技術領域

本發明屬于網絡安全領域，具體涉及腳本行為關聯防御系統，用于網站腳本行為檢測和攔截，能更早地發現安全問題，并做出相應的措施，防止黑客破壞。

背景技術

黑客入侵網站后一般都會寫入腳本后門Webshell，竊取服務、破壞系統與網站、下載數據庫等，現有網站保護軟件技術只攔截API，不能了解是哪個腳本產生的行為，最直接的問題是追查困難、耗時，無法找到隱藏很深的后門。如果網站被黑客入侵，其寫入后門隱藏性極高的文件很難通過現有技術來查殺，必須要有一種針對腳本行為的檢測識別系統，盡早發現問題，把黑客禁在門外，讓網站和服務器運行在安全狀態。

發明內容

本發明的目的是提供腳本行為關聯防御系統。

腳本行為關聯防御系統，利用記錄腳本執行和線程關聯信息來記錄和監控腳本后門Webshell的執行行為，從而實現系統的監控、檢測功能。

所述的腳本行為關聯防御系統，當黑客訪問服務器腳本后門Webshell時，Web服務會傳遞腳本和IP信息給指定的腳本解釋器處理，腳本解釋器執行腳本從開始至結束會在同一個線程中執行，即使腳本創建新線程，也可以再進一步做記錄，在腳本執行過程中，記錄當前的腳本行為和線程關聯信息，并判斷其過程是否正常，如果正常，直接處理返回；如果異常，通過腳本行為和線程關聯信息中所記錄的線程信息得到對應的腳本信息，再進一步采取相應的攔截或記錄措施。

所述的腳本行為關聯防御系統，利用腳本行為與線程關聯信息，實現腳本行為文件的定位和追查、防止網站腳本跨目錄操作、指定網站禁止使用高權限數據庫帳號或者禁止加載指定的數據庫的功能。

本發明可快速定位腳本行為，并能禁止腳本的再次執行，讓網站運行在安全狀態，同時還可實現網站權限設置、控制指定站點程序的可執行性、控制指定網站連接外網的功能，具有設置細致、安全可靠的優點。

附圖說明：

圖1是正常Web服務處理的流程圖。

圖2是本發明腳本行為關聯防御模塊流程圖。

具體實施方式：

下面結合附圖及具體實施例對本發明再作進一步詳細的說明。

用戶(或黑客)訪問網站腳本時，Web服務都會轉發用戶請求到指定的腳本解釋器中去編譯執行，腳本解釋器要處理必須讀取由?Web服務傳來的腳本參數信息，當腳本解釋器讀取時做記錄處理，并把相關腳本信息和線程記錄起來，為后面的腳本行為檢測做準備，腳本執行過程在同一個線程中處理，當有可疑行為時，讀取當前腳本所在線程所指定的記錄信息，就可以判斷是哪個腳本產生的行為，達到行為和腳本關聯的目的,為安全檢測做好準備。

應用示例:

1、禁止網站腳本跨目錄操作

以IIS的網站服務器為例，腳本執行的時候能得到網站的目錄信息，通過攔截文件讀取、創建、列目錄的API，檢測是否為正常目錄的文件操作，可禁止網站上的腳本訪問虛擬主機以外的目錄,防止跨目錄、跨站攻擊，同時可檢測出哪個腳本在進行跨目錄的訪問或破壞其它網站，可以第一時間把可疑腳本提示給管理員，讓管理員能更早地發現問題，或直接攔截防止惡意腳本的破壞；

2、檢測和攔截網站使用的數據庫帳號

本發明通過攔截腳本中用于連接數據庫MYSQL/MSSQL的API，可以實現如下功能:?

a)????通過記錄信息中的網站ID控制網站只能使用的數據庫登陸帳號；

b)????對網站使用高權限帳號時，作出相應的提示，讓管理員第一時間了解風險，防止因網站使用高權限帳號，導致服務器被入侵，能做到提前防范之目的；

c)????可以指定哪些腳本能訪問數據庫，哪些腳本不能訪問，只要黑客通過后門訪問數據庫時，可以第一時間發現并攔截之，同時記錄黑客的IP，安全加倍。

3、控制指定站點程序的可執行性

對指定網站設置可執行程序的權限，當某網站需執行權限，同時又不希望其它網站有執行權限，可以分別對待。

4、控制指定網站連接外網

可實現某個網站訪問外網進行一些正常的通信，但又不是全局外連，禁止外網連接，可以防止常見的PHPDDOS、后門外連操作等。

5、禁止指定網站加載指定組件

可實現指定網站加載指定的組件，避免全局加載組件有可能帶來的安全風險。