技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種基于頁面關(guān)系檢測webshell的方法及系統(tǒng)。?

背景技術(shù)

Webshell是以asp、php、jsp、cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境，也可以稱為一種網(wǎng)頁后門。入侵者在入侵網(wǎng)站后，經(jīng)常在WEB服務(wù)器的WEB目錄中放置webshell后門文件，且與WEB服務(wù)器WEB目錄下正常的文件混在一起，不易被發(fā)現(xiàn)。入侵者可以用WEB方式訪問webshell得到命令執(zhí)行環(huán)境以達(dá)到控制網(wǎng)站或WEB服務(wù)器的目的，可進(jìn)行的操作包括上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。

由于webshell與被控制的WEB服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過80端口傳遞的，因此不會被防火墻攔截。并且使用webshell一般不會在系統(tǒng)日志中留下記錄，只會在WEB服務(wù)器的日志中留下一些數(shù)據(jù)提交記錄，沒有經(jīng)驗的管理員是很難看出入侵痕跡的。

目前，大多數(shù)的webshell文件代碼進(jìn)行了加密，由此繞過了WEB防火墻和防病毒軟件的查殺。隨著大量漏洞的不斷公開、加密技術(shù)的提高、各種繞過反病毒監(jiān)控系統(tǒng)的技術(shù)公布，使當(dāng)前webshell的查殺面臨著嚴(yán)峻的考驗。且傳統(tǒng)的webshell的查殺存在著滯后性，往往是先有特征，才能查殺，并不能進(jìn)行無特征的掃描或者啟發(fā)式掃描。

發(fā)明內(nèi)容

針對上述技術(shù)問題，本發(fā)明提供了一種基于頁面關(guān)系檢測webshell的方法及系統(tǒng)，可以使webshell在無特征情況下快速定位，快速處置，從而彌補了目前webshell通用特征或啟發(fā)式查殺方法上的不足和滯后性，使得webshell的檢測更準(zhǔn)確更及時。?

本發(fā)明采用如下方法來實現(xiàn)：

一種基于頁面關(guān)系檢測webshell的方法：?

步驟1、識別和遍歷WEB服務(wù)器中的所有頁面，對于遍歷到的每一頁面進(jìn)行解析，提取出鏈接于其他頁面的所有關(guān)聯(lián)鏈接；

步驟2、對于每一頁面收集以下關(guān)聯(lián)信息，包括：頁面的唯一標(biāo)識、關(guān)聯(lián)鏈接、關(guān)聯(lián)鏈接頁面的唯一標(biāo)識、關(guān)聯(lián)鏈接頁面的存在性；將所有頁面的關(guān)聯(lián)信息存儲于關(guān)系集數(shù)據(jù)庫中；

所述關(guān)聯(lián)鏈接頁面的唯一標(biāo)識是指所述頁面內(nèi)每一關(guān)聯(lián)鏈接所對應(yīng)頁面的唯一標(biāo)識；

所述關(guān)聯(lián)鏈接頁面的存在性是指所述關(guān)聯(lián)鏈接在WEB服務(wù)器中是否真實存在；

步驟3、基于所述關(guān)聯(lián)信息分別判斷每一頁面是否為無關(guān)聯(lián)頁面：檢查當(dāng)前頁面的關(guān)聯(lián)頁面的存在性是否為真，如果為真則不是無關(guān)聯(lián)頁面，否則遍歷關(guān)系集數(shù)據(jù)庫中所有關(guān)聯(lián)鏈接頁面的唯一標(biāo)識，查看是否存在當(dāng)前頁面的唯一標(biāo)識，若存在，則當(dāng)前頁面不是無關(guān)聯(lián)頁面，否則當(dāng)前頁面為無關(guān)聯(lián)頁面；

步驟4、從所述無關(guān)聯(lián)頁面中排除掉黑頁后，剩余所述無關(guān)聯(lián)頁面即為webshell頁面；

所述黑頁，是指公布了入侵者信息的網(wǎng)站主頁。

方法中所述的關(guān)聯(lián)信息可以以表、圖、樹或者庫的形式進(jìn)行表現(xiàn)。

方法中在執(zhí)行步驟4之前還可以包括如下步驟：針對所述無關(guān)聯(lián)頁面進(jìn)行黑白名單匹配，如果匹配不成功則執(zhí)行步驟4；如果所述無關(guān)聯(lián)頁面與白名單匹配成功，則判定所述無關(guān)聯(lián)頁面不是webshell頁面，如果所述無關(guān)聯(lián)頁面與黑名單匹配成功，則判定所述無關(guān)聯(lián)頁面為已知webshell頁面。

其中，所述白名單為管理員手動操作，加入或者刪除正常無關(guān)聯(lián)頁面的相關(guān)信息。白名單中包括但不限于以下信息：名稱、位置、大小、增加時間、頁面功能、管理員姓名或者頁面唯一標(biāo)識。

其中，所述黑名單主要以自動增加為主，存儲已知webshell頁面信息，黑名單中包括但不限于以下信息：名稱、位置、大小、檢索時間、清除標(biāo)識、頁面存儲或者頁面唯一標(biāo)識。

方法中在步驟4之后還可以包括：報警或者刪除所述的webshell頁面。

一種基于頁面關(guān)系檢測webshell的系統(tǒng)，包括：?

提取模塊，識別和遍歷WEB服務(wù)器中的所有頁面，對于遍歷到的每一頁面進(jìn)行解析，提取出鏈接于其他頁面的所有關(guān)聯(lián)鏈接；

關(guān)聯(lián)信息收集模塊，對于每一頁面收集以下關(guān)聯(lián)信息，包括：頁面的唯一標(biāo)識、關(guān)聯(lián)鏈接、關(guān)聯(lián)鏈接頁面的唯一標(biāo)識、關(guān)聯(lián)鏈接頁面的存在性；將所有頁面的關(guān)聯(lián)信息存儲于關(guān)系集數(shù)據(jù)庫中；

所述關(guān)聯(lián)鏈接頁面的唯一標(biāo)識是指所述頁面內(nèi)每一關(guān)聯(lián)鏈接所對應(yīng)頁面的唯一標(biāo)識；

所述關(guān)聯(lián)鏈接頁面的存在性是指所述關(guān)聯(lián)鏈接在WEB服務(wù)器中是否真實存在；