webshell检测取证方法及系统

本发明涉及互联网领域，尤其涉及一种webshell检测取证方法及系统。

背景技术：

文件上传漏洞起因源于服务器端或前端检测不严格或控制端存在诸多非限制条件，导致攻击者可以利用拦截工具，修改文件属性类型等操作，从而上传可以执行的脚本文件，以获取系统的webshell，进而实现localsystem命令执行。其中文件上传漏洞产生的主要原因有：上传木马脚本文件、服务器端解析漏洞。

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

然而，关于互联网上存在的web安全漏洞的分析方面，目前尚无法实现自动获取漏洞的证据，只能通过代码分析或者人为判断，但这样的方式不仅存在误判的情况，且效率也较低。

技术实现要素：

本发明提供了一种webshell检测取证方法及系统，能够解决上述现有技术中的问题。

本发明提供了一种webshell检测取证方法，其中，该方法包括：

在进行sql注入和一句话木马上传攻击时，实时抓取网络攻击中的数据包信息；

对抓取的数据包信息进行报文解析，并从解析后的信息中提取攻击相关特征；

将提取的攻击相关特征与预设特征库中的攻击特征进行匹配，并在存在匹配的情况下判断抓取的数据包信息的ip是否与ip黑名单中的ip匹配；

在抓取的数据包信息的ip与ip黑名单中的ip匹配的情况下，基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据；

对所述安全日志数据进行采集，得到安全告警数据以实现对漏洞的取证。

优选地，该方法还包括对所述安全告警数据进行显示。

优选地，该方法还包括对抓取的数据包信息进行存储。

优选地，所述安全告警数据包括时间、攻击描述、源ip、目的ip、木马链接和密码、以及webshell链接url和webshell密码。

优选地，抓取的数据包信息包括时间、数据包大小、ip地址和端口。

本发明还提供了一种webshell检测取证系统，其中，该系统包括：

抓取模块，用于在进行sql注入和一句话木马上传攻击时，实时抓取网络攻击中的数据包信息；

解析提取模块，用于对抓取的数据包信息进行报文解析，并从解析后的信息中提取攻击相关特征；

匹配判断模块，用于将提取的攻击相关特征与预设特征库中的攻击特征进行匹配，并在存在匹配的情况下判断抓取的数据包信息的ip是否与ip黑名单中的ip匹配；

生成模块，用于在抓取的数据包信息的ip与ip黑名单中的ip匹配的情况下，基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据；

采集取证模块，用于对所述安全日志数据进行采集，得到安全告警数据以实现对漏洞的取证。

优选地，该系统还包括显示模块，用于对所述安全告警数据进行显示。

优选地，该系统还包括存储模块，用于对抓取的数据包信息进行存储。

优选地，所述安全告警数据包括时间、攻击描述、源ip、目的ip、木马链接和密码、以及webshell链接url和webshell密码。

优选地，抓取的数据包信息包括时间、数据包大小、ip地址和端口。

通过上述技术方案，可以对网络攻击中的数据包信息进行抓取捕获，然后可以对捕获的数据包信息进行解析，提取其中的攻击相关特征(例如，恶意网络攻击数据信息)，利用预设特征库可以执行特征匹配操作，并在存在特征匹配的情况下可以利用ip黑名单执行ip匹配操作，且在ip匹配的情况下基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据，进而可以对所述安全日志数据进行采集，得到安全告警数据以实现对漏洞的取证。由此，可以实现取证功能，进而有效防范例如远控类木马的运行，阻断恶意流量的进出，保护用户计算机不被伤害，有助于提高网络安全性能。

附图说明

所包括的附图用来提供对本发明实施例的进一步的理解，其构成了说明书的一部分，用于例示本发明的实施例，并与文字描述一起来阐释本发明的原理。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了根据本发明一种实施例的一种webshell检测取证方法的流程图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

图1示出了根据本发明一种实施例的一种webshell检测取证方法的流程图。

如图1所示，本发明实施例提供了一种webshell检测取证方法，其中，该方法可以包括：

s100，在进行sql注入和一句话木马上传攻击时，实时抓取网络攻击中的数据包信息；

举例来讲，可以以脚本实现监控网络攻击中的数据包信息，即可以通过脚本抓取捕获网络攻击中的数据包信息。

s102，对抓取的数据包信息进行报文解析，并从解析后的信息中提取攻击相关特征；

s104，将提取的攻击相关特征与预设特征库中的攻击特征进行匹配，并在存在匹配的情况下判断抓取的数据包信息的ip是否与ip黑名单中的ip匹配；

举例来讲，在提取的攻击相关特征与预设特征库中的攻击特征匹配的情况下，可以确定抓取的数据包信息为网络攻击数据包信息。其中，预设特征库中的攻击特征为已知恶意web攻击的特征集合，且预设特征库可随时被更新，主要是向其加入新提取的特征内容。

s106，在抓取的数据包信息的ip与ip黑名单中的ip匹配的情况下，基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据；

s108，对所述安全日志数据进行采集，得到安全告警数据以实现对漏洞的取证。

举例来讲，可以通过脚本调用安全日志至大数据展示平台，对安全日志数据进行采集，得到安全告警数据，实现取证的功能。

通过上述技术方案，可以对网络攻击中的数据包信息进行抓取捕获，然后可以对捕获的数据包信息进行解析，提取其中的攻击相关特征(例如，恶意网络攻击数据信息)，利用预设特征库可以执行特征匹配操作，并在存在特征匹配的情况下可以利用ip黑名单执行ip匹配操作，且在ip匹配的情况下基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据，进而可以对所述安全日志数据进行采集，得到安全告警数据以实现对漏洞的取证。由此，可以实现取证功能，进而有效防范例如远控类木马的运行，阻断恶意流量的进出，保护用户计算机不被伤害，有助于提高网络安全性能。

其中，sql注入是指通过把sql命令插入到web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的sql命令。具体来说，它是利用现有应用程序，将(恶意的)sql命令注入到后台数据库引擎执行的能力，它可以通过在web表单中输入(恶意)sql语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行sql语句。比如先前的很多影视网站泄露vip会员密码大多就是通过web表单递交查询字符暴出的，这类表单特别容易受到sql注入式攻击。

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

根据本发明一种实施例，该方法还可以包括对所述安全告警数据进行显示。

根据本发明一种实施例，该方法还可以包括对抓取的数据包信息进行存储。

举例来讲，对于捕获的数据包信息，可以将其存储到专门的服务器设备中进行汇总，便于后续的判断，可以选择多台服务器协同，以缓解存储的压力。

也就是，可以将抓取的数据包信息存储至调用的目录下，实现边存储边抓取。

根据本发明一种实施例，所述安全告警数据可以包括时间、攻击描述、源ip、目的ip、木马链接和密码、以及webshell链接url和webshell密码。

根据本发明一种实施例，抓取的数据包信息可以包括时间、数据包大小、ip地址和端口。

其中，根据ip地址及端口信息，可以确定数据包信息相关进程。

根据本发明一种实施例，对抓取的数据包信息进行报文解析包括可以报文包头解析(七元组数据)和报文包体解析(payload)。

其中，报文包头和报文包体可以按不同类型存储，并进行分块解析。

此外，根据本发明一种实施例，该方法还可以包括：在确定抓取的数据包信息为网络攻击数据包信息的情况下，进行告警提示。

本发明实施例还提供了一种webshell检测取证系统，其中，该系统可以包括：

抓取模块，用于在进行sql注入和一句话木马上传攻击时，实时抓取网络攻击中的数据包信息；

解析提取模块，用于对抓取的数据包信息进行报文解析，并从解析后的信息中提取攻击相关特征；

匹配判断模块，用于将提取的攻击相关特征与预设特征库中的攻击特征进行匹配，并在存在匹配的情况下判断抓取的数据包信息的ip是否与ip黑名单中的ip匹配；

生成模块，用于在抓取的数据包信息的ip与ip黑名单中的ip匹配的情况下，基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据；

采集取证模块，用于对所述安全日志数据进行采集，得到安全告警数据以实现对漏洞的取证。

通过上述技术方案，可以对网络攻击中的数据包信息进行抓取捕获，然后可以对捕获的数据包信息进行解析，提取其中的攻击相关特征(例如，恶意网络攻击数据信息)，利用预设特征库可以执行特征匹配操作，并在存在特征匹配的情况下可以利用ip黑名单执行ip匹配操作，且在ip匹配的情况下基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据，进而可以对所述安全日志数据进行采集，得到安全告警数据以实现对漏洞的取证。由此，可以实现取证功能，进而有效防范例如远控类木马的运行，阻断恶意流量的进出，保护用户计算机不被伤害，有助于提高网络安全性能。

根据本发明一种实施例，该系统还可以包括显示模块，用于对所述安全告警数据进行显示。

根据本发明一种实施例，该系统还可以包括存储模块，用于对抓取的数据包信息进行存储。

根据本发明一种实施例，所述安全告警数据可以包括时间、攻击描述、源ip、目的ip、木马链接和密码、以及webshell链接url和webshell密码。

根据本发明一种实施例，抓取的数据包信息可以包括时间、数据包大小、ip地址和端口。

根据本发明一种实施例，对抓取的数据包信息进行报文解析可以包括报文包头解析(七元组数据)和报文包体解析(payload)。

上述实施例中描述的系统与上述图1所描述的方法相对应，具体示例可以参照上述实施例中关于图1的方法的描述，在此不再赘述。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。