技术特征:
1.一种攻击检测方法,其特征在于,包括:获取网页的统一资源定位符url日志数据;对所述url日志数据进行筛选处理,以筛选出符合webshell格式的目标数据,所述目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数;对所述目标数据进行网页识别处理,以识别出疑似webshell的异常网页;对所述目标数据进行行为识别处理,以识别出疑似webshell恶意攻击的目标ip地址;根据所述目标数据,判断所述目标ip地址是否访问了所述异常网页;若访问了所述异常网页,则确认当前存在webshell攻击。2.根据权利要求1所述的方法,其特征在于,所述url日志数据包括入侵方向的url日志数据和横向url日志数据;对所述url日志数据进行筛选处理,具体包括:从所述入侵方向的url日志数据中剔除所述横向url日志数据,得到第一目标数据;对所述第一目标数据进行清洗,以筛选出符合webshell格式的第二目标数据。3.根据权利要求2所述的方法,其特征在于,所述第二目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数;对所述目标数据进行网页识别处理,以识别出疑似webshell的异常网页,包括:针对每个网页,根据所述第二目标数据,对访问该网页的ip地址的ip数量和该网页的总访问次数进行统计;基于确定出的访问各网页的ip数量,确定ip数量小于第一设定数量的目标网页;将目标网页中总访问次数不低于第一下限值的网页确定为疑似webshell的异常网页。4.根据权利要求2所述的方法,其特征在于,所述第二目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数;对所述目标数据进行行为识别处理,以识别出疑似webshell恶意攻击的目标ip地址,包括:针对每个ip地址,根据所述第二目标数据,对该ip地址所访问的页面的页面数量和该ip地址所访问的页面的总访问次数进行统计;基于确定出的各ip地址各自所访问的页面数量,确定页面数量小于第二设定数量的第一ip地址;将第一ip地址中总访问次数不低于第二下限值的ip地址确定为疑似webshell恶意攻击的目标ip地址。5.根据权利要求2所述的方法,其特征在于,对所述第一目标数据进行清洗,以筛选出符合webshell格式的第二目标数据,包括:对所述第一目标数据中的url访问路径进行简化处理,以使简化后的路径为包括webshell字符串且路径长度小于设定长度的第一目标路径;从所述第一目标路径中筛选出符合webshell文件格式的第二目标路径;将第二目标路径对应的数据确定为所述第二目标数据。6.根据权利要求2所述的方法,其特征在于,根据所述目标数据,判断所述目标ip地址是否访问了所述异常网页,包括:根据所述第二目标数据,判断所述目标ip地址是否访问了所述异常网页。
7.一种攻击检测装置,其特征在于,包括:获取模块,用于获取网页的统一资源定位符url日志数据;筛选模块,用于对所述url日志数据进行筛选处理,以筛选出符合webshell格式的目标数据,所述目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数;第一识别模块,用于对所述目标数据进行网页识别处理,以识别出疑似webshell的异常网页;第二识别模块,用于对所述目标数据进行行为识别处理,以识别出疑似webshell恶意攻击的目标ip地址;判断模块,用于根据所述目标数据,判断所述目标ip地址是否访问了所述异常网页;确定模块,用于若所述判断模块的判断结果是访问了所述异常网页,则确认当前存在webshell攻击。8.根据权利要求7所述的装置,其特征在于,所述url日志数据包括入侵方向的url日志数据和横向url日志数据;所述筛选模块,具体用于从所述入侵方向的url日志数据中剔除所述横向url日志数据,得到第一目标数据;对所述第一目标数据进行清洗,以筛选出符合webshell格式的第二目标数据。9.根据权利要求8所述的装置,其特征在于,所述第二目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数;所述第一识别模块,具体用于针对每个网页,根据所述第二目标数据,对访问该网页的ip地址的ip数量和该网页的总访问次数进行统计;基于确定出的访问各网页的ip数量,确定ip数量小于第一设定数量的目标网页;将目标网页中总访问次数不低于第一下限值的网页确定为疑似webshell的异常网页。10.根据权利要求8所述的装置,其特征在于,所述第二目标数据包括访问每个网页的ip地址和每个ip地址所访问的网页的访问次数;所述第二识别模块,具体用于针对每个ip地址,根据所述第二目标数据,对该ip地址所访问的页面的页面数量和该ip地址所访问的页面的总访问次数进行统计;基于确定出的各ip地址各自所访问的页面数量,确定页面数量小于第二设定数量的第一ip地址;将第一ip地址中总访问次数不低于第二下限值的ip地址确定为疑似webshell恶意攻击的目标ip地址。11.根据权利要求8所述的装置,其特征在于,所述筛选模块,具体用于对所述第一目标数据中的url访问路径进行简化处理,以使简化后的路径为包括webshell字符串且路径长度小于设定长度的第一目标路径;从所述第一目标路径中筛选出符合webshell文件格式的第二目标路径;将第二目标路径对应的数据确定为所述第二目标数据。12.根据权利要求8所述的装置,其特征在于,所述判断模块,具体用于根据所述第二目标数据,判断所述目标ip地址是否访问了所述异常网页。
技术总结
本申请提供了一种攻击检测方法及装置,涉及安全技术领域。该方法为:获取网页的统一资源定位符URL日志数据;对所述URL日志数据进行筛选处理,以筛选出符合WebShell格式的目标数据,所述目标数据包括访问每个网页的IP地址和每个IP地址所访问的网页的访问次数;对所述目标数据进行网页识别处理,以识别出疑似WebShell的异常网页;对所述目标数据进行行为识别处理,以识别出疑似WebShell恶意攻击的目标IP地址;根据所述目标数据,判断所述目标IP地址是否访问了所述异常网页;若访问了所述异常网页,则确认当前存在WebShell攻击。由此,提升了攻击检测的检测效率。升了攻击检测的检测效率。升了攻击检测的检测效率。
技术研发人员:顾涛 金兆岩
受保护的技术使用者:新华三信息安全技术有限公司
技术研发日:2022.03.17
技术公布日:2022/6/28