CN105812196A - 一种WebShell检测方法及电子设备 - Google Patents
一种WebShell检测方法及电子设备 Download PDFInfo
- Publication number
- CN105812196A CN105812196A CN201410844124.8A CN201410844124A CN105812196A CN 105812196 A CN105812196 A CN 105812196A CN 201410844124 A CN201410844124 A CN 201410844124A CN 105812196 A CN105812196 A CN 105812196A
- Authority
- CN
- China
- Prior art keywords
- access log
- uri information
- conditioned
- webshell
- analysis result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种WebShell检测方法及电子设备,其中所述方法包括:获取符合第一预设条件的访问日志,其中,所述第一预设条件表征所述访问日志为针对动态页面的访问日志;从所述访问日志中提取通用资源标识符URI信息;利用第一应用对所述URI信息解析得到解析结果;判断所述解析结果中是否携带有预设的特征参数,当所述解析结果中携带有预设的特征参数时,确定所述URI信息指向WebShell,针对所述URI信息进行告警处理。
Description
技术领域
本发明涉及通信领域的检测技术,尤其涉及一种WebShell检测方法及电子设备。
背景技术
随着网页(WEB)技术的不断进步与发展,随之而来的也是WEB应用所面临的越来越复杂的安全问题。黑客在入侵一个网站后,往往通过在网站中植入WebShell,比如WebShell后门的方式,对网站进行长期控制的目的。目前,检测WebShell的方法可以有:基于特征的检测,主要对WebShell静态文件中的关键函数进行匹配,但是,这种方法无法提升检测成功率。基于页面关联关系的检测,通过梳理页面关联关系的方式找出网站中存在的孤立页面,该孤立页面即为WebShell,但是,这种方法无法减少误报率。
发明内容
有鉴于此,本发明的目的在于提供一种WebShell检测方法及电子设备,能至少解决现有技术存在的上述问题。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种WebShell检测方法,所述方法包括:
获取符合第一预设条件的访问日志,其中,所述第一预设条件表征所述访问日志为针对动态页面的访问日志;
从所述访问日志中提取通用资源标识符URI信息;
利用第一应用对所述URI信息解析得到解析结果;
判断所述解析结果中是否携带有预设的特征参数,
当所述解析结果中携带有预设的特征参数时,确定所述URI信息指向WebShell,针对所述URI信息进行告警处理。
上述方案中,所述获取符合第一预设条件的访问日志之前,所述方法还包括:
从网页服务器中获取到访问日志,
按照预设格式对获取到的所述访问日志进行转换,得到转换后的访问日志。
上述方案中,所述利用第一应用对所述URI信息解析得到解析结果之前,所述方法还包括:
判断所述URI信息是否符合第二预设条件,所述第二预设条件表征首次检测所述URI信息;
当所述URI信息符合第二预设条件时,执行利用第一应用对所述URI信息解析得到解析结果的操作。
上述方案中,所述方法还包括:
当所述解析结果中不携带有预设的特征参数时,确定所述URI信息未指向WebShell,将所述URI信息添加至第一列表中。
上述方案中,所述方法还包括:
当所述URI信息不符合第二预设条件时,
检测所述URI信息是否已保存在所述第一列表中,若是,则不做处理;否则,执行利用第一应用对所述URI信息解析得到解析结果的操作。
上述方案中,所述预设的特征参数包括以下至少一项:预设的文件名、预设的关键字。
上述方案中,所述方法还包括:
记录所述符合第一预设条件的访问日志;
根据记录的所述符合第一预设条件的访问日志,检测网络服务器是否具备新增的符合第一预设条件的访问日志;
如果具备,则继续获取新增的所述符合第一预设条件的访问日志,以及执行从所述访问日志中提取通用资源标识符URI信息的操作。
本发明实施例提供了一种电子设备,所述电子设备包括:
信息提取单元,用于获取符合第一预设条件的访问日志,其中,所述第一预设条件表征所述访问日志为针对动态页面的访问日志;从所述访问日志中提取通用资源标识符URI信息;
解析单元,用于利用第一应用对所述URI信息解析得到解析结果;
处理单元,用于判断所述解析结果中是否携带有预设的特征参数,当所述解析结果中携带有预设的特征参数时,确定所述URI信息指向WebShell,针对所述URI信息进行告警处理。
上述方案中,所述信息提取单元,具体用于从网页服务器中获取到访问日志,按照预设格式对获取到的所述访问日志进行转换,得到转换后的访问日志。
上述方案中,所述解析单元,还用于判断所述URI信息是否符合第二预设条件,所述第二预设条件表征首次检测所述URI信息;当所述URI信息符合第二预设条件时,执行利用第一应用对所述URI信息解析得到解析结果的操作。
上述方案中,所述处理单元,还用于当所述解析结果中不携带有预设的特征参数时,确定所述URI信息未指向WebShell,将所述URI信息添加至第一列表中。
上述方案中,所述解析单元,还用于当所述URI信息不符合第二预设条件时,检测所述URI信息是否已保存在所述第一列表中,若是,则不做处理;否则,执行利用第一应用对所述URI信息解析得到解析结果的操作。
上述方案中,所述预设的特征参数包括以下至少一项:预设的文件名、预设的关键字。
上述方案中,所述信息提取单元,还用于记录所述符合第一预设条件的访问日志;根据记录的所述符合第一预设条件的访问日志,检测网络服务器是否具备新增的符合第一预设条件的访问日志;如果具备,则继续获取新增的所述符合第一预设条件的访问日志,以及执行从所述访问日志中提取通用资源标识符URI信息的操作。
本发明所提供的WebShell检测方法及电子设备,能够获取动态页面的访问日志中的URI信息,利用第一应用对URI信息进行解析得到结果,根据解析结果来分析URI信息是否指向WebShell;如此,该种方式无需每次遍历和解析网站的全部页面,仅需针对动态页面的访问进行检测,因此数据处理量小,从而能够提升检测速度,保证检测效率。
附图说明
图1为本发明实施例WebShell检测方法流程示意图;
图2为本发明实施例场景示意图;
图3为本发明实施例URI资源示例;
图4为本发明实施例WebShell检测方法实施流程图;
图5为本发明实施例电子设备组成结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
实施例一、
本实施例提供了一种WebShell检测方法,如图1所示,包括:
步骤101:获取符合第一预设条件的访问日志,其中,所述第一预设条件表征所述访问日志为针对动态页面的访问日志;
步骤102:从所述访问日志中提取通用资源标识符(URI)信息;
步骤103:利用第一应用对所述URI信息解析得到解析结果;
步骤104:判断所述解析结果中是否携带有预设的特征参数,当所述解析结果中携带有预设的特征参数时,确定所述URI信息指向WebShell,针对所述URI信息进行告警处理。
本实施例中所述的恶意代码可以为WebShell。
这里,所述获取符合第一预设条件的访问日志,可以包括:从网页服务器中获取到访问日志,按照预设格式对获取到的所述访问日志进行转换,得到转换后的访问日志;其中,所述预设格式包括:URI信息。上述获取到访问日志的数量为至少一个访问日志。
所述从网页服务器中获取访问日志的具体方法为:通过从网页服务器中在线提取或离线导入的方式;具体为:
方式一、在线提取;如图2所示,电站设备21通过SMB协议或SFTP协议自动提取一个或多个网页(web)服务器22上记录的至少一个访问日志;
方式二、离线导入;通过提取网页服务器上记录的访问日志,离线导入该装置的方式进行解析和分析。
优选地,由于实际操作中有可能会从多个网页服务器中提取访问日志,而不同类型的网页服务器记录的访问日志格式存在一定差别,因此,本实施例中提供了按照预设格式对获取到的所述访问日志进行转换,得到转换后的访问日志的处理方式;
其中,所述转换可以为从所述访问日志提取预设格式中要求的一个或多个信息,并且将提取到的一个或多个信息添加至预设位置处。比如,从访问日志中提取URI信息之后,将URI信息添加到预设格式的指定添加URI信息的位置处。
所述预设格式中包括有URI信息;优选地,所述预设格式中除了上述URI信息之外,还可以包括以下至少一种信息:日期、时间、源互联网地址(IP)、状态、大小、版本、代理服务器等。其中,通用资源标识符(URI,UniformResourceIdentifier)信息即用户访问的服务器端统一资源***(URL,UniformResoureLocator),为分析的关键对象。
所述第一预设条件表征所述访问日志为针对动态页面的访问日志是由于一旦服务器端被植入WebShell,攻击者访问该WebShell后,WebShell的地址均会在URI中留下痕迹。由于客户端访问服务器的所有资源都会记录在日志中,包括java服务器页面(JSP,JavaServerPages)、动态服务器页面(asp,ActiveServerPage)、PHP(外文名:HypertextPreprocessor,中文名:“超文本预处理器”)、超文本标记语言或超文本链接标示语言(HTML,HyperTextMark-upLanguage)、js、层叠样式表(CSS,CascadingStyleSheets)、rar、图标文件格式(ico)、JPEG(联合图像专家组)和图像文件存储格式(PNG)等类型资源,图3中给出了上述部分资源的示例。
根据WebShell的特征显示,WebShell主要为jsp、asp和php等动态脚本页面,其他html和jpg等静态页面和图片链接不是WebShell。因此,为提高分析效率,本发明实施例设计仅提取动态页面进行分析,实验表面可提高81%的分析效率。比如,实验选取门户一天的日志进行分析,实验数据如表1所示,分析其中各种资源类型文件的占比,可知有效动态页面占总量的19%,因此如果只分析针对动态页面的访问日志能够提升分析效率。
类型 | 分片1 | 分片2 | 分片3 | 分片4 | 分片5 | 分片6 | 分片7 | 总计 |
.jsp | 13191 | 25753 | 27086 | 23449 | 48880 | 21878 | 8664 | 168901 |
.htm | 18787 | 22835 | 22441 | 27744 | 47845 | 27493 | 7490 | 174635 |
.html | 87 | 172 | 177 | 172 | 355 | 169 | 54 | 1186 |
.ico | 11415 | 20978 | 19808 | 18554 | 38722 | 17646 | 6941 | 134064 |
.css | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.rar | 54 | 50 | 57 | 46 | 107 | 82 | 75 | 471 |
.jpg | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.png | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.swf | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.gif | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.js | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.xml | 4734 | 6430 | 6621 | 7153 | 14292 | 9059 | 1892 | 50181 |
/ | 33674 | 46578 | 48121 | 49809 | 97533 | 48096 | 15514 | 339325 |
.asp | 25 | 8 | 11 | 2 | 50 | 9 | 4 | 109 |
.asa | 2 | 0 | 0 | 0 | 0 | 0 | 1 | 3 |
.zip | 14 | 14 | 24 | 34 | 97 | 30 | 123 | 336 |
.txt | 19 | 13 | 4 | 7 | 25 | 9 | 6 | 83 |
总计 | 82002 | 122831 | 124350 | 126970 | 247906 | 124471 | 40764 | 869294 |
所述第一应用可以为客户端浏览器;相应的,所述利用第一应用对所述URI信息解析得到解析结果可以为:自动的将所述URI信息添加到所述客户端浏览器的地址栏中,并且运行所述客户端浏览器的地址解析功能,根据所述URI信息进行解析,最终得到的解析结果可以为一个页面;并且,在所述页面中可以包括名称、一个或多个标题、以及一个或多个标题中的具体内容。
通过上述使用第一应用对URI的所有资源进行解析的方式,能够直接获取URI信息指向的内容,根据解析得到的内容分析URI信息是否指向了webshell,从而通过第一应用的解析功能可以可有效检测出编码和加密型webshell,因此,具有较好的检测效果。
所述预设的特征参数包括以下至少一项:预设的文件名、预设的关键字。
其中,所述预设的文件名可以包括shell.jsp、muma.jsp、jshell.jsp、xiaoma.jsp和cmd.jsp等文件名,可初步判定为webshell;另外具有webshell动作和行为的uri,如xx.aspAction=CmdShell等行为,则可判断为webshell;预设的关键字可以包括:基于标题(title)中的关键字,比如title为jfolder、jshell和预设的一句话等则可判断为webshell;所述预设的关键字还可以包括webshell作者会webshell页面留下版本和归属信息,如菜刀、暗组以及jshell等。
优选地,执行步骤103之前,还可以包括:判断所述URI信息是否符合第二预设条件,所述第二预设条件表征首次检测所述URI信息;当所述URI信息符合第二预设条件时,执行利用第一应用对所述URI信息解析得到解析结果的操作;
当所述URI信息不符合第二预设条件时,检测所述URI信息是否已保存在所述第一列表中,若是,则不做处理;否则,执行利用第一应用对所述URI信息解析得到解析结果的操作。
可以每次执行完成步骤103之后,均记录解析的URI信息,那么在下一次执行步骤103之前,都能够把即将解析的URI信息以及记录过的URI信息进行比对,从而确定即将解析的URI信息是否为首次检测的URI信息。
进一步的,上述步骤104执行完成之后,还可以包括:当所述解析结果中不携带有预设的特征参数时,确定所述URI信息未指向WebShell,将所述URI信息添加至第一列表中;其中,所述第一列表可以为一个白名单列表,在列表中记录着一个或多个经过检测为不指向WebShell的URI信息。
优选地,上述步骤104执行完成之后,所述方法还包括:记录所述符合第一预设条件的访问日志;根据记录的所述符合第一预设条件的访问日志,检测网络服务器是否具备新增的符合第一预设条件的访问日志;如果具备,则继续获取新增的所述符合第一预设条件的访问日志;否则,不做操作。如此,就能够只针对新增的动态页面进行WebShell的检测,进一步的提升分析效率。
上述步骤104完成之后,就能够针对检测到的WebShell进行告警,进而管理人员能够针对WebShell进行处理。
下面结合图4,对本实施例的实施进行描述:
步骤401:接收URI信息;
步骤402:判断所述URI信息是否为首次提取,如果是,就执行检测流程,执行步骤403;否则,执行步骤406;
步骤403:检测流程:利用构建的第一应用,比如,客户端浏览器,对URI信息进行解析,得到解析结果;
其中,检测流程使用到两项技术:
一是构建客户端浏览器模拟器的方式对URI的所有资源进行解析,对解析的结果依据webshell的特征进行检测,此种webshell检测方式可有效检测编码和加密型webshell,具有较好的检测效果;二是基于浏览器解析方法判定的webshell特征。
步骤404:利用预设的特征参数分析解析结果是否为WebShell,即webshell;
步骤405:如果判断为WebShell,则进行告警;否则,则将检测过的uri信息加入第一列表即白名单中,已加入白名单基线中的URI下次不再检测,结束处理流程。
步骤406:将提取的uri与第一列表即白名单中的uri进行比对,非白名单的uri(即新增加的网站页面文件),有可能为攻击植入的webshell文件,进入新增uri的webshell检测流程,以此循环,最后对检测到的webshell进行告警。
由于webshell以文件的形式存在,攻击者只有通过远程访问该文件的方式,调用运行该文件的函数来实现对网站服务器的控制,而攻击者所有对网站发布目录中文件的访问记录均会记录到访问日志中,利用这个规律和特性,本实施例提供上述方案进行信息检测。
可见,采用上述方案,就能够获取动态页面的访问日志中的URI信息,利用第一应用对URI信息进行解析得到结果,根据解析结果来分析URI信息是否指向WebShell;如此,该种方式无需每次遍历和解析网站的全部页面,仅需针对动态页面的访问进行检测,因此数据处理量小,从而能够提升检测速度,保证检测效率。
实施例二、
本实施例提供了一种电子设备,如图5所示,所述电子设备包括:
信息提取单元51,用于获取符合第一预设条件的访问日志,其中,所述第一预设条件表征所述访问日志为针对动态页面的访问日志;从所述访问日志中提取通用资源标识符URI信息;
解析单元52,用于利用第一应用对所述URI信息解析得到解析结果;
处理单元53,用于判断所述解析结果中是否携带有预设的特征参数,当所述解析结果中携带有预设的特征参数时,确定所述URI信息指向WebShell,针对所述URI信息进行告警处理。
所述信息提取单元,具体用于从网页服务器中获取到访问日志,按照预设格式对获取到的所述访问日志进行转换,得到转换后的访问日志。其中,所述预设格式包括:URI信息。上述获取到访问日志的数量为至少一个访问日志。
所述信息提取单元,具体用于通过从网页服务器中在线提取或离线导入的方式从网页服务器中获取访问日志;具体为:
方式一、在线提取;如图2所示,电站设备21通过SMB协议或SFTP协议自动提取一个或多个网页(web)服务器22上记录的至少一个访问日志;
方式二、离线导入;通过提取网页服务器上记录的访问日志,离线导入该装置的方式进行解析和分析。
优选地,由于实际操作中有可能会从多个网页服务器中提取访问日志,而不同类型的网页服务器记录的访问日志格式存在一定差别,因此,本实施例中提供了按照预设格式对获取到的所述访问日志进行转换,得到转换后的访问日志的处理方式;
其中,所述转换可以为从所述访问日志提取预设格式中要求的一个或多个信息,并且将提取到的一个或多个信息添加至预设位置处。比如,从访问日志中提取URI信息之后,将URI信息添加到预设格式的指定添加URI信息的位置处。
所述预设格式中包括有URI信息;优选地,所述预设格式中除了上述URI信息之外,还可以包括以下至少一种信息:日期、时间、源互联网地址(IP)、状态、大小、版本、代理服务器等。其中,通用资源标识符(URI,UniformResourceIdentifier)信息即用户访问的服务器端统一资源***(URL,UniformResoureLocator),为分析的关键对象。
所述第一预设条件表征所述访问日志为针对动态页面的访问日志是由于一旦服务器端被植入WebShell,攻击者访问该WebShell后,WebShell的地址均会在URI中留下痕迹。由于客户端访问服务器的所有资源都会记录在日志中,包括java服务器页面(JSP,JavaServerPages)、动态服务器页面(asp,ActiveServerPage)、PHP(外文名:HypertextPreprocessor,中文名:“超文本预处理器”)、超文本标记语言或超文本链接标示语言(HTML,HyperTextMark-upLanguage)、js、层叠样式表(CSS,CascadingStyleSheets)、rar、图标文件格式(ico)、JPEG(联合图像专家组)和图像文件存储格式(PNG)等类型资源,图3中给出了上述部分资源的示例。
根据WebShell的特征显示,WebShell主要为jsp、asp和php等动态脚本页面,其他html和jpg等静态页面和图片链接不是WebShell。因此,为提高分析效率,本发明实施例设计仅提取动态页面进行分析,实验表面可提高81%的分析效率。比如,实验选取门户一天的日志进行分析,实验数据如表1所示,分析其中各种资源类型文件的占比,可知有效动态页面占总量的19%,因此如果只分析针对动态页面的访问日志能够提升分析效率。
类型 | 分片1 | 分片2 | 分片3 | 分片4 | 分片5 | 分片6 | 分片7 | 总计 |
.jsp | 13191 | 25753 | 27086 | 23449 | 48880 | 21878 | 8664 | 168901 |
.htm | 18787 | 22835 | 22441 | 27744 | 47845 | 27493 | 7490 | 174635 |
.html | 87 | 172 | 177 | 172 | 355 | 169 | 54 | 1186 |
.ico | 11415 | 20978 | 19808 | 18554 | 38722 | 17646 | 6941 | 134064 |
.css | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.rar | 54 | 50 | 57 | 46 | 107 | 82 | 75 | 471 |
.jpg | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.png | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.swf | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.gif | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.js | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
.xml | 4734 | 6430 | 6621 | 7153 | 14292 | 9059 | 1892 | 50181 |
/ | 33674 | 46578 | 48121 | 49809 | 97533 | 48096 | 15514 | 339325 |
.asp | 25 | 8 | 11 | 2 | 50 | 9 | 4 | 109 |
.asa | 2 | 0 | 0 | 0 | 0 | 0 | 1 | 3 |
.zip | 14 | 14 | 24 | 34 | 97 | 30 | 123 | 336 |
.txt | 19 | 13 | 4 | 7 | 25 | 9 | 6 | 83 |
总计 | 82002 | 122831 | 124350 | 126970 | 247906 | 124471 | 40764 | 869294 |
所述第一应用可以为客户端浏览器;相应的,所述利用第一应用对所述URI信息解析得到解析结果可以为:自动的将所述URI信息添加到所述客户端浏览器的地址栏中,并且运行所述客户端浏览器的地址解析功能,根据所述URI信息进行解析,最终得到的解析结果可以为一个页面;并且,在所述页面中可以包括名称、一个或多个标题、以及一个或多个标题中的具体内容。
通过上述使用第一应用对URI的所有资源进行解析的方式,能够直接获取URI信息指向的内容,根据解析得到的内容分析URI信息是否指向了webshell,从而通过第一应用的解析功能可以可有效检测出编码和加密型webshell,因此,具有较好的检测效果。
所述预设的特征参数包括以下至少一项:预设的文件名、预设的关键字。
所述预设的文件名可以包括shell.jsp、muma.jsp、jshell.jsp、xiaoma.jsp和cmd.jsp等文件名,可初步判定为webshell;另外具有webshell动作和行为的uri,如xx.aspAction=CmdShell等行为,则可判断为webshell;预设的关键字可以包括:基于标题(title)中的关键字,比如title为jfolder、jshell和预设的一句话等则可判断为webshell;所述预设的关键字还可以包括webshell作者会webshell页面留下版本和归属信息,如菜刀、暗组以及jshell等。
优选地,所述解析单元,还用于判断所述URI信息是否符合第二预设条件,所述第二预设条件表征首次检测所述URI信息;当所述URI信息符合第二预设条件时,执行利用第一应用对所述URI信息解析得到解析结果的操作;当所述URI信息不符合第二预设条件时,检测所述URI信息是否已保存在所述第一列表中,若是,则不做处理;否则,执行利用第一应用对所述URI信息解析得到解析结果的操作。
进一步的,所述处理单元,还用于当所述解析结果中不携带有预设的特征参数时,确定所述URI信息未指向WebShell,将所述URI信息添加至第一列表中。其中,所述第一列表可以为一个白名单列表,在列表中记录着一个或多个经过检测为不指向WebShell的URI信息。
优选地,所述信息提取单元,还用于记录所述符合第一预设条件的访问日志;根据记录的所述符合第一预设条件的访问日志,检测网络服务器是否具备新增的符合第一预设条件的访问日志;如果具备,则继续获取新增的所述符合第一预设条件的访问日志;否则,不做操作。如此,就能够只针对新增的动态页面进行WebShell的检测,进一步的提升分析效率。
如此,就能够针对检测到的WebShell进行告警,进而管理人员能够针对WebShell进行处理。
下面结合图4,对本实施例的实施进行描述:
步骤401:接收URI信息;
步骤402:判断所述URI信息是否为首次提取,如果是,就执行检测流程,执行步骤403;否则,执行步骤406;
步骤403:检测流程:利用构建的第一应用,比如,客户端浏览器,对URI信息进行解析,得到解析结果;
其中,检测流程使用到两项技术:
一是构建客户端浏览器模拟器的方式对URI的所有资源进行解析,对解析的结果依据webshell的特征进行检测,此种webshell检测方式可有效检测编码和加密型webshell,具有较好的检测效果;二是基于浏览器解析方法判定的webshell特征。
步骤404:利用预设的特征参数分析解析结果是否为WebShell,即webshell;
步骤405:如果判断为WebShell,则进行告警;否则,则将检测过的uri信息加入第一列表即白名单中,已加入白名单基线中的URI下次不再检测,结束处理流程。
步骤406:将URI信息与第一列表进行比对,判断所述URI信息是否在第一列表中,第一列表为白名单,如果在第一列表中,则结束处理流程;如果URI信息不在第一列表即白名单中(即新增加的网站页面文件),有可能为攻击植入的webshell文件,进入新增uri的webshell检测流程,以此循环,最后对检测到的webshell进行告警。
可见,采用上述方案,就能够获取动态页面的访问日志中的URI信息,利用第一应用对URI信息进行解析得到结果,根据解析结果来分析URI信息是否指向WebShell;如此,该种方式无需每次遍历和解析网站的全部页面,仅需针对动态页面的访问进行检测,因此数据处理量小,从而能够提升检测速度,保证检测效率。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (14)
1.一种WebShell检测方法,其特征在于,所述方法包括:
获取符合第一预设条件的访问日志,其中,所述第一预设条件表征所述访问日志为针对动态页面的访问日志;
从所述访问日志中提取通用资源标识符URI信息;
利用第一应用对所述URI信息解析得到解析结果;
判断所述解析结果中是否携带有预设的特征参数,
当所述解析结果中携带有预设的特征参数时,确定所述URI信息指向WebShell,针对所述URI信息进行告警处理。
2.根据权利要求1所述的方法,其特征在于,所述获取符合第一预设条件的访问日志之前,所述方法还包括:
从网页服务器中获取到访问日志,
按照预设格式对获取到的所述访问日志进行转换,得到转换后的访问日志。
3.根据权利要求1所述的方法,其特征在于,所述利用第一应用对所述URI信息解析得到解析结果之前,所述方法还包括:
判断所述URI信息是否符合第二预设条件,所述第二预设条件表征首次检测所述URI信息;
当所述URI信息符合第二预设条件时,执行利用第一应用对所述URI信息解析得到解析结果的操作。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当所述解析结果中不携带有预设的特征参数时,确定所述URI信息未指向WebShell,将所述URI信息添加至第一列表中。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
当所述URI信息不符合第二预设条件时,
检测所述URI信息是否已保存在所述第一列表中,若是,则不做处理;否则,执行利用第一应用对所述URI信息解析得到解析结果的操作。
6.根据权利要求1所述的方法,其特征在于,所述预设的特征参数包括以下至少一项:预设的文件名、预设的关键字。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
记录所述符合第一预设条件的访问日志;
根据记录的所述符合第一预设条件的访问日志,检测网络服务器是否具备新增的符合第一预设条件的访问日志;
如果具备,则继续获取新增的所述符合第一预设条件的访问日志,以及执行从所述访问日志中提取通用资源标识符URI信息的操作。
8.一种电子设备,其特征在于,所述电子设备包括:
信息提取单元,用于获取符合第一预设条件的访问日志,其中,所述第一预设条件表征所述访问日志为针对动态页面的访问日志;从所述访问日志中提取通用资源标识符URI信息;
解析单元,用于利用第一应用对所述URI信息解析得到解析结果;
处理单元,用于判断所述解析结果中是否携带有预设的特征参数,当所述解析结果中携带有预设的特征参数时,确定所述URI信息指向WebShell,针对所述URI信息进行告警处理。
9.根据权利要求8所述的电子设备,其特征在于,
所述信息提取单元,具体用于从网页服务器中获取到访问日志,按照预设格式对获取到的所述访问日志进行转换,得到转换后的访问日志。
10.根据权利要求8所述的电子设备,其特征在于,
所述解析单元,还用于判断所述URI信息是否符合第二预设条件,所述第二预设条件表征首次检测所述URI信息;当所述URI信息符合第二预设条件时,执行利用第一应用对所述URI信息解析得到解析结果的操作。
11.根据权利要求10所述的电子设备,其特征在于,所述处理单元,还用于当所述解析结果中不携带有预设的特征参数时,确定所述URI信息未指向WebShell,将所述URI信息添加至第一列表中。
12.根据权利要求11所述的电子设备,其特征在于,所述解析单元,还用于当所述URI信息不符合第二预设条件时,检测所述URI信息是否已保存在所述第一列表中,若是,则不做处理;否则,执行利用第一应用对所述URI信息解析得到解析结果的操作。
13.根据权利要求8所述的电子设备,其特征在于,所述预设的特征参数包括以下至少一项:预设的文件名、预设的关键字。
14.根据权利要求8所述的电子设备,其特征在于,
所述信息提取单元,还用于记录所述符合第一预设条件的访问日志;根据记录的所述符合第一预设条件的访问日志,检测网络服务器是否具备新增的符合第一预设条件的访问日志;如果具备,则继续获取新增的所述符合第一预设条件的访问日志,以及执行从所述访问日志中提取通用资源标识符URI信息的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410844124.8A CN105812196A (zh) | 2014-12-30 | 2014-12-30 | 一种WebShell检测方法及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410844124.8A CN105812196A (zh) | 2014-12-30 | 2014-12-30 | 一种WebShell检测方法及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105812196A true CN105812196A (zh) | 2016-07-27 |
Family
ID=56419971
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410844124.8A Pending CN105812196A (zh) | 2014-12-30 | 2014-12-30 | 一种WebShell检测方法及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105812196A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106992981A (zh) * | 2017-03-31 | 2017-07-28 | 北京知道创宇信息技术有限公司 | 一种网站后门检测方法、装置和计算设备 |
CN107404497A (zh) * | 2017-09-05 | 2017-11-28 | 成都知道创宇信息技术有限公司 | 一种在海量日志中检测WebShell的方法 |
CN107566371A (zh) * | 2017-09-05 | 2018-01-09 | 成都知道创宇信息技术有限公司 | 一种面向海量日志的WebShell挖掘方法 |
CN107689940A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | WebShell检测方法及装置 |
CN108985057A (zh) * | 2018-06-27 | 2018-12-11 | 平安科技(深圳)有限公司 | 一种webshell检测方法及相关设备 |
CN110519270A (zh) * | 2019-08-27 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
CN111258969A (zh) * | 2018-11-30 | 2020-06-09 | ***通信集团浙江有限公司 | 一种互联网访问日志解析方法及装置 |
CN111447206A (zh) * | 2020-03-24 | 2020-07-24 | 深圳市盟天科技有限公司 | 一种js资源加密传输方法、装置、服务器及存储介质 |
CN113014601A (zh) * | 2021-03-26 | 2021-06-22 | 深信服科技股份有限公司 | 一种通信检测方法、装置、设备和介质 |
CN114465741A (zh) * | 2020-11-09 | 2022-05-10 | 腾讯科技(深圳)有限公司 | 一种异常检测方法、装置、计算机设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291394A (zh) * | 2011-07-22 | 2011-12-21 | 网宿科技股份有限公司 | 基于网络加速设备的安全防御*** |
US8464318B1 (en) * | 2008-11-24 | 2013-06-11 | Renen Hallak | System and method for protecting web clients and web-based applications |
CN103294952A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于页面关系检测webshell的方法及*** |
CN103561012A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种基于关联树的web后门检测方法及*** |
CN103607413A (zh) * | 2013-12-05 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
-
2014
- 2014-12-30 CN CN201410844124.8A patent/CN105812196A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8464318B1 (en) * | 2008-11-24 | 2013-06-11 | Renen Hallak | System and method for protecting web clients and web-based applications |
CN102291394A (zh) * | 2011-07-22 | 2011-12-21 | 网宿科技股份有限公司 | 基于网络加速设备的安全防御*** |
CN103294952A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于页面关系检测webshell的方法及*** |
CN103561012A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种基于关联树的web后门检测方法及*** |
CN103607413A (zh) * | 2013-12-05 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107689940A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | WebShell检测方法及装置 |
CN107689940B (zh) * | 2016-08-04 | 2021-03-09 | 深信服科技股份有限公司 | WebShell检测方法及装置 |
CN106992981A (zh) * | 2017-03-31 | 2017-07-28 | 北京知道创宇信息技术有限公司 | 一种网站后门检测方法、装置和计算设备 |
CN106992981B (zh) * | 2017-03-31 | 2020-04-07 | 北京知道创宇信息技术股份有限公司 | 一种网站后门检测方法、装置和计算设备 |
CN107404497A (zh) * | 2017-09-05 | 2017-11-28 | 成都知道创宇信息技术有限公司 | 一种在海量日志中检测WebShell的方法 |
CN107566371A (zh) * | 2017-09-05 | 2018-01-09 | 成都知道创宇信息技术有限公司 | 一种面向海量日志的WebShell挖掘方法 |
CN107566371B (zh) * | 2017-09-05 | 2020-08-18 | 成都知道创宇信息技术有限公司 | 一种面向海量日志的WebShell挖掘方法 |
CN108985057A (zh) * | 2018-06-27 | 2018-12-11 | 平安科技(深圳)有限公司 | 一种webshell检测方法及相关设备 |
CN108985057B (zh) * | 2018-06-27 | 2022-07-22 | 平安科技(深圳)有限公司 | 一种webshell检测方法及相关设备 |
CN111258969B (zh) * | 2018-11-30 | 2023-08-15 | ***通信集团浙江有限公司 | 一种互联网访问日志解析方法及装置 |
CN111258969A (zh) * | 2018-11-30 | 2020-06-09 | ***通信集团浙江有限公司 | 一种互联网访问日志解析方法及装置 |
CN110519270B (zh) * | 2019-08-27 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
CN110519270A (zh) * | 2019-08-27 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
CN111447206A (zh) * | 2020-03-24 | 2020-07-24 | 深圳市盟天科技有限公司 | 一种js资源加密传输方法、装置、服务器及存储介质 |
CN114465741A (zh) * | 2020-11-09 | 2022-05-10 | 腾讯科技(深圳)有限公司 | 一种异常检测方法、装置、计算机设备及存储介质 |
CN114465741B (zh) * | 2020-11-09 | 2023-09-26 | 腾讯科技(深圳)有限公司 | 一种异常检测方法、装置、计算机设备及存储介质 |
CN113014601A (zh) * | 2021-03-26 | 2021-06-22 | 深信服科技股份有限公司 | 一种通信检测方法、装置、设备和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105812196A (zh) | 一种WebShell检测方法及电子设备 | |
CN104125209B (zh) | 恶意网址提示方法和路由器 | |
US9935967B2 (en) | Method and device for detecting malicious URL | |
CN102957664B (zh) | 一种识别钓鱼网站的方法及装置 | |
CN101895516B (zh) | 一种跨站脚本攻击源的定位方法及装置 | |
WO2018022359A1 (en) | Web page display systems and methods | |
CN102663319B (zh) | 下载链接安全提示方法及装置 | |
CN103279710B (zh) | Internet信息***恶意代码的检测方法和*** | |
CN105760379B (zh) | 一种基于域内页面关联关系检测webshell页面的方法及装置 | |
CN107085549B (zh) | 故障信息生成的方法和装置 | |
CN101964025A (zh) | Xss检测方法和设备 | |
CN102419808A (zh) | 一种下载链接安全性检测方法、装置及*** | |
CN102664925B (zh) | 一种展现搜索结果的方法及装置 | |
CN102469113A (zh) | 一种安全网关及其转发网页的方法 | |
CN104601573A (zh) | 一种Android平台URL访问结果验证方法及装置 | |
CN104125121A (zh) | 网络劫持行为的检测***及方法 | |
CN104881603A (zh) | 网页重定向漏洞检测方法及装置 | |
CN109684571B (zh) | 一种数据采集方法及装置、存储介质 | |
CN104519008A (zh) | 跨站脚本攻击防御方法和装置、应用服务器 | |
CN106713318B (zh) | 一种web站点安全防护方法及*** | |
CN102663052A (zh) | 一种提供搜索引擎搜索结果的方法及装置 | |
CN105721578A (zh) | 一种用户行为数据采集方法和*** | |
CN102870118A (zh) | 用户行为的获取方法、设备及*** | |
CN104023046B (zh) | 移动终端识别方法和装置 | |
CN103024036A (zh) | 网页浏览方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160727 |
|
RJ01 | Rejection of invention patent application after publication |