本發明公開了一種行業云Webshell安全防護方法，包括以下步驟：a.對服務器訪問日志實時監控，進行特征碼或關鍵字匹配，對Webshell進行檢測；b.將可疑事件對象在系統中部署的輕量級agent進行本地化檢測；c.對步驟b中的檢測結果進行分析，并將分析結果和樣本事件推送至安全管理系統中進行安全大數據態勢分析；d.對檢測出來的Webshell事件進行告警或應急處理。上述行業云Webshell安全防護方法將創新地通過實現特征庫匹配和流量異常行為分析等檢測方式來對webshell進行監測處置；并與現有云安全管理系統配合，將最終的分析結果、樣本事件推送到云安全管理系統中實現安全的大數據態勢分析。

技術領域

本發明涉及云安全產品/服務技術領域，具體涉及一種行業云Webshell安全防護方法。

背景技術

近年來，由webshell引發的客戶網站被篡改、掛馬、暗鏈問題頻發，很多行業云客戶提出webshell防護服務需求，但目前現有云安全產品大多并沒有webshell處置功能，主流廠家WAF設備也不能全面地、可靠地應對webshell業務。WebShell能用來獲取系統的控制權，并以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境，也稱為一種網頁后門。

WebShell做為控制網站的利器，WebShell一旦上傳成功，意味著網站已經搞定，然后就是盡量隱藏自己的身份別被發現，同時可以進行后續的破壞行為。2016年CNCERT監測發現來自境外（美國、香港）對境內網站進行webshell攻擊，數量較2015年增長9.3%；2016年江蘇省行業云發生的客戶網站被webshell控制導致網站被篡改事件增長30%。很多客戶比如省殘聯、常州財政局等先后遭受到webshell攻擊；

Webshell監測治理在業界屬于難題，經過測試，主流廠家WAF設備功能主要是處置SQL注入、跨站、惡意掃描等，對webshell的誤報率比較高，并不能全面地應對處置webshell。

發明內容

本發明要解決的技術問題是克服現有技術的不足，提供了一種行業云Webshell安全防護方法，將創新地通過實現特征庫匹配和流量異常行為分析等檢測方式來對webshell進行監測處置；并與現有云安全管理系統配合，將最終的分析結果、樣本事件推送到云安全管理系統中實現安全的大數據態勢分析。

為達到上述目的，本發明采用的技術方案是：一種行業云Webshell安全防護方法，包括以下步驟：

a. 對服務器訪問日志實時監控，進行特征碼或關鍵字匹配，對Webshell進行檢測，識別出可疑事件對象；

b. 將可疑事件對象在系統中部署的輕量級agent進行本地化檢測；

c. 對步驟b中的檢測結果進行分析，并將分析結果和樣本事件推送至安全管理系統中進行安全大數據態勢分析；

d. 對檢測出來的Webshell事件進行告警或應急處理。

作為本發明進一步改進的，所述步驟a中特征碼或關鍵字匹配為系統主動監測過程，配合部署在終端的安全組件，對系統后臺的非法操作、異常函數調用及異常指令執行進行監控判斷，識別WebShell攻擊。

所述步驟a中特征碼或關鍵字匹配為被動監測過程，通過對流量的分析，以及WebShell傳輸異常行為特征庫，實現對WebShell的檢測；記錄攻擊日志，包括成功和非成功（嗅探）攻擊。

所述步驟a中特征碼或關鍵字匹配為人工監測過程，根據歷史經驗進行人工判斷，對網站目錄下的可以文件進行排查或檢測，確認是否為WebShell文件。

所述步驟b中的本地化檢測包括進行文件狀態對比，發現WebServer上增加修改文件。

所述步驟b中的本地化檢測包括進行異常行為檢測，從反常的流量請求行為判斷識別WebShell。