本發(fā)明涉及一種WebShell檢測(cè)方法，對(duì)用戶訪問Web服務(wù)器產(chǎn)生的Web日志預(yù)處理后，以Web日志中的IP字段作為訪問用戶的唯一標(biāo)識(shí)符計(jì)算入侵訪問頻次和最大訪問連續(xù)度并各取值最大的N個(gè)URL作為疑似WebShell的URL，在Web日志中定位以獲得疑似攻擊IP，以文件形式傳到安保服務(wù)器，由安保服務(wù)器根據(jù)疑似WebShell和訪問IP對(duì)應(yīng)的攻擊時(shí)間進(jìn)行復(fù)查，對(duì)攻擊行為進(jìn)行取證及輸出。本發(fā)明針對(duì)攻擊通過非動(dòng)態(tài)網(wǎng)頁(yè)攻擊也能有效檢測(cè)，不存在解析結(jié)果差異問題，可以實(shí)現(xiàn)對(duì)多種瀏覽器攻擊行為的檢測(cè)，避免僅通過單一指標(biāo)檢測(cè)存在的誤報(bào)率較高的問題，對(duì)未知WebShell也實(shí)現(xiàn)有效檢測(cè)。

技術(shù)領(lǐng)域

本發(fā)明涉及防止未授權(quán)行為的保護(hù)計(jì)算機(jī)、其部件、程序或數(shù)據(jù)的安全裝置的技術(shù)領(lǐng)域，特別涉及一種通過特征刻畫攻擊行為以實(shí)現(xiàn)從數(shù)量眾多的日志文件中快速準(zhǔn)確找到WebShell的WebShell檢測(cè)方法。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)越來越離不開人們的生活，因此不少非法分子將WebShell植入網(wǎng)站服務(wù)器，對(duì)網(wǎng)站的危害巨大。

WebShell是一種常見的網(wǎng)頁(yè)后門，它常常被攻擊者用來獲取Web服務(wù)器的操作權(quán)限。攻擊者在進(jìn)行網(wǎng)站入侵時(shí)，通常會(huì)將WebShell文件與Web目錄下的正常網(wǎng)頁(yè)放置在一起，然后通過瀏覽器訪問WebShell文件，從而獲取命令執(zhí)行環(huán)境，最終達(dá)到控制網(wǎng)站服務(wù)器的目的。當(dāng)網(wǎng)絡(luò)黑客或者其他不法分子拿到網(wǎng)站的WebShell之后就可以說是拿到了這個(gè)網(wǎng)站的權(quán)限，可以任意修改網(wǎng)站的內(nèi)容、進(jìn)行shell操作，比如下載文件、修改文件、刪除文件，甚至是修改網(wǎng)頁(yè)的內(nèi)容、查看數(shù)據(jù)庫(kù)、在線編輯網(wǎng)絡(luò)腳本；一旦WebShell被執(zhí)行，就能為遠(yuǎn)程攻擊者提供操作服務(wù)器的任意接口，如文件傳輸、命令執(zhí)行、數(shù)據(jù)庫(kù)連接等等。WebShell也是滲透測(cè)試中由Web權(quán)限提升到系統(tǒng)權(quán)限的輔助工具。WebShell危害非常大，如果發(fā)現(xiàn)Web服務(wù)器被植入WebShell，則說明攻擊者可以利用漏洞掌控服務(wù)器。

現(xiàn)有的WebShell都會(huì)在攻擊服務(wù)器時(shí)在Web日志中留下記錄，找出WebShell是保證網(wǎng)站信息安全的重點(diǎn)。

目前大多WebShell檢測(cè)工具是通過特征庫(kù)匹配方法來實(shí)現(xiàn)的，如文獻(xiàn)《基于web日志的webshell檢測(cè)方法研究》提出了從日志入手進(jìn)行WebShell檢測(cè)，經(jīng)過分析可以從文本模式特征、訪問頻率特征、是否為孤立頁(yè)面等角度檢測(cè)WebShell，然而，只從訪問頻率特征來檢測(cè)，存在很高的誤報(bào)率，還需要結(jié)合網(wǎng)頁(yè)文件目錄深度、獨(dú)立訪問數(shù)等特征綜合考慮，每個(gè)特征的占比以及每個(gè)特征對(duì)檢測(cè)結(jié)果的決定都不好確定，同時(shí)，該方法在通過Web日志檢測(cè)WebShell的情況下，還需要依賴特征庫(kù)，對(duì)已知的WebShell有很好的檢測(cè)效果，在特征庫(kù)沒有更新的情況下，該方法對(duì)未知的WebShell檢測(cè)來說基本是無用的。

專利CN105812196A“一種WebShell檢測(cè)方法及電子設(shè)備”提出了一種從日志訪問資源URL出發(fā)的WebShell檢測(cè)方法，通過對(duì)URL解析來檢測(cè)WebShell，然而，目前許多WebShell文件為了躲避殺毒軟件的查殺，會(huì)進(jìn)行相應(yīng)的加密、變形、混淆等處理，該方法只對(duì)動(dòng)態(tài)網(wǎng)頁(yè)URL進(jìn)行檢測(cè)，容易被攻擊者繞過，比如攻擊者將WebShell偽裝成圖片，則該方法失效，且基于瀏覽器對(duì)URL進(jìn)行解析還存在不同的瀏覽器的解析結(jié)果可能有所不同的情況，進(jìn)而對(duì)檢測(cè)結(jié)果產(chǎn)生影響，因此現(xiàn)有的WebShell檢測(cè)技術(shù)對(duì)于這類文件的檢測(cè)存在誤報(bào)率和漏報(bào)率均較高的問題。

因此，通過Web日志在不接觸WebShell文件的條件下，檢測(cè)WebShell具有很大的現(xiàn)實(shí)意義。

發(fā)明內(nèi)容

為了解決現(xiàn)有技術(shù)中存在的問題，本發(fā)明提供一種優(yōu)化的WebShell檢測(cè)方法，通過定義攻擊者通過WebShell訪問網(wǎng)站的基本特征，分別定義出兩個(gè)特征值，根據(jù)日志中的訪問網(wǎng)站文件記錄，計(jì)算出每個(gè)文件的這兩個(gè)特征值大小并降序排序，取較大值作為疑似WebShell并給出列表用于排查。