技術領域

本發明涉及互聯網技術領域，尤其涉及一種基于云的webshell攻擊檢測方法、裝置及網關。

背景技術

webshell是一種以asp(active server pages，動態服務器頁面)、php(hypertext preprocessor，超文本預處理器)、jsp(java server pages，java服務器頁面)或者cgi(common gateway interface,公共網關接口)等網頁文件形式存在的命令執行環境。由于webshell是一種網頁后門，所以就成為黑客入侵網站服務器的腳本攻擊工具。在實際應用中，黑客在入侵了一個網站后，通常會將這些asp或php等后門文件與網站服務器web目錄下正常的網頁文件混在一起，然后通過瀏覽器來訪問這些asp或php等后門文件，從而控制網站服務器。

因此，防護webshell攻擊對于網站安全十分重要。在現有的webshell攻擊檢測技術中，網關在獲得外部發送給網站服務器的腳本文件后，通過檢測腳本文件中是否存在基本攻擊特征來確定是否有webshell攻擊。然而，黑客們為了避免webshell攻擊被檢測出來，編寫出許多特征變形的webshell攻擊方法。例如，在一些特征字符串中添加“％”、“*”等其他非字母符號，以使得該特征字符串變成一個新的自定義的字符串。在這種情況下，由于webshell攻擊的基本攻擊特征已被打亂，所以很難根據基本攻擊特征將其檢測出來，從而webshell攻擊的檢測成為如今一大難題。

發明內容

有鑒于此，本發明提供一種基于云的webshell攻擊檢測方法、裝置及網關，能夠解決現有技術中難以識別變形webshell攻擊的問題。

第一方面，本發明提供了一種基于云的webshell攻擊檢測方法，所述方法包括：

截獲向網站服務器發送的腳本文件；

基于云平臺檢測所述腳本文件中是否存在預設的特征變形痕跡，所述特征變形痕跡為對所述腳本文件中的特征語句進行形式改動所產生的痕跡；

若所述腳本文件中存在所述特征變形痕跡，則根據預設的還原規則對改動過的特征語句進行還原，所述還原規則為特征變形規則的逆規則；

檢測還原后的特征語句是否與預設的基本特征語句相同，所述基本特征語句為攻擊敏感語句；

若所述還原后的特征語句與所述基本特征語句相同，則確定所述腳本文件為webshell攻擊文件。

第二方面，本發明提供了一種基于云的webshell攻擊檢測裝置，所述裝置包括：

截獲單元，用于截獲向網站服務器發送的腳本文件；

檢測單元，用于基于云平臺檢測所述截獲單元截獲的所述腳本文件中是否存在預設的特征變形痕跡，所述特征變形痕跡為對所述腳本文件中的特征語句進行形式改動所產生的痕跡；

還原單元，用于當所述檢測單元檢測到所述腳本文件中存在所述特征變形痕跡時，根據預設的還原規則對改動過的特征語句進行還原，所述還原規則為特征變形規則的逆規則；

所述檢測單元，還用于檢測所述還原單元還原后的特征語句是否與預設的基本特征語句相同，所述基本特征語句為攻擊敏感語句；

確定單元，用于當所述檢測單元檢測到所述還原后的特征語句與所述基本特征語句相同時，確定所述腳本文件為webshell攻擊文件。

第三方面，本發明提供了一種基于云的webshell攻擊檢測網關，所述網關包括如第二方面所述的裝置。

借由上述技術方案，本發明提供的基于云的webshell攻擊檢測方法、裝置及網關，能夠在外部向網站服務器發送腳本文件時，截獲該腳本文件，并基于云平臺先對該腳本文件進行特征變形痕跡的檢測，再將改動過的特征語句進行還原，最后將還原后的特征語句與基本特征語句進行比較，若相同，則判定該腳本文件為webshell攻擊文件。與現有技術中僅進行基本特征語句的檢測方法相比，本發明通過先將改動后的特征語句進行還原，使得被打亂的特征語句還原為原有的特征語句，再與基本特征語句進行比對，使得隱藏在腳本文件中的基本特征語句被檢測出來，從而確定該腳本文件為webshell攻擊文件。

上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段，而可依照說明書的內容予以實施，并且為了讓本發明的上述和其它目的、特征和優點能夠更明顯易懂，以下特舉本發明的具體實施方式。

附圖說明