脚本行为关联防御系统的制作方法
【专利摘要】本发明涉及脚本行为关联防御系统,利用脚本解释执行会在同一个线程里执行的特性,在脚本执行时记录脚本行为与线程关联信息,监控脚本信息的执行过程,判断过程是否正常,否则立即采取相应的拦截措施。现有网站保护只拦截API,当有可疑行为时不能定位和识别是由什么脚本所产生,也就不能对某一后门进行拦截或定位,如果后门隐藏很深,将很难发现和清理。本发明可快速定位脚本行为,并能禁止脚本的再次执行,让网站运行在安全状态,同时还可实现网站权限设置、禁止网站脚本跨目录操作、检测和拦截网站使用的数据库帐号、控制指定站点程序的可执行性、控制指定网站连接外网、禁止指定网站加载指定组件等功能,具有设置细致、安全可靠的优点。
【专利说明】脚本行为关联防御系统
【技术领域】
[0001]本发明属于网络安全领域,具体涉及脚本行为关联防御系统,用于网站脚本行为检测和拦截,能更早地发现安全问题,并做出相应的措施,防止黑客破坏。
【背景技术】
[0002]黑客入侵网站后一般都会写入脚本后门Webshell,窃取服务、破坏系统与网站、下载数据库等,现有网站保护软件技术只拦截API,不能了解是哪个脚本产生的行为,最直接的问题是追查困难、耗时,无法找到隐藏很深的后门。如果网站被黑客入侵,其写入后门隐藏性极高的文件很难通过现有技术来查杀,必须要有一种针对脚本行为的检测识别系统,尽早发现问题,把黑客禁在门外,让网站和服务器运行在安全状态。
【发明内容】
[0003]本发明的目的是提供脚本行为关联防御系统。
[0004]脚本行为关联防御系统,利用记录脚本执行和线程关联信息来记录和监控脚本后门Webshell的执行行为,从而实现系统的监控、检测功能。
[0005]所述的脚本行为关联防御系统,当黑客访问服务器脚本后门Webshell时,Web服务会传递脚本和IP信息给指定的脚本解释器处理,脚本解释器执行脚本从开始至结束会在同一个线程中执行,即使脚本创建新线程,也可以再进一步做记录,在脚本执行过程中,记录当前的脚本行为和线程关联信息,并判断其过程是否正常,如果正常,直接处理返回;如果异常,通过脚本行为和线程关联信息中所记录的线程信息得到对应的脚本信息,再进一步采取相应的拦截或记录措施。
[0006]所述的脚本行为关联防御系统,利用脚本行为与线程关联信息,实现脚本行为文件的定位和追查、防止网站脚本跨目录操作、指定网站禁止使用高权限数据库帐号或者禁止加载指定的数据库的功能。
[0007]本发明可快速定位脚本行为,并能禁止脚本的再次执行,让网站运行在安全状态,同时还可实现网站权限设置、控制指定站点程序的可执行性、控制指定网站连接外网的功能,具有设置细致、安全可靠的优点。
[0008]【专利附图】
【附图说明】:
图1是正常Web服务处理的流程图。
[0009]图2是本发明脚本行为关联防御模块流程图。
[0010]【具体实施方式】:
下面结合附图及具体实施例对本发明再作进一步详细的说明。
[0011]用户(或黑客)访问网站脚本时,Web服务都会转发用户请求到指定的脚本解释器中去编译执行,脚本解释器要处理必须读取由Web服务传来的脚本参数信息,当脚本解释器读取时做记录处理,并把相关脚本信息和线程记录起来,为后面的脚本行为检测做准备,脚本执行过程在同一个线程中处理,当有可疑行为时,读取当前脚本所在线程所指定的记录信息,就可以判断是哪个脚本产生的行为,达到行为和脚本关联的目的,为安全检测做好准备。
[0012]应用示例:
1、禁止网站脚本跨目录操作
以Iis的网站服务器为例,脚本执行的时候能得到网站的目录信息,通过拦截文件读取、创建、列目录的API,检测是否为正常目录的文件操作,可禁止网站上的脚本访问虚拟主机以外的目录,防止跨目录、跨站攻击,同时可检测出哪个脚本在进行跨目录的访问或破坏其它网站,可以第一时间把可疑脚本提示给管理员,让管理员能更早地发现问题,或直接拦截防止恶意脚本的破坏;
2、检测和拦截网站使用的数据库帐号
本发明通过拦截脚本中用于连接数据库MYSQL/MSSQL的API,可以实现如下功能:
a)通过记录信息中的网站ID控制网站只能使用的数据库登陆帐号;
b)对网站使用高权限帐号时,作出相应的提示,让管理员第一时间了解风险,防止因网站使用高权限帐号,导致服务器被入侵,能做到提前防范之目的;
c)可以指定哪些脚本能访问数据库,哪些脚本不能访问,只要黑客通过后门访问数据库时,可以第一时间发现并拦截之,同时记录黑客的IP,安全加倍。
[0013]3、控制指定站点程序的可执行性
对指定网站设置可执行程序的权限,当某网站需执行权限,同时又不希望其它网站有执行权限,可以分别对待。
[0014]4、控制指定网站连接外网
可实现某个网站访问外网进行一些正常的通信,但又不是全局外连,禁止外网连接,可以防止常见的PHPDD0S、后门外连操作等。
[0015]5、禁止指定网站加载指定组件
可实现指定网站加载指定的组件,避免全局加载组件有可能带来的安全风险。
【权利要求】
1.脚本行为关联防御系统,其特征是,利用记录脚本执行和线程关联信息来记录和监控脚本后门Webshell的执行行为,从而实现系统的监控、检测功能。
2.如权利要求1所述的脚本行为关联防御系统,其特征是,黑客访问服务器脚本后门ffebshell, Web服务会传递脚本和IP信息给指定的脚本解释器处理,脚本解释器执行脚本从开始至结束会在同一个线程中执行,即使脚本创建新线程,也可以再进一步做记录,在脚本执行过程中,记录当前的脚本行为和线程关联信息,并判断其过程是否正常,如果正常,直接处理返回;如果异常,通过脚本行为和线程关联信息中所记录的线程信息得到对应的脚本信息,再进一步采取相应的拦截或记录措施。
3.如权利要求1所述的脚本行为关联防御系统,其特征是,利用脚本行为与线程关联信息,实现脚本行为文件的定位和追查。
4.如权利要求1所述的脚本行为关联防御系统,其特征是,利用脚本行为与线程关联信息,实现防止网站脚本跨目录操作。
5.如权利要求1所述的脚本行为关联防御系统,其特征是,利用脚本行为与线程关联信息,实现指定网站禁止使用高权限数据库帐号,或者禁止加载指定的数据库。
【文档编号】H04L29/06GK103746960SQ201310638232
【公开日】2014年4月23日 申请日期:2013年12月3日 优先权日:2013年12月3日
【发明者】彭岸峰 申请人:彭岸峰