本發明涉及互聯網領域，公開了一種webshell檢測取證方法及系統。該方法包括：在進行SQL注入和一句話木馬上傳攻擊時，實時抓取網絡攻擊中的數據包信息；對抓取的數據包信息進行報文解析，并從解析后的信息中提取攻擊相關特征；將提取的攻擊相關特征與預設特征庫中的攻擊特征進行匹配，并在存在匹配的情況下判斷抓取的數據包信息的IP是否與IP黑名單中的IP匹配；在抓取的數據包信息的IP與IP黑名單中的IP匹配的情況下，基于所述預設特征庫中與提取的攻擊相關特征相匹配的攻擊特征生成安全日志數據；對所述安全日志數據進行采集，得到安全告警數據以實現對漏洞的取證。

技術領域

本發明涉及互聯網領域，尤其涉及一種webshell檢測取證方法及系統。

背景技術

文件上傳漏洞起因源于服務器端或前端檢測不嚴格或控制端存在諸多非限制條件，導致攻擊者可以利用攔截工具，修改文件屬性類型等操作，從而上傳可以執行的腳本文件，以獲取系統的WebShell，進而實現LocalSystem命令執行。其中文件上傳漏洞產生的主要原因有：上傳木馬腳本文件、服務器端解析漏洞。

webshell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境，也可以將其稱做為一種網頁后門。黑客在入侵了一個網站后，通常會將asp或php后門文件與網站服務器WEB目錄下正常的網頁文件混在一起，然后就可以使用瀏覽器來訪問asp或者php后門，得到一個命令執行環境，以達到控制網站服務器的目的。

然而，關于互聯網上存在的web安全漏洞的分析方面，目前尚無法實現自動獲取漏洞的證據，只能通過代碼分析或者人為判斷，但這樣的方式不僅存在誤判的情況，且效率也較低。

發明內容

本發明提供了一種webshell檢測取證方法及系統，能夠解決上述現有技術中的問題。

本發明提供了一種webshell檢測取證方法，其中，該方法包括：

在進行SQL注入和一句話木馬上傳攻擊時，實時抓取網絡攻擊中的數據包信息；

對抓取的數據包信息進行報文解析，并從解析后的信息中提取攻擊相關特征；

將提取的攻擊相關特征與預設特征庫中的攻擊特征進行匹配，并在存在匹配的情況下判斷抓取的數據包信息的IP是否與IP黑名單中的IP匹配；

在抓取的數據包信息的IP與IP黑名單中的IP匹配的情況下，基于所述預設特征庫中與提取的攻擊相關特征相匹配的攻擊特征生成安全日志數據；

對所述安全日志數據進行采集，得到安全告警數據以實現對漏洞的取證。

優選地，該方法還包括對所述安全告警數據進行顯示。

優選地，該方法還包括對抓取的數據包信息進行存儲。

優選地，所述安全告警數據包括時間、攻擊描述、源IP、目的IP、木馬鏈接和密碼、以及WebShell鏈接URL和WebShell密碼。

優選地，抓取的數據包信息包括時間、數據包大小、IP地址和端口。

本發明還提供了一種webshell檢測取證系統，其中，該系統包括：

抓取模塊，用于在進行SQL注入和一句話木馬上傳攻擊時，實時抓取網絡攻擊中的數據包信息；

解析提取模塊，用于對抓取的數據包信息進行報文解析，并從解析后的信息中提取攻擊相關特征；

匹配判斷模塊，用于將提取的攻擊相關特征與預設特征庫中的攻擊特征進行匹配，并在存在匹配的情況下判斷抓取的數據包信息的IP是否與IP黑名單中的IP匹配；