CN116260630A - https模式下webshell攻击流量的识别方法和装置 - Google Patents
https模式下webshell攻击流量的识别方法和装置 Download PDFInfo
- Publication number
- CN116260630A CN116260630A CN202310048796.7A CN202310048796A CN116260630A CN 116260630 A CN116260630 A CN 116260630A CN 202310048796 A CN202310048796 A CN 202310048796A CN 116260630 A CN116260630 A CN 116260630A
- Authority
- CN
- China
- Prior art keywords
- traffic
- flow
- tls
- browser
- popularity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000012216 screening Methods 0.000 claims abstract description 34
- 238000001914 filtration Methods 0.000 claims abstract description 12
- 230000006399 behavior Effects 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 10
- 230000001788 irregular Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 108010064775 protein C activator peptide Proteins 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种https模式下webshell攻击流量的识别方法和装置,所述方法包括:获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。本发明所提供的方案通过多次特征筛选,在不解密https的情况下使用客户端握手信息与流行为特征组合的方式识别webshell攻击的https流量,降低了流量识别难度,提高了流量识别的有效性。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种https模式下webshell攻击流量的识别方法和装置。
背景技术
Webshell是一种网络安全中常见的术语,其指代黑客通过专门的webshell工具与事先通过漏洞上传到目标web系统中的网页木马进行通信的攻击行为,也可以特指webshell工具。利用webshell工具进行的攻击行为在黑客对网站的渗透与破坏中非常普遍,所以对其进行检测识别也是网络安全中的一个重要方向。
如今的web系统大多采用了基于SSL/TLS加密协议实现的https访问模式,而由于其本身的工作原理是从外部访问正规的内部web系统,所以使用的安全证书会是此web系统自身的可信证书,这导致了不能使用简单的证书信息分辨出是否为webshell攻击。目前对webshell攻击流量的识别普遍采用卸载https证书的解密方式,让问题转变成对http明文流量分析来达到识别webshell工具的目的,但是近年来主流webshell工具都采用了对http明文载荷部分单独自定义加密的方式,这使得传统的卸载https证书解密识别方式的识别难度较大,有效性较差。
因此,提供一种https模式下webshell攻击流量的识别方法和装置,以解决现有的证书解密识别方式的识别难度较高,有效性较差的问题,就成为本领域技术人员亟待解决的问题。
发明内容
为此,本发明实施例提供一种https模式下webshell攻击流量的识别方法和装置,以解决现有的证书解密识别方式的识别难度较高,有效性较差的问题。
为了实现上述目的,本发明实施例提供如下技术方案:
本发明提供了一种https模式下webshell攻击流量的识别方法,所述方法包括:
获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;
基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;
基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。
在一些实施例中,从所述原始流量中筛选出TLS协议的流量作为目标流量,具体包括:
从所述原始流量中筛选出由外向内传输的TLS协议的流量作为目标流量。
在一些实施例中,客户端握手信息具体包括TLS协议中除Session_id、Random、Extension和server_name以外的所有属性信息。
在一些实施例中,基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量,具体包括:
在所述未知TLS流量中待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配的情况下,则确定该待识别流量为webshell攻击流量。
在一些实施例中,待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配,具体包括:
所述待识别流量的至少一个流行为特征与所述流行为区别特征相匹配。
在一些实施例中,所述流行为区别特征包括以下至少一者:
流时间间隔不规律、多流总体分布的时间范围小于预设时间阈值、流中数据包的长度小于预设长度阈值、流中部分上行包长度相近、至少存在1个上行或下行大于8000字节的包。
在一些实施例中,从所述原始流量中筛选出TLS协议的流量作为目标流量,具体包括:
从所述原始流量中,提取TCP应用层存在TLS协议头的流量作为目标流量。
本发明还提供一种https模式下webshell攻击流量的识别装置,所述装置包括:
目标流量获取单元,用于获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;
第一筛选单元,用于基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;
第二筛选单元,用于基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。
本发明还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述方法的步骤。
本发明所提供的https模式下webshell攻击流量的识别方法,通过获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。这样,本发明所提供的方案通过多次特征筛选,在不解密https的情况下使用客户端握手信息与流行为特征组合的方式识别webshell攻击的https流量,降低了流量识别难度,提高了流量识别的有效性,从而解决了现有的证书解密识别方式的识别难度较高,有效性较差的问题。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。
图1为本发明所提供的https模式下webshell攻击流量的识别方法的流程示意图之一;
图2为本发明所提供的https模式下webshell攻击流量的识别方法的流程示意图之二;
图3为本发明所提供的https模式下webshell攻击流量的识别装置的结构框图;
图4为本发明所提供的电子设备的实体结构示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
首先对本发明所涉及的技术名词进行如下解释说明:
SSL/TLS:Secure Sockets Layer安全套接层协议及Transport Layer Security传输层安全协议;
HTTPS:超文本传输安全协议,HTTPS是在HTTP的基础下加入SSL以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性;
PCAP:一种网络流量数据包的存储格式;
卸载https证书:外部对内部Web服务的请求是https的方式时,可以在网络入口到实际web服务所在服务器之间的某个位置使用web服务自身的证书进行流量解密,解密后的流量变成http明文流量,此过程一般称为卸载证书。
请参考图1,图1为本发明所提供的https模式下webshell攻击流量的识别方法的流程示意图之一。
在一种具体实施方式中,本发明提供了一种https模式下webshell攻击流量的识别方法包括以下步骤:
S110:获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量。优选地,从所述原始流量中筛选出由外向内传输的TLS协议的流量作为目标流量,具体地,从所述原始流量中,提取TCP应用层存在TLS协议头的流量作为目标流量。
在一个具体使用场景中,识别外对内方向的TLS流量时,由于HTTPS协议本质是HTTP overTLS,即在HTTP协议外部包裹一层TLS协议,所以首先要从全部流量中筛选出TLS协议的所有流量作为目标流量,具体识别方法为检测TCP应用层是否存在TLS协议头,若存在TLS协议头则为TLS流量,若不存在TLS协议头则为非TLS流量。S120:基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的。浏览器握手信息库中存储的客户端握手信息具体包括TLS协议中除Session_id、Random、Extension和server_name以外的所有属性信息。其中,Session_id是指会话标识号,Random是指随机值,Extension是指扩展项,Server_name是指服务域名。
具体地,创建浏览器握手信息库用于过滤大部分流量时,TLS客户端握手信息随产生的程序不同具体内容也会不同,但是webshell工具往往使用通用性强的开发平台与开发工具,握手信息和许多正常业务用的web应用接口近似或相同,且webshell工具种类繁多,这导致了使用TLS客户端握手信息不能直接对应webshell工具。访问web系统的流量绝大部分是浏览器,而主流浏览器的种类是有限的,且浏览器的客户端握手信息绝大部分都遵守统一标准,所以可以穷举,形成浏览器握手信息库,浏览器握手信息包含TLS协议clienthello中除了Session_id、Random、Extension:server_name以外的所有属性信息。
在步骤S120中,在所述目标流量中,将识别到的TLS协议与浏览器握手信息库对比,匹配上的可以认为是浏览器流量,过滤剩下的即为需要识别的未知TLS流量。
S130:基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量。在所述未知TLS流量中待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配的情况下,则确定该待识别流量为webshell攻击流量;在所述未知TLS流量中待识别流量的流行为特征与所述流行为模型中的流行为区别特征不相匹配的情况下,则确定该待识别流量为正常web流量。
其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。
在一些实施例中,待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配,具体包括:
所述待识别流量的至少一个流行为特征与所述流行为区别特征相匹配,所述流行为区别特征包括以下至少一者:
流时间间隔不规律、多流总体分布的时间范围小于预设时间阈值、流中数据包的长度小于预设长度阈值、流中部分上行包长度相近、至少存在1个上行或下行大于8000字节的包。
在一个具体使用场景中,通过流特征过滤出频繁指令交互行为的流量,在需要识别的未知TLS流量中包括一般web应用的访问流量与可能存在的webshell攻击流量,此两种流行为存在比较明显的差别。提取webshell攻击与一般web应用的区别特点作为流行为模型,webshell流行为特点包括:流时间间隔不规律、多流总体分布的时间范围较小、流中大部分包的长度较小、流中大部分上行包长度相近、至少存在1个上行或下行大于8000字节的包。通过浏览器握手信息库在所述目标流量中滤除浏览器流量后得到的未知TLS流量,再经过流量行为模型的筛选剩下的即为webshell攻击的https流量。
从原理上来讲,由于webshell攻击中的证书为web系统自身的正规证书,识别上不能涉及证书部分,所以从握手特征与流特征方向来区分普通web系统访问流量与webshell攻击。在上述具体实施方式中,如图2所示,从总体流量中先识别出外对内方向的TLS流量,客户端的握手特征具有较强的软件关联性,可以从TLS流量中把浏览器产生的流量识别出来,流特征可以区分出频繁指令交互行为与正常资源请求行为,结合两者,以握手特征配合流特征,就可以识别出webshell攻击。
在上述具体实施方式中,本发明所提供的https模式下webshell攻击流量的识别方法,通过获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。这样,本发明所提供的方案通过多次特征筛选,在不解密https的情况下使用客户端握手信息与流行为特征组合的方式识别webshell攻击的https流量,降低了流量识别难度,提高了流量识别的有效性,从而解决了现有的证书解密识别方式的识别难度较高,有效性较差的问题。
除了上述方法,本发明还提供一种https模式下webshell攻击流量的识别装置,如图3所示,所述装置包括:
目标流量获取单元301,用于获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;
第一筛选单元302,用于基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;
第二筛选单元303,用于基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。
在一些实施例中,从所述原始流量中筛选出TLS协议的流量作为目标流量,具体包括:
从所述原始流量中筛选出由外向内传输的TLS协议的流量作为目标流量。
在一些实施例中,客户端握手信息具体包括TLS协议中除Session_id、Random、Extension和server_name以外的所有属性信息。
在一些实施例中,基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量,具体包括:
在所述未知TLS流量中待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配的情况下,则确定该待识别流量为webshell攻击流量。
在一些实施例中,待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配,具体包括:
所述待识别流量的至少一个流行为特征与所述流行为区别特征相匹配。
在一些实施例中,所述流行为区别特征包括以下至少一者:
流时间间隔不规律、多流总体分布的时间范围小于预设时间阈值、流中数据包的长度小于预设长度阈值、流中部分上行包长度相近、至少存在1个上行或下行大于8000字节的包。
在一些实施例中,从所述原始流量中筛选出TLS协议的流量作为目标流量,具体包括:
从所述原始流量中,提取TCP应用层存在TLS协议头的流量作为目标流量。
在上述具体实施方式中,本发明所提供的https模式下webshell攻击流量的识别装置,通过获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。这样,本发明所提供的方案通过多次特征筛选,在不解密https的情况下使用客户端握手信息与流行为特征组合的方式识别webshell攻击的https流量,降低了流量识别难度,提高了流量识别的有效性,从而解决了现有的证书解密识别方式的识别难度较高,有效性较差的问题。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行上述方法。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (10)
1.一种https模式下webshel l攻击流量的识别方法,其特征在于,所述方法包括:
获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;
基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;
基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshel l攻击流量;其中,所述流量行为模型是利用webshel l攻击流量与web应用的流行为区别特征构建的。
2.根据权利要求1所述的https模式下webshel l攻击流量的识别方法,其特征在于,从所述原始流量中筛选出TLS协议的流量作为目标流量,具体包括:
从所述原始流量中筛选出由外向内传输的TLS协议的流量作为目标流量。
3.根据权利要求2所述的https模式下webshel l攻击流量的识别方法,其特征在于,客户端握手信息具体包括TLS协议中除Session_id、Random、Extension和server_name以外的所有属性信息。
4.根据权利要求1所述的https模式下webshel l攻击流量的识别方法,其特征在于,基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshel l攻击流量,具体包括:
在所述未知TLS流量中待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配的情况下,则确定该待识别流量为webshel l攻击流量。
5.根据权利要求4所述的https模式下webshel l攻击流量的识别方法,其特征在于,待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配,具体包括:
所述待识别流量的至少一个流行为特征与所述流行为区别特征相匹配。
6.根据权利要求4所述的https模式下webshel l攻击流量的识别方法,其特征在于,所述流行为区别特征包括以下至少一者:
流时间间隔不规律、多流总体分布的时间范围小于预设时间阈值、流中数据包的长度小于预设长度阈值、流中部分上行包长度相近、至少存在1个上行或下行大于8000字节的包。
7.根据权利要求1所述的https模式下webshel l攻击流量的识别方法,其特征在于,从所述原始流量中筛选出TLS协议的流量作为目标流量,具体包括:
从所述原始流量中,提取TCP应用层存在TLS协议头的流量作为目标流量。
8.一种https模式下webshel l攻击流量的识别装置,其特征在于,所述装置包括:
目标流量获取单元,用于获取待识别的原始流量,从所述原始流量中筛选出TLS协议的流量作为目标流量;
第一筛选单元,用于基于预先创建的浏览器握手信息库,在所述目标流量中滤除浏览器流量,以得到未知TLS流量;其中,所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的;
第二筛选单元,用于基于预先创建的流量行为模型,筛选出所述未知TLS流量中的webshell攻击流量;其中,所述流量行为模型是利用webshel l攻击流量与web应用的流行为区别特征构建的。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310048796.7A CN116260630A (zh) | 2023-02-01 | 2023-02-01 | https模式下webshell攻击流量的识别方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310048796.7A CN116260630A (zh) | 2023-02-01 | 2023-02-01 | https模式下webshell攻击流量的识别方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116260630A true CN116260630A (zh) | 2023-06-13 |
Family
ID=86687279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310048796.7A Pending CN116260630A (zh) | 2023-02-01 | 2023-02-01 | https模式下webshell攻击流量的识别方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116260630A (zh) |
-
2023
- 2023-02-01 CN CN202310048796.7A patent/CN116260630A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
| CN108471432B (zh) | 防止网络应用程序接口被恶意攻击的方法 | |
| US9003484B2 (en) | Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer | |
| US8301876B2 (en) | Techniques for secure network communication | |
| KR20120047989A (ko) | 신뢰된 네트워크를 통한 신뢰되지 않는 네트워크 상에서의 인증을 위한 디바이스, 방법, 및 장치 | |
| CN109413219B (zh) | 一种域名解析方法和装置、服务器及存储介质 | |
| CN112954683B (zh) | 域名解析方法、装置、电子设备和存储介质 | |
| CN108737446A (zh) | 基于双重身份的多方通信方法及系统 | |
| CN113746788A (zh) | 一种数据处理方法及装置 | |
| Touil et al. | Secure and guarantee QoS in a video sequence: a new approach based on TLS protocol to secure data and RTP to ensure real-time exchanges | |
| CN114449064A (zh) | Tls加密流量的应用识别方法、装置和应用识别设备 | |
| CN113055357B (zh) | 单包验证通信链路可信的方法、装置、计算设备及存储介质 | |
| CN116260630A (zh) | https模式下webshell攻击流量的识别方法和装置 | |
| Sathyadevan et al. | Portguard-an authentication tool for securing ports in an IoT gateway | |
| CN105099930B (zh) | 加密数据流流量控制方法及装置 | |
| CN116321162A (zh) | 一种基于wifi6的区块链认证方法、系统、终端及介质 | |
| CN115664738A (zh) | 通信方法、装置、电子设备及计算机存储介质 | |
| CN115150067A (zh) | 一种基于网络隐蔽通道的tls协议构建方法及系统 | |
| CN114465787A (zh) | 一种基于dpi的物联网加密流量监控方法 | |
| CN114006724A (zh) | 一种加密dns解析器发现及认证的方法与系统 | |
| CN107579984B (zh) | 一种面向网络层的安全通信链路建立方法 | |
| CN111010281A (zh) | 3信道物联网网关系统和数据安全接入方法 | |
| Kazemi et al. | Tunneling protocols identification using light packet inspection | |
| Ayadi et al. | Http session management: architecture and cookies security | |
| CN115086069B (zh) | 一种DDoS攻击识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |