一种用于Webshell的检测方法

文档序号:8445678阅读:313来源:国知局
一种用于Webshell的检测方法
【技术领域】
[0001]本发明涉及一种Webshell的综合检测方法,通过挖掘访问网站访问记录来为所有的网站及网站文件建立统计学模型来跟踪网站文件的威胁值。
【背景技术】
[0002]近年来网站被植入后门等隐蔽性攻击呈逐年增长态势,国家互联网应急中心发布的《2013年我国互联网网络安全态势综述》称2013年国家互联网应急中心共监测发现我国境内6.1万个网站通过境外被植入后门,较2012年增长62.1%。黑客在利用WEB应用漏洞攻击成功后,通常会利用脚本木马实现对应用系统篡改、对操作系统控制以及对数据库中敏感数据的窃取。如图1所示的现有技术中典型的系统连接示意图。攻击者通过浏览器或者控制端与被控制的WEB应用系统之间通过开启的合法端口交换数据,隐蔽性很高,传统防火墙无法进行拦截,并且一般在系统日志中无操作记录。
[0003]“WEB”的含义是显然需要服务器开放WEB服务,“shell”的含义是取得对服务器某种程度上操作权限。Webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于Webshell大多是以动态脚本的形式出现,一般也称之为网站的后门工具或者WEB应用脚本后门。
[0004]简单理解=Webshell就是网站中一个的页面,但是它的功能非常强大异于常规的网站页面,通过这个页面可以获得一些管理员不希望获得的权限,例如:执行系统命令、运行第三方应用程序、窃取文件、删除WEB页面、修改主页等。
[0005]由于Webshell也必须遵守动态WEB应用脚本文件的编程规则如:ASP、PHP、JSP等。需要完成某些特殊的功能就不可避免的用到相应的特殊的函数,进而引申出一种较为常见的静态检测方法来定位Webshell,同样的Webshell编写者也可能通过加密的方式来躲避这种检测。故需要发明一种综合的Webshell检测算法并且结合统计学模型和深度数据挖掘的结果来最终确定文件的威胁值。

【发明内容】

[0006]本发明的目的在于:发明一种针对网站被挂马、网站隐秘后门、网站文件安全审计等安全问题,提出支持多种检测手段并用,覆盖网站全生命周期,能够做到事前检测、事中告警、事后朔源的高位WEB文件的方法并且结合统计学模型和深度数据挖掘的结果来最终确定文件的威胁值的综合的Webshell检测算法。
[0007]本发明是这样实现的:一种综合的Webshell检测方法,包括如下步骤:
[0008]步骤一:初始化
[0009]配置监控代理程序;编译并运行一份监控代理实例;监控代理程序完成自身初始化并同云管理中心建立安全的连接;发送监控代理程序基础信息至云管理中心;从云管理中心同步最新的扫描策略和特征库;监控代理程序在部署到服务器之前必须由管理员在云管理中心使用“监控代理程序生成器”的工具生成监控代理程序,云管理中心还会保存一份该监控代理程序文件的校验数据;监控代理程序启动自身相关服务、守护进程以及监听程序等;在服务器上运行监控代理程序之后,程序根据配置开始查找云管理中心并使用安全的方式连接到云管理中心;连接到云管理中心之后向云管理中心的专用数据接收接口发送监控代理程序基础信息;从云管理中心同步最新的扫描策略和特征库。
[0010]步骤二:扫描和检测
[0011]扫描网站根目录下所有的WEB文件并提取指纹信息,同本地存储的文件指纹库中的信息进行比对检索出指纹信息不匹配的文件;调用检测引擎对指纹信息不配的文件执行重新扫描;读取本地存储的网站访问日志摘要信息,查找网站访问日志并根据摘要信息提取增量日志:重置“扫描空闲计时器”和“日志同步计时器”;监控代理程序扫描所有被监控网站的文件,提取文件指纹信息并与本地存储的文件指纹库进行对比检索出指纹信息不匹配的文件、新增加的文件和缺少的文件,并调用检测引擎检测指纹信息不匹配和新增加的文件;文件检测,监控代理程序包含一套完整的文件检测引擎,检测引擎可以利用静态文件特征检测、运行状态检测、基于统计学方法的检测等多种手段进行检测,能准确检测文件特征,检测结果包含文件的常规属性、静态特征、运行特征、统计学特征、朴素贝叶斯决策结果和缺少的文件列表;静态特征检测结果、运行特征检测结果、统计学特征检测结果和朴素贝叶斯决策结果等,能够准确检测出文件包含特定的关键词、所使用的高危函数、是否进行了危险动作、文件是否是加密文件、是否是混淆代码文件等,缺少的文件列表为上次文件扫描过程中存在但是在本次扫描中却不存在的文件列表,该列表取自上次扫描之后的文件指纹库;监控代理程序查找访问日志摘要信息,根据配置查找网站访问日志文件并根据保存的日志文件偏移位置提取增量日志;上述步骤完成之后重置“扫描空闲计时器”和“日志同步计时器”。
[0012]步骤三:发送结果
[0013]监控代理程序将检测结果发送到云管理中心;更新本地文件指纹库和网站访问日志摘要信息;运行“忙等待”任务直到上述计时器过期;监控代理程序将文件检测结果,增量日志原文发送到云管理中心。文件检测结果包含:文件常规属性、文件检测结果、新增的文件列表,缺失文件列表等;监控代理程序更新本地文件指纹库和日志摘要信息;运行“忙等待”任务。
[0014]步骤四:云管理中心初始化
[0015]云管理中心启动主进程、基础服务和通信接口等;读取数据库查找监控代理程序基础信息并联系监控代理程序;云管理中心在启动时会同时启动数据库实例、通信服务、管理引擎、分析引擎、WEB容器等;管理引擎读数据库中监控代理程序基础信息,并尝试和监控代理程序进行通信以确定监控代理程序是否存活。
[0016]步骤五:风险值分析
[0017]云管理中心分析进程从数据库中读取监控代理程序发送的原始数据;云管理中心分析进程根据监控代理程序发送的检测结果结合日志分析结果决策文件风险值;云管理中心分析引擎读取来自监控代理程序所发送的检测结果、原始增量日志;云管理中心分析引擎分析原始增量日志信息并同文件检测结果进行综合分析,最终的分析结果为:所有被监控的网站文件访问统计,如:高危文件风险值、某一文件的访问源IP统计、提交过恶意链接以及恶意访问类型的统计等。
[0018]步骤六:保存结果
[0019]将分析结果存入公共数据库;云管理中心前台处理程序读取公共数据库,向最终用户展示检测结果。云管理中心分析引擎将分析结果存入公共数据库;云管理中心前台用户接口读取公共数据库数据向最终用户展示。
[0020]本发明相较于现有技术具有的积极效果在于:通过部署在网站服务器上的监控代理程序执行扫描和检测过程来静态的检测WEB文件的静态特征属性,通过监控代理程序检索服务器上所有的WEB访问日志,通过云管理中心对WEB访问日志进行深度挖掘和恶意URL攻击识别,并为所有的WEB文件建立统计学模型来动态的检测WEB文件的运行状态属性。通过综合静态特征检测、动态行为检测、统计学建模和WEB日志挖掘的结果来确定WEB文件的安全性。
[0021]通过上述的检测过程可以在安全事件发生前对网站存在的问题进行漏洞和缺陷检测,在安全事件发生时可以做到实时监视与攻击感知,在安全事件发生后可以通过前期的检测结果和日志记录达到追踪和快速定位威胁点的作用。
[0022]在面对大规模网站集群的管理过程中本发明的特点尤为突出,它可以最高支持1000个大型网站接入,并一直持续不断的检测、监控和感知上述所有网站WEB文件的安全性特征。大幅度降低了网站管理员维护难度,提高了工作效率。
【附图说明】
[0023]图1是现有技术中典型的系统连接示意图。
[0024]图2是本发明公开的一种Webshell检测方法中代理监控程序运行流程图。
[0025]图3是本发明公开的一种Webshell检测方法中云处理中心运行流程图。
【具体实施方式】
[0026]本发明为检测网站Webshell提供了一种综合的检测方法。为了更好的说明本发明中的方法及技术,本发明给出了一些具体的图例。需要说明的是,这里给出的图例只是本发明的一种实例,对于本领域技术人员,可以根据这些实例方便地获得其他实例。下面结合本发明中的附图,对本发明中的技术方案进行清楚,完整地描述。
[0027]本发明公开了一种用于Webshell检测的综合检测方法,处理流程如图2本发明检测方法中代理监控程序运行流程图和图3本发明的检测方法中云处理中心流程图所示:
[0028]初始化:部署监控代理程序到网站服务器中;监控代理程序执行文件扫描和文件安全性检测的过程以及提取网站访问日志至云管理中心。具体步骤如下:
[0029]1、通过云管理中心生成监控代理程序;该监控代理程序在部署到服务器之前必须由管理员在云管理中心利用一个名称为:“监控代理程序生成器”的工具生成监控代理程序,在填入配置信息之后“监控代理程序生成器”将编译一份专用监控代理程序只能在指定的服务器运行并且所有代码被加密编译,无法反编译、无法修改配置、运行过程中释放的守护程序会保障监控代理程序无法被恶意终止,云管理中心还会保存一份该监控代理程序文件的校验数据。
[0030]2、在需要被监控的网站服务器上部署监控代理程序;
[0031]3、监控代理程序发送监控代理程序基础信息至云管理中心;
[0032]4、监控代理程序从云管理中心同步最新的扫描策略和检测规则。
[0033]扫描和检测:监控代理程序通过文件扫描引擎、文件检测引擎、日志扫描引擎对网站文件的安全性进行
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1