一種基于強(qiáng)制訪問控制機(jī)制的webshell防范方法技術(shù)

本發(fā)明專利技術(shù)公開了一種基于強(qiáng)制訪問控制機(jī)制的webshell防范方法，實(shí)施步驟如下：將web文件分類并基于分類建立強(qiáng)制訪問控制策略；獲取客戶端請求的目標(biāo)web文件的客體標(biāo)記，如果客體標(biāo)記為web應(yīng)用腳本文件則查詢強(qiáng)制訪問控制策略確定目標(biāo)web文件對應(yīng)的權(quán)限，并根據(jù)查詢結(jié)果確定是否解析執(zhí)行目標(biāo)web文件；如果客體標(biāo)記為web多媒體文件，則查詢強(qiáng)制訪問控制策略確定目標(biāo)web文件對應(yīng)的權(quán)限，并根據(jù)查詢結(jié)果確定是否讀取目標(biāo)web文件。本發(fā)明專利技術(shù)能夠使入侵者上傳的webshell被禁止解析執(zhí)行，從而能夠阻止入侵者通過webshell實(shí)施進(jìn)一步破壞，webshell防范全面、安全可靠、成本低廉、通用性好。

【技術(shù)實(shí)現(xiàn)步驟摘要】
一種基于強(qiáng)制訪問控制機(jī)制的webshell防范方法
本專利技術(shù)涉及計(jì)算機(jī)系統(tǒng)的安全訪問控制
，具體涉及一種基于強(qiáng)制訪問控制機(jī)制的webshell防范方法。
技術(shù)介紹
當(dāng)前Web應(yīng)用越來越豐富，為廣大用戶的工作、生活、娛樂提供了極大地便利，同時(shí)Web服務(wù)器以其強(qiáng)大的計(jì)算能力、處理性能及蘊(yùn)含的較高價(jià)值逐漸成為主要攻擊目標(biāo)。SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等安全事件頻發(fā)。2012年，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱CNCERT/CC）共監(jiān)測發(fā)現(xiàn)我國境內(nèi)52324個(gè)網(wǎng)站被植入后門，其中政府網(wǎng)站3016個(gè)，較2011年月均分別增長213.7%和93.1%。植入Webshell是入侵者獲取服務(wù)器管理權(quán)限的重要手段，當(dāng)入侵者可以成功獲得服務(wù)器主機(jī)的webshell時(shí)，入侵者便擁有服務(wù)器的部分訪問權(quán)限，為進(jìn)一步竊取、破壞數(shù)據(jù)建立了堅(jiān)實(shí)基礎(chǔ)。當(dāng)前webshell防范方法主要有如下幾種：（1）定期掃描web應(yīng)用，發(fā)現(xiàn)惡意代碼。Webshell由于其特殊性，存在一定的特征，綜合眾多特征對web應(yīng)用代碼進(jìn)行掃描，針對嫌疑代碼進(jìn)行自動或手動處理。該方法類似于系統(tǒng)上的殺毒軟件，只能在出現(xiàn)問題后發(fā)現(xiàn)問題，存在一定的延遲，無法及時(shí)的阻止入侵者進(jìn)行破壞。（2）Web應(yīng)用防護(hù)系統(tǒng)（簡稱WAF）。WAF用來解決諸如防火墻等傳統(tǒng)安全設(shè)備束手無策的Web應(yīng)用安全問題，可以對webshell等針對Web的攻擊起到很好的防范效果。但WAF基于一定的規(guī)則，難免存在漏報(bào)和誤報(bào)，無法準(zhǔn)確的定位webshell。此外，WAF往往以一種特定產(chǎn)品提供，價(jià)格昂貴，配置使用也需要具有一定的專業(yè)技能。綜上所述，當(dāng)前webshell防范方法很難及時(shí)、準(zhǔn)確阻止入侵者實(shí)施攻擊。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)要解決的技術(shù)問題是：針對現(xiàn)有技術(shù)的上述技術(shù)問題，提供一種能夠使入侵者上傳的webshell被禁止解析執(zhí)行，從而能夠阻止入侵者通過webshell實(shí)施進(jìn)一步破壞，webshell防范全面、安全可靠、成本低廉、通用性好的基于強(qiáng)制訪問控制機(jī)制的webshell防范方法。為了解決上述技術(shù)問題，本專利技術(shù)采用的技術(shù)方案為：一種基于強(qiáng)制訪問控制機(jī)制的webshell防范方法，其實(shí)施步驟如下：1）基于操作系統(tǒng)的強(qiáng)制訪問控制機(jī)制將web服務(wù)器中的web文件通過客體標(biāo)記分類為需要解析執(zhí)行的web應(yīng)用腳本文件和不需要解析執(zhí)行的web多媒體文件，同時(shí)在web服務(wù)器運(yùn)行過程中檢測web服務(wù)器中新生成的文件，基于操作系統(tǒng)的強(qiáng)制訪問控制機(jī)制將web服務(wù)器中的新生成的文件通過客體標(biāo)記分類為需要解析執(zhí)行的web應(yīng)用腳本文件和不需要解析執(zhí)行的web多媒體文件；在操作系統(tǒng)中針對所有web應(yīng)用腳本文件和web多媒體文件建立強(qiáng)制訪問控制策略，所述強(qiáng)制訪問控制策略包括每一個(gè)web應(yīng)用腳本文件是否具有解析執(zhí)行權(quán)限的信息和每一個(gè)web多媒體文件是否具有只讀權(quán)限的信息；2）當(dāng)客戶端向web服務(wù)器發(fā)起請求時(shí)，通過web服務(wù)器的web解析器獲取客戶端所請求的目標(biāo)web文件的客體標(biāo)記，如果所述客體標(biāo)記為web應(yīng)用腳本文件則跳轉(zhuǎn)執(zhí)行步驟3），如果所述客體標(biāo)記為web多媒體文件則跳轉(zhuǎn)執(zhí)行步驟4）；3）通過web服務(wù)器中的web腳本解析器查詢所述強(qiáng)制訪問控制策略確定所述目標(biāo)web文件對應(yīng)的權(quán)限，如果所述目標(biāo)web文件具有解析執(zhí)行權(quán)限，則解析執(zhí)行所述目標(biāo)web文件并將結(jié)果返回給客戶端，如果所述目標(biāo)web文件不具有解析執(zhí)行權(quán)限，則拒絕解析執(zhí)行所述目標(biāo)web文件并返回指定的錯(cuò)誤信息給客戶端；客戶端的請求處理結(jié)束并退出；4）通過web服務(wù)器中的web腳本解析器查詢所述強(qiáng)制訪問控制策略確定所述目標(biāo)web文件對應(yīng)的權(quán)限，如果所述目標(biāo)web文件具有只讀權(quán)限，則讀取所述目標(biāo)web文件并返回給客戶端，如果所述目標(biāo)web文件不具有只讀權(quán)限，則拒絕讀取所述目標(biāo)web文件并返回指定的錯(cuò)誤信息給客戶端；客戶端的請求處理結(jié)束并退出。優(yōu)選地，所述步驟1）中建立強(qiáng)制訪問控制策略時(shí)，針對新生成的文件中的web應(yīng)用腳本文件，其對應(yīng)的強(qiáng)制訪問控制策略默認(rèn)為不具有解析執(zhí)行權(quán)限。優(yōu)選地，所述強(qiáng)制訪問控制策略在操作系統(tǒng)中被配置為僅僅具有管理員權(quán)限的用戶可以修改和添加。本專利技術(shù)基于強(qiáng)制訪問控制機(jī)制的webshell防范方法具有下述優(yōu)點(diǎn)：1、本專利技術(shù)一方面通過將web服務(wù)器中的web文件通過客體標(biāo)記分類為需要解析執(zhí)行的web應(yīng)用腳本文件和不需要解析執(zhí)行的web多媒體文件，針對web多媒體文件建立的強(qiáng)制訪問控制策略而言，每一個(gè)web多媒體文件的權(quán)限只有是否具有只讀權(quán)限兩種，確保僅有合法的網(wǎng)頁的腳本文件被解析執(zhí)行，另一方面本專利技術(shù)進(jìn)一步在web服務(wù)器運(yùn)行過程中檢測web服務(wù)器中新生成的文件，基于操作系統(tǒng)的強(qiáng)制訪問控制機(jī)制將web服務(wù)器中的新生成的文件通過客體標(biāo)記分類為需要解析執(zhí)行的web應(yīng)用腳本文件和不需要解析執(zhí)行的web多媒體文件，從而有效地針對webshell通常是以新生成的文件形式解析執(zhí)行，能夠使入侵者上傳的webshell被禁止解析執(zhí)行，從而能夠阻止入侵者通過webshell實(shí)施進(jìn)一步破壞，通過上述兩方面的措施，能夠徹底防止以web多媒體文件形式存在的webshell被解析執(zhí)行，以此來準(zhǔn)確、及時(shí)達(dá)到防范webshell的防護(hù)效果，具有webshell防范全面、安全可靠的優(yōu)點(diǎn)。2、本專利技術(shù)僅需對現(xiàn)有技術(shù)Web服務(wù)器的web腳本解析器進(jìn)行安全擴(kuò)展，使其具有強(qiáng)制訪問控制策略的查詢并根據(jù)查詢結(jié)果做不同處理的功能，同時(shí)輔以一定的強(qiáng)制訪問控制（使得具有web服務(wù)器中的web文件客體標(biāo)記分類功能并建立有強(qiáng)制訪問控制策略），便可以實(shí)現(xiàn)webshell的防范效果，成本低廉，防護(hù)效果良好。3、本專利技術(shù)的防護(hù)依賴于系統(tǒng)的強(qiáng)制訪問控制機(jī)制實(shí)現(xiàn)，各系統(tǒng)的強(qiáng)制訪問控制都在系統(tǒng)底層實(shí)現(xiàn)，攻擊者難以旁路，因此使用本專利技術(shù)的防護(hù)機(jī)制具有較高的安全性。4、本專利技術(shù)基于擴(kuò)展Web服務(wù)器的web腳本解析器、并可在支持系統(tǒng)強(qiáng)制訪問控制的Linux、Unix、Solaris、Windows多種平臺進(jìn)行應(yīng)用，支持平臺的多樣性，具有通用性好的優(yōu)點(diǎn)。附圖說明圖1為本專利技術(shù)實(shí)施例的實(shí)施流程示意圖。圖2為本專利技術(shù)實(shí)施例中web服務(wù)器的框架結(jié)構(gòu)示意圖。具體實(shí)施方式如圖1所示，本實(shí)施例基于強(qiáng)制訪問控制機(jī)制的webshell防范方法的實(shí)施步驟如下：1）基于操作系統(tǒng)的強(qiáng)制訪問控制機(jī)制將web服務(wù)器中的web文件通過客體標(biāo)記分類為需要解析執(zhí)行的web應(yīng)用腳本文件和不需要解析執(zhí)行的web多媒體文件，同時(shí)在web服務(wù)器運(yùn)行過程中檢測web服務(wù)器中新生成的文件，基于操作系統(tǒng)的強(qiáng)制訪問控制機(jī)制將web服務(wù)器中的新生成的文件通過客體標(biāo)記分類為需要解析執(zhí)行的web應(yīng)用腳本文件和不需要解析執(zhí)行的web多媒體文件；在操作系統(tǒng)中針對所有web應(yīng)用腳本文件和web多媒體文件建立強(qiáng)制訪問控制策略，所述強(qiáng)制訪問控制策略包括每一個(gè)web應(yīng)用腳本文件是否具有解析執(zhí)行權(quán)限的信息和每一個(gè)web多媒體文件是否具有只讀權(quán)限的信息；2）當(dāng)客戶端向web服務(wù)器發(fā)起請求時(shí)，通過web服務(wù)器的web解析器獲取客戶端所請求的目標(biāo)web文件的客體標(biāo)記，如果所述客體標(biāo)記為web應(yīng)用腳本文件則跳轉(zhuǎn)執(zhí)行步驟3），如果所述客體標(biāo)記為web多媒體文件則跳轉(zhuǎn)執(zhí)行步驟4）；3）通過web服務(wù)器中的web腳本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種基于強(qiáng)制訪問控制機(jī)制的webshell防范方法，其特征在于實(shí)施步驟如下：1）基于操作系統(tǒng)的強(qiáng)制訪問控制機(jī)制將web服務(wù)器中的web文件通過客體標(biāo)記分類為需要解析執(zhí)行的web應(yīng)用腳本文件和不需要解析執(zhí)行的web多媒體文件，同時(shí)在web服務(wù)器運(yùn)行過程中檢測web服務(wù)器中新生成的文件，基于操作系統(tǒng)的強(qiáng)制訪問控制機(jī)制將web服務(wù)器中的新生成的文件通過客體標(biāo)記分類為需要解析執(zhí)行的web應(yīng)用腳本文件和不需要解析執(zhí)行的web多媒體文件；在操作系統(tǒng)中針對所有web應(yīng)用腳本文件和web多媒體文件建立強(qiáng)制訪問控制策略，所述強(qiáng)制訪問控制策略包括每一個(gè)web應(yīng)用腳本文件是否具有解析執(zhí)行權(quán)限的信息和每一個(gè)web多媒體文件是否具有只讀權(quán)限的信息；2）當(dāng)客戶端向web服務(wù)器發(fā)起請求時(shí)，通過web服務(wù)器的web解析器獲取客戶端所請求的目標(biāo)web文件的客體標(biāo)記，如果所述客體標(biāo)記為web應(yīng)用腳本文件則跳轉(zhuǎn)執(zhí)行步驟3），如果所述客體標(biāo)記為web多媒體文件則跳轉(zhuǎn)執(zhí)行步驟4）；3）通過web服務(wù)器中的web腳本解析器查詢所述強(qiáng)制訪問控制策略確定所述目標(biāo)web文件對應(yīng)的權(quán)限，如果所述目標(biāo)web文件具有解析執(zhí)行權(quán)限，則解析執(zhí)行所述目標(biāo)web文件并將結(jié)果返回給客戶端，如果所述目標(biāo)web文件不具有解析執(zhí)行權(quán)限，則拒絕解析執(zhí)行所述目標(biāo)web文件并返回指定的錯(cuò)誤信息給客戶端；客戶端的請求處理結(jié)束并退出；4）通過web服務(wù)器中的web腳本解析器查詢所述強(qiáng)制訪問控制策略確定所述目標(biāo)web文件對應(yīng)的權(quán)限，如果所述目標(biāo)web文件具有只讀權(quán)限，則讀取所述目標(biāo)web文件并返回給客戶端，如果所述目標(biāo)web文件不具有只讀權(quán)限，則拒絕讀取所述目標(biāo)web文件并返回指定的錯(cuò)誤信息給客戶端；客戶端的請求處理結(jié)束并退出。...

【技術(shù)特征摘要】
1.一種基于強(qiáng)制訪問控制機(jī)制的webshell防范方法，其特征在于實(shí)施步驟如下：1）基于操作系統(tǒng)的強(qiáng)制訪問控制機(jī)制將web服務(wù)器中的web文件通過客體標(biāo)記分類為需要解析執(zhí)行的web應(yīng)用腳本文件和不需要解析執(zhí)行的web多媒體文件，同時(shí)在web服務(wù)器運(yùn)行過程中檢測web服務(wù)器中新生成的文件，基于操作系統(tǒng)的強(qiáng)制訪問控制機(jī)制將web服務(wù)器中的新生成的文件通過客體標(biāo)記分類為需要解析執(zhí)行的web應(yīng)用腳本文件和不需要解析執(zhí)行的web多媒體文件；在操作系統(tǒng)中針對所有web應(yīng)用腳本文件和web多媒體文件建立強(qiáng)制訪問控制策略，所述強(qiáng)制訪問控制策略包括每一個(gè)web應(yīng)用腳本文件是否具有解析執(zhí)行權(quán)限的信息和每一個(gè)web多媒體文件是否具有只讀權(quán)限的信息；2）當(dāng)客戶端向web服務(wù)器發(fā)起請求時(shí)，通過web服務(wù)器的web解析器獲取客戶端所請求的目標(biāo)web文件的客體標(biāo)記，如果所述客體標(biāo)記為web應(yīng)用腳本文件則跳轉(zhuǎn)執(zhí)行步驟3），如果所述客體標(biāo)記為web多媒體文件則跳轉(zhuǎn)執(zhí)行步驟4）；3）通過web服務(wù)器中的web腳本解析器查詢所述強(qiáng)制訪問控制策略確定...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：陳松政，戴華東，孫利杰，魏立峰，董攀，黃辰林，丁滟，羅軍，
申請(專利權(quán))人：中國人民解放軍國防科學(xué)技術(shù)大學(xué)，
類型：發(fā)明
國別省市：湖南;43