CN107302586B - 一种Webshell检测方法以及装置、计算机装置、可读存储介质 - Google Patents
一种Webshell检测方法以及装置、计算机装置、可读存储介质 Download PDFInfo
- Publication number
- CN107302586B CN107302586B CN201710565826.6A CN201710565826A CN107302586B CN 107302586 B CN107302586 B CN 107302586B CN 201710565826 A CN201710565826 A CN 201710565826A CN 107302586 B CN107302586 B CN 107302586B
- Authority
- CN
- China
- Prior art keywords
- information
- response information
- data
- database system
- http
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
- G06F16/972—Access to data in other repository systems, e.g. legacy data or dynamic Web page generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种Webshell检测方法以及装置、计算机装置、可读存储介质,用于快速、有效地实现对Webshell的检测。本发明实施例方法包括:获取访问日志,访问日志包括浏览器向Web业务***发起的Http请求信息、Web业务***基于Http请求信息向数据库***发起的数据请求信息、数据库***基于数据请求信息向Web业务***反馈的数据响应信息、Web业务***基于数据响应信息向浏览器反馈的Http响应信息;从访问日志中提取Http响应信息;检测Http响应信息是否包括数据库***的敏感信息;若包括,则确定Http请求信息指向Webshell。
Description
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种Webshell检测方法以及装置、计算机装置、可读存储介质。
背景技术
一般的数据入侵是先控制web***,然后通过web***去访问数据库进行数据窃取。由于借助web***进行访问时,访问者的身份是合法的,防火墙无法识别这是异常访问,则无法防御不这类攻击。因此,数据库安全产品,具备识别webshell行为的能力,至关重要。
然而,webshell检测技术发展至今,较多侧重于web主机检测和网络检测:1、主机检测,需要在网站服务器上安装检测查杀工具或软件,主要使用的技术有静态特征库皮匹配、文件创建和修改时间监控、最长单词检测、重合指数检测、信息熵检测、文件压缩比检测、hook危险函数等,该检测方法相对比较成熟,但实时性不好;2、网络检测,即网络流量特征匹配,体现为webshell本身代码的传输流量特征匹和webshell在执行时通信流量特征匹配,网络流量特征匹配方法简单、检查迅速,但复杂的语义分析需要消耗的资源大,成本高,且对于已经上传webshell后的检测效果较差。
因此,有必要提供优于上述识别webshell行为的检测方法。
发明内容
本发明实施例提供了一种Webshell检测方法以及装置、计算机装置、可读存储介质,用于快速、有效地实现对Webshell的检测。
有鉴于此,本发明第一方面提供一种Webshell检测方法,可包括:
获取访问日志,访问日志包括浏览器向Web业务***发起的Http请求信息、Web业务***基于Http请求信息向数据库***发起的数据请求信息、数据库***基于数据请求信息向Web业务***反馈的数据响应信息、Web业务***基于数据响应信息向浏览器反馈的Http响应信息;
从访问日志中提取Http响应信息;
检测Http响应信息是否包括数据库***的敏感信息;
若包括,则确定Http请求信息指向Webshell。
进一步的,该方法还包括:
从访问日志中提取数据响应信息;
检测Http响应信息是否包括数据库***的敏感信息包括:
根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息。
进一步的,根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息包括:
检测数据响应信息是否包括数据库***的敏感信息;
若包括,则从数据响应信息中提取敏感信息;
检测Http响应信息是否包括敏感信息。
进一步的,在从访问日志中提取Http响应信息之前,该方法还包括:
从访问日志中提取数据请求信息;
解析数据请求信息是否包括用于指示获取数据库***的敏感信息的指令;
若是,则触发从访问日志中提取Http响应信息的步骤。
进一步的,在确定Http请求信息指向Webshell之后,该方法还包括:
针对Http请求信息进行告警处理。
进一步的,在确定Http请求信息指向Webshell之后,该方法还包括:
记录Http请求信息对应的网站的统一资源定位符URL。
本发明第二方面提供一种Webshell检测装置,可包括:
获取单元,用于获取访问日志,访问日志包括浏览器向Web业务***发起的Http请求信息、Web业务***基于Http请求信息向数据库***发起的数据请求信息、数据库***基于数据请求信息向Web业务***反馈的数据响应信息、Web业务***基于数据响应信息向浏览器反馈的Http响应信息;
第一提取单元,用于从访问日志中提取Http响应信息;
检测单元,用于检测Http响应信息是否包括数据库***的敏感信息;
确定单元,用于当Http响应信息包括数据库***的敏感信息时,则确定Http请求信息指向Webshell。
进一步的,装置还包括:
第二提取单元,用于从访问日志中提取数据响应信息;
检测单元,具体用于:
根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息。
进一步的,检测单元,具体用于:
检测数据响应信息是否包括数据库***的敏感信息;
若包括,则从数据响应信息中提取敏感信息;
检测Http响应信息是否包括敏感信息。
进一步的,装置还包括:
第三提取单元,用于从访问日志中提取数据请求信息;
解析单元,用于解析数据请求信息是否包括用于指示获取数据库***的敏感信息的指令;
触发单元,用于当数据请求信息包括用于指示获取数据库***的敏感信息的指令时,则触发第一提取单元从访问日志中提取Http响应信息。
进一步的,装置还包括:
告警单元,用于针对Http请求信息进行告警处理。
进一步的,装置还包括:
记录单元,用于记录Http请求信息对应的网站的统一资源定位符URL。
本发明第三方面提供一种计算机装置,计算机装置包括处理器,处理器用于执行存储器中存储的计算机程序时,实现如下步骤:
获取访问日志,访问日志包括浏览器向Web业务***发起的Http请求信息、Web业务***基于Http请求信息向数据库***发起的数据请求信息、数据库***基于数据请求信息向Web业务***反馈的数据响应信息,Web业务***基于数据响应信息向浏览器反馈的Http响应信息;
从访问日志中提取Http响应信息;
检测Http响应信息是否包括数据库***的敏感信息;
若包括,则确定Http请求信息指向Webshell。
本发明第四方面提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,处理器,用于执行如下步骤:
获取访问日志,访问日志包括浏览器向Web业务***发起的Http请求信息、Web业务***基于Http请求信息向数据库***发起的数据请求信息、数据库***基于数据请求信息向Web业务***反馈的数据响应信息,Web业务***基于数据响应信息向浏览器反馈的Http响应信息;
从访问日志中提取Http响应信息;
检测Http响应信息是否包括数据库***的敏感信息;
若包括,则确定Http请求信息指向Webshell。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明提供了一种Webshell检测方法,该方法通过提取访问日志中由Web业务***反馈给浏览器的Http响应信息,可以检测Http响应信息中是否包括数据库***的敏感信息,若包括,则可以确定浏览器向Web业务***发起的Http请求信息指向Webshell,即基于Http请求信息的访问行为不同于正常的访问行为,为了避免数据库***的数据丢失,可以确定该访问行为即Webshell行为,相对于现有技术而言,该方法通过分析浏览器访问Web业务***的数据流,可以实现对Webshell实时、快速而有效的检测。
附图说明
图1为本发明实施例中Webshell检测方法一个实施例示意图;
图2为本发明实施例中浏览器、Web业务***以及数据库***的信息交互示意图;
图3为本发明实施例中Webshell检测方法另一实施例示意图;
图4为本发明实施例中Webshell检测方法另一实施例示意图;
图5为本发明实施例中Webshell检测装置一个实施例示意图;
图6为本发明实施例中Webshell检测装置另一实施例示意图;
图7为本发明实施例中Webshell检测装置另一实施例示意图。
具体实施方式
本发明实施例提供了一种Webshell检测方法以及装置、计算机装置、可读存储介质,用于快速、有效地实现对Webshell的检测。
为了使本技术领域的人员更好地理解本发明方案,下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
一般来说,Webshell,即Web与shell的结合,是一种在Web服务器中以网页脚本形式存在的木马文件。攻击者通过直接访问Webshell文件,借助Web服务器解析和执行各种命令与操作,比如执行任意***命令、对***上的文件进行增删改查、植入各类恶意软件以及进一步攻击内网数据库等操作。以Web服务器为目标的攻击的最终目的就是在目标网站中植入Webshell,方便持续访问和控制。特别地,黑客一般通过控制Web业务***,进行企业、政府等的数据库***中的数据的窃取。
其中,Web业务***,是由企业、政府等向互联网用户提供服务的可视化***。互联网用户通过浏览器可以访问Web业务***,Web业务***根据互联网用户的访问,可以向互联网用户反馈数据库***中的数据信息。
对于数据库***中的数据信息的获取,正常用户与非正常用户的访问行为表现不同:
例如,假设数据库***为A公司的销售管理***,那么A公司的销售人员在获悉销售管理***的相应数据信息时,主要在于了解如何下单,如何查看销售数据,但并不会去关心销售管理***中的数据是如何组织的,又是如何存储的,然而,对于非正常用户,如黑客而言,若需进行数据窃取,则需要了解销售管理***中的数据是如何组织的,又是如何存储的,则意味着正常用户与非正常用户的访问行为将不一致,由此可以用于检测Webshell。
为便于理解,下面对本发明实施例中的具体流程进行描述,请参阅图1,本发明实施例中Webshell检测方法一个实施例包括:
101、获取访问日志;
本实施例中,诸如企业、政府的数据库***一般不对互联网开放,开放的是Web业务***,互联网用户无法直接对该数据库***进行访问,而需要借助Web业务***进行访问,那么当互联网用户需要获取相应数据库***中的数据时,如图2所示,需要经过以下流程:
1、互联网用户通过浏览器向Web业务***发起Http请求信息,以获取数据库***中的数据;
2、Web业务***接收到该Http请求信息后,可以基于该Http请求信息向数据库***发起数据请求信息,以从数据库***获取互联网用户需要获取的数据;
3、数据库***接收到数据请求信息后,可以基于该数据请求信息向Web业务***反馈数据响应信息;
4、Web业务***接收到数据库***反馈的数据响应信息后,可以基于该数据响应信息向浏览器反馈Http响应信息,以在浏览器输出用户需要从数据库***中获取的数据。
其中,Http请求信息和Http响应信息可以为互联网用户通过浏览器访问Web业务***的数据流,数据请求信息和数据响应信息可以为Web业务***访问数据库***的数据流。
本实施例中,该方法可以由Webshell检测装置来执行,基于浏览器对Web业务***的访问以及Web业务***对数据库***的访问,该Web检测装置可以镜像浏览器访问Web业务***的数据流、Web业务***访问数据库***的数据流,并记录相应的Http请求信息、数据请求信息、数据响应信息和Http响应信息,即获取包括浏览器向Web业务***发起的Http请求信息、Web业务***基于Http请求信息向数据库***发起的数据请求信息、数据库***基于数据请求信息向Web业务***反馈的数据响应信息、Web业务***基于数据响应信息向浏览器反馈的Http响应信息的访问日志。
需要说明的是,本实施例中,由于可以存在多个浏览器,且对于同一浏览器可以从不同网站进行Http请求信息的发起,则Webshell检测装置在镜像浏览器访问Web业务***的数据流、Web业务***访问数据库***的数据流并进行相应的记录时,获取的访问日志可以按照浏览器以及对应的网站进行分类,以在检测Webshell行为时,基于Http请求信息的访问行为的分析具有较强的针对性。
102、从访问日志中提取Http响应信息;
本实施例中,正常用户在访问数据库***时,也有可能会涉及数据库***的敏感信息,但在Http请求信息、数据请求信息、数据响应信息、Http响应信息中,只有为非正常用户的访问,Http响应信息可以包括数据库***的敏感信息,以使得非正常用户可以根据该Http响应信息中携带的敏感信息进行数据库***的数据信息的窃取。因此,获取访问日志后,可以从访问日志中提取Http响应信息,即Web业务***基于数据响应信息向浏览器反馈的Http响应信息。
103、检测Http响应信息是否包括数据库***的敏感信息,若是,则执行步骤104,若否,则执行步骤105;
本实施例中,从访问日志中提取Http响应信息后,可以检测Http响应信息是否包括数据库***的敏感信息。
具体的,数据库***中可以包括多个数据库,各个数据库中可以包括多个数据表等内部结构组成,各个数据表在相应数据库中具有相应的位置,各个数据库在数据库***中也具有相应的位置。其中,诸如数据库的名称、数据表的名称、数据库的位置、数据表的位置等表明数据库***的数据特征可以为数据库***的敏感信息。因此,从访问日志中提取Http响应信息后,可以检测Http响应信息中是否包括诸如数据库的名称、数据表的名称、数据库的位置、数据表的位置等表明数据库***的数据特征的敏感信息。
可以理解的是,本实施例中数据库***的敏感信息除了上述说明的内容,还可以包括其它,如数据库***中存储的用户ID、登录口令、身份信息以及绝密报文等,只要为涉及数据库***的隐私与安全的信息即可,具体此处不做限定。
104、确定Http请求信息指向Webshell;
本实施例中,若检测Http响应信息包括数据库***的敏感信息,则可以确定Http请求信息指向Webshell。
具体的,正常用户与非正常用户均无法通过浏览器直接访问数据库***,需要借助web业务***,如前,对于非正常用户,如黑客而言,若需进行数据窃取,则需要了解数据库***的诸如数据特征等敏感信息,且该敏感信息可以由Web业务***基于数据响应信息反馈至非正常用户使用的浏览器,那么当Http响应信息包括数据库***的敏感信息时,可以确定由浏览器向Web业务***发起的Http请求信息指向Webshell,即浏览器对Web业务***的访问行为十分可疑,为了避免Webshell对Web业务***的攻击造成数据库***的数据泄露,可以将该访问行为视为Webshell行为。
105、结束流程。
本实施例中,若检测Http响应信息不包括数据库***的敏感信息,则意味着基于Http请求信息的访问行为不为Webshell行为,那么可以不进行其它操作,即结束流程,以实现浏览器、Web业务***、数据库***之间正常的信息交互。
本实施例中,通过提取访问日志中由Web业务***反馈给浏览器的Http响应信息,可以检测Http响应信息中是否包括数据库***的敏感信息,若包括,则可以确定浏览器向Web业务***发起的Http请求信息指向Webshell,即基于Http请求信息的访问行为不同于正常的访问行为,为了避免数据库***的数据丢失,可以确定该访问行为即Webshell行为,相对于现有技术而言,该方法通过分析浏览器访问Web业务***的数据流,可以实现对Webshell实时、快速而有效的检测。
可以理解的是,在检测Http响应信息是否包括数据库***的敏感信息时,可以预先设置诸如数据库***的敏感信息库,该敏感信息库中包括数据库***的所有敏感信息,并可以根据数据库***的更新而进行更新,在访问日志中提取到Http响应信息后,可以解析Http响应信息,并将Http响应信息与敏感信息库中的敏感信息进行匹配,若匹配成功,则可以确定Http响应信息包括数据库***的敏感信息。
在实际应用中,除了采用上述方法检测Http响应信息是否包括数据库***的敏感信息,还可以采用其它方式,例如:
请参阅图3,本发明实施例中Webshell检测方法另一实施例包括:
301、获取访问日志;
302、从访问日志中提取Http响应信息;
本实施例中的步骤301至步骤302与图1所示实施例中的步骤101至步骤102相同,此处不再赘述。
303、从访问日志中提取数据响应信息;
本实施例中,获取访问日志后,可以从访问日志中提取数据响应信息,即数据库***基于数据请求信息向Web业务***反馈的数据响应信息。
需要说明的是,本实施例中步骤303可以在步骤302之前执行,也可以与步骤303同时执行,只要在获取访问日志后执行即可,具体此处不做限定。
304、根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息,若是,则执行步骤305,若否,则执行步骤306;
本实施例中,从访问日志中提取Http响应信息和数据响应信息后,可以根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息。
具体的,数据响应信息反映了Web业务***访问数据库***的数据流,Http响应信息反映了互联网用户通过浏览器访问Web业务***的数据流,由于Http响应信息是由Web业务***基于数据响应信息反馈至浏览器,则数据响应信息中是否包括数据库***的敏感信息,可以直接反映Http响应信息是否包括数据库***的敏感信息,当数据响应信息和Http响应信息同时包括数据库***的敏感信息时,可以判定互联网用户通过浏览器访问Web业务***的行为Webshell行为。需要说明的是,基于互联网用户的访问需要,对于正常访问而言,数据响应信息中可以包括数据库***的敏感信息,但Http响应信息中不会包括数据库***的敏感信息。
本实施例中,通过关联分析这两种流量特征,可以提高判断Webshell行为的准确性以及效率,根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息的具体方式可以为:
检测数据响应信息是否包括数据库***的敏感信息;
若包括,则从数据响应信息中提取敏感信息;
检测Http响应信息是否包括敏感信息。
具体的,从访问日志中提取数据响应信息后,可以先行检测数据响应信息是否包括数据库***的敏感信息,诸如是否包括数据库的名称等,若包括,则说明基于数据响应信息反馈至浏览器的Http响应信息可能有包括数据库***的敏感信息的风险,若不包括,则说明基于数据响应信息反馈至浏览器的Http响应信息也不会包括数据库***的敏感信息。
进一步的,当检测数据响应信息包括数据库***的敏感信息时,如敏感信息A,可以继续对Http响应信息进行分析,即从数据响应信息中提取该敏感信息A,并将该提取的敏感信息A与Http响应信息进行匹配,以检测Http响应信息是否包括该敏感信息A。
需要说明的是,本实施例中根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息的具体方式除了上述说明的内容,在实际应用中,还可以采用其它方式,例如,将数据响应信息与Http响应信息进行匹配,再检测匹配到的相同内容部分是否包括敏感信息,若包括,则可以确定Http响应信息包括数据库***的敏感信息,反之,则不包括,具体此处不做限定。
305、确定Http请求信息指向Webshell;
本实施例中的步骤305与图1所示实施例中的步骤104相同,此处不再赘述。
进一步的,本实施例中,确定Http请求信息指向Webshell后,即确定基于Http请求信息的访问行为为Webshell行为,可以针对该Http请求信息进行告警处理,如向数据库***的管理员发送危险警告信息,以提示管理员及早做出响应,以免丢失数据。
更进一步的,本实施例中,为了加强数据库***的安全,确定基于Http请求信息的访问行为为Webshell行为后,可以记录Http请求信息对应的网站的统一资源定位符URL,以在该URL对应的网站通过浏览器再次向Web业务***发起Http请求信息时,可以直接判断基于该Http请求信息的访问行为为webshell行为,由此不需要Web业务***向数据库***发起数据请求信息、接收数据库***反馈的数据响应信息以及向浏览器反馈Http响应信息后,再对Http响应信息进行相应的检测后进行应急处理,此种处理效率更高,且能够及时避免可能导致数据丢失的现象的发生。同时,在该种情况下,也可以及时阻断Http请求信息,以防止Web业务***基于该Http请求信息向数据库***发起数据请求信息。
306、结束流程。
本实施例中,若根据数据响应信息,检测Http响应信息不包括数据库***的敏感信息,则意味着基于Http请求信息的访问行为不为Webshell行为,那么可以不进行其它操作,即结束流程,以实现浏览器、Web业务***、数据库***之间正常的信息交互。
可以理解的是,本实施例中,若互联网用户为非正常用户,如黑客,当其需要通过浏览器并借助于Web业务***获取数据库***的数据信息时,可以通过Webshell,向数据库***发送获取数据信息的相应指令(如SQL语句),该指令可以携带于Web业务***向数据库***发起的数据请求信息中,以使得数据库***的防火墙无法识别此类攻击。因此,为了排除这种攻击型访问,以免非正常用户对数据库***的数据信息的窃取,可以先行对数据请求信息进行相应的解析,下面进行具体说明:
请参阅图4,本发明实施例中Webshell检测方法另一实施例包括:
401、获取访问日志;
本实施例中的步骤401与图3所示实施例中的步骤201相同,此处不再赘述。
402、从访问日志中提取数据请求信息;
本实施例中,获取访问日志后,可以从访问日志中提取数据请求信息,即Web业务***基于Http请求信息向数据库***发起的数据请求信息。
403、解析数据请求信息是否包括用于指示获取数据库***的敏感信息的指令,若是,则执行步骤404,若否,则执行步骤408;
本实施例中,获取访问日志后,可以从访问日志后提取数据请求信息,并可以解析该数据请求信息是否包括用于指示获取数据库***的敏感信息的指令。
具体的,互联网用户借助Web业务浏览器访问数据库***时,需要经过Http请求信息的发起、基于Http请求信息的数据请求信息的发起,基于数据请求信息的数据响应信息的反馈、基于数据响应信的Http响应信息的反馈这四个流程,而一般来说,Http请求信息进行了相应的加密处理,则当非正常用户窃取数据库***的数据信息时,需要借助Web业务***向数据库***发起的数据请求信息,并在其中携带用于指示获取数据库***的敏感信息的指令,以防止数据库***的防火墙的识别。因此,获取到访问日志后,可以先行从中提取数据请求信息,并解析该数据请求信息是否包括用于指示获取数据库***的敏感信息的指令,以判断Http响应信息包括数据库敏感信息的可能性,并用于确定进一步基于Http请求信息的访问行为是否为Webshell行为。
404、从访问日志中提取Http响应信息;
本实施例中,若解析数据请求信息包括用于指示获取数据库***的敏感信息的指令,则意味着基于Http请求信息的访问行为很有可能为Webshell行为,那么为了防止基于Http请求信息的访问行为为Webshell行为时造成的数据库***的数据丢失,可以从访问日志中提取Http响应信息,以论证基于Http请求信息的访问行为是否为Webshell行为,从而可以有效避免数据库***的数据丢失。
405、从访问日志中提取数据响应信息;
406、根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息,若是,则执行步骤407,若否,则执行步骤408;
407、确定Http请求信息指向Webshell;
本实施例中的步骤404至步骤408与图3所示实施例中的302至步骤306相同,此处不再赘述。
408、结束流程。
本实施例中,若解析数据请求信息不包括用于指示获取数据库***的敏感信息的指令,则可以确定基于Http请求信息的访问行为不为Webshell行为,那么可以不进行其它操作,即结束流程,以实现浏览器、Web业务***、数据库***之间正常的信息交互。
本实施例中,若根据数据响应信息,检测Http响应信息不包括数据库***的敏感信息,则意味着基于Http请求信息的访问行为不为Webshell行为,那么可以不进行其它操作,即结束流程,以实现浏览器、Web业务***、数据库***之间正常的信息交互。
上面对本发明实施例中的Webshell检测方法进行了描述,下面对本发明实施例中的Webshell检测装置进行描述,请参阅图5,本发明实施例中Webshell检测装置一个实施例包括:
获取单元501,用于获取访问日志,访问日志包括浏览器向Web业务***发起的Http请求信息、Web业务***基于Http请求信息向数据库***发起的数据请求信息、数据库***基于数据请求信息向Web业务***反馈的数据响应信息,Web业务***基于数据响应信息向浏览器反馈的Http响应信息;
第一提取单元502,用于从访问日志中提取Http响应信息;
检测单元503,用于检测Http响应信息是否包括数据库***的敏感信息;
确定单元504,用于当Http响应信息包括数据库***的敏感信息时,则确定Http请求信息指向Webshell。
请参阅图6,本发明实施例中Webshell检测装置另一实施例包括:
本实施例中的单元601与图5所示实施例中的单元501相同,单元602与图5所示实施例中的单元502相同,此处不再赘述。
第二提取单元603,用于从访问日志中提取数据响应信息;
检测单元604,用于根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息;
本实施例中的单元605与图5所示实施例中的单元504相同,此处不再赘述。
告警单元606,用于针对Http请求信息进行告警处理;
记录单元607,用于记录Http请求信息对应的网站的统一资源定位符URL。
可选的,在本发明的一些实施例中,检测单元604,可以进一步具体用于:
检测数据响应信息是否包括数据库***的敏感信息;
若包括,则从数据响应信息中提取敏感信息;
检测Http响应信息是否包括敏感信息。
请参阅图7,本发明实施例中Webshell检测装置另一实施例包括:
本实施例中的单元701与图6所示实施例中的单元601相同,此处不再赘述。
第三提取单元702,用于从访问日志中提取数据请求信息;
解析单元703,用于解析数据请求信息是否包括用于指示获取数据库***的敏感信息的指令;
本实施例中的单元704与图6所示实施例中的单元602相同,此处不再赘述。
触发单元705,用于当数据请求信息包括用于指示获取数据库***的敏感信息的指令时,则触发第一提取单元从访问日志中提取Http响应信息。
本实施例中的单元706与图6所示实施例中的单元603相同,单元707与图6所示实施例中的单元604相同,单元708与图6所示实施例中的单元605相同,单元709与图6所示实施例中的单元606相同,单元710与图6所示实施例中的单元607相同,此处不再赘述。
上面从模块化功能实体的角度对本发明实施例中的Webshell检测装置进行了描述,下面从硬件处理的角度对本发明实施例中的计算机装置进行描述:
本发明实施例中计算机装置一个实施例包括:
处理器以及存储器;
存储器用于存储计算机程序,处理器用于执行存储器中存储的计算机程序时,可以实现如下步骤:
获取访问日志,访问日志包括浏览器向Web业务***发起的Http请求信息、Web业务***基于Http请求信息向数据库***发起的数据请求信息、数据库***基于数据请求信息向Web业务***反馈的数据响应信息、Web业务***基于数据响应信息向浏览器反馈的Http响应信息;
从访问日志中提取Http响应信息;
检测Http响应信息是否包括数据库***的敏感信息;
若包括,则确定Http请求信息指向Webshell。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
从访问日志中提取数据响应信息;
检测Http响应信息是否包括数据库***的敏感信息包括:
根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
检测数据响应信息是否包括数据库***的敏感信息;
若包括,则从数据响应信息中提取敏感信息;
检测Http响应信息是否包括敏感信息。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
从访问日志中提取数据请求信息;
解析数据请求信息是否包括用于指示获取数据库***的敏感信息的指令;
若是,则触发从访问日志中提取Http响应信息的步骤。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
针对Http请求信息进行告警处理。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
记录Http请求信息对应的网站的统一资源定位符URL。
可以理解的是,上述说明的计算机装置中的处理器执行所述计算机程序时,也可以实现上述对应的各装置实施例中各单元的功能,此处不再赘述。示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述Webshell检测设备中的执行过程。例如,所述计算机程序可以被分割成上述Webshell检测设备中的各单元,各单元可以实现如上述相应Webshell检测设备说明的具体功能。
所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解,处理器、存储器仅仅是计算机装置的示例,并不构成对计算机装置的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机装置还可以包括输入输出设备、网络接入设备、总线等。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
获取访问日志,访问日志包括浏览器向Web业务***发起的Http请求信息、Web业务***基于Http请求信息向数据库***发起的数据请求信息、数据库***基于数据请求信息向Web业务***反馈的数据响应信息、Web业务***基于数据响应信息向浏览器反馈的Http响应信息;
从访问日志中提取Http响应信息;
检测Http响应信息是否包括数据库***的敏感信息;
若包括,则确定Http请求信息指向Webshell。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
从访问日志中提取数据响应信息;
检测Http响应信息是否包括数据库***的敏感信息包括:
根据数据响应信息,检测Http响应信息是否包括数据库***的敏感信息。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
检测数据响应信息是否包括数据库***的敏感信息;
若包括,则从数据响应信息中提取敏感信息;
检测Http响应信息是否包括敏感信息。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
从访问日志中提取数据请求信息;
解析数据请求信息是否包括用于指示获取数据库***的敏感信息的指令;
若是,则触发从访问日志中提取Http响应信息的步骤。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
针对Http请求信息进行告警处理。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
记录Http请求信息对应的网站的统一资源定位符URL。
可以理解的是,所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在相应的一个计算机可读取存储介质中。基于这样的理解,本发明实现上述相应的实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种Webshell检测方法,其特征在于,包括:
获取访问日志,所述访问日志包括浏览器向Web业务***发起的Http请求信息、所述Web业务***基于所述Http请求信息向数据库***发起的数据请求信息、所述数据库***基于所述数据请求信息向所述Web业务***反馈的数据响应信息、所述Web业务***基于所述数据响应信息向所述浏览器反馈的Http响应信息;
从所述访问日志中提取所述Http响应信息;
检测所述Http响应信息是否包括所述数据库***的敏感信息;
若包括,则确定所述Http请求信息指向Webshell;
所述方法还包括:
从所述访问日志中提取所述数据响应信息;
所述检测所述Http响应信息是否包括所述数据库***的敏感信息包括:
根据所述数据响应信息,检测所述Http响应信息是否包括所述数据库***的敏感信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述数据响应信息,检测所述Http响应信息是否包括所述数据库***的敏感信息包括:
检测所述数据响应信息是否包括所述数据库***的敏感信息;
若包括,则从所述数据响应信息中提取所述敏感信息;
检测所述Http响应信息是否包括所述敏感信息。
3.根据权利要求1至2中任一项所述的方法,其特征在于,在所述从所述访问日志中提取所述Http响应信息之前,所述方法还包括:
从所述访问日志中提取所述数据请求信息;
解析所述数据请求信息是否包括用于指示获取所述数据库***的敏感信息的指令;
若是,则触发所述从所述访问日志中提取所述Http响应信息的步骤。
4.根据权利要求1至2中任一项所述的方法,其特征在于,在所述确定所述Http请求信息指向Webshell之后,所述方法还包括:
针对所述Http请求信息进行告警处理。
5.根据权利要求1至2中任一项所述的方法,其特征在于,在所述确定所述Http请求信息指向Webshell之后,所述方法还包括:
记录所述Http请求信息对应的网站的统一资源定位符URL。
6.一种Webshell检测装置,其特征在于,包括:
获取单元,用于获取访问日志,所述访问日志包括浏览器向Web业务***发起的Http请求信息、所述Web业务***基于所述Http请求信息向数据库***发起的数据请求信息、所述数据库***基于所述数据请求信息向所述Web业务***反馈的数据响应信息、所述Web业务***基于所述数据响应信息向所述浏览器反馈的Http响应信息;
第一提取单元,用于从所述访问日志中提取所述Http响应信息;
检测单元,用于检测所述Http响应信息是否包括所述数据库***的敏感信息;
确定单元,用于当所述Http响应信息包括所述数据库***的敏感信息时,则确定所述Http请求信息指向Webshell;
所述装置还包括:
第二提取单元,用于从所述访问日志中提取所述数据响应信息;
所述检测单元,具体用于:
根据所述数据响应信息,检测所述Http响应信息是否包括所述数据库***的敏感信息。
7.根据权利要求6所述的装置,其特征在于,所述检测单元,具体用于:
检测所述数据响应信息是否包括所述数据库***的敏感信息;
若包括,则从所述数据响应信息中提取所述敏感信息;
检测所述Http响应信息是否包括所述敏感信息。
8.根据权利要求6至7中任一项所述的装置,其特征在于,所述装置还包括:
第三提取单元,用于从所述访问日志中提取所述数据请求信息;
解析单元,用于解析所述数据请求信息是否包括用于指示获取所述数据库***的敏感信息的指令;
触发单元,用于当所述数据请求信息包括用于指示获取所述数据库***的敏感信息的指令时,则触发所述第一提取单元从所述访问日志中提取所述Http响应信息。
9.根据权利要求6至7中任一项所述的装置,其特征在于,所述装置还包括:
告警单元,用于针对所述Http请求信息进行告警处理。
10.根据权利要求6至7中任一项所述的装置,其特征在于,所述装置还包括:
记录单元,用于记录所述Http请求信息对应的网站的统一资源定位符URL。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1至5中任意一项所述Webshell检测方法的步骤。
12.一种计算机装置,计算机装置包括处理器,处理器用于执行存储器中存储的计算机程序时实现如权利要求1至5中任意一项所述Webshell检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710565826.6A CN107302586B (zh) | 2017-07-12 | 2017-07-12 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710565826.6A CN107302586B (zh) | 2017-07-12 | 2017-07-12 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107302586A CN107302586A (zh) | 2017-10-27 |
| CN107302586B true CN107302586B (zh) | 2020-06-26 |
Family
ID=60132842
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710565826.6A Active CN107302586B (zh) | 2017-07-12 | 2017-07-12 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107302586B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109167797B (zh) * | 2018-10-12 | 2022-03-01 | 北京百度网讯科技有限公司 | 网络攻击分析方法和装置 |
| CN109446819B (zh) * | 2018-10-30 | 2020-12-22 | 北京知道创宇信息技术股份有限公司 | 越权漏洞检测方法及装置 |
| CN110636547B (zh) * | 2019-09-27 | 2022-03-22 | 腾讯科技(深圳)有限公司 | 终端执行的方法以及相应的终端、计算机可读存储介质 |
| CN113132329A (zh) * | 2019-12-31 | 2021-07-16 | 深信服科技股份有限公司 | Webshell检测方法、装置、设备及存储介质 |
| CN113746784B (zh) * | 2020-05-29 | 2023-04-07 | 深信服科技股份有限公司 | 一种数据检测方法、***及相关设备 |
| CN112272173A (zh) * | 2020-10-22 | 2021-01-26 | 苏州斯玛维科技有限公司 | 信息分析报警方法、装置和存储介质 |
| CN112491882A (zh) * | 2020-11-27 | 2021-03-12 | 泰康保险集团股份有限公司 | webshell的检测方法、装置、介质及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607413A (zh) * | 2013-12-05 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
| CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及*** |
| CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | ***股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5518594B2 (ja) * | 2010-06-30 | 2014-06-11 | 三菱電機株式会社 | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
-
2017
- 2017-07-12 CN CN201710565826.6A patent/CN107302586B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及*** |
| CN103607413A (zh) * | 2013-12-05 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
| CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | ***股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| "基于Web日志的Webshell检测方法研究";石刘洋;《信息安全研究》;20160131;第2卷(第1期);第66-73页 * |
| "窃密型Webshell检测方法";齐建军;《计算机与网络》;20150712(第13期);第38-39页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107302586A (zh) | 2017-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107302586B (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| CN109743315B (zh) | 针对网站的行为识别方法、装置、设备及可读存储介质 | |
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| CN103955645B (zh) | 恶意进程行为的检测方法、装置及*** | |
| US10904286B1 (en) | Detection of phishing attacks using similarity analysis | |
| US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN109586282B (zh) | 一种电网未知威胁检测***及方法 | |
| US20190073483A1 (en) | Identifying sensitive data writes to data stores | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US20130312092A1 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| CN109862003B (zh) | 本地威胁情报库的生成方法、装置、***及存储介质 | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及*** | |
| CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN110417718B (zh) | 处理网站中的风险数据的方法、装置、设备及存储介质 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| US20200153865A1 (en) | Sensor based rules for responding to malicious activity | |
| US9998482B2 (en) | Automated network interface attack response | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |