CN103281300A - 远程文件包含漏洞的识别方法及装置 - Google Patents
远程文件包含漏洞的识别方法及装置 Download PDFInfo
- Publication number
- CN103281300A CN103281300A CN2013101506590A CN201310150659A CN103281300A CN 103281300 A CN103281300 A CN 103281300A CN 2013101506590 A CN2013101506590 A CN 2013101506590A CN 201310150659 A CN201310150659 A CN 201310150659A CN 103281300 A CN103281300 A CN 103281300A
- Authority
- CN
- China
- Prior art keywords
- message
- visit
- network request
- request message
- conversation recording
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000004044 response Effects 0.000 claims description 54
- 238000012217 deletion Methods 0.000 claims description 24
- 230000037430 deletion Effects 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 claims description 14
- 230000008878 coupling Effects 0.000 claims description 7
- 238000010168 coupling process Methods 0.000 claims description 7
- 238000005859 coupling reaction Methods 0.000 claims description 7
- 230000007246 mechanism Effects 0.000 abstract description 5
- 230000009286 beneficial effect Effects 0.000 abstract description 4
- 230000006399 behavior Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000013011 mating Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000012467 final product Substances 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 230000001788 irregular Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开一种远程文件包含漏洞的识别方法及装置,通过当网络请求报文通过防火墙时,比对内置规则库,识别该网络请求报文与所述内置规则库匹配时,记录该网络请求报文信息至会话记录表;在防火墙接收到服务器发送的访问报文时,若识别会话记录表中记录了所述访问报文,则分析所述访问报文的内容;根据分析结果,识别所述访问报文为安全报文还是包含安全威胁的报文的方法,具有及时、准确地识别出远程文件包含漏洞的有益效果,有效地解决了目前基于特征检测机制存在的误报和漏报的问题;进一步地,能够对识别出的远程文件包含漏洞进行事先防御。
Description
技术领域
本发明涉及计算机网络技术,尤其涉及一种远程文件包含漏洞的识别方法及装置。
背景技术
远程文件包含漏洞是PHP(Hypertext Preprocessor,超级文本预处理语言)脚本语言特有的攻击形式,也是web应用程序最常见的攻击方法之一;由于PHP语言在web网站开发中广泛使用,因此这种漏洞也广泛存在。PHP远程文件包含漏洞可以在web服务器上执行任意代码,危害非常大,所以远程文件包含漏洞是应用层防火墙重点识别和防御的攻击对象之一。
目前识别和防御PHP远程文件包含漏洞主要有两种方法:基于具体0day漏洞进行识别和基于通用特征进行识别。基于具体0day漏洞进行识别是PHP远程文件包含漏洞最常用的识别方法,当某个常用的开源框架发布漏洞后,提取存在漏洞URL(Uniform Resource Local,统一资源定位符)和恶意参数进行防御;这种方法对漏洞特征开发的工作量巨大,且只能在漏洞公布后才能发布防御特征并进行识别,无法做到完整的事前识别,且针对某个具体网站的漏洞及内部流通的安全漏洞也无法识别。基于通用特征进行识别和正常应用区分不开,误报率很高且在实际应用中作用非常有限,只能结合具体的网站使用通用规则进行识别,不具备通用性。
发明内容
本发明的主要目的是提供一种远程文件包含漏洞的识别方法及装置,旨在解决目前常用的对远程文件包含漏洞进行识别时出现的误报和漏报的问题。
本发明实施例公开了一种远程文件包含漏洞的识别方法,包括以下步骤:
当网络请求报文通过防火墙时,比对内置规则库,识别所述网络请求报文是否与所述内置规则库匹配;
若所述网络请求报文与所述内置规则库匹配,则记录所述网络请求报文信息至会话记录表;
在防火墙接收到服务器发送的访问报文时,识别所述会话记录表中是否记录了所述访问报文;
若所述会话记录表中记录了所述访问报文,则分析所述访问报文的内容;
若分析所述访问报文满足预设允许访问规则,则识别所述访问报文为安全报文;
若分析所述访问报文具备包含漏洞的特征,则识别所述访问报文为包含安全威胁的报文。
优选地,所述分析所述访问报文具备包含漏洞的特征,则识别所述访问报文为包含安全威胁的报文包括:
识别所述访问报文为服务器发起的建立连接的请求报文,且所述访问报文包含所述会话记录表指定的跳转地址,则将所述访问报文在所述会话记录表中标记为可疑远程文件包含;
在接收到针对所述访问报文返回的应答报文时,若识别所述应答报文中包含PHP代码,则识别所述访问报文和应答报文均为包含安全威胁的报文。
优选地,所述识别所述访问报文和应答报文均为包含安全威胁的报文之后还包括:
丢弃所述应答报文,断开所述服务器与所述网络请求报文发送方及所述应答报文发送方之间的连接。
优选地,所述分析所述访问报文满足预设允许访问规则包括:
当识别所述访问报文是与所述网络请求报文进行第一个会话的应答报文且识别所述应答报文的编号符合预设编号规则时,分析所述访问报文满足预设允许访问规则。
优选地,所述识别所述访问报文为安全报文,或者识别所述访问报文为包含安全威胁的报文之后还包括:
删除所述会话记录表中对所述访问报文的记录。
优选地,所述当网络请求报文通过防火墙时,比对内置规则库,识别所述网络请求报文是否与所述内置规则库匹配之前还包括:
预设内置规则库。
优选地,所述记录所述网络请求报文信息至会话记录表的同时,启动定时器并开始计时;在所述定时器达到预设时长时,若识别到记录的所述网络请求报文未触发远程文件包含攻击,则删除记录的所述网络请求报文。
本实施例还公开一种远程文件包含漏洞的识别装置,包括:
报文识别模块,用于当网络请求报文通过防火墙时,比对内置规则库,识别所述网络请求报文是否与所述内置规则库匹配;
信息记录模块,用于在所述网络请求报文与所述内置规则库匹配时,记录所述网络请求报文信息至会话记录表;
报文识别模块,用于在防火墙接收到服务器发送的访问报文时,识别所述会话记录表中是否记录了所述访问报文;若所述会话记录表中记录了所述访问报文,则分析所述访问报文的内容;若分析所述访问报文满足预设允许访问规则,则识别所述访问报文为安全报文;若分析所述访问报文具备包含漏洞的特征,则识别所述访问报文为包含安全威胁的报文。
优选地,所述报文识别模块还用于:
识别所述访问报文为服务器发起的建立连接的请求报文,且所述访问报文包含所述会话记录表指定的跳转地址,则将所述访问报文在所述会话记录表中标记为可疑远程文件包含;
在接收到针对所述访问报文返回的应答报文时,若识别所述应答报文中包含PHP代码,则识别所述访问报文和应答报文均为包含安全威胁的报文。
优选地,所述报文识别模块还用于:
丢弃所述应答报文,断开所述服务器与所述网络请求报文发送方及所述应答报文发送方之间的连接。
优选地,所述报文识别模块还用于:
当识别所述访问报文是与所述网络请求报文进行第一个会话的应答报文且识别所述应答报文的编号符合预设编号规则时,分析所述访问报文满足预设允许访问规则。
优选地,所述远程文件包含漏洞的识别装置还包括:
记录删除模块,用于删除所述会话记录表中对所述访问报文的记录。
优选地,所述远程文件包含漏洞的识别装置还包括:
规则设置模块,用于预设内置规则库。
优选地,所述记录删除模块还用于:
在记录所述网络请求报文信息至会话记录表的同时所启动的定时器达到预设时长时,若识别到记录的所述网络请求报文未触发远程文件包含攻击,则删除记录的所述网络请求报文。
本发明通过当网络请求报文通过防火墙时,比对内置规则库,识别该网络请求报文与所述内置规则库匹配时,记录该网络请求报文信息至会话记录表;在防火墙接收到服务器发送的访问报文时,若识别会话记录表中记录了所述访问报文,则分析所述访问报文的内容;根据分析结果,识别所述访问报文为安全报文还是包含安全威胁的报文的方法,具有及时、准确地识别出远程文件包含漏洞的有益效果,有效地解决了目前基于特征检测机制存在的误报和漏报的问题;进一步地,能够对识别出的远程文件包含漏洞进行事先防御。
附图说明
图1是本发明远程文件包含漏洞的识别方法第一实施例流程示意图;
图2是本发明远程文件包含漏洞的识别方法具体应用场景一实施例结构示意图;
图3是本发明远程文件包含漏洞的识别方法第二实施例流程示意图;
图4是本发明远程文件包含漏洞的识别方法第三实施例流程示意图;
图5是本发明远程文件包含漏洞的识别装置第一实施例功能模块示意图;
图6是本发明远程文件包含漏洞的识别装置第二实施例功能模块示意图;
图7是本发明远程文件包含漏洞的识别装置第三实施例功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明远程文件包含漏洞的识别方法及装置将攻击者恶意攻击请求会话和web服务器请求恶意文件的会话结合起来进行分析,根据PHP远程包含攻击特点,判断是否发生触发PHP远程文件包含攻击;该方法可以排除正常的http(Hyper Text Transfer Protocol,超文本传输协议)重定向请求,同时可以防御尚未公开的PHP远程文件包含漏洞,有效的解决目前基于特征检测机制存在的误报和漏报问题。
参照图1,图1是本发明远程文件包含漏洞的识别方法第一实施例流程示意图;如图1所示,本发明远程文件包含漏洞的识别方法包括以下步骤:
步骤S01、当网络请求报文通过防火墙时,比对内置规则库,识别所述网络请求报文是否与所述内置规则库匹配;若是,则执行步骤S02;若否,则直接放通该网络请求报文,不对其进行任何处理。
当网络请求报文比如http请求报文通过网络防火墙时,防火墙比对内置规则库,识别该网络请求报文是否能够与该内置规则库存储的相应信息匹配。
比如,防火墙识别该网络请求报文中所包含的URL中是否存在潜在的PHP文件包含攻击,或者该网络请求报文所包含的参数是否指向恶意地址。所述内置规则库包括http域名地址、IP地址、伪协议等。
步骤S02、记录所述网络请求报文信息至会话记录表;
当防火墙根据所述网络请求报文中包含URL等信息,与内置规则库比对后,若识别出该网络请求报文与所述内置规则库匹配,将该网络请求报文信息记录在会话记录表中。
所述将该网络请求报文信息记录在会话记录表中包括,记录该网络请求报文使用的会话协议所对应的会话信息如TCP(Transmission Control Protocol,传输控制协议)会话信息,该网络请求报文的URL参数信息如跳转域名地址等信息。
步骤S03、在防火墙接收到服务器发送的访问报文时,识别所述会话记录表中是否记录了所述访问报文;若是,则执行步骤S04;若否,则直接放通该访问报文,或者不对该访问报文进行任何处理。
在防火墙接收到web服务器发送的访问报文时,先查找会话记录表;识别在会话记录表中是否记录该访问报文。如果在会话记录表中没有记录该访问报文,则防火墙直接放通该访问报文,不对该访问报文进行任何处理。
步骤S04、分析所述访问报文的内容,根据分析结果,识别所述访问报文为安全报文还是包含安全威胁的报文。
若防火墙在会话记录表中记录有该访问报文的相应信息,则防火墙分析所述访问报文的内容;若分析所述访问报文满足预设允许访问规则,则识别所述访问报文为安全报文;若分析所述访问报文具备包含漏洞的特征,则识别所述访问报文为包含安全威胁的报文。
PHP远程文件和一些正常的web应用有明显的区别,且PHP远程文件包含和一些URL重定向这两种方式在会话行为上也有明显区别,虽然这两种行为都是建立两个TCP会话,但发起方向有区别,PHP远程文件包含两个会话,一个是攻击者发出,一个是web服务器主动建立新的TCP连接,而URL重定向则是两个会话都是由客户端发起。且PHP远程文件包含攻击和http代理的网络行为也有明显区别,PHP远程文件包含在第一个会话请求中,而URL参数中一定包含类似域名信息的参数,且通过代理方式发送的会话请求中还是正常的http请求,并不会因为使用了代理改变http报文结构,访问地址也不会变成URL参数,所以可以将PHP远程文件包含攻击与http代理区分开。所述预设允许访问规则可以理解为符合web应用的正常行为规则。因此,只要防火墙分析该访问报文不符合web应用的正常行为规则而符合PHP攻击的过程的特点,即可准确的识别出该访问报文是否为远程文件包含攻击;进而也能够识别该访问报文是满足预设允许访问规则的安全报文,还是具备包含漏洞的特征的具有安全威胁的危险报文。
在一优选的实施例中,所述防火墙分析所述访问报文满足预设允许访问规则,则识别所述访问报文为安全报文包括:
当防火墙识别所述访问报文是与所述网络请求报文进行第一个会话的应答报文且识别所述应答报文的编号符合预设编号规则,比如该应答报文的编号为http300~307,则分析出该访问报文满足预设允许访问规则,识别该访问报文为安全报文。因为,URL重定向的两个会话都是由客户端发起,第一个会话应答一般是http3xx编号,并通过location字段告诉客户端发起重定向的地址,客户端按照location指定的域名发起第二个会话。
在一优选的实施例中,所述分析所述访问报文具备包含漏洞的特征,则识别所述访问报文为包含安全威胁的报文包括:
识别所述访问报文为web服务器发起的建立连接的请求报文,且所述访问报文包含所述会话记录表指定的跳转地址,则将所述访问报文在所述会话记录表中标记为可疑远程文件包含;在防火墙接收到针对所述访问报文返回的应答报文时,若识别所述应答报文中包含PHP代码,则识别所述访问报文和应答报文均为包含安全威胁的报文。当应用层防火墙收到web服务器发起了建立连接请求(如TCP会话三次握手请求),且目的地址或者域名信息包含在PHP远程文件包含会话记录表指定的跳转地址,则将该记录标记为可疑PHP远程文件包含攻击,放通该访问报文,继续分析后续的报文。在应用层防火墙接收到发往web服务器的应答报文,且该应答报文中包含PHP代码,则可以明确认为触发了远程文件包含漏洞,识别所述访问报文和应答报文均为包含安全威胁的报文。
进一步地,为了保护网络安全,阻止恶意程序或者恶意代码等网络恶意行为攻击互联网,防火墙在识别所述访问报文和应答报文均为包含安全威胁的报文之后,直接丢弃所述应答报文,断开所述服务器与所述网络请求报文发送方及所述应答报文发送方之间的连接。比如,防火墙丢弃上述报文后,向攻击者、包含恶意代码的服务器和web服务器发送TCP Reset报文,同时断开web服务器和攻击者之间以及web服务器和包含恶意代码的服务器之间的两个TCP会话,同时删除TCP会话跟踪记录,成功防御远程文件包含攻击。
请参照图2,图2是本发明远程文件包含漏洞的识别方法具体应用场景一实施例结构示意图;如图2所示,当攻击者发起PHP远程文件包含攻击时,攻击者会向web服务器发起第一个会话,发送给web服务器的网络请求报文通过防火墙时,应用层防火墙记录该会话信息、域名跳转信息等网络请求报文的相应信息;web服务器向包含恶意代码的服务器发起第二个会话时,应用层防火墙通过记录的前一个会话记录的信息,关联分析这两个会话内容,便可以准确的识别PHP远程文件包含攻击,有效地保护web服务器,避免漏报和误报情况的存在。比如,在图2所示的具体应用场景中,当应用层防火墙识别到PHP远程文件包含攻击时,防火墙向攻击者和web服务器发送TCP Reset报文,断开web服务器和攻击者、web服务器和包含恶意攻击的服务器这两个TCP会话连接,同时删除这两个TCP会话所对应的跟踪记录,成功防御远程文件包含攻击,有效地保护web服务器及内网的安全。
进一步地,在一优选的实施例中,防火墙在记录网络请求报文信息至会话记录表的同时,启动一个定时器并开始计时;在所述定时器达到预设时长时,若防火墙没有发现远程文件包含攻击,则删除记录的网络请求报文信息,防止会话记录表无限制地增加。所述预设时长可以根据需要进行随意设置,比如设置预设时长为10分钟或者15分钟;也可以设置为一个完整的TCP会话的时长,如30分钟等;本实施例对预设时长的具体设置方式及具体时长不作限定。
本发明通过当网络请求报文通过防火墙时,比对内置规则库,识别该网络请求报文与所述内置规则库匹配时,记录该网络请求报文信息至会话记录表;在防火墙接收到服务器发送的访问报文时,若识别会话记录表中记录了所述访问报文,则分析所述访问报文的内容;根据分析结果,识别所述访问报文为安全报文还是包含安全威胁的报文的方法,具有及时、准确地识别出远程文件包含漏洞的有益效果,有效地解决了目前基于特征检测机制存在的误报和漏报的问题。
请参照图3,图3是本发明远程文件包含漏洞的识别方法第二实施例流程示意图;本实施例与图1所述实施例的区别是,仅增加了步骤S05、删除所述会话记录表中对所述访问报文的记录;本实施例仅对步骤S05作具体描述,有关本发明远程文件包含漏洞的识别方法所涉及的其他步骤请参照上述相关实施例的具体描述,在此不再赘述。
如图3所示,本发明远程文件包含漏洞的识别方法在步骤S04、分析所述访问报文的内容,根据分析结果,识别所述访问报文为安全报文还是包含安全威胁的报文之后还包括:
步骤S05、删除所述会话记录表中对所述访问报文的记录。
防火墙在识别该访问报文为安全报文或者包含安全威胁的报文之后,删除该访问报文在会话记录表中的记录,防止该会话记录表的无限制增加,减少不必要的信息占用存储空间。
请参照图4,图4是本发明远程文件包含漏洞的识别方法第三实施例流程示意图;本实施例与图3所述实施例的区别是,仅增加了步骤S10、预设内置规则库;本实施例仅对步骤S10作具体描述,本发明远程文件包含漏洞的识别方法所涉及的其他步骤请参照上述相关实施例的具体描述,在此不再赘述。
如图4所示,本发明远程文件包含漏洞的识别方法在步骤S01、当网络请求报文通过防火墙时,比对内置规则库,识别所述网络请求报文是否与所述内置规则库匹配之前还包括:
步骤S10、预设内置规则库。
应用层防火墙通过正则表达式或者其他方式,表达出PHP文件包含攻击URL参数格式,如URL中包含http域名地址、URL中包含IP地址、伪协议等,并将上述PHP文件包含攻击URL参数格式保存在内置规则库中,作为后续有网络请求报文或者有http流量通过该防火墙时,与设置的内置规则库进行比较的参照。该内置规则库可以仅设置一次,并根据需要进行定期或不定期的维护。
本实施例预设内置规则库是本发明远程文件包含漏洞的识别方法进行后续识别步骤的前提和参照。
请参照图5,图5是本发明远程文件包含漏洞的识别装置第一实施例功能模块示意图;如图5所示,本发明远程文件包含漏洞的识别装置包括:报文识别模块01、信息记录模块02和报文识别模块03。
报文识别模块01,用于当网络请求报文通过防火墙时,比对内置规则库,识别所述网络请求报文是否与所述内置规则库匹配;
当网络请求报文比如http请求报文通过网络防火墙时,报文识别模块01比对内置规则库,识别该网络请求报文是否能够与该内置规则库存储的相应信息匹配。比如,报文识别模块01识别该网络请求报文中所包含的URL中是否存在潜在的PHP文件包含攻击,或者该网络请求报文所包含的参数是否指向恶意地址。所述内置规则库包括http域名地址、IP地址、伪协议等。
信息记录模块02,用于在所述网络请求报文与所述内置规则库匹配时,记录所述网络请求报文信息至会话记录表;
当报文识别模块01根据所述网络请求报文中包含URL等信息,与内置规则库比对后,若报文识别模块01识别出该网络请求报文与所述内置规则库匹配,则信息记录模块02将该网络请求报文信息记录在会话记录表中。
所述信息记录模块02将该网络请求报文信息记录在会话记录表中包括,记录该网络请求报文使用的会话协议所对应的会话信息如TCP会话信息,该网络请求报文的URL参数信息如跳转域名地址等信息。
报文识别模块03,用于在防火墙接收到服务器发送的访问报文时,识别所述会话记录表中是否记录了所述访问报文;若所述会话记录表中记录了所述访问报文,则分析所述访问报文的内容;若分析所述访问报文满足预设允许访问规则,则识别所述访问报文为安全报文;若分析所述访问报文具备包含漏洞的特征,则识别所述访问报文为包含安全威胁的报文。
在防火墙接收到web服务器发送的访问报文时,报文识别模块03先查找会话记录表;识别在会话记录表中是否记录该访问报文。如果在会话记录表中没有记录该访问报文,则报文识别模块03直接放通该访问报文,不对该访问报文进行任何处理。若报文识别模块03在会话记录表中记录有该访问报文的相应信息,则分析所述访问报文的内容;若分析所述访问报文满足预设允许访问规则,则报文识别模块03识别所述访问报文为安全报文;若分析所述访问报文具备包含漏洞的特征,则报文识别模块03识别所述访问报文为包含安全威胁的报文。
PHP远程文件和一些正常的web应用有明显的区别,且PHP远程文件包含和一些URL重定向这两种方式在会话行为上也有明显区别,虽然这两种行为都是建立两个TCP会话,但发起方向有区别,PHP远程文件包含两个会话,一个是攻击者发出,一个是web服务器主动建立新的TCP连接,而URL重定向则是两个会话都是由客户端发起。且PHP远程文件包含攻击和http代理的网络行为也有明显区别,PHP远程文件包含在第一个会话请求中,而URL参数中一定包含类似域名信息的参数,且通过代理方式发送的会话请求中还是正常的http请求,并不会因为使用了代理改变http报文结构,访问地址也不会变成URL参数,所以可以将PHP远程文件包含攻击与http代理区分开。所述预设允许访问规则可以理解为符合web应用的正常行为规则。因此,只要报文识别模块03分析该访问报文不符合web应用的正常行为规则而符合PHP攻击的过程的特点,即可准确的识别出该访问报文是否为远程文件包含攻击;进而也能够识别该访问报文是满足预设允许访问规则的安全报文,还是具备包含漏洞的特征的具有安全威胁的危险报文。
在一优选的实施例中,所述报文识别模块03分析所述访问报文满足预设允许访问规则,则识别所述访问报文为安全报文包括:
当报文识别模块03识别所述访问报文是与所述网络请求报文进行第一个会话的应答报文且识别所述应答报文的编号符合预设编号规则,比如该应答报文的编号为http300~307,则分析出该访问报文满足预设允许访问规则,识别该访问报文为安全报文。因为,URL重定向的两个会话都是由客户端发起,第一个会话应答一般是http3xx编号,并通过location字段告诉客户端发起重定向的地址,客户端按照location指定的域名发起第二个会话。
在一优选的实施例中,所述报文识别模块03分析所述访问报文具备包含漏洞的特征,则识别所述访问报文为包含安全威胁的报文包括:
识别所述访问报文为web服务器发起的建立连接的请求报文,且所述访问报文包含所述会话记录表指定的跳转地址,则将所述访问报文在所述会话记录表中标记为可疑远程文件包含;在防火墙接收到针对所述访问报文返回的应答报文时,若报文识别模块03识别所述应答报文中包含PHP代码,则识别所述访问报文和应答报文均为包含安全威胁的报文。当应用层防火墙收到web服务器发起了建立连接请求(如TCP会话三次握手请求),且目的地址或者域名信息包含在PHP远程文件包含会话记录表指定的跳转地址,则将该记录标记为可疑PHP远程文件包含攻击,放通该访问报文,继续分析后续的报文。在应用层防火墙接收到发往web服务器的应答报文,且该应答报文中包含PHP代码,则可以明确认为触发了远程文件包含漏洞,报文识别模块03识别所述访问报文和应答报文均为包含安全威胁的报文。
进一步地,为了保护网络安全,阻止恶意程序或者恶意代码等网络恶意行为攻击互联网,报文识别模块03在识别所述访问报文和应答报文均为包含安全威胁的报文之后,直接丢弃所述应答报文,断开所述服务器与所述网络请求报文发送方及所述应答报文发送方之间的连接。比如,报文识别模块03丢弃上述报文后,向攻击者、包含恶意代码的服务器和web服务器发送TCP Reset报文,同时断开web服务器和攻击者之间以及web服务器和包含恶意代码的服务器之间的两个TCP会话,同时删除TCP会话跟踪记录,成功防御远程文件包含攻击。
本发明远程文件包含漏洞的识别装置可以设置在应用层防火墙中,其具体应用场景请参照图2所述实施例的具体描述,在此不再赘述。
本发明通过当网络请求报文通过防火墙时,比对内置规则库,识别该网络请求报文与所述内置规则库匹配时,记录该网络请求报文信息至会话记录表;在防火墙接收到服务器发送的访问报文时,若识别会话记录表中记录了所述访问报文,则分析所述访问报文的内容;根据分析结果,识别所述访问报文为安全报文还是包含安全威胁的报文,具有及时、准确地识别出远程文件包含漏洞的有益效果,有效地解决了目前基于特征检测机制存在的误报和漏报的问题。
请参照图6,图6是本发明远程文件包含漏洞的识别装置第二实施例功能模块示意图;本实施例与图5所述实施例的区别是,仅增加了记录删除模块04;本实施例仅对记录删除模块04作具体描述,本发明远程文件包含漏洞的识别装置所涉及的其他模块请参照相关实施例的具体描述,在此不再赘述。
如图6所示,本发明远程文件包含漏洞的识别装置还包括:
记录删除模块04,用于删除所述会话记录表中对所述访问报文的记录。
报文识别模块03在识别该访问报文为安全报文或者包含安全威胁的报文之后,记录删除模块04删除该访问报文在会话记录表中的记录,防止该会话记录表的无限制增加,减少不必要的信息占用存储空间。
在一优选的实施例中,所述记录删除模块04还用于,在记录所述网络请求报文信息至会话记录表的同时所启动的定时器达到预设时长时,若识别到记录的所述网络请求报文未触发远程文件包含攻击,则删除记录的所述网络请求报文。
信息记录模块02在记录网络请求报文信息至会话记录表的同时,启动一个定时器并开始计时;在所述定时器达到预设时长时,若报文识别模块03没有发现远程文件包含攻击,则记录删除模块04删除记录的网络请求报文信息,防止会话记录表无限制地增加。
所述预设时长可以根据需要进行随意设置,比如设置预设时长为10分钟或者15分钟;也可以设置为一个完整的TCP会话的时长,如30分钟等;本实施例对预设时长的具体设置方式及具体时长不作限定。
本实施例通过删除所述会话记录表中对所述访问报文的记录,以及删除符合条件的网络请求报文信息,有效地防止了会话记录表的无限制增加,减少不必要的信息占用存储空间。
请参照图7,图7是本发明远程文件包含漏洞的识别装置第三实施例功能模块示意图。本实施例与图6所述实施例的区别是,仅增加了规则设置模块05,本实施例仅对规则设置模块05作具体描述,有关本发明远程文件包含漏洞的识别装置所涉及的其他模块,请参照上述相关实施例的具体描述,在此不再赘述。
如图7所示,本发明远程文件包含漏洞的识别装置还包括:
规则设置模块05,用于预设内置规则库。
规则设置模块05通过正则表达式或者其他方式,表达出PHP文件包含攻击URL参数格式,如URL中包含http域名地址、URL中包含IP地址、伪协议等,并将上述PHP文件包含攻击URL参数格式保存在内置规则库中,作为后续有网络请求报文或者有http流量通过该防火墙时,与设置的内置规则库进行比较的参照。该内置规则库可以仅设置一次,并根据需要进行定期或不定期的维护。
本实施例预设内置规则库是本发明远程文件包含漏洞的识别装置进行后续识别操作的前提和参照。
以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (14)
1.一种远程文件包含漏洞的识别方法,其特征在于,包括以下步骤:
当网络请求报文通过防火墙时,比对内置规则库,识别所述网络请求报文是否与所述内置规则库匹配;
若所述网络请求报文与所述内置规则库匹配,则记录所述网络请求报文信息至会话记录表;
在防火墙接收到服务器发送的访问报文时,识别所述会话记录表中是否记录了所述访问报文;
若所述会话记录表中记录了所述访问报文,则分析所述访问报文的内容;
若分析所述访问报文满足预设允许访问规则,则识别所述访问报文为安全报文;
若分析所述访问报文具备包含漏洞的特征,则识别所述访问报文为包含安全威胁的报文。
2.如权利要求1所述的方法,其特征在于,所述分析所述访问报文具备包含漏洞的特征,则识别所述访问报文为包含安全威胁的报文包括:
识别所述访问报文为服务器发起的建立连接的请求报文,且所述访问报文包含所述会话记录表指定的跳转地址,则将所述访问报文在所述会话记录表中标记为可疑远程文件包含;
在接收到针对所述访问报文返回的应答报文时,若识别所述应答报文中包含PHP代码,则识别所述访问报文和应答报文均为包含安全威胁的报文。
3.如权利要求2所述的方法,其特征在于,所述识别所述访问报文和应答报文均为包含安全威胁的报文之后还包括:
丢弃所述应答报文,断开所述服务器与所述网络请求报文发送方及所述应答报文发送方之间的连接。
4.如权利要求1所述的方法,其特征在于,所述分析所述访问报文满足预设允许访问规则包括:
当识别所述访问报文是与所述网络请求报文进行第一个会话的应答报文且识别所述应答报文的编号符合预设编号规则时,分析所述访问报文满足预设允许访问规则。
5.如权利要求1至4任一项所述的方法,其特征在于,所述识别所述访问报文为安全报文,或者识别所述访问报文为包含安全威胁的报文之后还包括:
删除所述会话记录表中对所述访问报文的记录。
6.如权利要求1至4任一项所述的方法,其特征在于,所述当网络请求报文通过防火墙时,比对内置规则库,识别所述网络请求报文是否与所述内置规则库匹配之前还包括:
预设内置规则库。
7.如权利要求6所述的方法,其特征在于,所述记录所述网络请求报文信息至会话记录表的同时,启动定时器并开始计时;在所述定时器达到预设时长时,若识别到记录的所述网络请求报文未触发远程文件包含攻击,则删除记录的所述网络请求报文。
8.一种远程文件包含漏洞的识别装置,其特征在于,包括:
报文识别模块,用于当网络请求报文通过防火墙时,比对内置规则库,识别所述网络请求报文是否与所述内置规则库匹配;
信息记录模块,用于在所述网络请求报文与所述内置规则库匹配时,记录所述网络请求报文信息至会话记录表;
报文识别模块,用于在防火墙接收到服务器发送的访问报文时,识别所述会话记录表中是否记录了所述访问报文;若所述会话记录表中记录了所述访问报文,则分析所述访问报文的内容;若分析所述访问报文满足预设允许访问规则,则识别所述访问报文为安全报文;若分析所述访问报文具备包含漏洞的特征,则识别所述访问报文为包含安全威胁的报文。
9.如权利要求8所述的装置,其特征在于,所述报文识别模块还用于:
识别所述访问报文为服务器发起的建立连接的请求报文,且所述访问报文包含所述会话记录表指定的跳转地址,则将所述访问报文在所述会话记录表中标记为可疑远程文件包含;
在接收到针对所述访问报文返回的应答报文时,若识别所述应答报文中包含PHP代码,则识别所述访问报文和应答报文均为包含安全威胁的报文。
10.如权利要求9所述的装置,其特征在于,所述报文识别模块还用于:
丢弃所述应答报文,断开所述服务器与所述网络请求报文发送方及所述应答报文发送方之间的连接。
11.如权利要求8所述的装置,其特征在于,所述报文识别模块还用于:
当识别所述访问报文是与所述网络请求报文进行第一个会话的应答报文且识别所述应答报文的编号符合预设编号规则时,分析所述访问报文满足预设允许访问规则。
12.如权利要求8至11任一项所述的装置,其特征在于,还包括:
记录删除模块,用于删除所述会话记录表中对所述访问报文的记录。
13.如权利要求8至11任一项所述的装置,其特征在于,还包括:
规则设置模块,用于预设内置规则库。
14.如权利要求12所述的装置,其特征在于,所述记录删除模块还用于:
在记录所述网络请求报文信息至会话记录表的同时所启动的定时器达到预设时长时,若识别到记录的所述网络请求报文未触发远程文件包含攻击,则删除记录的所述网络请求报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310150659.0A CN103281300B (zh) | 2013-04-26 | 2013-04-26 | 远程文件包含漏洞的识别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310150659.0A CN103281300B (zh) | 2013-04-26 | 2013-04-26 | 远程文件包含漏洞的识别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103281300A true CN103281300A (zh) | 2013-09-04 |
CN103281300B CN103281300B (zh) | 2016-08-10 |
Family
ID=49063747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310150659.0A Expired - Fee Related CN103281300B (zh) | 2013-04-26 | 2013-04-26 | 远程文件包含漏洞的识别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103281300B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104320378A (zh) * | 2014-09-30 | 2015-01-28 | 百度在线网络技术(北京)有限公司 | 拦截网页数据的方法及*** |
CN105610799A (zh) * | 2015-12-19 | 2016-05-25 | 浙江宇视科技有限公司 | Onvif应用***中的安全防护方法及防火墙设备 |
CN109525580A (zh) * | 2018-11-19 | 2019-03-26 | 南京邮电大学 | 一种基于蓝牙高威胁远程执行代码漏洞的防范方法 |
CN110855642A (zh) * | 2019-10-30 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 应用漏洞检测方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1421771A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种有效防御未知攻击手法的网络入侵安全防御*** |
CN101594266A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种结构化查询语言注入攻击检测方法和装置 |
WO2010011411A1 (en) * | 2008-05-27 | 2010-01-28 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for detecting network anomalies |
CN102123155A (zh) * | 2011-03-21 | 2011-07-13 | 曾湘宁 | 一种基于NDIS驱动的Web服务器攻击过滤及综合防护方法 |
US8239952B1 (en) * | 2007-02-01 | 2012-08-07 | Mcafee, Inc. | Method and system for detection of remote file inclusion vulnerabilities |
-
2013
- 2013-04-26 CN CN201310150659.0A patent/CN103281300B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1421771A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种有效防御未知攻击手法的网络入侵安全防御*** |
US8239952B1 (en) * | 2007-02-01 | 2012-08-07 | Mcafee, Inc. | Method and system for detection of remote file inclusion vulnerabilities |
WO2010011411A1 (en) * | 2008-05-27 | 2010-01-28 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for detecting network anomalies |
CN101594266A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种结构化查询语言注入攻击检测方法和装置 |
CN102123155A (zh) * | 2011-03-21 | 2011-07-13 | 曾湘宁 | 一种基于NDIS驱动的Web服务器攻击过滤及综合防护方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104320378A (zh) * | 2014-09-30 | 2015-01-28 | 百度在线网络技术(北京)有限公司 | 拦截网页数据的方法及*** |
CN104320378B (zh) * | 2014-09-30 | 2018-05-04 | 百度在线网络技术(北京)有限公司 | 拦截网页数据的方法及*** |
CN105610799A (zh) * | 2015-12-19 | 2016-05-25 | 浙江宇视科技有限公司 | Onvif应用***中的安全防护方法及防火墙设备 |
CN105610799B (zh) * | 2015-12-19 | 2019-06-11 | 浙江宇视科技有限公司 | Onvif应用***中的安全防护方法及防火墙设备 |
CN109525580A (zh) * | 2018-11-19 | 2019-03-26 | 南京邮电大学 | 一种基于蓝牙高威胁远程执行代码漏洞的防范方法 |
CN110855642A (zh) * | 2019-10-30 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 应用漏洞检测方法、装置、电子设备及存储介质 |
CN110855642B (zh) * | 2019-10-30 | 2021-08-03 | 腾讯科技(深圳)有限公司 | 应用漏洞检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN103281300B (zh) | 2016-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5970041B2 (ja) | イベント分析に基づくサイバー攻撃探知装置及び方法 | |
KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
CN103746992B (zh) | 基于逆向的入侵检测***及其方法 | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
CN106302501A (zh) | 一种实时发现跨网络通信行为的方法 | |
CN104135490A (zh) | 入侵检测***分析方法和入侵检测*** | |
CN107579997A (zh) | 无线网络入侵检测*** | |
WO2017056121A1 (en) | Method for the identification and prevention of client-side web attacks | |
CN103139138A (zh) | 一种基于客户端检测的应用层拒绝服务防护方法及*** | |
CN104967628A (zh) | 一种保护web应用安全的诱骗方法 | |
CN103281300A (zh) | 远程文件包含漏洞的识别方法及装置 | |
CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
CN106789882A (zh) | 一种域名请求攻击的防御方法及*** | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及*** | |
CN101547127B (zh) | 一种内、外网络报文的识别方法 | |
CN104038474A (zh) | 互联网访问的检测方法及装置 | |
CN107294994B (zh) | 一种基于云平台的csrf防护方法和*** | |
CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 | |
TWI741698B (zh) | 察覺惡意攻擊的方法及網路安全管理裝置 | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
Atkison et al. | Feature Extraction Optimization for Network Intrusion Detection in Control System Networks. | |
Rahmawati et al. | Web Application Firewall Using Proxy and Security Information and Event Management (SIEM) for OWASP Cyber Attack Detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200611 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: 518000 Nanshan Science and Technology Pioneering service center, No. 1 Qilin Road, Guangdong, Shenzhen 418, 419, Patentee before: Sangfor Network Technology (Shenzhen) Co.,Ltd. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160810 |