CN106487771B - 网络行为的获取方法及装置 - Google Patents
网络行为的获取方法及装置 Download PDFInfo
- Publication number
- CN106487771B CN106487771B CN201510553172.6A CN201510553172A CN106487771B CN 106487771 B CN106487771 B CN 106487771B CN 201510553172 A CN201510553172 A CN 201510553172A CN 106487771 B CN106487771 B CN 106487771B
- Authority
- CN
- China
- Prior art keywords
- character string
- attribute information
- file
- rule base
- webpage script
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种网络行为的获取方法及装置。其中,该方法包括:获取恶意网页脚本的属性信息,其中,所述恶意网页脚本为存储在目标主机中的文件;根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串,其中,所述静态规则库包括:至少一个字符串和任意一个字符串所对应的网络行为;若存在,读取与所述属性信息匹配的字符串所对应的网络行为,确定所述目标主机被入侵的原因为所述字符串对应的网络行为。本申请解决了由于现有技术基于访问日志分析主机被入侵的原因造成的无法准确分析主机被入侵的原因的技术问题。
Description
技术领域
本申请涉及信息安全领域,具体而言,涉及一种网络行为的获取方法及装置。
背景技术
目前互联网最流行和受欢迎的资源访问技术是WEB技术。Web技术又称网站技术,其使用应用层的HTTP(Hypertext Transfer Protocol,超文本传输协议)协议。HTTP协议是用于从WWW服务器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示(如文本先于图形)等。
HTTP协议是客户端浏览器或其他程序与Web(网页)服务器之间的应用层通信协议,客户机需要通过HTTP协议传输所要访问的超文本信息。HTTP协议包含命令和传输信息,不仅可用于Web访问,也可以用于其他因特网/内联网应用***之间的通信,从而实现各类应用资源超媒体访问的集成,进而,目前互联网主要的信息交换以及生产生活都使用了Web技术。
当一个网站建立成功之后,很可能受到黑客的攻击。主要原因是该网站上存在一些黑客感兴趣的数据,黑客想窃取这些数据;另外一方面也有可能是网站自身存在漏洞,黑客使用批量化的攻击工具入侵该网站,使该网站作为他的“肉鸡”使用。不管何种原因,当前存在互联网的网站随时都存在着被入侵的风险。
当前对于入侵网站使用最多的攻击技术手段为上传文件攻击(File Upload),是指直接向网站服务器上传一个恶意的脚本文件。当脚本文件被写入到网站的文件目录,并且Web服务器可以对该脚本进行解析的时候,就可以通过网站访问获取的一个Webshell。其中,WebShell是一个基于Web语言的恶意网页脚本,一旦发现主机中存在Webshell,那么可以认为主机被入侵了。
在对主机被入侵的原因进行分析时,一般采用基于网站访问日志的入侵分析方法,然而,在云环境下,要提取访问日志分为两种方法:一种方法是云控制端从直接访问云主机的磁盘文件收集日志;另一种是在云前端采用流量镜像的方法采集访问日志。
对于第一种方法因为云主机网站复杂且涉及到权限问题,所以没有任何一家云厂商采用这个方法;而对于采用流量镜像的方法提取访问日志,由于镜像设备部署在云端边界,所以无法提取云内部主机互相访问日志,另外由于云端流量过大导致部分日志存在丢失的情况,导致无法准确、全面地分析主机被入侵的原因,使得主机的安全性受到较大威胁。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种网络行为的获取方法及装置,以至少解决由于现有技术基于访问日志分析主机被入侵的原因造成的无法准确分析主机被入侵的原因的技术问题。
根据本申请实施例的一个方面,提供了一种网络行为的获取方法,包括:获取恶意网页脚本的属性信息,其中,所述恶意网页脚本为存储在目标主机中的文件;根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串,其中,所述静态规则库包括:至少一个字符串和任意一个字符串所对应的网络行为;若存在,读取与所述属性信息匹配的字符串所对应的网络行为,确定所述目标主机被入侵的原因为所述字符串对应的网络行为。
根据本申请实施例的另一方面,还提供了一种网络行为的获取装置,包括:获取单元,用于获取恶意网页脚本的属性信息,其中,所述恶意网页脚本为存储在目标主机中的文件;匹配单元,用于根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串,其中,所述静态规则库包括:至少一个字符串和任意一个字符串所对应的网络行为;第一确定单元,用于在存在与所述属性信息匹配的字符串的情况下,读取与所述属性信息匹配的字符串所对应的网络行为,确定所述目标主机被入侵的原因为所述字符串对应的网络行为。
可选地,在所述属性信息包括所述文件路径、所述文件内容以及所述所属者中至少两个的情况下,所述匹配单元用于执行以下步骤根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串:
调用预设的正则表达式,从所述静态规则库中查找是否存在与所述文件路径、所述文件内容以及所述所属者中至少两个匹配的所述字符串。
可选地,上述装置还包括:计算单元,用于若不存在,则计算所述恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,其中,所述后一个恶意网页脚本是指在所述恶意网页脚本之后创建的第一个恶意网页脚本;第一判断单元,用于判断所述绝对值是否小于第一预设阈值,且所述恶意网页脚本的大小是否大于第二预设阈值;第二判断单元,用于若是,则判断所述恶意网页脚本的所属者是否为预定对象;第二确定单元,用于若是,则确定所述目标主机被入侵的原因为预定对象上传。
在本申请实施例中,采用获取恶意网页脚本的属性信息,其中,恶意网页脚本为存储在目标主机中的文件;从预设的静态规则库中,查找是否存在与属性信息匹配的字符串,其中,静态规则库包括:至少一个字符串和任意一个字符串所对应的网络行为;若存在,读取与属性信息匹配的字符串所对应的网络行为,确定目标主机被入侵的原因为字符串对应的网络行为的方式,通过根据恶意网页脚本的静态属性来分析主机被入侵的原因,不依赖于访问日志,即使访问日志丢失也可以进行分析,在确定主机被入侵的原因之后就可以对主机进行漏洞修复,防止主机再次被入侵,达到了准确分析主机被入侵的原因的目的,从而实现了提高主机安全性的技术效果,进而解决了由于现有技术基于访问日志分析主机被入侵的原因造成的无法准确分析主机被入侵的原因的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种运行网络行为的获取方法的计算机终端的硬件结构框图;
图2是根据本申请实施例的一种可选的网络行为的获取方法的流程示意图;
图3是根据本申请实施例的另一种可选的网络行为的获取方法的流程示意图;
图4(a)是根据本申请实施例的又一种可选的网络行为的获取方法的流程示意图;
图4(b)是根据本申请实施例的又一种可选的网络行为的获取方法的流程示意图;
图5是根据本申请实施例的一种可选的网络行为的获取装置的结构示意图;
图6是根据本申请实施例的一种可选的匹配单元的结构示意图;
图7是根据本申请实施例的另一种可选的网络行为的获取装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先将本申请实施例涉及的术语解释如下:
恶意网页脚本:是指以制造危害或损坏***功能为目的而从软件***中增加、改变或删除的脚本,例如,病毒、蠕虫、特洛伊木马和攻击性脚本。
MD5(Message Digest Algorithm 5,信息摘要算法第五版):为计算机安全领域广泛使用的一种散列函数,用于确保信息传输完整一致。
HASH(散列)算法:是指把任意长度的输入(又叫预映射,pre-image),通过散列算法变成固定长度的输出,该输出就是散列值。这种转换时一种压缩映射,简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
IP地址(Internet Protocol Address):一种在Internet上的给主机编址的方式,也称为网际协议地址。
正则表达式:又称正则表示法、常规表示法,用来使用单个字符串来表述、匹配一系列符合某个句法规则的字符串。
静态特征库:由多维度的静态规则组成,静态规则的采集主要来自于自动化的入侵攻击工具等,静态规则表示网络行为与恶意网页脚本之间的对应关系。
实施例1
根据本申请实施例,还提供了一种网络行为的获取方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本申请实施例的一种网络行为的获取方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的网络行为的获取方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的漏洞检测方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2所示的网络行为的获取方法。图2是根据本申请实施例一的网络行为的获取方法的流程图。
步骤S202,获取恶意网页脚本的属性信息,其中,恶意网页脚本为存储在目标主机中的文件。
本申请上述步骤S202中,当发现目标主机中存储有恶意网页脚本时,认为目标主机被入侵。本申请实施例的网络行为的获取方法首先需获取恶意网页脚本的属性信息,其中,属性信息包括以下一种或几种:MD5(Message Digest Algorithm 5,信息摘要算法第五版)、文件路径、文件内容以及所属者。本实施例中,恶意网页脚本可以是指恶意网页脚本。
需要说明的是,本申请实施例的目标主机可以是云主机,也可以是本地主机,还是CS(Client/Server,客户机/服务器)架构下的客户机,或者可以BS(Browser/Server,浏览器/服务器)架构下的客户机,本实施例对此不作限定。
步骤S204,从预设的静态规则库中,查找是否存在与属性信息匹配的字符串,其中,静态规则库包括:至少一个字符串和任意一个字符串所对应的网络行为。
本申请上述步骤S204中,在获取到恶意网页脚本的属性信息之后,可以从预设的静态规则库中,查找是否存在与属性信息匹配的字符串。本实施例中,静态规则库主要内容是描述MD5、文件路径、文件内容等多个维度信息值的字符串,以及任意一个字符串对应的网络行为。本实施例中,网络行为可以是指入侵行为。
可以理解的是,实际上恶意网页脚本的属性信息很复杂,包括文件大小,文件备注,文件头,文件编码,所属者,文件创建、访问时间等等,本申请的网络行为的获取方法可以从更复杂的维度建立静态规则库。静态规则的采集主要来自于自动化的入侵攻击工具等,另外,每一次入侵分析的到的网络行为结果也可以增强静态规则库。静态规则库的内容示例性地如表1所示:
表1
结合表1所示,例如,一个恶意网页脚本的MD5为“80107f4688070123d20a9c54622601db”,从表1中查找是否存在与“80107f4688070123d20a9c54622601db”匹配的字符串,若存在,则认为目标主机被入侵的原因为字符串对应的网络行为,即目标主机被入侵的原因为XX方***_代码执行漏洞;又例如,一个恶意网页脚本的文件路径包含“/server/default/tmp/deploy/”,则从表1中查找是否存在与“/server/default/tmp/deploy/”匹配的字符串,若存在,则认为目标主机被入侵的原因为字符串对应的网络行为,即目标主机被入侵的原因为JBOSS_EJB_GETSHELL。
步骤S206,若存在,读取与属性信息匹配的字符串所对应的网络行为,确定目标主机被入侵的原因为字符串对应的网络行为。
本申请上述步骤S206中,在从预设的静态规则库中,查找是否存在与属性信息匹配的字符串的情况下,若静态规则库中存在与属性信息匹配的字符串,则认为目标主机被入侵的原因为匹配到的字符串所对应的网络行为。如一个恶意网页脚本的MD5为“80107f4688070123d20a9c54622601db”,从静态规则库中查找是否存在与“80107f4688070123d20a9c54622601db”匹配的字符串,若存在,则认为目标主机被入侵的原因为字符串对应的网络行为,即目标主机被入侵的原因为XX方***_代码执行漏洞;又例如,一个恶意网页脚本的文件路径包含“/server/default/tmp/deploy/”,则从静态规则库中查找是否存在与“/server/default/tmp/deploy/”匹配的字符串,若存在,则认为目标主机被入侵的原因为字符串对应的网络行为,即目标主机被入侵的原因为JBOSS_EJB_GETSHELL。
在确定了目标主机被入侵的原因之后,可以通过自动调用漏洞修复接口,对目标主机进行漏洞修复,其中,在调用漏洞修复接口的过程中,可以将目标主机的IP地址以及确定出目标主机被入侵的原因的传输至漏洞修复接口。
需要说明的是,若不存在,则可以根据自定义算法分析目标主机被入侵原因,具体方法后续实施例中会进行详细描述,此处不做赘述。
本申请的网络行为的获取方法可以快速准确的确定目标主机被入侵的原因,可以进行自动化的漏洞修复,使目标主机的在入侵发现之后,漏洞迅速修复,防止再次被入侵,提高目标主机安全性。
由上可知,本申请上述实施例一所提供的方案,通过根据恶意网页脚本的静态属性来分析主机被入侵的原因,不依赖于访问日志,即使访问日志丢失也可以进行分析,在确定主机被入侵的原因之后就可以对主机进行漏洞修复,防止主机再次被入侵,达到了准确分析主机被入侵的原因的目的,从而实现了提高主机安全性的技术效果,进而解决了由于现有技术基于访问日志分析主机被入侵的原因造成的无法准确分析主机被入侵的原因的技术问题。
作为本申请实施例的一种可选的实现方式,在属性信息包括MD5、文件路径、文件内容或所属者的情况下,上述步骤S204,从预设的静态规则库中,查找是否存在与属性信息匹配的字符串的实现步骤可以包括:
步骤S10,从静态规则库中查找是否存在包含有MD5、文件路径、文件内容或所属者的字符串。
本申请上述步骤S10中,在属性信息包括MD5、文件路径、文件内容或所属者的情况下,从静态规则库中查找是否存在包含有MD5、文件路径、文件内容或所属者的字符串,即在属性信息只包括MD5、文件路径、文件内容或所属者的情况下,分别根据MD5、文件路径、文件内容或所属者进行字符串的匹配。
例如,一个恶意网页脚本的属性信息包括文件路径,该文件路径具体包含“/server/default/tmp/deploy/”,则从静态规则库中查找是否存在与“/server/default/tmp/deploy/”匹配的字符串,若存在,则认为目标主机被入侵的原因为字符串对应的网络行为,即目标主机被入侵的原因为JBOSS_EJB_GETSHELL。
作为本申请实施例的一种可选的实现方式,在属性信息包括MD5的情况下,上述步骤S204,从预设的静态规则库中,查找是否存在与属性信息匹配的字符串的实现步骤可以包括:
步骤S20,对MD5做HASH算法,得到恶意网页脚本的签名信息。
本申请上述步骤S20中,静态规则库中也可以包括恶意网页脚本的签名信息,签名信息是通过对MD5做HASH(散列)算法而得到的,因此,在属性信息包括MD5的情况下,首先需要对MD5做HASH算法,得到恶意网页脚本的签名信息。
步骤S22,从静态规则库中查找是否存在包含有签名信息的字符串。
本申请上述步骤S22中,在得到恶意网页脚本的签名信息之后,从静态规则库中查找是否存在包含有签名信息的字符串,即根据签名信息查询静态规则库,如果存在与签名信息相同的字符串,则确定目标主机被入侵的原因为该字符串对应的网络行为。
作为本申请实施例的一种可选的实现方式,在属性信息包括文件路径、文件内容以及所属者中至少两个的情况下,上述步骤S204,从预设的静态规则库中,查找是否存在与属性信息匹配的字符串的实现步骤可以包括:
步骤S30,调用预设的正则表达式,从静态规则库中查找是否存在与文件路径、文件内容以及所属者中至少两个匹配的字符串。
本申请上述步骤S30中,在属性信息包括文件路径、文件内容以及所属者中至少两个的情况下,本申请实施例的网络行为的获取方法调用预设的正则表达式来进行字符串匹配。其中,正则表达式,又称正则表示法、常规表示法,用来使用单个字符串来表述、匹配一系列符合某个句法规则的字符串。
作为本申请实施例的一种可选的实现方式,如图3所示,在恶意网页脚本的数量为多个的情况下,本申请的网络行为的获取方法还包括:
步骤S302,若不存在,则计算恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,其中,后一个恶意网页脚本是指在恶意网页脚本之后创建的第一个恶意网页脚本。
本申请上述步骤S302中,若静态规则库中不存在与属性信息匹配的字符串,本申请实施例的网络行为的获取方法则采用自定义算法对目标主机被入侵的原因进行分析。具体地,计算恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,其中,后一个恶意网页脚本是指在恶意网页脚本之后创建的第一个恶意网页脚本。
例如,目标主机中存储有5个恶意网页脚本,分别为文件1、文件2、文件3、文件4以及文件5,首先计算恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,即文件创建时间差1=abs(文件2.创建时间-文件1.创建时间);文件创建时间差2=abs(文件3.创建时间-文件2.创建时间);文件创建时间差3=abs(文件4.创建时间-文件3.创建时间);文件创建时间差4=abs(文件5.创建时间-文件4.创建时间),其中,abs()为绝对值函数。
步骤S304,判断绝对值是否小于第一预设阈值,且恶意网页脚本的大小是否大于第二预设阈值。
本申请上述步骤S304中,在计算出恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值之后,判断该绝对值是否小于第一预设阈值,且恶意网页脚本的大小是否大于第二预设阈值。
例如,判断文件创建时间差1是否小于10s、文件创建时间差2是否小于10s、文件创建时间差3是否小于10s以及文件创建时间差4是否小于10s,并且判断文件1.文件大小是否大于1024K。其中,若文件创建时间差过小,则说明同一时间上传了多个恶意网页脚本。
步骤S306,若是,则判断恶意网页脚本的所属者是否为预定对象。
本申请上述步骤S306中,若以上条件均满足,则进一步判断恶意网页脚本的所属者是否为预定对象,例如判断文件1.文件所属者是否为'[OWER:ftp,GROUP:ftp]'。
步骤S308,若是,则确定目标主机被入侵的原因为预定对象上传。
本申请上述步骤S308中,若以上条件均满足,则确定目标主机被入侵的原因为预定对象上传,例如认为是ftp上传导致的目标主机被入侵。
示例性地,应用上述步骤S302至步骤S308的目标主机上多个恶意网页脚本的关联分析算法可以包括:
if(恶意网页脚本个数>5){
文件创建时间差1=abs(文件2.创建时间-文件1.创建时间)//取文件创建时间差绝对值
文件创建时间差2=abs(文件3.创建时间-文件2.创建时间)
文件创建时间差3=abs(文件4.创建时间-文件3.创建时间)
文件创建时间差4=abs(文件5.创建时间-文件4.创建时间)
if(文件创建时间差1<10s&&文件创建时间差2<10s&&文件创建时间差3<10s&&文件创建时间差4<10s){
如图4(a)所示,以恶意网页脚本为Webshell为例,对本申请的网络行为的获取方法进行示例性描述:
步骤A,获取Webshell的属性信息。
本申请上述步骤A中,当发现目标主机中存储有Webshell时,认为目标主机被入侵。本申请实施例的网络行为的获取方法首先需获取Webshell的属性信息,其中,属性信息包括以下一种或几种:MD5、文件路径、文件内容以及所属者。
步骤B,字符串匹配、自定义算法。
本申请上述步骤B中,在获取到Webshell的属性信息之后,可以从预设的静态规则库中,查找是否存在与属性信息匹配的字符串。本实施例中,静态规则库主要内容是描述MD5、文件路径、文件内容等多个维度信息值的字符串,以及任意一个字符串对应的网络行为。可以理解的是,实际上Webshell的属性信息很复杂,包括文件大小,文件备注,文件头,文件编码,所属者,文件创建、访问时间等等,本申请的网络行为的获取方法可以从更复杂的维度建立静态规则库。静态规则的采集主要来自于自动化的入侵攻击工具,以及互联网上广受欢迎的入侵攻击手法文章,另外,每一次人工入侵分析的到的网络行为结果也可以增强静态规则库。
若静态规则库中不存在与属性信息匹配的字符串,本申请实施例的网络行为的获取方法则采用自定义算法对目标主机被入侵的原因进行分析:若不存在,则计算恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,其中,后一个恶意网页脚本是指在恶意网页脚本之后创建的第一个恶意网页脚本;判断绝对值是否小于第一预设阈值,且恶意网页脚本的大小是否大于第二预设阈值;若是,则判断恶意网页脚本的所属者是否为预定对象;若是,则确定目标主机被入侵的原因为预定对象上传。
步骤C,获取目标主机被入侵的原因。
本申请上述步骤C中,在从预设的静态规则库中,查找是否存在与属性信息匹配的字符串的情况下,若静态规则库中存在与属性信息匹配的字符串,则认为目标主机被入侵的原因为匹配到的字符串所对应的网络行为。如一个恶意网页脚本的MD5为“80107f4688070123d20a9c54622601db”,从静态规则库中查找是否存在与“80107f4688070123d20a9c54622601db”匹配的字符串,若存在,则认为目标主机被入侵的原因为字符串对应的网络行为,即目标主机被入侵的原因为XX方***_代码执行漏洞;又例如,一个恶意网页脚本的文件路径包含“/server/default/tmp/deploy/”,则从静态规则库中查找是否存在与/server/default/tmp/deploy/”匹配的字符串,若存在,则认为目标主机被入侵的原因为字符串对应的网络行为,即目标主机被入侵的原因为JBOSS_EJB_GETSHELL。
又例如,if(恶意网页脚本个数>5){
文件创建时间差1=abs(文件2.创建时间-文件1.创建时间)//取文件创建时间差绝对值
文件创建时间差2=abs(文件3.创建时间-文件2.创建时间)
文件创建时间差3=abs(文件4.创建时间-文件3.创建时间)
文件创建时间差4=abs(文件5.创建时间-文件4.创建时间)
if(文件创建时间差1<10s&&文件创建时间差2<10s&&文件创建时间差3<10s&&文件创建时间差4<10s){
步骤D,自动调用漏洞修复接口。
本申请上述步骤D中,通过文件静态属性(即属性信息)可以快速的分析目标主机被入侵的原因,在分析出目标主机被入侵的原因之后,通过自动调用漏洞修复接口,对目标主机进行漏洞修复,其中,在调用漏洞修复接口的过程中,可以将目标主机的IP传输以及确定出目标主机被入侵的原因的至漏洞修复接口。
步骤E,未发现被入侵的原因。
本申请上述步骤E中,若通过静态特征库匹配以及自定义算法未发现目标主机被入侵的原因,则由人工分析目标主机被入侵的原因。
步骤F,人工分析目标主机被入侵的原因。
本申请上述步骤F中,在人工分析出目标主机被入侵的原因后,将规则添加至静态规则库。
由此可知,现有技术存在的由于云端流量过大导致部分日志存在丢失的情况,导致无法准确、全面地分析主机被入侵的原因,使得主机的安全性受到较大威胁的问题,本申请提出一种基于恶意网页脚本的属性信息进行目标主机被入侵的原因的分析方法,将属性信息与预设的静态规则库结合起来,因此无需访问日志即可快速准确的分析出主机被入侵原因,可以大幅度提高入侵原因分析效率以及准确性。
本申请上述实施例提供的一种可选方案中,如图4(b)所示,本申请实施例的网站行为的获取方法可以包括以下步骤:
步骤a,获取恶意网页脚本的属性信息。
其中,恶意网页脚本为存储在目标主机中的文件。
步骤b,从预设的静态规则库中,查找是否存在与属性信息匹配的字符串。
其中,静态规则库包括:至少一个字符串和任意一个字符串所对应的网络行为。
步骤c,若存在,读取与属性信息匹配的字符串所对应的网络行为,确定目标主机被入侵的原因为字符串对应的网络行为。
步骤d,通过自动调用漏洞修复接口,对目标主机进行漏洞修复。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例2
根据本申请实施例,还提供了一种用于实施上述方法实施例的装置实施例,本申请上述实施例所提供的装置可以在计算机终端上运行。
图5是根据本申请实施例的网络行为的获取装置的结构示意图。
如图5所示,该网络行为的获取装置可以包括获取单元502、匹配单元504以及第一确定单元506。
其中,获取单元502,用于获取恶意网页脚本的属性信息,其中,所述恶意网页脚本为存储在目标主机中的文件;匹配单元504,用于根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串,其中,所述静态规则库包括:至少一个字符串和任意一个字符串所对应的网络行为;第一确定单元506,用于在存在与所述属性信息匹配的字符串的情况下,读取与所述属性信息匹配的字符串所对应的网络行为,确定所述目标主机被入侵的原因为所述字符串对应的网络行为。
由上可知,本申请上述实施例二所提供的方案,通过根据恶意网页脚本的静态属性来分析主机被入侵的原因,不依赖于访问日志,即使访问日志丢失也可以进行分析,在确定主机被入侵的原因之后就可以对主机进行漏洞修复,防止主机再次被入侵,达到了准确分析主机被入侵的原因的目的,从而实现了提高主机安全性的技术效果,进而解决了由于现有技术基于访问日志分析主机被入侵的原因造成的无法准确分析主机被入侵的原因的技术问题。
此处需要说明的是,上述获取单元502、匹配单元504以及第一确定单元506对应于实施例一中的步骤S202至步骤S206,三个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
可选地,所述属性信息包括以下一种或几种:信息摘要算法第五版MD5、文件路径、文件内容以及所属者。
可选地,在所述属性信息包括所述MD5、所述文件路径、所述文件内容或所述所属者的情况下,所述匹配单元504用于执行以下步骤根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串:从所述静态规则库中查找是否存在包含有所述MD5、所述文件路径、所述文件内容或所述所属者的所述字符串。
可选地,如图6所示,在所述属性信息包括所述MD5的情况下,所述匹配单元504包括:计算模块602和查找模块604。
其中,计算模块602,用于对所述MD5做HASH算法,得到所述恶意网页脚本的签名信息;查找模块604,用于从所述静态规则库中查找是否存在包含有所述签名信息的所述字符串。
此处需要说明的是,上述计算模块602和查找模块604对应于实施例一中的步骤S20至步骤S22,两个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
可选地,在所述属性信息包括所述文件路径、所述文件内容以及所述所属者中至少两个的情况下,所述匹配单元504用于执行以下步骤根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串:调用预设的正则表达式,从所述静态规则库中查找是否存在与所述文件路径、所述文件内容以及所述所属者中至少两个匹配的所述字符串。
可选地,如图7所示,网络行为的获取装置还可以包括:计算单元702、第一判断单元704、第二判断单元706以及第二确定单元708。
其中,计算单元702,用于若不存在,则计算所述恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,其中,所述后一个恶意网页脚本是指在所述恶意网页脚本之后创建的第一个恶意网页脚本;第一判断单元704,用于判断所述绝对值是否小于第一预设阈值,且所述恶意网页脚本的大小是否大于第二预设阈值;第二判断单元706,用于若是,则判断所述恶意网页脚本的所属者是否为预定对象;第二确定单元708,用于若是,则确定所述目标主机被入侵的原因为预定对象上传。
此处需要说明的是,上述计算单元702、第一判断单元704、第二判断单元706以及第二确定单元708对应于实施例一中的步骤S302至步骤S308,四个模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中,可以通过软件实现,也可以通过硬件实现。
由此可知,现有技术存在的由于云端流量过大导致部分日志存在丢失的情况,导致无法准确、全面地分析主机被入侵的原因,使得主机的安全性受到较大威胁的问题,本申请提出一种基于恶意网页脚本的属性信息进行目标主机被入侵的原因的分析方法,将属性信息与预设的静态规则库结合起来,因此无需访问日志即可快速准确的分析出主机被入侵原因,可以大幅度提高入侵原因分析效率以及准确性。
实施例3
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的网络行为的获取方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取恶意网页脚本的属性信息,其中,所述恶意网页脚本为存储在目标主机中的文件;根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串,其中,所述静态规则库包括:至少一个字符串和任意一个字符串所对应的网络行为;若存在,读取与所述属性信息匹配的字符串所对应的网络行为,确定所述目标主机被入侵的原因为所述字符串对应的网络行为。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:从所述静态规则库中查找是否存在包含有所述MD5、所述文件路径、所述文件内容或所述所属者的所述字符串。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:对所述MD5做HASH算法,得到所述恶意网页脚本的签名信息;从所述静态规则库中查找是否存在包含有所述签名信息的所述字符串。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:调用预设的正则表达式,从所述静态规则库中查找是否存在与所述文件路径、所述文件内容以及所述所属者中至少两个匹配的所述字符串。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:若不存在,则计算所述恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,其中,所述后一个恶意网页脚本是指在所述恶意网页脚本之后创建的第一个恶意网页脚本;判断所述绝对值是否小于第一预设阈值,且所述恶意网页脚本的大小是否大于第二预设阈值;若是,则判断所述恶意网页脚本的所属者是否为预定对象;若是,则确定所述目标主机被入侵的原因为预定对象上传。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的具体示例可以参考上述实施例1中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的订单信息的处理装置,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (9)
1.一种网络行为的获取方法,其特征在于,包括:
获取恶意网页脚本的属性信息,其中,所述恶意网页脚本为存储在目标主机中的文件;
从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串,其中,所述静态规则库包括:至少一个字符串和任意一个字符串所对应的网络行为;
若存在,读取与所述属性信息匹配的字符串所对应的网络行为,确定所述目标主机被入侵的原因为所述字符串对应的网络行为;
在所述恶意网页脚本的数量为多个的情况下,所述方法还包括:若不存在,则计算所述恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,其中,所述后一个恶意网页脚本是指在所述恶意网页脚本之后创建的第一个恶意网页脚本;判断所述绝对值是否小于第一预设阈值,且所述恶意网页脚本的大小是否大于第二预设阈值;若是,则判断所述恶意网页脚本的所属者是否为预定对象;若是,则确定所述目标主机被入侵的原因为预定对象上传。
2.根据权利要求1所述的方法,其特征在于,所述属性信息包括以下一种或几种:信息摘要算法第五版MD5、文件路径、文件内容以及所属者。
3.根据权利要求2所述的方法,其特征在于,在所述属性信息包括所述MD5、所述文件路径、所述文件内容或所述所属者的情况下,所述根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串包括:
从所述静态规则库中查找是否存在包含有所述MD5、所述文件路径、所述文件内容或所述所属者的所述字符串。
4.根据权利要求2所述的方法,其特征在于,在所述属性信息包括所述MD5的情况下,所述根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串包括:
对所述MD5做HASH算法,得到所述恶意网页脚本的签名信息;
从所述静态规则库中查找是否存在包含有所述签名信息的所述字符串。
5.根据权利要求2所述的方法,其特征在于,在所述属性信息包括所述文件路径、所述文件内容以及所述所属者中至少两个的情况下,所述根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串包括:
调用预设的正则表达式,从所述静态规则库中查找是否存在与所述文件路径、所述文件内容以及所述所属者中至少两个匹配的所述字符串。
6.一种网络行为的获取装置,其特征在于,包括:
获取单元,用于获取恶意网页脚本的属性信息,其中,所述恶意网页脚本为存储在目标主机中的文件;
匹配单元,用于从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串,其中,所述静态规则库包括:至少一个字符串和任意一个字符串所对应的网络行为;
第一确定单元,用于在存在与所述属性信息匹配的字符串的情况下,读取与所述属性信息匹配的字符串所对应的网络行为,确定所述目标主机被入侵的原因为所述字符串对应的网络行为,在所述恶意网页脚本的数量为多个的情况下:若不存在,则计算所述恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,其中,所述后一个恶意网页脚本是指在所述恶意网页脚本之后创建的第一个恶意网页脚本;判断所述绝对值是否小于第一预设阈值,且所述恶意网页脚本的大小是否大于第二预设阈值;若是,则判断所述恶意网页脚本的所属者是否为预定对象;若是,则确定所述目标主机被入侵的原因为预定对象上传。
7.根据权利要求6所述的装置,其特征在于,所述属性信息包括以下一种或几种:信息摘要算法第五版MD5、文件路径、文件内容以及所属者。
8.根据权利要求7所述的装置,其特征在于,所述匹配单元,还用于在所述属性信息包括所述MD5、所述文件路径、所述文件内容或所述所属者的情况下,执行以下步骤根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串:从所述静态规则库中查找是否存在包含有所述MD5、所述文件路径、所述文件内容或所述所属者的所述字符串。
9.根据权利要求7所述的装置,其特征在于,所述匹配单元,还用于在所述属性信息包括所述MD5的情况下,对所述MD5做HASH算法,得到所述恶意网页脚本的签名信息;以及从所述静态规则库中查找是否存在包含有所述签名信息的所述字符串。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510553172.6A CN106487771B (zh) | 2015-09-01 | 2015-09-01 | 网络行为的获取方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510553172.6A CN106487771B (zh) | 2015-09-01 | 2015-09-01 | 网络行为的获取方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106487771A CN106487771A (zh) | 2017-03-08 |
| CN106487771B true CN106487771B (zh) | 2020-07-24 |
Family
ID=58237853
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510553172.6A Active CN106487771B (zh) | 2015-09-01 | 2015-09-01 | 网络行为的获取方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106487771B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110659490B (zh) * | 2019-09-20 | 2023-02-24 | 安天科技集团股份有限公司 | 恶意样本的处理方法、装置、电子设备及存储介质 |
| CN111800405A (zh) * | 2020-06-29 | 2020-10-20 | 深信服科技股份有限公司 | 检测方法及检测设备、存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562618A (zh) * | 2009-04-08 | 2009-10-21 | 深圳市腾讯计算机***有限公司 | 一种检测网马的方法及装置 |
| WO2012073233A1 (en) * | 2010-11-29 | 2012-06-07 | Biocatch Ltd. | Method and device for confirming computer end-user identity |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599947B (zh) * | 2008-06-06 | 2014-04-23 | 盛趣信息技术(上海)有限公司 | 基于web网页的木马病毒扫描方法 |
| CN104253786B (zh) * | 2013-06-26 | 2017-07-07 | 北京思普崚技术有限公司 | 一种基于正则表达式的深度包检测方法 |
-
2015
- 2015-09-01 CN CN201510553172.6A patent/CN106487771B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562618A (zh) * | 2009-04-08 | 2009-10-21 | 深圳市腾讯计算机***有限公司 | 一种检测网马的方法及装置 |
| WO2012073233A1 (en) * | 2010-11-29 | 2012-06-07 | Biocatch Ltd. | Method and device for confirming computer end-user identity |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106487771A (zh) | 2017-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105553917B (zh) | 一种网页漏洞的检测方法和*** | |
| CN103279710B (zh) | Internet信息***恶意代码的检测方法和*** | |
| JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
| CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
| US10972496B2 (en) | Upload interface identification method, identification server and system, and storage medium | |
| CN107463844B (zh) | Web木马检测方法及*** | |
| CN107302586B (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| CN106534268B (zh) | 一种数据共享方法及装置 | |
| CN106815524B (zh) | 恶意脚本文件的检测方法及装置 | |
| US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
| CN111371778B (zh) | 攻击团伙的识别方法、装置、计算设备以及介质 | |
| CN108154031B (zh) | 伪装应用程序的识别方法、装置、存储介质和电子装置 | |
| JP6708794B2 (ja) | 判定装置、判定方法、および、判定プログラム | |
| WO2020108357A1 (zh) | 一种程序分类模型训练方法、程序分类方法及装置 | |
| Paturi et al. | Mobile malware visual analytics and similarities of attack toolkits (malware gene analysis) | |
| CN108182360B (zh) | 一种风险识别方法及其设备、存储介质、电子设备 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| CN107786529B (zh) | 网站的检测方法、装置及*** | |
| CN106487771B (zh) | 网络行为的获取方法及装置 | |
| CN112529759B (zh) | 文档处理方法、装置、设备、存储介质和计算机程序产品 | |
| CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
| CN111291288B (zh) | 网页链接抽取方法及*** | |
| CN113704569A (zh) | 信息的处理方法、装置及电子设备 | |
| CN112182569A (zh) | 一种文件识别方法、装置、设备及存储介质 | |
| CN107844702B (zh) | 基于云防护环境下网站木马后门检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |