本發明涉及一種服務器攻擊的檢測方法和裝置。上述方法包括：通過實時應用程序自我保護系統RASP實時監聽網頁中的操作行為；當所述RASP檢測到操作行為中包含預定義的風險行為特征時，記錄所述操作行為的行為數據，并將所述行為數據發送至風險評估模型；通過所述風險評估模型對所述行為數據進行分析，得到分析結果；若根據所述分析結果判定所述操作行為為攻擊行為，則將所述網頁標記為webshell文件。上述服務器攻擊的檢測方法和裝置，提高了檢測webshell文件的準確性，能有效保障網站服務器的信息安全。

技術領域

本發明涉及信息安全技術領域，特別是涉及一種服務器攻擊的檢測方法和裝置。

背景技術

webshell指的是以asp(Active Server Pages，動態服務器頁面)、php(HypertextPreprocessor，超文本預處理器)、jsp(Java Server Pages，java服務器頁面)或者cgi(Common Gateway Interface，公共網關接口)等網頁文件形式存在的一種命令執行環境，也可以將其稱作為一種網頁后門。入侵者在入侵了一個網站后，通常會將asp或php后門文件與網站服務器的目錄下正常的網頁文件混在一起，然后就可以使用瀏覽器來訪問asp或者php后門，得到一個命令執行環境，通過webshell取得對網站服務器在某種程度上的操作權限，從而達到控制網站服務器的目的。

在傳統的網絡安全防御技術中，對webshell的檢測主要是通過分析大量的webshell文件及原理建立特征庫，通過特征庫中的特征碼判斷一個網頁文件是否為webshell文件，若一個網頁文件中的代碼包含特征庫中的特征碼，即判定其為webshell文件。然而，特征庫中的特征碼均是固定的字符串，入侵者只需通過將webshell文件中的代碼進行變形，即可輕松繞過特征碼的檢測。因此，傳統的webshell檢測方式容易遺漏webshell文件，檢測的準確性低，無法有效保障網站服務器安全。

發明內容

基于此，有必要提供一種服務器攻擊的檢測方法，能夠提高檢測webshell文件的準確性，有效保障網站服務器的信息安全。

此外，還有必要提供一種服務器攻擊的檢測裝置，能夠提高檢測webshell文件的準確性，有效保障網站服務器的信息安全。

一種服務器攻擊的檢測方法，包括：

通過實時應用程序自我保護系統RASP實時監聽網頁中的操作行為；

當所述RASP檢測到操作行為中包含預定義的風險行為特征時，記錄所述操作行為的行為數據，并將所述行為數據發送至風險評估模型；

通過所述風險評估模型對所述行為數據進行分析，得到分析結果；

若根據所述分析結果判定所述操作行為為攻擊行為，則將所述網頁標記為webshell文件。

一種服務器攻擊的檢測裝置，包括：

監聽模塊，用于通過RASP實時監聽網頁中的操作行為；

記錄模塊，用于當所述RASP檢測到操作行為中包含預定義的風險行為特征時，記錄所述操作行為的行為數據，并將所述行為數據發送至風險評估模型；

分析模塊，用于通過所述風險評估模型對所述行為數據進行分析，得到分析結果；

標記模塊，用于若根據所述分析結果判定所述操作行為為攻擊行為，則將所述網頁標記為webshell文件。