一种攻击检测方法及装置与流程

1.本技术涉及信息安全技术领域，尤其涉及一种攻击检测方法及装置。


背景技术：

2.webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，从而得到一个命令执行环境，进而以达到控制网站服务器的目的。这样，黑客就可以利用webshell长期获得网站应用的访问权限，并且可以利用存在webshell的应用服务器作为跳板进一步渗透内网。因此，防护webshell攻击对于网站应用安全以及内网安全十分重要。
3.现有技术是通过从海量url(uniform resource locator统一资源定位符)中挑选出疑似webshell的url，然后复查访问筛选出的这些url的ip地址的攻击时间，及查看auditd日志中对于网站内网页文件、系统命令的操作情况。上述方式中，不仅自动化程度较低，而且面对海量数据的威胁检测时，需要大量的人力投入以排除误报。
4.因此，如何提升webshell攻击的识别速度是值得考虑的技术问题之一。


技术实现要素：

5.有鉴于此，本技术提供一种攻击检测方法及装置，用以提升webshell攻击的识别速度。
6.具体地，本技术是通过如下技术方案实现的：
7.根据本技术的第一方面，提供一种攻击检测方法，包括：
8.获取网页的统一资源定位符url日志数据；
9.对所述url日志数据进行筛选处理，以筛选出符合webshell格式的目标数据，所述目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数；
10.对所述目标数据进行网页识别处理，以识别出疑似webshell的异常网页；
11.对所述目标数据进行行为识别处理，以识别出疑似webshell恶意攻击的目标ip地址；
12.根据所述目标数据，判断所述目标ip地址是否访问了所述异常网页；
13.若访问了所述异常网页，则确认当前存在webshell攻击。
14.根据本技术的第二方面，提供一种攻击检测装置，包括：
15.获取模块，用于获取网页的统一资源定位符url日志数据；
16.筛选模块，用于对所述url日志数据进行筛选处理，以筛选出符合webshell格式的目标数据，所述目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数；
17.第一识别模块，用于对所述目标数据进行网页识别处理，以识别出疑似webshell
的异常网页；
18.第二识别模块，用于对所述目标数据进行行为识别处理，以识别出疑似webshell恶意攻击的目标ip地址；
19.判断模块，用于根据所述目标数据，判断所述目标ip地址是否访问了所述异常网页；
20.确定模块，用于若所述判断模块的判断结果是访问了所述异常网页，则确认当前存在webshell攻击。
21.根据本技术的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本技术实施例第一方面所提供的方法。
22.根据本技术的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本技术实施例第一方面所提供的方法。
23.本技术实施例的有益效果：
24.本技术实施例提供的攻击检测方法及装置中，获取网页的url日志数据；对该url日志数据进行筛选处理，以筛选出符合webshell格式的目标数据，该目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数；通过对上述目标数据进行网页识别处理，从而可以识别出疑似webshell的异常网页；然后再对目标数据进行行为识别处理，以识别出疑似webshell恶意攻击的目标ip地址；这样，就识别出了当前url日志数据中疑似存在webshell恶意攻击的异常网页和疑似存在webshell恶意攻击的目标ip地址，为了更准确地确定出当前是否存在webshell恶意攻击，会根据目标数据，判断前述目标ip地址是否访问了异常网页；若访问了异常网页，则确认当前存在webshell攻击，采用上述方法，不需要大量的人力的投入，从而提升了webshell攻击的识别速度，而且提升了识别结果的准确度。
附图说明
25.图1是本技术实施例提供的一种攻击检测方法的流程示意图；
26.图2是本技术实施例提供的一种统计结果示意图；
27.图3是本技术实施例提供的另一种统计结果示意图；
28.图4是本技术实施例提供的一种攻击检测装置的结构示意图；
29.图5是本技术实施例提供的一种实施攻击检测方法的电子设备的硬件结构示意图。
具体实施方式
30.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如本技术的一些方面相一致的装置和方法的例子。
31.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。
在本技术中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
32.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
33.下面对本技术提供的攻击检测方法进行详细地说明。
34.参见图1，图1是本技术提供的一种攻击检测方法的流程图，该方法可包括如下所示步骤：
35.s101、获取网页的统一资源定位符url日志数据。
36.本步骤中，上述方法可以应用于检测设备中，该检测设备可以周期性或实时获取url日志数据，上述周期性统计的周期可以但不限于1天或者1小时等等，具体可以根据实际情况进行配置。
37.s102、对所述url日志数据进行筛选处理，以筛选出符合webshell格式的目标数据，所述目标数据包括访问每个网页的ip地址和访问次数。
38.本步骤中，url日志数据本身数据量比较大，为了提升攻击检测的速度及数据定位的准确性，本实施例提出，会对url日志数据进行筛选，然后以从url日志数据中筛选出符合webshell格式的目标数据。
39.需要说明的是，上述webshell格式可以但不限于为php、asp、aspx和jsp等格式，本实施例对此不进行限定。
40.s103、对所述目标数据进行网页识别处理，以识别出疑似webshell的异常网页。
41.其中，上述目标数据可以但不限于包括：访问每个网页的ip地址和每个ip地址所访问的网页的访问次数，参考表1所示。其中，表1中的不同的url表征不同的网页。检测设备在筛选出符合webshell格式的目标数据后，就可以从目标数据中提取出访问各个网页的ip地址，以及每个ip地址所访问的网页的访问次数。
42.表1
43.ip地址url访问次数61.x.x.x/www/home.php1060.x.x.x/www/home.php2062.x.x.x/www/index.php1062.x.x.x/root/webshell.jsp3063.x.x.x/root/webshell.jsp300.........
44.在此基础上，检测设备就可以根据访问各个网页的ip地址和每个ip地址所访问的网页的访问次数来对目标数据进行网页识别，以识别出疑似webshell的异常网页。
45.具体来说，一般情况下，webshell网页的特征：网页被访问的ip地址比较少，但是该网页被访问的次数比较多，则表明该网页被攻击的可能性就越大。基于此原理，在对目标
数据进行网页识别时，就可以筛选出被访问的网页的ip地址数量较少，但总访问次数比较高的目标网页，该目标网页则为疑似webshell的异常网页，即，该疑似webshell恶意攻击的异常网页可能是攻击者可能使用了webshell后门文件导致了该异常网页的存在。
46.s104、对所述目标数据进行行为识别处理，以识别出疑似webshell恶意攻击的目标ip地址。
47.本步骤中，一般情况下，webshell黑客ip地址特征为：某个ip地址所访问的网页的网页数量越少，当该ip访问每个网页的访问次数比较大，则此时该ip地址属于恶意攻击的ip地址的可能性就比较大。有鉴于此，在对目标数据进行行为识别时，就可以筛选出网页被ip地址访问的ip地址数量比较少，但访问该网页的访问次数比较多的ip地址，该ip地址则为疑似webshell恶意攻击的目标ip地址，即，攻击者利用该目标ip地址执行了webshell恶意攻击行为。
48.s105、根据所述目标数据，判断所述目标ip地址是否访问了所述异常网页；若是，则执行步骤s106；若否，则执行步骤s107。
49.本步骤中，在确认出url日志数据中可能存在的异常网页和可能存在的恶意攻击的目标ip地址后，则可以再根据日志数据，判断每个目标ip地址是否访问了上述任一异常网页，当访问了，则表明url日志数据中存在webshell恶意攻击，即执行步骤s106，同时，可以确认该异常网页为攻击者使用了webshell后门文件导致了该异常网页的存在。以及，确认该目标ip地址为属于恶意攻击的ip地址。若目标ip地址没有访问任一异常网页，则可以确认当前情况下不存在webshell攻击，即执行步骤s107，也就是说，该目标ip地址当前不是恶意攻击的ip地址，同理，该疑似webshell恶意攻击的异常网页属于正常的网页。
50.s106、确认当前存在webshell攻击。
51.s107、确认当前不存在webshell攻击。
52.通过实施本技术提供的攻击检测方法，获取网页的url日志数据；对该url日志数据进行筛选处理，以筛选出符合webshell格式的目标数据，该目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数；通过对上述目标数据进行网页识别处理，从而可以识别出疑似webshell的异常网页；然后再对目标数据进行行为识别处理，以识别出疑似webshell恶意攻击的目标ip地址；这样，就识别出了当前url日志数据中疑似存在webshell恶意攻击的异常网页和疑似存在webshell恶意攻击的目标ip地址，为了更准确地确定出当前是否存在webshell恶意攻击，会根据目标数据，判断前述目标ip地址是否访问了异常网页；若访问了异常网页，则确认当前存在webshell攻击，采用上述方法，不需要大量的人力的投入，从而提升了webshell攻击的识别速度，而且提升了识别结果的准确度。
53.可选地，基于上述实施例，本实施例中的url日志数据包括入侵方向的url日志数据和横向url日志数据；在此基础上，可以按照下述方法执行步骤s102：从所述入侵方向的url日志数据中剔除所述横向url日志数据，得到第一目标数据；对所述第一目标数据进行清洗，以筛选出符合webshell格式的第二目标数据。
54.具体地，实际应用中，url日志数据包括外网到内网的数据、内网到内网的数据，包括：源ip地址是外网ip地址，目的ip地址为内网ip地址的日志数据，以及源和目的ip地址均为内网的日志数据，记为入侵方向的url日志数据；同时url日志数据还包括内网到内网的日志数据，即源和目的ip地址均为内网ip地址的日志数据，记为横向url日志数据，而一般
情况下，横向url日志数据一般为内网内管理员等用户执行的非webshell网页的日志数据，属于正常的日志数据。因此，为了提升攻击检测的识别速度，本实施例提出，会从url日志数据中剔除内网到内网的日志数据，以去除管理员访问网页的数据。而在提出内网到内网的日志数据时，执行过程为：将入侵方向的url日志数据-横向url日志数据，得到的即为外网到内网的url日志数据，即上述第一目标数据。
55.在此基础上，在对剔除了内网到内网的第一目标数据进行流量清洗，以筛选出符合webshell格式的第二目标数据，从而保证了攻击检测的高效性。在此基础上，在执行步骤s103～s107时，可以按照第二目标数据执行上述各步骤。
56.更进一步地，可以按照下述过程执行对所述第一目标数据进行清洗，以筛选出符合webshell格式的第二目标数据的步骤：对所述第一目标数据中的url访问路径进行简化处理，以使简化后的路径为包括webshell字符串且路径长度小于设定长度的第一目标路径；从所述第一目标路径中筛选出符合webshell文件格式的第二目标路径；将第二目标路径对应的数据确定为所述第二目标数据。
57.具体来说，例如，网页的url路径的长度一般比较长，为了提升数据提取设定，本实施例会对第一目标数据进行进一步地简化处理，以得到包括webshell字符串且路径长度小于设定长度的第一目标路径，然后再从第一目标路径中提取出符合webshell格式的第二目标路径，该第二目标路径下的日志数据即为上述第二目标数据，从而实现了进一步简化日志数据的目标，更进一步地提升了基于目标日志数据进行webshell攻击检测的速度。例如，url路径为【en.wikipedia.org/w/webshell.php？a＝123&b＝456】，该路径长度比较长，为了简化路径，则简化后的第一目标路径为【/w/webshell.php】。
58.需要说明的是，上述包括webshell字符串可以理解为含有webshell，或者属于webshell格式的字符串。参考上述表1所示，表1中url是简化处理后的第一目标路径，且表1中home.php、index.php和webshell.jsp属于上述属于webshell格式的字符串。
59.可选地，基于上述任一实施例，上述第二目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数；在此基础上，可以按照下述过程执行步骤s103：针对每个网页，根据所述第二目标数据，对访问该网页的ip地址的ip数量和该网页的总访问次数进行统计；基于确定出的访问各网页的ip数量，确定ip数量小于第一设定数量的目标网页；将目标网页中总访问次数不低于第一下限值的网页确定为疑似webshell的异常网页。
60.具体地，可以利用各网页的ip地址及每个ip地址访问各网页的访问次数进行网页客体建模处理，即，以源ip地址的个数为横坐标轴，以总访问次数为纵坐标轴对第二目标数据进行建模，例如得到图2所示的统计结果图，图2中的每个点表征网页，即访问该网页的ip地址的个数及该网页的总访问次数，例如，/root/webshell.jsp页面有1个源ip地址访问且访问次数是1000，则图2中的ip地址的个数x＝1，总访问次数y＝1000对应的点就是/root/webshell.jsp页面。
61.这样一来，在确认疑似webshell的异常网页时，若上述第一设定数量为10，则可以基于访问各网页的ip地址的数量筛选出ip地址的数量x小于5的目标网页，然后根据目标网页的总访问次数，确定总访问次数不低于第一下限值的网页，这样筛选出的网页即为上述疑似webshell的异常网页。
62.值得注意的是，上述第一设定数量的取值可以根据实际情况进行配置，而上述第
一下限值可以但不限于为基于3西格玛算法、箱线图等离群算点算法继续得到出。
63.同理，当上述第二目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数时，可以按照下述执行步骤s104：针对每个ip地址，根据所述第二目标数据，对该ip地址所访问的页面的页面数量和该ip地址所访问的页面的总访问次数进行统计；基于确定出的各ip地址各自所访问的页面数量，确定页面数量小于第二设定数量的第一ip地址；将第一ip地址中总访问次数不低于第二下限值的ip地址确定为疑似webshell恶意攻击的目标ip地址。
64.具体地，可以利用每个ip地址所访问的网页及该ip地址访问网页的访问次数进行行为建模处理，即，以源ip地址所访问的页面的页面数量为横坐标轴，以总访问次数为纵坐标轴对第二目标数据进行建模，例如得到图3所示的统计结果图，图3中的每个点表征ip地址，即，该ip地址访问的页面的页面数量及该ip地址所访问的页面的总访问次数。例如，ip地址1，访问了1个页面，且访问次数是1000，则图3中的页面数量x＝1与总访问次数y＝1000对应的点就是该ip地址1。
65.这样一来，在确认疑似webshell恶意攻击的目标ip地址时，若上述第二设定数量为2，则可以基于各ip地址访问的页面的页面数量筛选出页面数量x小于2的ip地址，然后根据筛查出的ip地址所访问的页面的总访问次数，确定总访问次数不低于第二下限值的目标ip地址，这样筛选出的目标ip地址即为上述疑似webshell恶意攻击的目标ip地址。
66.值得注意的是，上述第二设定数量的取值可以根据实际情况进行配置，而上述第二下限值可以但不限于为基于3西格玛算法、箱线图等离群算点算法继续得到出。
67.同理，在执行步骤s105时，可以按照下述过程实施：根据第二目标数据，判断目标ip地址是否访问了异常网页。基于优化后的第二目标数据判断当前是否存在webshell攻击，不仅提升了攻击检测的速度而且提升了检测结果的准确性。
68.基于同一发明构思，本技术还提供了与上述攻击检测方法对应的攻击检测装置。该攻击检测装置的实施具体可以参考上述对攻击检测方法的描述，此处不再一一论述。
69.参见图4，图4是本技术一示例性实施例提供的一种攻击检测装置，该装置包括：
70.获取模块401，用于获取网页的统一资源定位符url日志数据；
71.筛选模块402，用于对所述url日志数据进行筛选处理，以筛选出符合webshell格式的目标数据，所述目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数；
72.第一识别模块403，用于对所述目标数据进行网页识别处理，以识别出疑似webshell的异常网页；
73.第二识别模块404，用于对所述目标数据进行行为识别处理，以识别出疑似webshell恶意攻击的目标ip地址；
74.判断模块405，用于根据所述目标数据，判断所述目标ip地址是否访问了所述异常网页；
75.确定模块406，用于若所述判断模块405的判断结果是访问了所述异常网页，则确认当前存在webshell攻击。
76.可选地，上述url日志数据包括入侵方向的url日志数据和横向url日志数据。
77.在此基础上，上述筛选模块402，具体用于从所述入侵方向的url日志数据中剔除
所述横向url日志数据，得到第一目标数据；对所述第一目标数据进行清洗，以筛选出符合webshell格式的第二目标数据。
78.可选地，所述第二目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数。
79.在此基础上，上述第一识别模块403，具体用于针对每个网页，根据所述第二目标数据，对访问该网页的ip地址的ip数量和该网页的总访问次数进行统计；基于确定出的访问各网页的ip数量，确定ip数量小于第一设定数量的目标网页；将目标网页中总访问次数不低于第一下限值的网页确定为疑似webshell的异常网页。
80.上述第二识别模块404，具体用于针对每个ip地址，根据所述第二目标数据，对该ip地址所访问的页面的页面数量和该ip地址所访问的页面的总访问次数进行统计；基于确定出的各ip地址各自所访问的页面数量，确定页面数量小于第二设定数量的第一ip地址；将第一ip地址中总访问次数不低于第二下限值的ip地址确定为疑似webshell恶意攻击的目标ip地址。
81.可选地，上述筛选模块402，具体用于对所述第一目标数据中的url访问路径进行简化处理，以使简化后的路径为包括webshell字符串且路径长度小于设定长度的第一目标路径；从所述第一目标路径中筛选出符合webshell文件格式的第二目标路径；将第二目标路径对应的数据确定为所述第二目标数据。
82.可选地，上述判断模块405，具体用于根据所述第二目标数据，判断所述目标ip地址是否访问了所述异常网页。
83.基于同一发明构思，本技术实施例提供了一种电子设备，该电子设备可以为上述检测设备。如图5所示，该电子设备包括处理器501和机器可读存储介质502，机器可读存储介质502存储有能够被处理器501执行的计算机程序，处理器501被计算机程序促使执行本技术任一实施例所提供的攻击检测方法。此外，该电子设备还包括通信接口503和通信总线504，其中，处理器501，通信接口503，机器可读存储介质502通过通信总线504完成相互间的通信。
84.上述电子设备提到的通信总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
85.通信接口用于上述电子设备与其他设备之间的通信。
86.存储器可以包括随机存取存储器(random access memory，ram)、ddr sram(double data rate synchronous dynamic random access memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
87.上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
88.另外，本技术实施例提供了一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本技术实施例所提供的攻击检测方法。
89.对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
90.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
91.上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
92.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本技术方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
93.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。