CN116248413A - 一种webshell文件的流量检测方法、设备及介质 - Google Patents

一种webshell文件的流量检测方法、设备及介质 Download PDF

Info

Publication number
CN116248413A
CN116248413A CN202310511415.4A CN202310511415A CN116248413A CN 116248413 A CN116248413 A CN 116248413A CN 202310511415 A CN202310511415 A CN 202310511415A CN 116248413 A CN116248413 A CN 116248413A
Authority
CN
China
Prior art keywords
data
source
address
detected
webshell
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310511415.4A
Other languages
English (en)
Other versions
CN116248413B (zh
Inventor
李峰
杨家林
顾丽旺
刘鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Yuntian Safety Technology Co ltd
Original Assignee
Shandong Yuntian Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Yuntian Safety Technology Co ltd filed Critical Shandong Yuntian Safety Technology Co ltd
Priority to CN202310511415.4A priority Critical patent/CN116248413B/zh
Publication of CN116248413A publication Critical patent/CN116248413A/zh
Application granted granted Critical
Publication of CN116248413B publication Critical patent/CN116248413B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种webshell文件的流量检测方法、设备及介质,涉及文件检测技术领域,该方法包括:获取待检测访问流量数据,得到待检测访问流量数据集Q;获取历史访问流量数据的来源IP地址的数量G;若G≤G0,则获取Qj的来源IP地址Mj在U的来源IP地址中所占的比例P1j;确定目标来源IP地址集R;获取Rz在U的来源IP地址中所占的比例P2z;将P1j与P2z进行匹配度比较,得到匹配度值Hjz;若Hjz≥H0,则将Qj确定为正常访问流量数据。本发明通过对待检测访问流量数据的来源IP地址的数据信息进行处理,确定待检测访问流量数据是否为异常访问流量数据,简化了数据处理的过程,进一步降低了算力要求。

Description

一种webshell文件的流量检测方法、设备及介质
技术领域
本发明涉及文件检测领域,特别是涉及一种webshell文件的流量检测方法、设备及介质。
背景技术
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。攻击者在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。所以,就需要时常对webshell文件进行木马检测,来保证webshell文件的健康运行。
目前的webshell文件的木马检测方法是通过构建检测模型来实现的,通过静态特征检测和动态特征检测对其进行木马检测,但目前的静态特征检测和动态特征检测都是基于检测模型的搭建而实现的,需要用到的工具较为复杂,且如果webshell文件中包含有加密数据,在进行木马检测时,需要先对其进行解密,再进行木马检测验证其是否存在异常,此种特征检测的方式较为繁琐,且需要的算力较大。
发明内容
针对上述技术问题,本发明采用的技术方案为:
根据本申请的一个方面,提供一种webshell文件的流量检测方法,所述方法包括如下步骤:
S100、响应于待检测webshell文件发生了数据更新,获取待检测webshell文件在发生数据更新后的m个待检测访问流量数据,得到待检测访问流量数据集Q=(Q1,Q2……Qj……Qm);其中,j=1,2……m;Qj为待检测webshell文件在发生数据更新后的第j个待检测访问流量数据;待检测webshell文件为存储有可访问网址的webshell文件;
S200、若Qj中包含加密数据,且待检测webshell文件在发生数据更新前存在包含有加密数据的历史访问流量数据,则执行步骤S300;
S300、获取待检测webshell文件在发生数据更新前包含有加密数据的n个历史访问流量数据,得到历史加密流量数据集U=(U1,U2……Ui……Un);其中,i=1,2……n;Ui为待检测webshell文件在发生数据更新前第i个包含有加密数据的历史访问流量数据;
S400、获取待检测webshell文件在距离当前时间t1内的所有历史访问流量数据对应的来源IP地址的数量G;其中,t1为预设的IP获取时间;
S500、若G≤G0,则执行步骤S600;其中,G0为预设的来源IP地址的数量阈值;
S600、获取Qj对应的来源IP地址Mj在U的来源IP地址中所占的比例P1j
S700、在U对应的所有来源IP地址中,确定出k个目标来源IP地址,得到目标来源IP地址集R=(R1,R2……Rz……Rk);其中,z=1,2……k;Rz为第z个目标来源IP地址;且任意两个目标来源IP地址相互不同;
S800、获取Rz在U的来源IP地址中所占的比例P2z
S900、将P1j与P2z进行匹配度比较,得到对应的匹配度值Hjz;若Hjz≥H0,则将Qj确定为正常访问流量数据;其中,H0为预设的匹配度阈值。
在本申请的一种示例性实施例中,步骤S500还包括:
S501、若G>G0,则将P1j确定为1,并执行步骤S700。
在本申请的一种示例性实施例中,所述webshell文件的流量检测方法应用于流量检测系统,流量检测系统连接有来源IP地址存储库,来源IP地址存储库用于存储待检测webshell文件的访问流量数据对应的来源IP地址;
所述来源IP地址存储库的数据存储方法为:
S110、获取距离当前时间最近的访问待检测webshell文件的G1个历史来源IP地址,并将其存储在来源IP地址存储库中;且任意两个历史来源IP地址相互不同;
S120、当待检测webshell文件被访问时,获取对应的访问来源IP地址;
S130、若访问来源IP地址存在于来源IP地址存储库中,则执行步骤S140;否则,执行步骤S150;
S140、将存在于来源IP地址存储库中与访问来源IP地址相同的历史来源IP地址的访问次数加一;
S150、将来源IP地址存储库中访问待检测webshell文件的次数最少的历史来源IP地址删除,并将访问来源IP地址存储至来源IP地址存储库中。
在本申请的一种示例性实施例中,将步骤S600替换为:
S610、获取Qj对应的来源IP地址Mj对应的数据信息Yj=(P1j,L1j);L1j=(L11j,L12j……L1wj……L1sj);其中,w=1,2……s;s为Mj在t0内接收的上行数据包的数量;P1j为Mj在U的来源IP地址中所占的比例;L1j为Mj在t0内接收的上行加密数据列表;L1wj为Mj在t0内接收的第w个上行数据包中的加密数据长度;t0为预设的时间阈值;
将步骤S800替换为:
S810、获取Rz对应的数据信息Tz=(P2z,F1z);F1z=(F11z,F12z……F1dz……F1gz);其中,d=1,2……g;g为Rz在t0内接收的上行数据包的数量;P2z为Rz在U的来源IP地址中所占的比例;F1z为Rz在t0内接收的上行加密数据列表;F1dz为Rz在t0内接收的第d个上行数据包中的加密数据长度;
将步骤S900替换为:
S910、将Yj与Tz进行匹配度比较,得到对应的匹配度值Hjz;若Hjz≥H0,则将Qj确定为正常访问流量数据。
在本申请的一种示例性实施例中,将步骤S600替换为:
S620、获取Qj对应的来源IP地址Mj对应的数据信息Yj=(P1j,L1j,L2j);L1j=(L11j,L12j……L1wj……L1sj);L2j=(L21j,L22j……L2xj……L2vj);其中,x=1,2……v;v为Mj在t0内发送的下行数据包的数量;L2j为Mj在t0内发送的下行加密数据列表;L2xj为Mj在t0内发送的第x个下行数据包中的加密数据长度;
将步骤S800替换为:
S820、获取Rz对应的数据信息Tz=(P2z,F1z,F2z);F1z=(F11z,F12z……F1dz……F1gz);F2z=(F21z,F22z……F2cz……F2hz);其中,c=1,2……h;h为Rz在t0内发送的下行数据包的数量;F2z为Rz在t0内发送的下行加密数据列表;F2cz为Rz在t0内发送的第c个下行数据包中的加密数据长度;
将步骤S900替换为:
S920、将Yj与Tz进行匹配度比较,得到对应的匹配度值Hjz;若Hjz≥H0,则将Qj确定为正常访问流量数据。
在本申请的一种示例性实施例中,步骤S920还包括:
S921、将Yj与T1,T2……Tz……Tk依次进行匹配度比较,若Hjz≥H0,则将Qj确定为正常访问流量数据;否则,则继续比较Hj(z+1)与H0,直至Hjk与H0的比较完成,若Hjk<H0,则将Qj确定为异常访问流量数据。
在本申请的一种示例性实施例中,步骤S200还包括:
S210、若Qj中包含加密数据,且待检测webshell文件在发生数据更新前不存在包含有加密数据的历史访问流量数据,则将Qj确定为异常访问流量数据。
在本申请的一种示例性实施例中,待检测webshell文件存储在目标webshell文件夹中,若目标webshell文件夹中存在新增的webshell文件,则将其确定为待检测webshell文件。
根据本申请的一个方面,提供一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现所述webshell文件的流量检测方法。
根据本申请的一个方面,提供一种电子设备,包括处理器和所述的非瞬时性计算机可读存储介质。
本发明至少具有以下有益效果:
本发明以待检测webshell文件的数据更新的时间为数据处理节点,获取待检测webshell文件在发生数据更新后的待检测访问流量数据,若其中包含加密数据,且待检测webshell文件在发生数据更新前存在包含有加密数据的历史访问流量数据,则获取包含有加密数据的历史访问流量数据,通过来源IP地址阈值来确定待检测webshell文件的来源IP地址所占的比例,并将待检测访问流量数据的来源IP地址的所占比例和包含有加密数据的历史访问流量数据的来源IP地址所占比例进行匹配度比较,得到相应的匹配度值,若其小于预设的匹配度阈值,则将待检测访问流量数据确定为异常访问流量数据。通过对待检测访问流量数据的来源IP地址的数据信息进行处理,确定待检测访问流量数据是否为异常访问流量数据,继而实现对待检测webshell文件的检测,与现有的静态特征检测和动态特征检测相比,简化了数据处理的过程,进一步降低了算力要求。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的webshell文件的流量检测方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
webshell文件为一种用于网络和服务器管理的可访问的文件,在网络安全中,攻击者会通过在webshell文件中植入木马代码,来实现对其访问网站的数据窃取的目的,如在webshell文件中植入一句话木马,所以,就需要时常对webshell文件进行木马检测,来保证webshell文件的健康运行,目前的webshell文件的木马检测方法是通过构建检测模型而实现的,攻击者通过浏览器以HTTP协议访问Web Server上的一个CGI文件。但由于webshell就是一个合法的TCP连接,在TCP/IP的应用层之下几乎没有任何特征,只有在应用层进行检测。攻击者入侵服务器,使用webshell时,无论是传文件还是改文件,必然有一个文件会包含webshell代码,所以这时采用静态特征检测;另外,在webshell运行后,B/S数据通过HTTP交互,HTTP请求/响应中可以找到相应的动作记录,所以也可以采用动态特征检测。
但目前的静态特征检测和动态特征检测都是基于检测模型的搭建而实现的,需要用到的工具较为复杂,且如果webshell文件中包含有加密数据,在进行木马检测时,需要先对其进行解密,再进行木马检测验证其是否存在异常,此种特征检测的方式较为繁琐,且需要的算力较大,所以,为了弥补现有的webshell文件木马检测方法中存在的问题,就需提出一种检测流程更为简便且所需算力较小的webshell文件检测方法。
一种webshell文件的流量检测方法,如图1所示,包括如下步骤:
S100、响应于待检测webshell文件发生了数据更新,获取待检测webshell文件在发生数据更新后的m个待检测访问流量数据,得到待检测访问流量数据集Q=(Q1,Q2……Qj……Qm);其中,j=1,2……m;Qj为待检测webshell文件在发生数据更新后的第j个待检测访问流量数据;
待检测webshell文件为存储有可访问网址的webshell文件,待检测webshell文件存储在目标webshell文件夹中,目标webshell文件夹为存储有目标webshell文件的文件夹,目标webshell文件为正常的webshell文件,由于攻击者在对webshell文件植入木马时,需要对webshell文件进行数据更改,所以,当目标webshell文件发生了数据更新,即数据更改时,就认为其有被植入木马的可能,则将其确定为待检测webshell文件,此外,若目标webshell文件夹中存在新增的webshell文件,由于其为新增的文件,不能确定其安全性,所以也将其确定为待检测webshell文件,即实时监控目标webshell文件夹中的所有目标webshell文件,只要其发生了数据更新,或在目标webshell文件夹中新增了一个webshell文件,就将发生了数据更新的目标webshell文件和新增的webshell文件确定为待检测webshell文件。
在确定了待检测webshell文件后,通过待检测webshell文件的访问流量数据对其进行木马检测,所以,以待检测webshell文件的数据更新为时间节点,认为发生数据更新前的待检测webshell文件为正常的不带有木马的文件,就只需要对发生了数据更新后的访问流量进行验证,但由于无法确定待检测webshell文件在发生数据更新后的哪个访问流量为正常流量数据,所以获取待检测webshell文件发生数据更新后的所有访问流量数据,并将其全部确定为待检测访问流量数据。
S200、若Qj中包含加密数据,且待检测webshell文件在发生数据更新前存在包含有加密数据的历史访问流量数据,则执行步骤S300;
S210、若Qj中包含加密数据,且待检测webshell文件在发生数据更新前不存在包含有加密数据的历史访问流量数据,则将Qj确定为异常访问流量数据;
先判断Qj中是否包含加密数据,若其不包含加密数据,则认为其携带木马的可能性较小,可以通过现有的检测模型或检测方法对待检测webshell文件进行木马检测,若Qj中包含加密数据,则认为其携带木马的可能性较大,再对待检测webshell文件在发生数据更新前的历史访问流量数据进行检测,看历史访问流量数据中是否包含有加密数据,若其中有包含加密数据的历史访问流量数据,则继续执行步骤S300,若所有的历史访问流量数据中都不包含加密数据,而Qj中却包含有加密数据,则认为其携带木马的可能性非常大,此时,直接将Qj确定为异常访问流量数据,无需执行以下步骤,确定异常访问流量数据后,可以将其进行记录,也可进行警告,以通知网络维护人员,网络维护人员再对异常访问流量数据进行木马检测,若其属于误报,则将其从异常访问流量数据的列表中移出,转入正常访问流量数据列表中,若其确实为携带木马的流量数据,则对其进行溯源,找到对应的来源IP,并将此来源IP拉进黑名单,并对待检测webshell文件进行查杀。
S300、获取待检测webshell文件在发生数据更新前包含有加密数据的n个历史访问流量数据,得到历史加密流量数据集U=(U1,U2……Ui……Un);其中,i=1,2……n;Ui为待检测webshell文件在发生数据更新前第i个包含有加密数据的历史访问流量数据;
在确定Qj和历史访问流量数据中都包含有加密数据时,为了验证Qj和历史访问流量的相似性,提高检测精度,就需要将Qj与包含了加密数据的历史访问流量数据进行比较,所以,获取待检测webshell文件在发生数据更新前包含有加密数据的所有历史访问流量数据。
S400、获取待检测webshell文件在距离当前时间t1内的所有历史访问流量数据对应的来源IP地址的数量G;其中,t1为预设的IP获取时间;
S500、若G≤G0,则执行步骤S600;其中,G0为预设的来源IP地址的数量阈值;
S501、若G>G0,则将P1j确定为1,并执行步骤S700;
S600、获取Qj对应的来源IP地址Mj在U的来源IP地址中所占的比例P1j
Qj为待检测访问流量数据,其对应的来源IP地址为Mj,获取Mj对应的数据信息P1j,P1j为Mj在所有包含加密数据的历史访问流量数据的来源IP地址中所占的比例,如Mj为111.33.205.178,从所有包含加密数据的历史访问流量数据的来源IP地址中找出与此来源IP地址相同的数量,再与所有包含加密数据的历史访问流量数据的来源IP地址的数量做比值,将其确定为P1j
步骤S400-步骤S600为P1j的确定方法,P1j由两种判断方法进行确定,设置一个来源IP地址的数量阈值,获取待检测webshell文件在一段时间内的所有历史访问流量数据对应的来源IP地址的数量,将其与预设的来源IP地址的数量阈值进行比较,若小于或等于预设的数量阈值,则表示待检测webshell文件中的可访问网址为内网或设置有访问权限的网站,此时,可以通过计算Mj在U的来源IP地址中所占的比例来确定为P1j,并通过来源IP地址作为匹配度比较的一个比较因素,若待检测webshell文件在一段时间内的所有历史访问流量数据对应的来源IP地址的数量大于预设的数量阈值,则表示待检测webshell文件中的可访问网址为外网或没有访问权限的公共网,由于公共都可以进行访问,所以,在一段时间内的待检测webshell文件的访问流量会很多,且访问的来源IP也会很多,此时,再用Mj在U的来源IP地址中所占的比例作为P1j已经没有意义,就直接将其确定为1,或固定字符,表示在后续的匹配度比较中不考虑来源IP地址这一比较因素,可以只比较其他因素,如上行数据包和下行数据包中的加密数据长度,通过此确定方法,也缩短了数据处理的流程,精简了算法。
S700、在U对应的所有来源IP地址中,确定出k个目标来源IP地址,得到目标来源IP地址集R=(R1,R2……Rz……Rk);其中,z=1,2……k;Rz为第z个目标来源IP地址;且任意两个目标来源IP地址相互不同;
由于要通过对来源IP的数据信息对待检测webshell文件进行检测,所以,就需要对所有包含加密数据的历史访问流量数据的来源IP地址做统计,得到每个来源IP地址的重复次数,将属于同一个来源IP地址的确定为目标来源IP地址。
S800、获取Rz在U的来源IP地址中所占的比例P2z
与Mj相同,获取Rz对应的数据信息P2z,P2z为Rz在所有包含加密数据的历史访问流量数据的来源IP地址中所占的比例。
S900、将P1j与P2z进行匹配度比较,得到对应的匹配度值Hjz;若Hjz≥H0,则将Qj确定为正常访问流量数据;其中,H0为预设的匹配度阈值。
得到P1j、P2z后,将P1j与P2z进行匹配度比较,得到对应的匹配度值,再将得到的匹配度值与预设的匹配度阈值进行比较,若小于匹配度阈值,则表示Mj在历史访问流量数据中出现的次数较少,认为其存在侵入的风险,则将Qj确定为异常访问流量数据,若大于或等于匹配度阈值,则表示Mj在历史访问流量数据中出现的次数较多,认为其为安全的IP地址,则将Qj确定为正常访问流量数据,通过验证所有待检测访问流量数据的是否异常,来实现对待检测webshell文件的检测目的,即若其中一个待检测访问流量数据存在异常,则认为待检测webshell文件中存在木马,其数据更新为木马植入,则进行警告,通知网络维护人员对其进行木马检测,若所有的待检测访问流量数据都为正常,则认为待检测webshell文件也为正常文件,其数据更新为正常更新。
此外,webshell文件的流量检测方法应用于流量检测系统,流量检测系统连接有来源IP地址存储库,来源IP地址存储库用于存储待检测webshell文件的访问流量数据对应的来源IP地址;其中,来源IP地址存储库的数据存储方法为:
S110、获取距离当前时间最近的访问待检测webshell文件的G1个历史来源IP地址,并将其存储在来源IP地址存储库中;且任意两个历史来源IP地址相互不同;
S120、当待检测webshell文件被访问时,获取对应的访问来源IP地址;
S130、若访问来源IP地址存在于来源IP地址存储库中,则执行步骤S140;否则,执行步骤S150;
S140、将存在于来源IP地址存储库中与访问来源IP地址相同的历史来源IP地址的访问次数加一;
S150、将来源IP地址存储库中访问待检测webshell文件的次数最少的历史来源IP地址删除,并将访问来源IP地址存储至来源IP地址存储库中。
此为来源IP地址存储库的数据存储方法,可以有效保证了来源IP地址存储库中的存储的来源IP地址的数量,当有新的来源IP地址存储至来源IP地址存储库中时,会在来源IP地址存储库中进行查询,若在来源IP地址存储库中有对应的来源IP地址,则在对应的来源IP地址的访问次数记录加一,若在来源IP地址存储库中不存在对应的来源IP地址,则将来源IP地址存储库中访问次数最少的来源IP地址删除,将新的来源IP地址存储至来源IP地址存储库中,通过访问次数对来源IP地址存储库中的来源IP地址进行数据更新,保证来源IP地址存储库中的来源IP地址为最新数据或访问次数较多的数据,便于后续的匹配度比较。
进一步,步骤S900中只通过P1j与P2z进行匹配度比较,得到对应的匹配度值,只根据一个比较因素来进行匹配度比较,会存在结果误差,所以,就要在匹配度比较时增加新的比较因素,因此提出本申请的第二实施例,如下:
将步骤S600替换为:
S610、获取Qj对应的来源IP地址Mj对应的数据信息Yj=(P1j,L1j);L1j=(L11j,L12j……L1wj……L1sj);其中,w=1,2……s;s为Mj在t0内接收的上行数据包的数量;P1j为Mj在U的来源IP地址中所占的比例;L1j为Mj在t0内接收的上行加密数据列表;L1wj为Mj在t0内接收的第w个上行数据包中的加密数据长度;t0为预设的时间阈值;
将步骤S800替换为:
S810、获取Rz对应的数据信息Tz=(P2z,F1z);F1z=(F11z,F12z……F1dz……F1gz);其中,d=1,2……g;g为Rz在t0内接收的上行数据包的数量;P2z为Rz在U的来源IP地址中所占的比例;F1z为Rz在t0内接收的上行加密数据列表;F1dz为Rz在t0内接收的第d个上行数据包中的加密数据长度;
将步骤S900替换为:
S910、将Yj与Tz进行匹配度比较,得到对应的匹配度值Hjz;若Hjz≥H0,则将Qj确定为正常访问流量数据。
本申请的第二实施例中,增加了L1j、F1z的比较因素,L1j、F1z分别为Mj在t0内接收的上行加密数据列表和Rz在t0内接收的上行加密数据列表,其中包含了对应的每个上行数据包中的加密数据的长度,进一步提高了匹配度比较的精确度。
进一步,在第二实施例的基础上,再增加新的比较因素,构成本申请的第三实施例,具体如下:
将步骤S600替换为:
S620、获取Qj对应的来源IP地址Mj对应的数据信息Yj=(P1j,L1j,L2j);L1j=(L11j,L12j……L1wj……L1sj);L2j=(L21j,L22j……L2xj……L2vj);其中,x=1,2……v;v为Mj在t0内发送的下行数据包的数量;L2j为Mj在t0内发送的下行加密数据列表;L2xj为Mj在t0内发送的第x个下行数据包中的加密数据长度;
将步骤S800替换为:
S820、获取Rz对应的数据信息Tz=(P2z,F1z,F2z);F1z=(F11z,F12z……F1dz……F1gz);F2z=(F21z,F22z……F2cz……F2hz);其中,c=1,2……h;h为Rz在t0内发送的下行数据包的数量;F2z为Rz在t0内发送的下行加密数据列表;F2cz为Rz在t0内发送的第c个下行数据包中的加密数据长度;
将步骤S900替换为:
S920、将Yj与Tz进行匹配度比较,得到对应的匹配度值Hjz;若Hjz≥H0,则将Qj确定为正常访问流量数据。
本申请的第三实施例中,进一步增加了L2j、F2z的比较因素,L2j、F2z分别为Mj在t0内发送的下行加密数据列表和Rz在t0内发送的下行加密数据列表,其中包含了对应的每个下行数据包中的加密数据的长度,在第二实施例的基础上,又进一步提高了匹配度比较的精确度。
此外,步骤S920中,是将Yj与每个目标来源IP地址的数据信息进行匹配度比较,得到所有的匹配度值后,再去对每一个匹配度值与匹配度阈值进行比较,继而确定出所有的待检测访问流量数据的安全性,此种比较方式过于繁杂,需要计算的步骤和数据较多,当待检测访问流量数据的数量过多时,需要计算的匹配度值和阈值比较的步骤也会随之增多,也加大了服务器的算力,所以,为了进一步简化数据处理步骤,提出步骤S920的又一实施例:
进一步,步骤S920还包括:
S921、将Yj与T1,T2……Tz……Tk依次进行匹配度比较,若Hjz≥H0,则将Qj确定为正常访问流量数据;否则,则继续比较Hj(z+1)与H0,直至Hjk与H0的比较完成,若Hjk<H0,则将Qj确定为异常访问流量数据。
步骤S921为步骤S920的另一实施例,只需要将Yj依次与每一目标来源IP地址的数据信息进行匹配度比较,得到一个匹配度值后,就与匹配度阈值进行比较,若其小于匹配度阈值,则将其确定为异常访问流量数据,无需再对其后的目标来源IP地址进行匹配度比较,直接退出检测方法,若其大于或等于匹配度阈值,则将其确定为正常访问流量数据,继续与下一个目标来源IP地址的数据信息进行匹配度比较,得到对应的匹配度值后,进行阈值比较,直至比较完所有的目标来源IP地址,即依次做匹配度比较和阈值比较,若发现其中一个为异常访问流量数据,则退出,否则,就继续做数据处理,此种方法简化了数据处理的过程,进一步降低了算力要求。
步骤S920和步骤S921中的匹配度比较方法采用现有的匹配度比较方法即可,匹配度比较即相似度比较,是看两者的相似程度,即先对两者的IP地址占比进行比较,得到一个匹配度,再对两者的上行数据包的加密数据长度进行匹配度比较,得到相应的匹配度,对两者的下行数据包的加密数据长度进行匹配度比较,得到相应的匹配度,再将得到的所有匹配度进行相加,得到最终的待检测访问流量数据的匹配度。
但在步骤S920和步骤S921中,对Yj与Tz进行匹配度比较时,若Yj的上行数据包的数量和Tz的上行数据包的数量不等时,对其两者进行匹配度比较时,会由于数量不等,而造成比较误差,如Yj的上行数据包的数量为100个,Tz的上行数据包的数量为200个,在进行匹配度比较时,会存在100个数据包的差值,影响匹配度比较的结果,所以,为了解决在匹配度比较时存在的数据包不等的问题,提出进一步实施例:
在步骤S820之后,webshell文件的流量检测方法还包括:
S830、若s=g,则执行步骤S920;否则,执行步骤S831;
S831、若s<E0,则执行步骤S837;若s=E0,则执行步骤S838;其中,E0为预设的上行数据包的数量阈值;
S832、若s>E0,则将t0均分为D个时间窗口;
S833、获取Mj在第一个时间窗口内接收的上行数据包的数量Aj;若Aj<E0,则执行步骤S834;否则,执行步骤S836;
S834、对Mj在第二个时间窗口至第D个时间窗口内接收的上行数据包进行线性差值处理,得到E0-1个上行数据包;
S835、将L11j,L12j……L1wj……L1sj替换为Aj对应的上行数据包中的加密数据长度与E0-1个上行数据包中的加密数据长度;并执行步骤S838;
S836、将L11j,L12j……L1wj……L1sj替换为Mj距离当前时间最近的E0个上行数据包对应的加密数据长度;并执行步骤S838;
S837、在L1sj之后增加E0-s个空字符,以使L1j中存在E0个数据,并执行步骤S838;
S838、将F11z,F12z……F1dz……F1gz替换为Rz距离当前时间最近的E0个上行数据包对应的加密数据长度;并执行步骤S920。
若Yj的上行数据包的数量和Tz的上行数据包的数量不等,则设置一个上行数据包的数量阈值,将Yj的上行数据包的数量与此阈值进行比较,若比阈值小,则在Yj中补空字符或固定字符,表示填充的字符无数据,用以进行匹配度比较,若比阈值大,则将t0均分为若干个时间窗口,再比较第一个时间窗口中的上行数据包的数量与阈值的大小,若小于阈值,则对第一个时间窗口之后的所有时间窗口中的上行数据包进行线性差值处理,即平均从此部分时间窗口中取出对应的上行数据包,使其与第一个时间窗口中的上行数据包之和等于预设的上行数据包的数量阈值,若第一个时间窗口中的上行数据包的数量大于阈值,则直接取距离当前时间最近的上行数据包,此种方法可以保证Yj的上行数据包的获取精确度,减小后续的匹配度比较造成的误差。
相应的,Yj与Tz进行匹配度比较时,Yj的下行数据包的数量和Tz的下行数据包的数量不等时也会造成匹配度比较的误差,所以,就需要对Yj与Tz的下行数据包进行数量对齐操作,具体如下:
步骤S820之后,webshell文件的流量检测方法还包括:
S840、若v=h,则执行步骤S920;否则,执行步骤S841;
S841、若v<E1,则执行步骤S847;若v=E1,则执行步骤S848;其中,E1为预设的下行数据包的数量阈值;
S842、若v>E1,则将t0均分为D个时间窗口;
S843、获取Mj在第一个时间窗口内发送的下行数据包的数量Bj;若Bj<E1,则执行步骤S844;否则,执行步骤S846;
S844、对Mj在第二个时间窗口至第D个时间窗口内发送的下行数据包进行线性差值处理,得到E1-1个下行数据包;
S845、将L21j,L22j……L2xj……L2vj替换为Bj对应的下行数据包中的加密数据长度与E1-1个下行数据包中的加密数据长度;并执行步骤S848;
S846、将L21j,L22j……L2xj……L2vj替换为Mj距离当前时间最近的E1个下行数据包对应的加密数据长度;并执行步骤S848;
S847、在L2vj之后增加E1-v个空字符,以使L2vj中存在E1个数据,并执行步骤S848;
S848、将F21z,F22z……F2cz……F2hz替换为Rz距离当前时间最近的E1个下行数据包对应的加密数据长度;并执行步骤S920。
Yj与Tz的下行数据包的数量对齐操作与上行数据包的原理和方法相同,故在此不再赘述。
本发明的实施例还提供了一种非瞬时性计算机可读存储介质,该存储介质可设置于电子设备之中以保存用于实现方法实施例中一种方法相关的至少一条指令或至少一段程序,该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述实施例提供的方法。
本发明的实施例还提供了一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员还应理解,可以对实施例进行多种修改而不脱离本发明的范围和精神。本发明开的范围由所附权利要求来限定。

Claims (10)

1.一种webshell文件的流量检测方法,其特征在于,所述方法包括如下步骤:
S100、响应于待检测webshell文件发生了数据更新,获取待检测webshell文件在发生数据更新后的m个待检测访问流量数据,得到待检测访问流量数据集Q=(Q1,Q2……Qj……Qm);其中,j=1,2……m;Qj为待检测webshell文件在发生数据更新后的第j个待检测访问流量数据;所述待检测webshell文件为存储有可访问网址的webshell文件;
S200、若Qj中包含加密数据,且待检测webshell文件在发生数据更新前存在包含有加密数据的历史访问流量数据,则执行步骤S300;
S300、获取待检测webshell文件在发生数据更新前包含有加密数据的n个历史访问流量数据,得到历史加密流量数据集U=(U1,U2……Ui……Un);其中,i=1,2……n;Ui为待检测webshell文件在发生数据更新前第i个包含有加密数据的历史访问流量数据;
S400、获取待检测webshell文件在距离当前时间t1内的所有历史访问流量数据对应的来源IP地址的数量G;其中,t1为预设的IP获取时间;
S500、若G≤G0,则执行步骤S600;其中,G0为预设的来源IP地址的数量阈值;
S600、获取Qj对应的来源IP地址Mj在U的来源IP地址中所占的比例P1j
S700、在U对应的所有来源IP地址中,确定出k个目标来源IP地址,得到目标来源IP地址集R=(R1,R2……Rz……Rk);其中,z=1,2……k;Rz为第z个目标来源IP地址;且任意两个目标来源IP地址相互不同;
S800、获取Rz在U的来源IP地址中所占的比例P2z
S900、将P1j与P2z进行匹配度比较,得到对应的匹配度值Hjz;若Hjz≥H0,则将Qj确定为正常访问流量数据;其中,H0为预设的匹配度阈值。
2.根据权利要求1所述的webshell文件的流量检测方法,其特征在于,所述步骤S500还包括:
S501、若G>G0,则将P1j确定为1,并执行步骤S700。
3.根据权利要求1所述的webshell文件的流量检测方法,其特征在于,所述webshell文件的流量检测方法应用于流量检测系统,所述流量检测系统连接有来源IP地址存储库,所述来源IP地址存储库用于存储所述待检测webshell文件的访问流量数据对应的来源IP地址;
所述来源IP地址存储库的数据存储方法为:
S110、获取距离当前时间最近的访问所述待检测webshell文件的G1个历史来源IP地址,并将其存储在所述来源IP地址存储库中;且任意两个历史来源IP地址相互不同;
S120、当所述待检测webshell文件被访问时,获取对应的访问来源IP地址;
S130、若所述访问来源IP地址存在于所述来源IP地址存储库中,则执行步骤S140;否则,执行步骤S150;
S140、将存在于所述来源IP地址存储库中与所述访问来源IP地址相同的历史来源IP地址的访问次数加一;
S150、将所述来源IP地址存储库中访问待检测webshell文件的次数最少的历史来源IP地址删除,并将所述访问来源IP地址存储至所述来源IP地址存储库中。
4.根据权利要求1所述的webshell文件的流量检测方法,其特征在于,将所述步骤S600替换为:
S610、获取Qj对应的来源IP地址Mj对应的数据信息Yj=(P1j,L1j);L1j=(L11j,L12j……L1wj……L1sj);其中,w=1,2……s;s为Mj在t0内接收的上行数据包的数量;P1j为Mj在U的来源IP地址中所占的比例;L1j为Mj在t0内接收的上行加密数据列表;L1wj为Mj在t0内接收的第w个上行数据包中的加密数据长度;t0为预设的时间阈值;
将所述步骤S800替换为:
S810、获取Rz对应的数据信息Tz=(P2z,F1z);F1z=(F11z,F12z……F1dz……F1gz);其中,d=1,2……g;g为Rz在t0内接收的上行数据包的数量;P2z为Rz在U的来源IP地址中所占的比例;F1z为Rz在t0内接收的上行加密数据列表;F1dz为Rz在t0内接收的第d个上行数据包中的加密数据长度;
将所述步骤S900替换为:
S910、将Yj与Tz进行匹配度比较,得到对应的匹配度值Hjz;若Hjz≥H0,则将Qj确定为正常访问流量数据。
5.根据权利要求1所述的webshell文件的流量检测方法,其特征在于,将所述步骤S600替换为:
S620、获取Qj对应的来源IP地址Mj对应的数据信息Yj=(P1j,L1j,L2j);L1j=(L11j,L12j……L1wj……L1sj);L2j=(L21j,L22j……L2xj……L2vj);其中,x=1,2……v;v为Mj在t0内发送的下行数据包的数量;L2j为Mj在t0内发送的下行加密数据列表;L2xj为Mj在t0内发送的第x个下行数据包中的加密数据长度;
将所述步骤S800替换为:
S820、获取Rz对应的数据信息Tz=(P2z,F1z,F2z);F1z=(F11z,F12z……F1dz……F1gz);F2z=(F21z,F22z……F2cz……F2hz);其中,c=1,2……h;h为Rz在t0内发送的下行数据包的数量;F2z为Rz在t0内发送的下行加密数据列表;F2cz为Rz在t0内发送的第c个下行数据包中的加密数据长度;
将所述步骤S900替换为:
S920、将Yj与Tz进行匹配度比较,得到对应的匹配度值Hjz;若Hjz≥H0,则将Qj确定为正常访问流量数据。
6.根据权利要求5所述的webshell文件的流量检测方法,其特征在于,所述步骤S920还包括:
S921、将Yj与T1,T2……Tz……Tk依次进行匹配度比较,若Hjz≥H0,则将Qj确定为正常访问流量数据;否则,则继续比较Hj(z+1)与H0,直至Hjk与H0的比较完成,若Hjk<H0,则将Qj确定为异常访问流量数据。
7.根据权利要求1所述的webshell文件的流量检测方法,其特征在于,所述步骤S200还包括:
S210、若Qj中包含加密数据,且待检测webshell文件在发生数据更新前不存在包含有加密数据的历史访问流量数据,则将Qj确定为异常访问流量数据。
8.根据权利要求1所述的webshell文件的流量检测方法,其特征在于,所述待检测webshell文件存储在目标webshell文件夹中,若目标webshell文件夹中存在新增的webshell文件,则将其确定为待检测webshell文件。
9.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-8中任意一项的所述webshell文件的流量检测方法。
10.一种电子设备,其特征在于,包括处理器和权利要求9中所述的非瞬时性计算机可读存储介质。
CN202310511415.4A 2023-05-09 2023-05-09 一种webshell文件的流量检测方法、设备及介质 Active CN116248413B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310511415.4A CN116248413B (zh) 2023-05-09 2023-05-09 一种webshell文件的流量检测方法、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310511415.4A CN116248413B (zh) 2023-05-09 2023-05-09 一种webshell文件的流量检测方法、设备及介质

Publications (2)

Publication Number Publication Date
CN116248413A true CN116248413A (zh) 2023-06-09
CN116248413B CN116248413B (zh) 2023-07-28

Family

ID=86624593

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310511415.4A Active CN116248413B (zh) 2023-05-09 2023-05-09 一种webshell文件的流量检测方法、设备及介质

Country Status (1)

Country Link
CN (1) CN116248413B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107888571A (zh) * 2017-10-26 2018-04-06 江苏省互联网行业管理服务中心 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统
US20190334948A1 (en) * 2016-12-16 2019-10-31 Huawei Technologies Co., Ltd. Webshell detection method and apparatus
CN110855661A (zh) * 2019-11-11 2020-02-28 杭州安恒信息技术股份有限公司 一种WebShell检测方法、装置、设备及介质
CN112668005A (zh) * 2020-12-30 2021-04-16 北京天融信网络安全技术有限公司 webshell文件的检测方法及装置
US20210226967A1 (en) * 2017-09-28 2021-07-22 Qubit Security Inc. Web traffic logging system and method for detecting web hacking in real time
CN113761522A (zh) * 2021-09-02 2021-12-07 恒安嘉新(北京)科技股份公司 一种webshell流量的检测方法、装置、设备和存储介质
CN114024773A (zh) * 2022-01-05 2022-02-08 北京微步在线科技有限公司 一种webshell文件检测方法及系统
CN115314291A (zh) * 2022-08-08 2022-11-08 深信服科技股份有限公司 模型训练方法及组件,安全检测方法及组件
CN115987637A (zh) * 2022-12-22 2023-04-18 安天科技集团股份有限公司 一种Webshell文件检测方法、装置、设备及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190334948A1 (en) * 2016-12-16 2019-10-31 Huawei Technologies Co., Ltd. Webshell detection method and apparatus
US20210226967A1 (en) * 2017-09-28 2021-07-22 Qubit Security Inc. Web traffic logging system and method for detecting web hacking in real time
CN107888571A (zh) * 2017-10-26 2018-04-06 江苏省互联网行业管理服务中心 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统
CN110855661A (zh) * 2019-11-11 2020-02-28 杭州安恒信息技术股份有限公司 一种WebShell检测方法、装置、设备及介质
CN112668005A (zh) * 2020-12-30 2021-04-16 北京天融信网络安全技术有限公司 webshell文件的检测方法及装置
CN113761522A (zh) * 2021-09-02 2021-12-07 恒安嘉新(北京)科技股份公司 一种webshell流量的检测方法、装置、设备和存储介质
CN114024773A (zh) * 2022-01-05 2022-02-08 北京微步在线科技有限公司 一种webshell文件检测方法及系统
CN115314291A (zh) * 2022-08-08 2022-11-08 深信服科技股份有限公司 模型训练方法及组件,安全检测方法及组件
CN115987637A (zh) * 2022-12-22 2023-04-18 安天科技集团股份有限公司 一种Webshell文件检测方法、装置、设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KUI JIANG; ZHIHANG YU; XIAOLEI CHEN; YAOYANG SU: "Multidimensional Webshell Detection Method Based on Deep Learning", 《2022 15TH INTERNATIONAL CONGRESS ON IMAGE AND SIGNAL PROCESSING, BIOMEDICAL ENGINEERING AND INFORMATICS (CISP-BMEI)》 *
骆子铭;许书彬;刘晓东;: "基于机器学习的TLS恶意加密流量检测方案", 网络与信息安全学报, no. 01 *

Also Published As

Publication number Publication date
CN116248413B (zh) 2023-07-28

Similar Documents

Publication Publication Date Title
Halkidis et al. Architectural risk analysis of software systems based on security patterns
US20180103043A1 (en) System and methods of detecting malicious elements of web pages
US10645086B1 (en) System and method for handling user requests for web services
CN107682361B (zh) 网站漏洞扫描方法、装置、计算机设备及存储介质
CN110798488B (zh) Web应用攻击检测方法
RU2677361C1 (ru) Способ и система децентрализованной идентификации вредоносных программ
CN112019575A (zh) 数据包处理方法、装置、计算机设备以及存储介质
US20190149540A1 (en) Service provision system, service provision method, verification device, verification method, and computer program
CN109547426B (zh) 业务响应方法及服务器
CN112668913B (zh) 基于联邦学习的网络构建方法、装置、设备及存储介质
CN114553523A (zh) 基于攻击检测模型的攻击检测方法及装置、介质、设备
CN113411333A (zh) 一种越权访问漏洞检测方法、装置、系统和存储介质
CN115580494B (zh) 一种弱口令的检测方法、装置和设备
US9923916B1 (en) Adaptive web application vulnerability scanner
CN113872959B (zh) 一种风险资产等级判定和动态降级方法和装置及设备
CN111949992A (zh) Web应用程序的自动化安全监测方法及系统
CN116248413B (zh) 一种webshell文件的流量检测方法、设备及介质
CN112543186B (zh) 一种网络行为检测方法、装置、存储介质及电子设备
CN114499917B (zh) Cc攻击检测方法及cc攻击检测装置
CN108270746B (zh) 用户访问请求处理方法及装置
CN116506195B (zh) 一种webshell文件检测方法、电子设备及介质
CN115168830A (zh) 一种检测用户登录环境的登录方法及登录装置
CN114006735A (zh) 一种数据保护方法、装置、计算机设备和存储介质
CN112153011A (zh) 一种机器扫描的检测方法、装置、电子设备和存储介质
CN111917787A (zh) 请求检测方法、装置、电子设备和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant