CN110519270A - 基于文件来源快速检测WebShell的方法及装置 - Google Patents
基于文件来源快速检测WebShell的方法及装置 Download PDFInfo
- Publication number
- CN110519270A CN110519270A CN201910799909.0A CN201910799909A CN110519270A CN 110519270 A CN110519270 A CN 110519270A CN 201910799909 A CN201910799909 A CN 201910799909A CN 110519270 A CN110519270 A CN 110519270A
- Authority
- CN
- China
- Prior art keywords
- file
- webshell
- web page
- progress information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种基于文件来源快速检测WebShell的方法及装置,包括:监听网页文件的变更行为,并获取变更网页文件的变更文件进程信息;将进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被进程信息所对应的进程变更的网页文件是否为威胁文件;将剩余文件信息与预设WebShell特征规则进行匹配,确定剩余文件信息所对应的网页文件是否为WebShell文件。本发明的快速检测WebShell的方法中,先监听变更文件进程信息,进而通过进程信息与预设进程黑白名单匹配的方式来对网页文件进行过滤,大大缩减了需要进行WebShell文件检测的网页文件数量,加快了检测WebShell文件的速度。
Description
技术领域
本发明涉及信息安全的技术领域,尤其是涉及一种基于文件来源快速检测WebShell的方法及装置。
背景技术
WebShell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器Web目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
在对WebShell进行检测时,检测程序可以依次扫描网页文件,然后将网页文件的内容与WebShell的特征码、特征值、危险函数进行匹配,根据匹配结果达到检测WebShell的目的。但是,网页文件数量较多,且网页文件更新频繁,上述通过全文扫描来检测WebShell的方式中,需要扫描的文件范围太大,检测过程耗时长,效率低,若在WebShell上传后的短时间内无法发现,会造成严重危害。
综上,现有的检测WebShell的方法存在耗时长、效率低的问题。
发明内容
本发明的目的在于提供一种基于文件来源快速检测WebShell的方法及装置,以缓解现有的检测WebShell的方法耗时长、效率低的问题。
本发明提供的一种基于文件来源快速检测WebShell的方法,应用于检测终端,包括:
监听网页文件的变更行为,并获取变更所述网页文件的变更文件进程信息,其中,所述变更文件进程信息包括:文件信息和进程信息;
将所述进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被所述进程信息所对应的进程变更的网页文件是否为威胁文件,其中,所述预设进程黑白名单为用户通过中心端配置的,所述中心端与所述检测终端通信连接;
将剩余文件信息与预设WebShell特征规则进行匹配,确定所述剩余文件信息所对应的网页文件是否为WebShell文件,其中,所述剩余文件信息为所述变更文件进程信息中,与所述预设进程黑白名单不匹配的进程信息所对应的文件信息,所述预设WebShell特征规则为用户通过中心端配置的。
进一步的,获取变更所述网页文件的变更文件进程信息包括:
通过钩子函数获取变更所述网页文件的变更文件进程信息。
进一步的,所述预设进程黑白名单包括:预设进程黑名单和预设进程白名单,将所述进程信息与预设进程黑白名单进行匹配包括:
如果所述进程信息与所述预设进程黑名单中的进程信息匹配,则确定被所述进程信息所对应的进程变更的网页文件为威胁文件;
如果所述进程信息与所述预设进程白名单中的进程信息匹配,则确定被所述进程信息所对应的进程变更的网页文件为安全文件。
进一步的,所述预设WebShell特征规则包括正则表达式。
进一步的,将剩余文件信息与预设WebShell特征规则进行匹配,确定所述剩余文件信息所对应的网页文件是否为WebShell文件包括:
将所述剩余文件信息与所述正则表达式进行匹配;
如果所述剩余文件信息与所述正则表达式匹配,则确定所述剩余文件信息所对应的网页文件为WebShell文件;
如果所述剩余文件信息与所述正则表达式不匹配,则确定所述剩余文件信息所对应的网页文件不是WebShell文件。
进一步的,在确定所述剩余文件信息所对应的网页文件是否为WebShell文件之后,所述方法还包括:
将所述网页文件是否为威胁文件和所述网页文件是否为WebShell文件的检测结果发送至所述中心端,以使所述中心端显示所述检测结果。
进一步的,所述中心端与所述检测终端之间的通信协议包括:HTTP协议,且所述中心端与所述检测终端之间的通信数据为加密数据。
本发明还提供了一种基于文件来源快速检测WebShell的装置,应用于检测终端,包括:
监听并获取模块,用于监听网页文件的变更行为,并获取变更所述网页文件的变更文件进程信息,其中,所述变更文件进程信息包括:文件信息和进程信息;
第一匹配模块,用于将所述进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被所述进程信息所对应的进程变更的网页文件是否为威胁文件,其中,所述预设进程黑白名单为用户通过中心端配置的,所述中心端与所述检测终端通信连接;
第二匹配模块,用于将剩余文件信息与预设WebShell特征规则进行匹配,确定所述剩余文件信息所对应的网页文件是否为WebShell文件,其中,所述剩余文件信息为所述变更文件进程信息中,与所述预设进程黑白名单不匹配的进程信息所对应的文件信息,所述预设WebShell特征规则为用户通过中心端配置的。
进一步的,所述监听并获取模块还用于:
通过钩子函数获取变更所述网页文件的变更文件进程信息。
本发明还提供了一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述内容中所述的方法的步骤。
在本发明实施例中,检测终端监听网页文件的变更行为,并获取变更网页文件的变更文件进程信息;然后,将进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被进程信息所对应的进程变更的网页文件是否为威胁文件;最后,将剩余文件信息与预设WebShell文件特征规则进行匹配,确定剩余文件信息所对应的网页文件是否为WebShell文件。通过上述内容可知,本发明的快速检测WebShell的方法中,先监听变更文件进程信息,进而通过进程信息与预设进程黑白名单匹配的方式来对网页文件进行过滤,大大缩减了需要进行WebShell文件检测的网页文件数量,加快了检测WebShell文件的速度,并且降低了检测WebShell所消耗的***资源,缓解了现有的检测WebShell的方法耗时长、效率低的问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于文件来源快速检测WebShell的方法的流程图;
图2为本发明实施例提供的将进程信息与预设进程黑白名单进行匹配的方法流程图;
图3为本发明实施例提供的将剩余文件信息与预设WebShell特征规则进行匹配的方法流程图;
图4为本发明实施例提供的一种基于文件来源快速检测WebShell的装置的示意图;
图5为本发明实施例提供的一种电子设备的示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于文件来源快速检测WebShell的方法进行详细介绍。
实施例一:
根据本发明实施例,提供了一种基于文件来源快速检测WebShell的方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种基于文件来源快速检测WebShell的方法的流程图,该方法应用于检测终端,如图1所示,该方法包括如下步骤:
步骤S102,监听网页文件的变更行为,并获取变更网页文件的变更文件进程信息,其中,变更文件进程信息包括:文件信息和进程信息;
在本发明实施例中,该快速检测WebShell的方法中应用到了中心端和检测终端,具体检测的过程是在检测终端上完成的。
中心端和检测终端可以为不同的两个电子设备(比如,计算机设备),中心端和检测终端之间采用C/S架构。另外,中心端和检测终端之间的通信协议包括:HTTP协议,且中心端与检测终端之间的通信数据为加密数据。具体的,中心端和检测终端可以通过使用SSL的HTTP协议进行通信,通信数据可以采用RC4加密和解密。
在进行WebShell的检测时,检测终端(具体可以为检测终端上的监听模块)实时监听网页文件的变更行为,并获取变更网页文件的变更文件进程信息。
步骤S104,将进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被进程信息所对应的进程变更的网页文件是否为威胁文件,其中,预设进程黑白名单为用户通过中心端配置的,中心端与检测终端通信连接;
在得到变更文件进程信息后,将变更文件进程信息中的进程信息与预设进程黑白名单进行匹配(具体可以是,监听模块将变更文件进程信息发送给第一匹配模块,进而第一匹配模块将变更文件进程信息中的进程信息与预设进程黑白名单进行匹配,该第一匹配模块也可以称之为进程黑白名单过滤模块),根据匹配结果从而确定被进程信息所对应的进程变更的网页文件是否为威胁文件,在确定得到某些网页文件为威胁文件时,对这些网页文件进行及时处置;同时,也能确定得到某些网页文件为安全文件,这样已经确定是威胁文件或者安全文件的网页文件不会再进入后续的判断,也就是达到了过滤网页文件的目的,大大缩减了后续需要进行WebShell文件检测的网页文件数量。
需要说明的是:预设进程黑白名单为用户通过中心端配置的。实现时,在中心端的设备上设置有进程黑白名单设置模块,用户可以根据自己的先验知识在进程黑白名单设置模块上设置进程黑白名单,并将设置的进程黑白名单保存在数据库中,同时,将设置的进程黑白名单下发至检测终端,进而检测终端获取到上述预设进程黑白名单,并将预设进程黑白名单通知给驱动层和应用层,使得驱动层和应用层更新预设进程黑白名单。
步骤S106,将剩余文件信息与预设WebShell特征规则进行匹配,确定剩余文件信息所对应的网页文件是否为WebShell文件,其中,剩余文件信息为变更文件进程信息中,与预设进程黑白名单不匹配的进程信息所对应的文件信息,预设WebShell特征规则为用户通过中心端配置的。
在完成上述的进程黑白名单匹配后,将剩余文件信息(即变更文件进程信息中,与预设进程黑白名单不匹配的进程信息所对应的文件信息)与预设WebShell特征规则进行匹配,确定剩余文件信息所对应的网页文件是否为WebShell文件。
需要说明的是:预设WebShell特征规则为用户通过中心端配置的。实现时,在中心端的设备上设置有WebShell特征规则设置模块,用户可根据需要配置检测WebShell时的特征匹配规则,进而将配置的WebShell特征规则保存在数据库中,同时,将配置的WebShell特征规则下发至检测终端,进而检测终端获取到上述预设WebShell特征规则,并将预设WebShell特征规则通知给驱动层和应用层,使得驱动层和应用层更新预设WebShell特征规则。
在本发明实施例中,检测终端监听网页文件的变更行为,并获取变更网页文件的变更文件进程信息;然后,将进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被进程信息所对应的进程变更的网页文件是否为威胁文件;最后,将剩余文件信息与预设WebShell文件特征规则进行匹配,确定剩余文件信息所对应的网页文件是否为WebShell文件。通过上述内容可知,本发明的快速检测WebShell的方法中,先监听变更文件进程信息,进而通过进程信息与预设进程黑白名单匹配的方式来对网页文件进行过滤,大大缩减了需要进行WebShell文件检测的网页文件数量,加快了检测WebShell文件的速度,并且降低了检测WebShell所消耗的***资源,缓解了现有的检测WebShell的方法耗时长、效率低的问题。
上述内容对本发明的基于文件来源快速检测WebShell的方法的过程进行了简要描述,下面对其中涉及到的具体内容进行详细介绍。
在本发明的一个可选实施例中,获取变更网页文件的变更文件进程信息包括:
通过钩子函数获取变更网页文件的变更文件进程信息。
具体的,可以通过在操作***的文件***过滤驱动的应用层上添加钩子函数(该钩子函数可以认为是监听模块),当操作***中的网页文件有任何操作行为时,触发钩子函数,进而,钩子函数获取变更网页文件的变更文件进程信息,将获取得到的变更文件进程信息发送给第一匹配模块。
监听模块和第一匹配模块建立通信的过程为:监听模块通过netlink_kernel_create()创建套接字,并指定接收函数,进而,第一匹配模块在用户空间进程创建套接字,并将进程ID发送给内核空间,监听模块的接收函数收到用户空间进程ID后,两个模块即可以进行通信。
在本发明的一个可选实施例中,预设进程黑白名单包括:预设进程黑名单和预设进程白名单,参考图2,将进程信息与预设进程黑白名单进行匹配包括:
步骤S201,如果进程信息与预设进程黑名单中的进程信息匹配,则确定被进程信息所对应的进程变更的网页文件为威胁文件;
实现时,可以先进行预设进程黑名单的匹配。具体的,将进程信息与预设进程黑名单中的进程信息匹配,如果进程信息与预设进程黑名单中的某一进程信息相同,则确定被该进程信息所对应的进程变更的网页文件为威胁文件。
步骤S202,如果进程信息与预设进程白名单中的进程信息匹配,则确定被进程信息所对应的进程变更的网页文件为安全文件。
在完成上述预设进程黑名单的匹配后,没有与预设进程黑名单中的进程信息匹配的剩余进程信息再与预设进程白名单中的进程信息进行匹配,如果剩余进程信息与预设进程白名单中的某一进程信息相同,则确定被该剩余进程信息所对应的进程变更的网页文件为安全文件。
当然,这里只是以先进行预设进程黑名单的匹配,再进行预设进程白名单的匹配为例进行的说明,在具体实现时,还可以先进行预设进程白名单的匹配,然后,再进行预设进程黑名单的匹配,本发明实施例对上述具体实现方式不进行限定。
在本发明的一个可选实施例中,预设WebShell特征规则包括正则表达式。
当然,上述预设WebShell特征规则除了可以为正则表达式以外,还可以为文件的MD5值,本发明实施例对其不进行限定。
在本发明的一个可选实施例中,参考图3,将剩余文件信息与预设WebShell特征规则进行匹配,确定剩余文件信息所对应的网页文件是否为WebShell文件包括:
步骤S301,将剩余文件信息与正则表达式进行匹配;
步骤S302,如果剩余文件信息与正则表达式匹配,则确定剩余文件信息所对应的网页文件为WebShell文件;
步骤S303,如果剩余文件信息与正则表达式不匹配,则确定剩余文件信息所对应的网页文件不是WebShell文件。
其中,上述的剩余文件信息具体可以为字符串,即将用于表征文件信息的字符串与正则表达式进行匹配。如果二者匹配,则确定剩余文件信息所对应的网页文件为WebShell文件;如果不匹配,则确定剩余文件信息所对应的网页文件不是WebShell文件。该过程可以由第二匹配模块(也可以称之为文件特征匹配模块)完成。
在本发明的一个可选实施例中,在确定剩余文件信息所对应的网页文件是否为WebShell文件之后,该方法还包括:
将网页文件是否为威胁文件和网页文件是否为WebShell文件的检测结果发送至中心端,以使中心端显示检测结果。
也就是,在完成所有的检测后,检测终端将检测结果发送至中心端,这样,中心端的检测结果展示模块就能够展示检测得到的检测结果,方便用户查看。
另外,当用户查看了上述检测结果后,可以根据网页文件是否为WebShell文件的检测结果确定对该网页文件进行变更的进程是否为恶意进程,并在确定完成后,对预设进程黑白名单中的进程信息进行更新,以便进行后续的检测。
实施例二:
本发明实施例还提供了一种基于文件来源快速检测WebShell的装置,该基于文件来源快速检测WebShell的装置应用于检测终端,主要用于执行本发明实施例上述内容所提供的基于文件来源快速检测WebShell的方法,以下对本发明实施例提供的基于文件来源快速检测WebShell的装置做具体介绍。
图4是根据本发明实施例的一种基于文件来源快速检测WebShell的装置的示意图,如图4所示,该基于文件来源快速检测WebShell的装置主要包括监听并获取模块10,第一匹配模块20和第二匹配模块30,其中:
监听并获取模块,用于监听网页文件的变更行为,并获取变更网页文件的变更文件进程信息,其中,变更文件进程信息包括:文件信息和进程信息;
第一匹配模块,用于将进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被进程信息所对应的进程变更的网页文件是否为威胁文件,其中,预设进程黑白名单为用户通过中心端配置的,中心端与检测终端通信连接;
第二匹配模块,用于将剩余文件信息与预设WebShell特征规则进行匹配,确定剩余文件信息所对应的网页文件是否为WebShell文件,其中,剩余文件信息为变更文件进程信息中,与预设进程黑白名单不匹配的进程信息所对应的文件信息,预设WebShell特征规则为用户通过中心端配置的。
在本发明实施例中,检测终端监听网页文件的变更行为,并获取变更网页文件的变更文件进程信息;然后,将进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被进程信息所对应的进程变更的网页文件是否为威胁文件;最后,将剩余文件信息与预设WebShell文件特征规则进行匹配,确定剩余文件信息所对应的网页文件是否为WebShell文件。通过上述内容可知,本发明的快速检测WebShell的方法中,先监听变更文件进程信息,进而通过进程信息与预设进程黑白名单匹配的方式来对网页文件进行过滤,大大缩减了需要进行WebShell文件检测的网页文件数量,加快了检测WebShell文件的速度,并且降低了检测WebShell所消耗的***资源,缓解了现有的检测WebShell的方法耗时长、效率低的问题。
可选地,监听并获取模块还用于:
通过钩子函数获取变更网页文件的变更文件进程信息。
可选地,预设进程黑白名单包括:预设进程黑名单和预设进程白名单,第一匹配模块还用于:
如果进程信息与预设进程黑名单中的进程信息匹配,则确定被进程信息所对应的进程变更的网页文件为威胁文件;
如果进程信息与预设进程白名单中的进程信息匹配,则确定被进程信息所对应的进程变更的网页文件为安全文件。
可选地,预设WebShell特征规则包括正则表达式。
可选地,第二匹配模块还用于:
将剩余文件信息与正则表达式进行匹配;
如果剩余文件信息与正则表达式匹配,则确定剩余文件信息所对应的网页文件为WebShell文件;
如果剩余文件信息与正则表达式不匹配,则确定剩余文件信息所对应的网页文件不是WebShell文件。
可选地,该装置还用于:
将网页文件是否为威胁文件和网页文件是否为WebShell文件的检测结果发送至中心端,以使中心端显示检测结果。
可选地,中心端与检测终端之间的通信协议包括:HTTP协议,且中心端与检测终端之间的通信数据为加密数据。
该实施例二中的具体内容可以参考上述实施例一中的相关描述,在此不再赘述。
实施例三:
本发明实施例提供了一种电子设备,参考图5,该电子设备包括:处理器40,存储器41,总线42和通信接口43,处理器40、通信接口43和存储器41通过总线42连接;处理器40用于执行存储器41中存储的可执行模块,例如计算机程序。处理器执行计算及程序时实现如方法实施例中描述的方法的步骤。
其中,存储器41可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口43(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线42可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器41用于存储程序,处理器40在接收到执行指令后,执行程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器40中,或者由处理器40实现。
处理器40可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器40中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器40可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41,处理器40读取存储器41中的信息,结合其硬件完成上述方法的步骤。
在另一个实施例中,还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行上述实施例一中所述的方法的步骤。
本发明实施例所提供的基于文件来源快速检测WebShell的方法及装置的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种基于文件来源快速检测WebShell的方法,其特征在于,应用于检测终端,包括:
监听网页文件的变更行为,并获取变更所述网页文件的变更文件进程信息,其中,所述变更文件进程信息包括:文件信息和进程信息;
将所述进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被所述进程信息所对应的进程变更的网页文件是否为威胁文件,其中,所述预设进程黑白名单为用户通过中心端配置的,所述中心端与所述检测终端通信连接;
将剩余文件信息与预设WebShell特征规则进行匹配,确定所述剩余文件信息所对应的网页文件是否为WebShell文件,其中,所述剩余文件信息为所述变更文件进程信息中,与所述预设进程黑白名单不匹配的进程信息所对应的文件信息,所述预设WebShell特征规则为用户通过中心端配置的。
2.根据权利要求1所述的方法,其特征在于,获取变更所述网页文件的变更文件进程信息包括:
通过钩子函数获取变更所述网页文件的变更文件进程信息。
3.根据权利要求1所述的方法,其特征在于,所述预设进程黑白名单包括:预设进程黑名单和预设进程白名单,将所述进程信息与预设进程黑白名单进行匹配包括:
如果所述进程信息与所述预设进程黑名单中的进程信息匹配,则确定被所述进程信息所对应的进程变更的网页文件为威胁文件;
如果所述进程信息与所述预设进程白名单中的进程信息匹配,则确定被所述进程信息所对应的进程变更的网页文件为安全文件。
4.根据权利要求1所述的方法,其特征在于,所述预设WebShell特征规则包括正则表达式。
5.根据权利要求4所述的方法,其特征在于,将剩余文件信息与预设WebShell特征规则进行匹配,确定所述剩余文件信息所对应的网页文件是否为WebShell文件包括:
将所述剩余文件信息与所述正则表达式进行匹配;
如果所述剩余文件信息与所述正则表达式匹配,则确定所述剩余文件信息所对应的网页文件为WebShell文件;
如果所述剩余文件信息与所述正则表达式不匹配,则确定所述剩余文件信息所对应的网页文件不是WebShell文件。
6.根据权利要求1所述的方法,其特征在于,在确定所述剩余文件信息所对应的网页文件是否为WebShell文件之后,所述方法还包括:
将所述网页文件是否为威胁文件和所述网页文件是否为WebShell文件的检测结果发送至所述中心端,以使所述中心端显示所述检测结果。
7.根据权利要求1所述的方法,其特征在于,所述中心端与所述检测终端之间的通信协议包括:HTTP协议,且所述中心端与所述检测终端之间的通信数据为加密数据。
8.一种基于文件来源快速检测WebShell的装置,其特征在于,应用于检测终端,包括:
监听并获取模块,用于监听网页文件的变更行为,并获取变更所述网页文件的变更文件进程信息,其中,所述变更文件进程信息包括:文件信息和进程信息;
第一匹配模块,用于将所述进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被所述进程信息所对应的进程变更的网页文件是否为威胁文件,其中,所述预设进程黑白名单为用户通过中心端配置的,所述中心端与所述检测终端通信连接;
第二匹配模块,用于将剩余文件信息与预设WebShell特征规则进行匹配,确定所述剩余文件信息所对应的网页文件是否为WebShell文件,其中,所述剩余文件信息为所述变更文件进程信息中,与所述预设进程黑白名单不匹配的进程信息所对应的文件信息,所述预设WebShell特征规则为用户通过中心端配置的。
9.根据权利要求8所述的装置,其特征在于,所述监听并获取模块还用于:
通过钩子函数获取变更所述网页文件的变更文件进程信息。
10.一种电子设备,其特征在于,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910799909.0A CN110519270B (zh) | 2019-08-27 | 2019-08-27 | 基于文件来源快速检测WebShell的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910799909.0A CN110519270B (zh) | 2019-08-27 | 2019-08-27 | 基于文件来源快速检测WebShell的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110519270A true CN110519270A (zh) | 2019-11-29 |
CN110519270B CN110519270B (zh) | 2022-01-28 |
Family
ID=68627567
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910799909.0A Active CN110519270B (zh) | 2019-08-27 | 2019-08-27 | 基于文件来源快速检测WebShell的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110519270B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117579385A (zh) * | 2024-01-16 | 2024-02-20 | 山东星维九州安全技术有限公司 | 一种快速筛查新型WebShell流量的方法、***及设备 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
US8782791B2 (en) * | 2010-12-01 | 2014-07-15 | Symantec Corporation | Computer virus detection systems and methods |
CN104601557A (zh) * | 2014-12-29 | 2015-05-06 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种基于软件定义网络的恶意网站防护方法及*** |
CN105812196A (zh) * | 2014-12-30 | 2016-07-27 | ***通信集团公司 | 一种WebShell检测方法及电子设备 |
CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
CN106709346A (zh) * | 2016-11-25 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 文件处理方法及装置 |
CN107295021A (zh) * | 2017-08-16 | 2017-10-24 | 深信服科技股份有限公司 | 一种基于集中管理的主机的安全检测方法及*** |
US20180013778A1 (en) * | 2016-07-11 | 2018-01-11 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
US20180034835A1 (en) * | 2016-07-26 | 2018-02-01 | Microsoft Technology Licensing, Llc | Remediation for ransomware attacks on cloud drive folders |
CN108322420A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 后门文件的检测方法和装置 |
CN109905396A (zh) * | 2019-03-11 | 2019-06-18 | 北京奇艺世纪科技有限公司 | 一种WebShell文件检测方法、装置及电子设备 |
CN110099044A (zh) * | 2019-03-28 | 2019-08-06 | 江苏通付盾信息安全技术有限公司 | 云主机安全检测***及方法 |
-
2019
- 2019-08-27 CN CN201910799909.0A patent/CN110519270B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8782791B2 (en) * | 2010-12-01 | 2014-07-15 | Symantec Corporation | Computer virus detection systems and methods |
CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
CN104601557A (zh) * | 2014-12-29 | 2015-05-06 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种基于软件定义网络的恶意网站防护方法及*** |
CN105812196A (zh) * | 2014-12-30 | 2016-07-27 | ***通信集团公司 | 一种WebShell检测方法及电子设备 |
US20180013778A1 (en) * | 2016-07-11 | 2018-01-11 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
US20180034835A1 (en) * | 2016-07-26 | 2018-02-01 | Microsoft Technology Licensing, Llc | Remediation for ransomware attacks on cloud drive folders |
CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
CN106709346A (zh) * | 2016-11-25 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 文件处理方法及装置 |
CN108322420A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 后门文件的检测方法和装置 |
CN107295021A (zh) * | 2017-08-16 | 2017-10-24 | 深信服科技股份有限公司 | 一种基于集中管理的主机的安全检测方法及*** |
CN109905396A (zh) * | 2019-03-11 | 2019-06-18 | 北京奇艺世纪科技有限公司 | 一种WebShell文件检测方法、装置及电子设备 |
CN110099044A (zh) * | 2019-03-28 | 2019-08-06 | 江苏通付盾信息安全技术有限公司 | 云主机安全检测***及方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117579385A (zh) * | 2024-01-16 | 2024-02-20 | 山东星维九州安全技术有限公司 | 一种快速筛查新型WebShell流量的方法、***及设备 |
CN117579385B (zh) * | 2024-01-16 | 2024-03-19 | 山东星维九州安全技术有限公司 | 一种快速筛查新型WebShell流量的方法、***及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN110519270B (zh) | 2022-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN105787364B (zh) | 任务的自动化测试方法、装置及*** | |
CN102739675B (zh) | 网站安全检测方法与装置 | |
WO2015103122A2 (en) | A method and system for tracking and gathering multivariate testing data | |
CN110213375A (zh) | 一种基于云waf的ip访问控制的方法、装置及电子设备 | |
CN110221948B (zh) | 测试脚本生成方法、装置、计算机装置及存储介质 | |
CN110708335A (zh) | 访问认证方法、装置及终端设备 | |
CN102882748A (zh) | 网络接入检测***和网络接入检测方法 | |
CN105164691A (zh) | 利用计算机网络为测试计算机软件应用优化测试数据有效载荷的选择 | |
CN111030887A (zh) | web服务器发现方法、装置和电子设备 | |
CN112653693A (zh) | 一种工控协议分析方法、装置、终端设备及可读存储介质 | |
CN104462934B (zh) | 一种信息处理方法及电子设备 | |
CN110519270A (zh) | 基于文件来源快速检测WebShell的方法及装置 | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
CN109257348A (zh) | 一种基于工业控制***的集群漏洞挖掘方法和装置 | |
CN112948224B (zh) | 一种数据处理方法、装置、终端及存储介质 | |
CN106407815B (zh) | 漏洞检测方法及装置 | |
CN107368337B (zh) | 应用下载方法、装置及终端设备 | |
CN109190396A (zh) | 一种数据自动验证方法、装置及设备 | |
CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 | |
CN109492146A (zh) | 一种防web爬虫的方法和装置 | |
CN109302401A (zh) | 信息安全防护方法及装置 | |
CN105871927B (zh) | 微端的自动登录方法及装置 | |
CN114036068A (zh) | 基于隐私安全的更新检测方法、装置、设备及存储介质 | |
CN107508838A (zh) | 一种访问控制方法、装置和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |