本發明公開了一種檢測一句話木馬的方法及系統，包括：獲取網站入口處的入站流量，并與一句話木馬客戶端的請求流量特征匹配，若匹配失敗則放行，若匹配成功則獲取與入站流量相對應的響應流量；將所述響應流量與一句話木馬客戶端的響應流量特征匹配，若匹配失敗則放行，若匹配成功則獲取入站流量所對應的web文件；判斷所述web文件是否滿足預設條件中的一個或者兩個以上，若滿足則標記為疑似一句話木馬，否則放行。本發明所述技術方案能夠專項檢測一句話木馬，而且由于避免了傳統大面積檢測的弊端，進而提高了檢測效率。

技術領域

本發明涉及web安全技術領域，尤其涉及一種檢測一句話木馬的方法及系統。

背景技術

黑客在攻擊網站的過程中，會通過上傳網頁木馬（webshell）來獲得對網站的最終控制權，通過網頁木馬，攻擊者可以執行系統命令、操作數據庫、添加或刪除文件等等。在網頁木馬中有一類特殊的木馬，它們的代碼通常只有一句，文件體積小，攻擊過程中與專用的一句話客戶端連接，使得攻擊者可以獲得與傳統網頁木馬相同的攻擊效果，這就是一句話木馬。

目前信息安全行業檢測網頁木馬的方法主要有三種：

靜態檢測：對腳本文件中出現的關鍵詞和高危函數、文件的修改時間、文件權限、文件的所有者以及和其他文件的關聯性等多個維度的特征進行檢測。

動態檢測：通過網頁木馬運行時使用的系統命令或網絡流量及狀態的異常來判斷動作的威脅程度。比如可以檢測敏感的操作系統命令和數據庫執行指令等。

日志分析：使用網頁木馬會在網站的web日志中留下木馬頁面的訪問數據和數據提交記錄。通過大量的日志文件建立請求模型從而檢測出異常文件。

上述檢測方法存在各自的弊端，例如，當網站規模較大時，靜態檢測需要遍歷大量的網頁文件，耗時長效率低。動態檢測的實施難度較大，如果網頁木馬未執行了監控范圍外的操作則存在誤報。日志分析同樣存在效率和準確率的問題，當網站日志量很大時效率會受到影響，并且所建立的請求模型的準確性也很難保證。目前檢測一句話木馬也通常套用檢測傳統網頁木馬的方法，因此在檢測一句話木馬時上述問題依舊存在。

發明內容

針對上述技術問題，本發明所述的技術方案通過對請求流量和響應流量都進行針對一句話木馬特征的匹配，進而定位產生相關流量的web文件，并針對所述web文件進行是否為疑似一句話木馬的檢測，不僅提高了檢測一句話木馬的準確性，而且避免了海量檢測網站內所有文件的問題，從而使得檢測效率與傳統方法相比有非常明顯的提高。

一方面，本發明采用如下方法來實現：一種檢測一句話木馬的方法，包括：

獲取網站入口處的入站流量，并與一句話木馬客戶端的請求流量特征匹配，若匹配失敗則放行，若匹配成功則獲取與入站流量相對應的響應流量；

將所述響應流量與一句話木馬客戶端的響應流量特征匹配，若匹配失敗則放行，若匹配成功則獲取入站流量所對應的web文件；

判斷所述web文件是否滿足預設條件中的一個或者兩個以上，若滿足則標記為疑似一句話木馬，否則放行；

所述預設條件包括：所述web文件的代碼長度小于等于預設閾值；或者，所述web文件中包含代碼關鍵字；或者，所述web文件為獨立的web文件。

進一步地，所述一句話木馬客戶端的請求流量特征包括：通過80端口入站、HTTP請求為POST、包含特征關鍵字。

進一步地，所述特征關鍵字包括：

若請求的是php文件，檢查payload中是否包含特征關鍵字：“eval”、“base64_decode”、“z0”；

若請求的是asp文件，檢查payload中是否包含特征關鍵字：“eval”、“Execute”；