CN107070913B - 一种基于webshell攻击的检测和防护方法及*** - Google Patents

一种基于webshell攻击的检测和防护方法及*** Download PDF

Info

Publication number
CN107070913B
CN107070913B CN201710225087.6A CN201710225087A CN107070913B CN 107070913 B CN107070913 B CN 107070913B CN 201710225087 A CN201710225087 A CN 201710225087A CN 107070913 B CN107070913 B CN 107070913B
Authority
CN
China
Prior art keywords
behavior
host
web server
detection
server host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710225087.6A
Other languages
English (en)
Other versions
CN107070913A (zh
Inventor
胡冬
范渊
龙文洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201710225087.6A priority Critical patent/CN107070913B/zh
Publication of CN107070913A publication Critical patent/CN107070913A/zh
Application granted granted Critical
Publication of CN107070913B publication Critical patent/CN107070913B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及服务器主机或云环境中虚拟web服务器主机安全防护管理技术,旨在提供一种基于webshell攻击的检测和防护方法及***。该种基于webshell攻击的检测和防护方法包括主机行为学习过程、主机行为判断过程,利用检测防护***来防范针对web服务器主机的webshell攻击。本发明通过web主机服务器的自主学习形成全面且适宜的行为基线后,采用将web请求行为与行为基线比对的webshell检测方式,进一步提高了webshell检测的准确率,提高了检出率和检测效率,降低了误报率和漏报率;且如果web服务器主机的业务变动,重新学习,即可重新形成适宜的行为基线。

Description

一种基于webshell攻击的检测和防护方法及***
技术领域
本发明是关于web服务器主机或云环境中虚拟web服务器主机安全防护管理技术领域,特别涉及一种基于webshell攻击的检测和防护方法及***。
背景技术
随着网络的迅速发展,企业内部网络面临着巨大的挑战,内部信息泄露问题也日益严重。大多数的计算机安全统计数字表明,大部分发起的攻击都来自于网络内部,因此保证内网的主机安全对防止攻击具有十分重要的意义。
主机目前所面临的安全问题大致可以分为:主机未限制使用外设接入端口、用户访问权限未按相应级别定义、非法用户进入主机***、主机用户访问恶意链接、非法停止重要或关键主机进程、非法启动恶意性进程等。
针对web服务器主机,入侵者通常会采用webshell来控制服务器,非法停止重要或关键主机进程、非法启动恶意性进程,达到控制网站服务器的目的。Webshell工作原理:“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。由于web服务器主机开放web服务,入侵者通常会将asp、php、jsp或者cgi等网页后门文件与正常的网页文件混在web服务器主机的web服务目录下,然后就可以使用浏览器来访问这些后门文件,得到一个命令执行环境,从而非法停止重要或关键主机进程、非法启动恶意性进程,达到控制网站服务器的目的。
目前,解决webshell的技术防范方法大致如下:1、给主机服务器配置最小的权限。比如,可写目录不给执行权限,有执行权限的目录不给写权限等;2、对文件内容进行检测;3、对https协议内容进行特征匹配。方法1可能会与网页业务实现产生冲突;方法2、方法3的缺点是会给主机的运行效率造成一定的影响,且存在误告警或漏报的情况。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种智能高效、低误报率的基于webshell攻击的检测和防护方法及***。为解决上述技术问题,本发明的解决方案是:
提供一种基于webshell攻击的检测和防护方法,用于利用检测防护***防范针对web服务器主机的webshell攻击,所述基于webshell攻击的检测和防护方法包括主机行为学习过程、主机行为判断过程;
所述主机行为学习过程包括下述步骤:
(1)web服务器主机处理web请求:web服务器主机接收来自各个客户端的web请求,web服务器主机的内核(这里的内核是web服务器主机的操作***内核)启动进程处理web请求信息,并分析处理web请求的进程行为;
(2)收集web服务器主机行为:检测防护***的内核对步骤(1)传输过来的web请求的进程行为信息进行收集,并将收集到的信息发送给检测防护***的应用层;
(3)接收web服务器主机行为:检测防护***的应用层接收步骤(2)传输过来的信息并进行提取,总结出web服务器主机行为:父进程名称、子进程名称;
(4)学习web服务器主机行为:检测防护***的应用层在一个学习周期内学习web服务器主机的行为,即记录步骤(3)总结的web服务器主机行为并保存至检测防护***的数据库中;
(5)确认web服务器主机行为基线:步骤(4)结束后,检测防护***的数据库中形成web服务器主机行为列表,且检测防护***的应用层管理者(检测防护***的应用层是B/S结构,因此可以配置管理员)能对web服务器主机行为列表进行人工校对、调整(人工校对、调整是指核对主机行为白名单中是否存在异常行为,并将异常行为从主机行为白名单中删除,对于未列入行为基线白名单的正常行为,即误报或误阻断的主机行为,人工加入主机行为白名单中),最后形成web服务器主机的行为基线;
所述行为基线是主机行为白名单,包括父进程名称、子进程名称;
(6)发送web服务器主机行为基线:步骤(5)结束后,将检测防护***的应用层形成的行为基线文件,发回给检测防护***的内核;
所述主机行为判断过程包括下述步骤:
(7)检测可疑访问行为:检测防护***的内核接收行为基线,与web服务器主机处理客户端web请求的进程行为进行比对,如果该客户端web请求的进程行为,与行为基线中的进程不匹配,即判断该主机行为可能是webshell攻击,进行告警或阻断。
在本发明中,所述步骤(4)中,检测防护***的应用层学习到的web服务器主机的行为,是web服务的调用关系。
在本发明中,当web服务器主机的主机***业务发生变更时,能够重新进行主机行为学习过程,形成适用的行为基线。
在本发明中,所述行为基线,即主机行为白名单,能够进行人工调整。
提供用于所述基于webshell攻击的检测和防护方法的检测防护***,包括内核(内核驱动模块)、应用层(界面应用***)、数据库;
所述内核是对操作***内核进行二次开发的驱动程序,用于搜集主机行为、匹配行为基线、阻断主机行为;
所述应用层用于接收、展示、学习内核收集到的主机行为,总结主机行为形成行为基线,调整行为基线;且应用层是B/S结构,能够配置管理员;
所述数据库用于组织、存储、管理数据。
与现有技术相比,本发明的有益效果是:
本发明通过web主机服务器的自主学习形成全面且适宜的行为基线后,采用将web请求行为与行为基线比对的webshell检测方式,进一步提高了webshell检测的准确率,提高了检出率和检测效率,降低了误报率和漏报率。且如果web服务器主机的业务变动,重新学习,即可重新形成适宜的行为基线。
附图说明
图1为本发明中检测防护***的主要模块图。
图2为本发明的流程图。
图3为行为基线示意图。
图4为实施例中的行为基线示例图。
图5为构造webshell之后形成的行为示例图。
具体实施方式
首先需要说明的是,本发明是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。
下面结合附图与具体实施方式对本发明作进一步详细描述:
如图1所示的检测防护***包括内核(内核驱动模块)、应用层(界面应用***)、数据库。内核(内核驱动模块)是对操作***内核进行二次开发的驱动程序,用于搜集主机行为、匹配行为基线、阻断主机行为。应用层用于接收、展示、学习内核收集到的主机行为,总结主机行为形成行为基线,调整行为基线;且应用层是B/S结构,能够配置管理员。数据库用于组织、存储、管理数据;本实施例采用的是MySql,用于保存搜集到主机行为白名单。
如图2所示的一种基于webshell攻击的检测和防护方法包括主机行为学习过程、主机行为判断过程,用于利用检测防护***防范针对web服务器主机的webshell攻击。
主机行为学习过程包括下述步骤:
(1)web服务器主机处理web请求:web服务器主机接收来自各个客户端的web请求,web服务器主机的内核启动进程处理web请求信息,并分析处理web请求的进程行为。
(2)收集web服务器主机行为:检测防护***内核的驱动模块对步骤(1)传输过来的web请求进程行为信息进行收集,并将收集到的信息发送给检测防护***的应用层。
(3)接收web服务器主机行为:检测防护***的应用层接收步骤(2)传输过来的信息进行提取,总结出web服务器主机行为:父进程名称、子进程名称。
(4)学习web服务器主机行为:检测防护***的应用层在一个学习周期内学习web服务器主机的行为,即记录步骤(3)接收的web服务器主机行为:父进程名称、子进程名称,并保存至检测防护***的数据库中。
(5)确认web服务器主机行为基线:步骤(4)结束后,检测防护***的数据库中,会形成web服务器主机行为列表;检测防护***的应用层管理者可以对web服务器主机行为列表进行人工校对、调整,最后,形成web服务器主机行为基线。
所述行为基线是主机行为白名单,包括父进程名称、子进程名称,可参考图3。
应用层管理员可以对学习到的web服务器主机行为基线进行人工核对、调整。
人工校对、调整具体是指将核对行为基线中是否存在异常行为,并将异常行为从主机行为白名单中删除;对于即未列入行为基线白名单的正常行为即误报或误阻断的主机行为,也可以人工加入主机行为白名单中。
(6)发送web服务器主机行为基线:步骤(5)结束后,检测防护***的应用层会形成一份web服务器主机行为基线文件,并发回给检测防护***的内核。
所述主机行为判断过程包括下述步骤:
(7)检测可疑访问行为:内核接收web服务器主机行为基线,与web服务器主机处理客户端web请求的进程行为进行比对,如果该客户端web请求的进程行为,与行为基线中的进程不匹配,即判断该主机行为可能是webshell攻击,进行告警或阻断。
下面的实施例可以使本专业的专业技术人员更全面地理解本发明,但不以任何方式限制本发明。
假设在主机行为学习期内,web服务器主机接收到一个远程执行bash命令的请求,web服务器将启动进程/bin/bash。web服务器内核学习父进程/bin/bash,子进程比如/data/bin/mysqld。内核则将该行为信息发送给应用层管理者确认,是否加该对父子进程到行为基线中。经过一段时间的行为规则学习之后,行为基线即行为规则白名单便形成。如果业务变动,重新学习即可。图4示例自学习结束后,形成的行为基线图,图中展现进程的调用关系。
图5示例WEBSHELL构造攻击后形成的行为图,图中展现ls和pwd是禁止放行的进程。当WEBSHELL发生,ls和pwd是搭建WEBSHELL环境构造的攻击,则立即进行告警或阻断。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。

Claims (4)

1.一种基于webshell攻击的检测和防护方法,用于利用检测防护***防范针对web服务器主机的webshell攻击,其特征在于,所述基于webshell攻击的检测和防护方法包括主机行为学习过程、主机行为判断过程;
所述主机行为学习过程包括下述步骤:
(1)web服务器主机处理web请求:web服务器主机接收来自各个客户端的web请求,web服务器主机的内核启动进程处理web请求信息,并分析处理web请求的进程行为;
(2)收集web服务器主机行为:检测防护***的内核对步骤(1)传输过来的web请求的进程行为信息进行收集,并将收集到的信息发送给检测防护***的应用层;
(3)接收web服务器主机行为:检测防护***的应用层接收步骤(2)传输过来的信息并进行提取,总结出web服务器主机行为:父进程名称、子进程名称;
(4)学习web服务器主机行为:检测防护***的应用层在一个学习周期内学习web服务器主机的行为,即记录步骤(3)总结的web服务器主机行为并保存至检测防护***的数据库中;
(5)确认web服务器主机行为基线:步骤(4)结束后,检测防护***的数据库中形成web服务器主机行为列表,且检测防护***的应用层管理者能对web服务器主机行为列表进行人工校对、调整,最后形成web服务器主机的行为基线;
所述行为基线是主机行为白名单,包括父进程名称、子进程名称;且行为基线能够进行人工调整;
(6)发送web服务器主机行为基线:步骤(5)结束后,将检测防护***的应用层形成的行为基线文件,发回给检测防护***的内核;
所述主机行为判断过程包括下述步骤:
(7)检测可疑访问行为:检测防护***的内核接收行为基线,与web服务器主机处理客户端web请求的进程行为进行比对,如果该客户端web请求的进程行为,与行为基线中的进程不匹配,即判断该主机行为可能是webshell攻击,进行告警或阻断。
2.根据权利要求1所述的一种基于webshell攻击的检测和防护方法,其特征在于,所述步骤(4)中,检测防护***的应用层学习到的web服务器主机的行为,是web服务的调用关系。
3.根据权利要求1所述的一种基于webshell攻击的检测和防护方法,其特征在于,当web服务器主机的主机***业务发生变更时,能够重新进行主机行为学习过程,形成适用的行为基线。
4.用于权利要求1所述基于webshell攻击的检测和防护方法的检测防护***,其特征在于,包括内核、应用层、数据库;
所述内核是对操作***内核进行二次开发的驱动程序,用于搜集主机行为、匹配行为基线、阻断主机行为;
所述应用层用于接收、展示、学习内核收集到的主机行为,总结主机行为形成行为基线,调整行为基线;且应用层是B/S结构,能够配置管理员;
所述数据库用于组织、存储、管理数据。
CN201710225087.6A 2017-04-07 2017-04-07 一种基于webshell攻击的检测和防护方法及*** Active CN107070913B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710225087.6A CN107070913B (zh) 2017-04-07 2017-04-07 一种基于webshell攻击的检测和防护方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710225087.6A CN107070913B (zh) 2017-04-07 2017-04-07 一种基于webshell攻击的检测和防护方法及***

Publications (2)

Publication Number Publication Date
CN107070913A CN107070913A (zh) 2017-08-18
CN107070913B true CN107070913B (zh) 2020-04-28

Family

ID=59601542

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710225087.6A Active CN107070913B (zh) 2017-04-07 2017-04-07 一种基于webshell攻击的检测和防护方法及***

Country Status (1)

Country Link
CN (1) CN107070913B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102382889B1 (ko) 2019-11-28 2022-04-05 네이버클라우드 주식회사 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491060A (zh) * 2012-06-13 2014-01-01 北京新媒传信科技有限公司 一种防御Web攻击的方法、装置、及***
CN104580203A (zh) * 2014-12-31 2015-04-29 北京奇虎科技有限公司 网站恶意程序检测方法及装置
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9509714B2 (en) * 2014-05-22 2016-11-29 Cabara Software Ltd. Web page and web browser protection against malicious injections
US9396332B2 (en) * 2014-05-21 2016-07-19 Microsoft Technology Licensing, Llc Risk assessment modeling

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491060A (zh) * 2012-06-13 2014-01-01 北京新媒传信科技有限公司 一种防御Web攻击的方法、装置、及***
CN104580203A (zh) * 2014-12-31 2015-04-29 北京奇虎科技有限公司 网站恶意程序检测方法及装置
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备

Also Published As

Publication number Publication date
CN107070913A (zh) 2017-08-18

Similar Documents

Publication Publication Date Title
CN106326699B (zh) 一种基于文件访问控制和进程访问控制的服务器加固方法
CN101520831B (zh) 安全终端***及终端安全方法
US7870612B2 (en) Antivirus protection system and method for computers
US8561192B2 (en) Method and apparatus for automatically protecting a computer against a harmful program
US8806629B1 (en) Automatic generation of policy-driven anti-malware signatures and mitigation of DoS (denial-of-service) attacks
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及***
US11625488B2 (en) Continuous risk assessment for electronic protected health information
KR101565590B1 (ko) 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템
CN103248472A (zh) 一种处理操作请求的方法、***以及攻击识别装置
US20210234877A1 (en) Proactively protecting service endpoints based on deep learning of user location and access patterns
KR100788256B1 (ko) 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법
KR102079304B1 (ko) 화이트리스트 기반 악성코드 차단 장치 및 방법
CN101667232A (zh) 基于可信计算的终端可信保障***与方法
RU2728505C1 (ru) Система и способ обеспечения информационной безопасности на основании антропной защиты
KR101089157B1 (ko) 클라이언트 가상화를 이용한 서버의 논리적 망분리 시스템 및 방법
CN112653655A (zh) 汽车安全通信控制方法、装置、计算机设备及存储介质
EP3964990A1 (en) Method and system for deciding on the need for an automated response to an incident
US9219728B1 (en) Systems and methods for protecting services
KR101308703B1 (ko) 전자상거래 보안 시스템 및 그 방법
CN114928462A (zh) 一种基于用户行为识别的Web安全防护方法
CN107070913B (zh) 一种基于webshell攻击的检测和防护方法及***
RU2716735C1 (ru) Система и способ отложенной авторизации пользователя на вычислительном устройстве
CN115086081B (zh) 一种蜜罐防逃逸方法及***
US11303675B1 (en) Containing compromised credentials using deception systems
US11983272B2 (en) Method and system for detecting and preventing application privilege escalation attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 310051 No. 188 Lianhui Street, Xixing Street, Binjiang District, Hangzhou City, Zhejiang Province

Applicant after: DBAPPSECURITY Ltd.

Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer

Applicant before: DBAPPSECURITY Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant