特征在于,所述检测出所述待检测的数据包中存在WebShell,还包括:
在所述待检测的数据包通过加密传输WebShell的情况下,获取WebShell中预设特征对应的密文并对密文解密;
在所述待检测的数据包中匹配经过解密之后的恶意命令,并判断在所述数据包中是否存在WebShell的传输行为。
8.根据权利要求1所述的检测方法,其特征在于,所述向DPDK应用服务器传输网络流量,之前还包括:
在预设网络出口通过分光器镜像得到网络环境中交换机的流量镜像并储存;
和/或,通过DPDK在网络环境中对数据包进行稳定采集和转发。
9.根据权利要求1所述的检测方法,其特征在于,所述在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警,包括:
从存储有WebShell的网络流量中提取若干WebShell的链接;
使用批量脚本验证WebShell中存在且有效的WebShell链接;
根据所述WebShell链接对目标网站进行预警通告。
10.一种WebShell检测装置,其特征在于,包括:
传输模块,用于向DPDK应用服务器传输网络流量;
采集模块,用于通过DPDK对所述网络流量进行采集,得到待检测的数据包;
检测模块,用于在检测出所述待检测的数据包中存在WebShell的情况下,对存在且有效的所述WebShell进行预警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011462865.1A CN114697049B (zh) | 2020-12-14 | 2020-12-14 | WebShell检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011462865.1A CN114697049B (zh) | 2020-12-14 | 2020-12-14 | WebShell检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114697049A true CN114697049A (zh) | 2022-07-01 |
| CN114697049B CN114697049B (zh) | 2024-04-12 |
Family
ID=82129255
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011462865.1A Active CN114697049B (zh) | 2020-12-14 | 2020-12-14 | WebShell检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114697049B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483386A (zh) * | 2016-06-08 | 2017-12-15 | 阿里巴巴集团控股有限公司 | 分析网络数据的方法及装置 |
| KR20170140049A (ko) * | 2016-06-10 | 2017-12-20 | 주식회사 케이티 | 웹쉘을 탐지하는 방법, 서버 및 컴퓨터 판독가능 매체 |
| CN109743311A (zh) * | 2018-12-28 | 2019-05-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种WebShell检测方法、装置及存储介质 |
| US20190334948A1 (en) * | 2016-12-16 | 2019-10-31 | Huawei Technologies Co., Ltd. | Webshell detection method and apparatus |
| CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
| CN111385295A (zh) * | 2020-03-04 | 2020-07-07 | 深信服科技股份有限公司 | 一种WebShell检测方法、装置、设备及存储介质 |
| CN111800412A (zh) * | 2020-07-01 | 2020-10-20 | 中国移动通信集团有限公司 | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 |
| WO2020233022A1 (zh) * | 2019-05-21 | 2020-11-26 | 平安科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
-
2020
- 2020-12-14 CN CN202011462865.1A patent/CN114697049B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483386A (zh) * | 2016-06-08 | 2017-12-15 | 阿里巴巴集团控股有限公司 | 分析网络数据的方法及装置 |
| KR20170140049A (ko) * | 2016-06-10 | 2017-12-20 | 주식회사 케이티 | 웹쉘을 탐지하는 방법, 서버 및 컴퓨터 판독가능 매체 |
| US20190334948A1 (en) * | 2016-12-16 | 2019-10-31 | Huawei Technologies Co., Ltd. | Webshell detection method and apparatus |
| CN109743311A (zh) * | 2018-12-28 | 2019-05-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种WebShell检测方法、装置及存储介质 |
| WO2020233022A1 (zh) * | 2019-05-21 | 2020-11-26 | 平安科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
| CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
| CN111385295A (zh) * | 2020-03-04 | 2020-07-07 | 深信服科技股份有限公司 | 一种WebShell检测方法、装置、设备及存储介质 |
| CN111800412A (zh) * | 2020-07-01 | 2020-10-20 | 中国移动通信集团有限公司 | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114697049B (zh) | 2024-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| US10366231B1 (en) | Framework for classifying an object as malicious with machine learning for deploying updated predictive models | |
| US20240121266A1 (en) | Malicious script detection | |
| JP6441957B2 (ja) | 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法 | |
| US10560434B2 (en) | Automated honeypot provisioning system | |
| Wang et al. | Seeing through network-protocol obfuscation | |
| KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN103617395B (zh) | 一种基于云安全拦截广告程序的方法、装置和系统 | |
| US20160381070A1 (en) | Protocol based detection of suspicious network traffic | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| EP4064097A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
| EP3340097B1 (en) | Analysis device, analysis method, and analysis program | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN108345795A (zh) | 用于检测和分类恶意软件的系统和方法 | |
| CN111131180B (zh) | 一种大规模云环境中分布式部署的http协议post拦截方法 | |
| CN114697049B (zh) | WebShell检测方法及装置 | |
| Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
| KR102001814B1 (ko) | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 | |
| CN114070819B (zh) | 恶意域名检测方法、设备、电子设备及存储介质 | |
| RU2757330C1 (ru) | Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя | |
| Jayakanthan et al. | Malicious Attack Detector | |
| Puccetti et al. | ROSpace: Intrusion Detection Dataset for a ROS2-Based Cyber-Physical System | |
| CN115913599A (zh) | 一种失陷主机的检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |