【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及網(wǎng)絡(luò)安全,尤其是涉及一種webshell檢測(cè)方法、系統(tǒng)和電子設(shè)備。
技術(shù)介紹
1、webshell是一種攻擊者通過(guò)漏洞上傳到服務(wù)器的惡意腳本,允許遠(yuǎn)程控制服務(wù)器,執(zhí)行命令、竊取數(shù)據(jù)或部署其他惡意軟件。其常通過(guò)文件上傳漏洞、sql(structuredquery?language,結(jié)構(gòu)化查詢語(yǔ)言)注入等途徑進(jìn)入服務(wù)器,成為攻擊者獲取遠(yuǎn)程訪問(wèn)的網(wǎng)關(guān)。
2、現(xiàn)有的處理方法包括基于靜態(tài)代碼分析的文件內(nèi)容檢測(cè)技術(shù)和基于流量分析的網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)。靜態(tài)分析依靠比對(duì)已知特征和函數(shù)模式識(shí)別惡意腳本,但存在漏報(bào)和誤報(bào)問(wèn)題,且無(wú)法檢測(cè)加密或內(nèi)存中的webshell;流量分析則通過(guò)深度包檢查監(jiān)控?cái)?shù)據(jù)流,但加密通信和隧道技術(shù)可能導(dǎo)致漏報(bào),并引入網(wǎng)絡(luò)延遲。
技術(shù)實(shí)現(xiàn)思路
1、有鑒于此,本專利技術(shù)的目的在于提供一種webshell檢測(cè)方法、系統(tǒng)和電子設(shè)備,可以在不依賴于文件內(nèi)容或流量包內(nèi)容的情況下識(shí)別webshell,從而有效避免了傳統(tǒng)靜態(tài)分析和流量監(jiān)控方法中的漏報(bào)和誤報(bào)問(wèn)題,進(jìn)而提升了webshell檢測(cè)的準(zhǔn)確性。
2、第一方面,本專利技術(shù)實(shí)施例提供了一種webshell檢測(cè)方法,包括:獲取行為數(shù)據(jù)集,其中,行為數(shù)據(jù)集中包括多個(gè)url(uniform?resource?locator,統(tǒng)一資源定位系統(tǒng))中每一個(gè)url在多個(gè)維度下的行為屬性數(shù)據(jù),正常url與風(fēng)險(xiǎn)url在同一個(gè)維度下的行為屬性數(shù)據(jù)不同;針對(duì)每一個(gè)url,根據(jù)url在多個(gè)維度下的行為屬性數(shù)據(jù)是否滿足對(duì)應(yīng)的閾值
3、本申請(qǐng)通過(guò)多維度行為屬性數(shù)據(jù)的獲取與分析,結(jié)合第一維度和第二維度行為特征,能夠有效區(qū)分正常url與風(fēng)險(xiǎn)url,精準(zhǔn)檢測(cè)webshell。
4、進(jìn)一步的,url的行為特征包括以下特征中的至少兩種:第一類特征,包括用戶對(duì)url的頁(yè)面訪問(wèn)次數(shù)和/或會(huì)話訪問(wèn)深度;第二類特征,包括url加載的資源數(shù)量、請(qǐng)求訪問(wèn)url的請(qǐng)求ip的信息熵、和/或訪問(wèn)客戶端類型的數(shù)量;第三類特征,包括url的請(qǐng)求包參數(shù)方差、響應(yīng)包方差、和/或頁(yè)面操作次數(shù)。
5、進(jìn)一步的,根據(jù)多個(gè)可疑url的行為特征,從多個(gè)可疑url中篩選出符合webshell特征的風(fēng)險(xiǎn)url,包括:在行為特征包括第一類特征的情況下,對(duì)多個(gè)可疑url的第一類特征進(jìn)行聚類處理,并從多個(gè)可疑url中確定與聚類中心url的距離小于第一預(yù)設(shè)距離的可疑url,以形成第一可疑url集合;在行為特征包括第二類特征的情況下,對(duì)多個(gè)可疑url的第二類特征進(jìn)行聚類處理,并從多個(gè)可疑url中確定與聚類中心url的距離小于第二預(yù)設(shè)距離的可疑url,以形成第二可疑url集合;在行為特征包括第三類特征的情況下,對(duì)多個(gè)可疑url的第三類特征進(jìn)行孤立森林處理,確定異常的第三類特征,并對(duì)具有異常的第三類特征的可疑url形成第三可疑url集合;根據(jù)第一可疑url集合、第二可疑url集合和第三可疑url集合中的至少兩個(gè)集合的交集,確定符合webshell特征的風(fēng)險(xiǎn)url。
6、本申請(qǐng)利用聚類算法(如k-means)處理第一類和第二類特征,并結(jié)合孤立森林算法檢測(cè)第三類特征的異常,綜合交集確定風(fēng)險(xiǎn)url,從而降低誤報(bào)率和漏報(bào)率。通過(guò)對(duì)行為特征進(jìn)行分類和聚類處理,避免了傳統(tǒng)代碼級(jí)別的全面掃描和實(shí)時(shí)流量監(jiān)控,降低了系統(tǒng)資源開(kāi)銷,同時(shí)提高了檢測(cè)的實(shí)時(shí)性。
7、進(jìn)一步的,url的多個(gè)維度的行為屬性數(shù)據(jù)包括:第一維度下的行為屬性的屬性值、以及第二維度下的行為屬性的屬性值;其中,第一維度下的行為屬性,包括以下至少之一:響應(yīng)包狀態(tài)碼、響應(yīng)包c(diǎn)ontent-type、請(qǐng)求包user-agent、是否為對(duì)內(nèi)請(qǐng)求、是否為文件下載類請(qǐng)求、頁(yè)面響應(yīng)包是否加密、頁(yè)面訪問(wèn)入度、頁(yè)面訪問(wèn)出度、頁(yè)面請(qǐng)求包是否加密、頁(yè)面請(qǐng)求參數(shù)、頁(yè)面響應(yīng)包內(nèi)容、靜態(tài)資源加載數(shù)量和會(huì)話訪問(wèn)深度;第二維度下的行為屬性,包括以下至少之一:url訪問(wèn)ip數(shù)量、url請(qǐng)求ip信息熵、url頁(yè)面請(qǐng)求包均值、url請(qǐng)求包方差、url響應(yīng)包均值、url響應(yīng)包方差、url?post請(qǐng)求比例、url每日平均訪問(wèn)次數(shù)、url頁(yè)面操作次數(shù)、url頁(yè)面訪問(wèn)次數(shù)、url響應(yīng)包標(biāo)準(zhǔn)差、url?user-agent信息熵和url請(qǐng)求包參數(shù)方差。
8、進(jìn)一步的,可疑url的行為屬性數(shù)據(jù)滿足的閾值條件包括以下至少之一:靜態(tài)資源加載數(shù)量等于0;頁(yè)面訪問(wèn)出度等于0;url?post請(qǐng)求比例大于預(yù)設(shè)第一閾值;url響應(yīng)包標(biāo)準(zhǔn)差大于預(yù)設(shè)第二閾值;url頁(yè)面請(qǐng)求包均值大于預(yù)設(shè)第三閾值;url響應(yīng)包均值大于預(yù)設(shè)第四閾值。
9、進(jìn)一步的,根據(jù)風(fēng)險(xiǎn)url是否滿足預(yù)設(shè)的關(guān)聯(lián)匹配條件,生成webshell檢測(cè)結(jié)果,包括:在風(fēng)險(xiǎn)url滿足關(guān)聯(lián)匹配條件的情況下,生成用于指示風(fēng)險(xiǎn)url屬于webshell的檢測(cè)結(jié)果;在風(fēng)險(xiǎn)url不滿足關(guān)聯(lián)匹配條件的情況下,生成用于指示風(fēng)險(xiǎn)url屬于疑似webshell的檢測(cè)結(jié)果;其中,風(fēng)險(xiǎn)url滿足關(guān)聯(lián)匹配條件包括以下至少之一:風(fēng)險(xiǎn)url的請(qǐng)求包中包含密文;風(fēng)險(xiǎn)url的文件名的字符長(zhǎng)度小于預(yù)設(shè)長(zhǎng)度、和/或請(qǐng)求響應(yīng)體中包含預(yù)設(shè)內(nèi)容;風(fēng)險(xiǎn)url與主機(jī)中存在的其他安全事件相關(guān)聯(lián)。
10、本申請(qǐng)通過(guò)關(guān)聯(lián)匹配條件進(jìn)一步驗(yàn)證風(fēng)險(xiǎn)url,提高檢測(cè)結(jié)果的準(zhǔn)確性。
11、進(jìn)一步的,獲取行為數(shù)據(jù)集,包括:從服務(wù)器訪問(wèn)日志中提取多個(gè)url及各url對(duì)應(yīng)的時(shí)間戳和行為屬性數(shù)據(jù);判斷行為屬性數(shù)據(jù)是否符合預(yù)設(shè)webshell訪問(wèn)行為;將符合預(yù)設(shè)webshell訪問(wèn)行為的url及其對(duì)應(yīng)的時(shí)間戳、行為屬性數(shù)據(jù)關(guān)聯(lián)保存為行為事件;基于行為事件生成行為數(shù)據(jù)集。
12、第二方面,本專利技術(shù)實(shí)施例提供了一種webshell檢測(cè)系統(tǒng),包括:行為數(shù)據(jù)集獲取模塊,用于獲取行為數(shù)據(jù)集,其中,行為數(shù)據(jù)集中包括多個(gè)url中每一個(gè)url在多個(gè)維度下的行為屬性數(shù)據(jù),正常url與風(fēng)險(xiǎn)url在同一個(gè)維度下的行為屬性數(shù)據(jù)不同;可疑url確定模塊,用于針對(duì)每一個(gè)url,根據(jù)url在多個(gè)維度下的行為屬性數(shù)據(jù)是否滿足對(duì)應(yīng)的閾值條件,確定url是否為存在可疑行為的可疑url;行為特征提取模塊,用于從行為數(shù)據(jù)集中提取每一個(gè)可疑url的行為特征;風(fēng)險(xiǎn)url確定模塊,用于根據(jù)多個(gè)可疑url的行為特征,從多個(gè)可疑url中篩選出符合webshell特征的風(fēng)險(xiǎn)url;檢測(cè)結(jié)果生成模塊,用于根據(jù)風(fēng)險(xiǎn)url是否滿足預(yù)設(shè)的關(guān)聯(lián)匹配條件,生成webshell檢測(cè)結(jié)果。
13、第三方面,本專利技術(shù)實(shí)施例提供了電子設(shè)備,包括處理器和存儲(chǔ)器,存儲(chǔ)器存儲(chǔ)有能夠被處理器執(zhí)行的計(jì)算機(jī)可執(zhí)行指令,處理器執(zhí)行計(jì)算機(jī)可執(zhí)行指令以實(shí)現(xiàn)如上所述的方法。
14、第四方面,本專利技術(shù)實(shí)施例提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程本文檔來(lái)自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
1.一種Webshel?l檢測(cè)方法,其特征在于,包括:
2.根據(jù)權(quán)利要求1所述的Webshel?l檢測(cè)方法,其特征在于,所述URL的行為特征包括以下特征中的至少兩種:
3.根據(jù)權(quán)利要求1或2所述的Webshel?l檢測(cè)方法,其特征在于,根據(jù)多個(gè)所述可疑URL的行為特征,從多個(gè)所述可疑URL中篩選出符合Webshel?l特征的風(fēng)險(xiǎn)URL,包括:
4.根據(jù)權(quán)利要求1所述的Webshel?l檢測(cè)方法,其特征在于,所述URL的多個(gè)維度的行為屬性數(shù)據(jù)包括:第一維度下的行為屬性的屬性值、以及第二維度下的行為屬性的屬性值;其中,
5.根據(jù)權(quán)利要求4所述的Webshel?l檢測(cè)方法,其特征在于,所述可疑URL的行為屬性數(shù)據(jù)滿足的所述閾值條件包括以下至少之一:
6.根據(jù)權(quán)利要求1所述的Webshel?l檢測(cè)方法,其特征在于,根據(jù)所述風(fēng)險(xiǎn)URL是否滿足預(yù)設(shè)的關(guān)聯(lián)匹配條件,生成Webshel?l檢測(cè)結(jié)果,包括:
7.根據(jù)權(quán)利要求1所述的Webshel?l檢測(cè)方法,其特征在于,所述獲取行為數(shù)據(jù)集,包括:
8.一種Webs
9.一種電子設(shè)備,其特征在于,包括處理器和存儲(chǔ)器,所述存儲(chǔ)器存儲(chǔ)有能夠被所述處理器執(zhí)行的計(jì)算機(jī)可執(zhí)行指令,所述處理器執(zhí)行所述計(jì)算機(jī)可執(zhí)行指令以實(shí)現(xiàn)權(quán)利要求1-7任一項(xiàng)所述的Webshel?l檢測(cè)方法。
10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其特征在于,所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)指令,所述計(jì)算機(jī)指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1-7任一項(xiàng)所述的Webshel?l檢測(cè)方法。
...【技術(shù)特征摘要】
1.一種webshel?l檢測(cè)方法,其特征在于,包括:
2.根據(jù)權(quán)利要求1所述的webshel?l檢測(cè)方法,其特征在于,所述url的行為特征包括以下特征中的至少兩種:
3.根據(jù)權(quán)利要求1或2所述的webshel?l檢測(cè)方法,其特征在于,根據(jù)多個(gè)所述可疑url的行為特征,從多個(gè)所述可疑url中篩選出符合webshel?l特征的風(fēng)險(xiǎn)url,包括:
4.根據(jù)權(quán)利要求1所述的webshel?l檢測(cè)方法,其特征在于,所述url的多個(gè)維度的行為屬性數(shù)據(jù)包括:第一維度下的行為屬性的屬性值、以及第二維度下的行為屬性的屬性值;其中,
5.根據(jù)權(quán)利要求4所述的webshel?l檢測(cè)方法,其特征在于,所述可疑url的行為屬性數(shù)據(jù)滿足的所述閾值條件包括以下至少之一:
6....
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:請(qǐng)求不公布姓名,請(qǐng)求不公布姓名,請(qǐng)求不公布姓名,王磊,王君蘭,
申請(qǐng)(專利權(quán))人:山石網(wǎng)科通信技術(shù)股份有限公司,
類型:發(fā)明
國(guó)別省市:
還沒(méi)有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。