CN111800405A - 检测方法及检测设备、存储介质 - Google Patents

Abstract

本申请实施例公开了一种检测方法和设备、计算机存储介质，其中，所述方法包括：获得目标数据，所述目标数据表征为终端向主机传输的数据；获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；获得所述目标数据的第二目标特征，所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击。

Description

检测方法及检测设备、存储介质

技术领域

本申请涉及检测技术，具体涉及一种检测方法及检测设备、计算机存储介质。

背景技术

在网络安全技术中，WebShell(网页脚本)是一种以网页文件形式存在的执行脚本，其脚本的后缀格式通常为php(脚本语言)、asp、aspx、jsp等。相关技术中，攻击者如黑客可通过如下方式进行内网(如企业、单位内网)的攻击，以实现对内网主机的非法使用。攻击者向内网主机上传WebShell以将Webshell植入至内网主机，利用植入WebShell进行权限的升级并对所植入的主机以及与该主机进行通信的其他内网主机进行非法访问，以达到对内网的渗透。相关技术中，可通过WebShell植入过程以及非法访问过程进行规律分析，基于这种规律实现对WebShell攻击行为的识别。这种方案的识别准确性有限，且存在有漏检测(识别)的情况，无法满足安全需求。

发明内容

为解决现有存在的技术问题，本申请实施例提供一种检测方法、设备及计算机存储介质。

本申请实施例的技术方案是这样实现的：

第一方面，本申请实施例提供一种检测方法，所述方法包括：

获得目标数据，所述目标数据表征为终端向主机传输的数据；

获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；

获得所述目标数据的第二目标特征，所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；

基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击。

前述方案中，所述基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击，包括：

基于所述第一目标特征，识别所述目标数据是否为攻击数据；

在所述目标数据为非攻击数据的情况下，获得所述目标数据的第二目标特征；

基于所述第二目标特征，确定所述主机是否被网页脚本攻击。

前述方案中，在所述第一目标特征表征为目标数据在被所述主机接收的情况下所述目标数据的文本特征和所述目标数据对所述主机产生的行为；

相应的，所述基于所述第一目标特征，识别所述目标数据是否为攻击数据，包括：

判断所述目标数据的文本特征是否与预设的文本特征相匹配、以及判断所述目标数据在被接收的情况下产生的行为是否与预设的第一行为相匹配；

判断所述目标数据的文本特征与预设的文本特征不匹配、以及所述目标数据在被接收的情况下产生的行为与预设的第一行为不匹配的情况下，确定所述目标数据为非攻击数据。

前述方案中，所述方法还包括：

在所述目标数据为攻击数据的情况下，

获得向所述主机传输所述目标数据的终端的标识；

控制具有所述标识的终端传输的目标数据禁止产生所述第二目标特征。

前述方案中，所述方法还包括：

在所述目标数据为攻击数据的情况下，确定所述主机在所述被接收阶段被网页脚本攻击；

判断是否能够获得所述目标数据的第二目标特征；

判断为是的情况下，确定所述主机在所述被利用阶段被网页脚本攻击。

前述方案中，所述基于所述第二目标特征，确定所述主机是否被网页脚本攻击，包括：

判断所述第二目标特征是否与预设的第二行为相匹配；

判断为匹配的情况下，确定所述主机在所述被利用阶段被网页脚本攻击。

第二方面，本申请实施例提供一种检测设备，包括：第一获得单元、第二获得单元、第三获得单元以及识别单元；其中，

第一获得单元，用于获得目标数据，所述目标数据表征为终端向主机传输的数据；

第二获得单元，用于获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；

第三获得单元，用于获得所述目标数据的第二目标特征，所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；

识别单元，用于基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击。

前述方案中，所述识别单元，用于：

基于所述第一目标特征，识别所述目标数据是否为攻击数据；

在所述目标数据为非攻击数据的情况下，获得所述目标数据的第二目标特征；

基于所述第二目标特征，确定所述主机是否被网页脚本攻击。

第三方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现前述检测方法的步骤。

第四方面，本申请实施例提供一种检测设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现前述检测方法的步骤。

本申请实施例提供一种检测方法、设备及计算机存储介质，其中所述方法包括：所述方法包括：获得目标数据，所述目标数据表征为终端向主机传输的数据；获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；获得所述目标数据的第二目标特征，所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击。

本申请实施例中，目标数据处于被主机接收阶段可视为处于GetShell阶段；目标数据处于被主机利用阶段可视为处于WebShell利用阶段。基于GetShell阶段下目标数据的文本特征和/或对主机产生的行为、以及WebShell利用阶段下对主机产生的行为，对主机是否存在WebShell攻击进行识别。相当于结合WebShell攻击的两个不同阶段进行WebShell攻击的识别，可提高识别准确性，也可避免漏检或漏识别。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例检测方法的实现流程示意图一；

图2为本申请实施例检测方法的实现流程示意图二；

图3为本申请实施例检测方法的实现流程示意图三；

图4为本申请实施例应用场景示意图；

图5为本申请实施例检测设备的模块划分示意图一；

图6为本申请实施例基于模块划分示意图一而实现的检测方法流程；

图7为本申请实施例检测设备的模块划分示意图二；

图8为本申请实施例检测设备的硬件构成示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚明白，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

在介绍本申请实施例的技术方案之前，先对本申请实施例中可能使用到的技术的术语进行说明：

1)WebShell：一种以网页文件形式存在的命令执行程序，也称为后门文件。WebShell攻击是黑客入侵主机采用的重要手段，通常以asp、php、jsp或者cgi等网页文件形式存在。

2)相关技术中，WebShell攻击的整个生命周期包括两个阶段：GetShell阶段(WebShell入侵阶段)和WebShell利用阶段。其中，

GetShell阶段：黑客将WebShell侵入至主机的阶段，具体的黑客可通过向主机上传WebShell的方式来侵入至主机；

WebShell利用阶段：黑客已经成功入侵主机，并利用侵入至主机的WebShell进行一系列的非法操作如更改数据库、提升侵入者的使用权限等。

本领域技术人员可以理解，从时间轴上来看，GetShell阶段早于WebShell利用阶段。GetShell阶段为黑客利用各种手段进行入侵的阶段，WebShell利用阶段为黑客成功入侵之后利用WebShell数据对主机进行不利行为操作如更新数据库、升级WebShell数据权限的阶段。

3)黑客画像：一种描述黑客攻击行为的集合，例如常用攻击工具、攻击时间、攻击方式等。

本申请实施例提供检测方法的一种实施例，应用于检测设备中。可以理解，该检测设备可以是网关、防火墙以及安全态势感知等设备。如图1所示，所述方法包括：

步骤(S，Step)101：获得目标数据，所述目标数据表征为终端向主机传输的数据；

可以理解，以应用于企业、单位为例，主机可以是企业或单位内部的设备如服务器，终端可以是企业或单位外部的终端，也可以是内网终端。以外网终端为例，该终端对主机或主机传输的数据可能为善意的，也可以是恶意的例如黑客打算通过入侵主机来入侵企业或单位内网。为实现内网安全性，本步骤中需要对向内网主机传输的数据进行监控，也即监控外网终端向内网主机传输的数据。该数据可以以包的形式从终端传输至主机，如数据包或流量包。

S102：获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；

本步骤中，所述目标数据处于被主机接收阶段可视为处于GetShell阶段。在该阶段下，分析目标数据的文本特征和/或监控在该阶段下对主机产生的行为。

S103：获得所述目标数据的第二目标特征，所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；

本步骤中，所述目标数据处于被主机利用阶段可视为处于WebShell利用阶段。监控该阶段下目标数据对主机产生的行为。

S104：基于所述第一目标特征和所述第二目标特征，识别所述主机是否被WebShell攻击。

执行S101～S104的主体为检测设备。

本申请实施例中，基于GetShell阶段下目标数据的文本特征和/或对主机产生的行为、以及WebShell利用阶段下对主机产生的行为，对主机是否存在WebShell攻击进行识别。可以理解，本申请实施例的方案相当于结合WebShell攻击的两个不同阶段下的数据进行WebShell攻击的识别，也即结合组成WebShell攻击整个生命周期的各个阶段的WebShell攻击的特点，进行WebShell攻击的识别。这种结合各个阶段进行识别的方案，一方面，可提高识别准确性；另一方面，可避免对WebShell攻击的漏检或漏识别。

本申请实施例提供检测方法的第二实施例，应用于检测设备中，如图2所示，所述方法包括：

S201：获得目标数据，所述目标数据表征为终端向主机传输的数据；

S202：获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；

前述S201～S202请参见前述相关说明，重复之处不再赘述。

S203：基于所述第一目标特征，识别所述目标数据是否为攻击数据；

S204：在所述目标数据为非攻击数据的情况下，获得所述目标数据的第二目标特征；所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；

S205：基于所述第二目标特征，确定所述主机是否被WebShell攻击。

其中，执行S201～S205的主体为检测设备。S203～S205可作为前述的基于所述第一目标特征和所述第二目标特征，识别所述主机是否被WebShell攻击的进一步说明。

前述方案中，基于在GetShell阶段获得的目标数据的文本特征和/或行为等数据来识别目标数据是否为攻击数据。在识别为非攻击数据的情况下，获得WebShell利用阶段下目标数据对主机产生的行为数据，并依据该行为数据进行主机是否存在被WebShell攻击的识别。相当于结合了各个阶段进行WebShell攻击的识别，可提高识别准确性以及避免漏识别。

可以理解，在GetShell阶段获得的第一目标特征可以仅为文本特征，还可以仅为行为数据，还可以同时为文本特征和行为数据。在一个可选的实施例中，以第一目标特征同时为文本特征和行为数据为例，也即在第一目标特征表征为目标数据在被所述主机接收的情况下所述目标数据的文本特征和所述目标数据对所述主机产生的行为数据的情况下，如图3所示，所述(S203)基于所述第一目标特征，识别所述目标数据是否为攻击数据，包括：

S2031：判断所述目标数据的文本特征是否与预设的文本特征相匹配、以及判断所述目标数据在被接收的情况下产生的行为是否与预设的第一行为相匹配；

S2032：判断所述目标数据的文本特征与预设的文本特征不匹配、以及所述目标数据在被接收的情况下产生的行为与预设的第一行为不匹配的情况下，确定所述目标数据为非攻击数据；

S2033：判断所述目标数据的文本特征与预设的文本特征匹配、和/或目标数据在被接收的情况下产生的行为与预设的第一行为匹配的情况下，确定所述目标数据为攻击数据。

执行S2031～S2033的方案的主体为检测设备。

S2031～S2033的方案相当于在GetShell阶段基于获得的终端向主机传输的数据的文本特征和对主机产生的行为数据，对GetShell阶段是否遭受到WebShell入侵进行识别。如果识别到目标数据为攻击数据则认为GetShell阶段遭受到了WebShell入侵(攻击)。如果识别到目标数据为非攻击数据则认为GetShell阶段未遭受到WebShell入侵(攻击)。结合目标数据的两个方面特征(文本特征和行为特征)进行GetShell阶段是否遭受到WebShell入侵的识别，可提高识别准确性。

可以理解，前述方案是从文本特征和目标数据在GetShell阶段的行为两个方面来看对GetShell阶段是否遭受到WebShell入侵(攻击)进行识别。此外，还可以仅从文本特征方面来识别或仅从行为方面来识别，具体识别过程与前述的类似，不再赘述。

在一个可选的实施例中，所述方法还包括：在识别为目标数据为攻击数据的情况下，可认为GetShell阶段遭受到了WebShell入侵。在识别出在GetShell阶段遭受到WebShell入侵之后，可阻断或拦截该攻击数据以使其不再向主机进行攻击。此外，还可以产生告警信息以提醒管理人员存在当前主机存在攻击。此外，可采用以下两种方式进行处理以避免入侵对主机造成的伤害：

第一种方式，获得向所述主机传输目标数据的终端的标识；控制具有所述标识的终端传输的目标数据禁止产生所述第二目标特征。也即，使得GetShell阶段遭受WebShell入侵目标数据为WebShell数据，为入侵数据，向主机发送该入侵数据的终端可视为入侵源，可获得该入侵源的标识可通过入侵数据的源IP(网际协议)地址来表示，对其进行控制，避免其在WebShell利用阶段使用入侵数据进行不利行为操作如权限升级、数据库更改等。还可以禁止主机接收由该入侵终端后续发送来的数据。

第二种方式，判断是否能够获得目标数据的第二目标特征；判断为是的情况下，确定所述主机在WebShell利用阶段被WebShell攻击。也即，针对在GetShell阶段识别出的入侵数据，大部分入侵数据都将在WebShell利用阶段产生对主机的不利行为。如果在WebShell利用阶段能够获得入侵数据对主机产生行为操作，即可认为在GetShell阶段识别出的入侵数据在WebShell利用阶段产生了不利行为。这种方式相当于对在GetShell阶段识别出的入侵数据其是否能够对主机造成不利行为操作进行加强识别。

在前述S204的方案是在识别目标数据不是攻击数据也即终端向主机传输的数据并非是WebShell数据，在GetShell阶段未识别出遭受到WebShell入侵(攻击)的情况下执行的方案。这种方案主要考虑到GetShell阶段可能存在有漏识别，这种漏识别可导致的漏识别的WebShell在WebShell利用阶段对主机产生不利行为如随意更改主机的数据库，提升自身在主机中的权限等。在识别出GetShell阶段未遭受到WebShell入侵(攻击)的情况下，在目标数据在处于WebShell利用阶段下对主机产生的行为进行监控，为避免GetShell阶段的漏识别而导致的漏识别的WebShell对成功入侵主机后对主机产生的不利影响。在技术层面上，判断监控到的行为(第二目标特征)是否与预设的第二行为相匹配；判断为匹配的情况下，确定主机在WebShell利用阶段被网页脚本攻击，从而实现了在WebShell利用阶段识别出了GetShell阶段被漏识别的WebShell攻击。结合了WebShell的各个阶段(GetShell阶段和WebShell利用阶段)进行WebShell攻击的识别，可提高识别准确性同时避免漏识别。

下面结合附图4-附图6对本申请实施例的技术方案作进一步说明。

本申请实施例中，以图4所示的应用场景为例，检测设备可以是防火墙或网关设备，至少用于监控外网终端向内网主机传输的数据。可以理解，外网终端可能是正常用户终端，也可能是黑客用户终端。可以理解，如果黑客用户终端对内网主机产生WebShell攻击，则其向内网主机发送的数据的文本特征和/或行为都将具有WebShell攻击的特征。本应用场景中，考虑到WebShell攻击的整个生命周期包括GetShell阶段和WebShell利用阶段。本申请实施例中，如图5所示，将检测设备至少划分为两个模块：GetShell阶段检测模块和WebShell利用阶段检测模块。其中，利用GetShell阶段检测模块对该阶段下外网终端发送至内网主机的数据进行文本特征和/或行为(特征)的分析，以识别出GetShell阶段是否存在有WebShell对主机的入侵。利用WebShell利用阶段检测模块对外网终端发送至内网主机的数据在该阶段下产生的行为进行分析以识别出WebShell利用阶段下是否存在有WebShell对主机的攻击，以避免GetShell阶段对WebShell攻击的漏识别。此外，检测设备还包括：自动溯源***，至少用于对任意阶段产生WebShell攻击的数据的相关信息(攻击数据的源IP地址、目的IP地址等)进行记录，并基于记录的信息对黑客进行画像的绘制并输出绘制的黑客画像。

下面分阶段对本申请实施例中的识别方案进行说明。

第一阶段，GetShell阶段：

可以理解，GetShell阶段的执行主体是检测设备、具体是GetShell阶段检测模块。如图6所示，其具体实现流程是：

S601：监控外网终端向内网主机发送的通信流量包或数据包；

S602：采集监控到的流量包或数据包，判断数据包是否为文件；

判断为是的情况下，继续执行下面的流程；

判断为否的情况下，流程结束。

S603：分析数据包的文本特征，并判断该文本特征与预设的文本特征是否匹配；

匹配时，该数据包为攻击数据，执行S604；

不匹配时，该数据包为非攻击数据，执行S605；

可以理解，本应用场景中为防止外网终端向内网主机发送的数据包为WebShell数据。预先将WebShell数据的文本特征存储到检测设备中，需要使用时直接使用即可。WebShell数据的文本特征包括但不限定于以下所述：其后缀通常为.php或.asp，其文件名通常带有“haike”字样，其域名通常为常用的黑客域名等。

判断采集的数据包的文本特征与预设的文本特征是否匹配，就是看数据包中是否含有与前述WebShell数据的文本特征相一致的信息，如果有则认为相匹配；否则视为不匹配。还可以是数据包中含有与前述WebShell数据的文本特征相似度高于阈值如80％或90％的信息的情况，也可认为相匹配。否则不认为相匹配。可以理解，在实际应用中数据包可能是经过加密的数据，检测设备、具体是GetShell阶段检测模块需要对其进行解密后再进行匹配判断。

S604：提取该数据包的相关信息，并将相关信息加入至自动溯源***，流程结束；

此处，相关信息可以是该数据包的源IP地址、目的IP地址，使用浏览器的标识、其是发送至内网主机的标识等信息进行记录。其中，至少对该数据包的源IP地址进行记录。可以理解，该数据包的源IP地址可视为发送该数据包的外网终端的标识。该外网终端发送的该数据包通过对其文本特征的识别，识别该数据包为黑文件，也即为WebShell数据，相当于在GetShell阶段仅利用数据包的文本特征识别出了主机存在有被WebShell攻击的情况。针对识别出的WebShell数据，检测设备、具体是GetShell阶段检测模块拦截或阻断该数据并产生告警，将其相关信息记录到自动溯源***。

S605：监控数据包在GetShell阶段对主机产生的行为，判断该行为是否与预设的第一行为相匹配；

匹配时，执行S604；

不匹配时，执行S606；

此处，为避免仅基于数据包的文本特征进行GetShell阶段WebShell攻击的漏识别，本应用场景中，在通过文本特征识别出不匹配的情况下，还可基于GetShell阶段下产生的行为进行该数据包是否是WebShell数据的进一步识别，以避免漏识别。

可以理解，如果数据包中含有WebShell数据，则在GetShell阶段其将会产生WebShell数据在GetShell阶段产生的以下至少一项行为：代码执行行为、WebShell扫描行为和/或暴力破解行为。其中，代码执行行为就是在主机上将WebShell代码数据写入，例如：利用代码？cmd＝${fputs(fopen(c.php,w),<？php@eval($_POST[c])；？>1)}进行WebShell的写入。WebShell扫描行为是使用简单操作验证WebShell数据是否存在的行为。暴力破解行为就是该数据包在短时间内在尝试对主机管理员账号和密码进行不断的破解的行为。以上行为可视为预设的第一行为。当数据包在GetShell阶段产生以上至少一种行为，可视数据包在GetShell阶段对主机产生的行为与预设的第一行为相匹配。否则视为不匹配。

需要注意的是，本应用场景中的预设文本特征以及预设的行为包括但不限于如上所述，还包括任何合理的其他情形。

S606：识别出接收该数据包的内网主机未在GetShell阶段遭受到WebShell数据的攻击。

前述方案是在GetShell阶段识别是否存在WebShell入侵的过程。同时结合数据包的文本特征和在GetShell阶段产生的行为进行WebShell入侵的识别，可大大提高GetShell阶段识别入侵的准确性。同时结合文本特征和行为进行识别，可大大避免在GetShell阶段的漏识别。

以上流程是在GetShell阶段同时结合数据包的文本特征和行为进行的识别，进一步的是先从文本特征入手进行的识别再从行为入手进行的识别进行的说明。可以理解，还可以先从行为入手进行识别然后从文本特征入手进行识别。也可以针对同一数据包同时从文本特征和行为入手进行识别。对此不做重复描述，具体请参见前述的类似说明。

在识别数据包为攻击数据的情况下，可视该攻击数据为入侵数据，向主机发送该入侵数据的终端可视为入侵源，检测设备、具体是控制模块(图4中未示意出)可获得该入侵源的标识如数据包的IP地址，对其进行控制，避免其在WebShell利用阶段使用入侵数据进行不利行为操作如权限升级、数据库更改等。还可以控制模块禁止主机、具体是GetShell阶段检测模块接收由该入侵终端后续发送来的数据。此外，针对识别出攻击数据的情况，如果在WebShell利用阶段能够获得入侵数据对主机产生的行为操作，即认为在GetShell阶段识别出的入侵数据在WebShell利用阶段产生了不利操作。这种方式相当于对在GetShell阶段识别出的入侵数据其是否能够对主机造成不利行为操作进行加强识别。

第二阶段，WebShell利用阶段：

可以理解，WebShell利用阶段的执行主体是检测设备、具体是WebShell利用阶段检测模块。在实际应用中，黑客可使用变形、混淆、加密等技术成功突防GetShell阶段检测模块，也即在GetShell阶段存在有WebShell攻击被漏识别的情况。为避免这一情况的出现而给主机带来的不利影响，需要执行WebShell利用阶段的处理流程。

可以理解，对于GetShell阶段识别出的攻击数据，在GetShell阶段利用阶段可作为重点监控对象，控制攻击数据禁止产生更改数据库、权限升级等行为的发生。对于GetShell阶段识别出的非攻击数据，由于GetShell阶段存在漏检的可能，该非攻击数据本质上可能是WebShell数据只是GetShell阶段没有检测出来，也可能是从外网终端传输到内网主机的正常数据。其是为正常数据还是为WebShell数据可根据以下方案来确定。

可以理解，在GetShell阶段没有识别出的WebShell数据被成功植入至主机后，将会对主机产生以下至少一个行为：文件被修改或生成新文件的行为、对数据库进行操作的行为、对权限进行提升的行为、通过植入的主机与其他内网主机进行以上行为、向主机上传可执行文件的行为。基于此，在WebShell利用阶段，检测设备、具体是WebShell利用阶段检测模块对以上行为进行监控。

在具体实现上，在主机上安装有探针，利用探针可对主机的以下数据进行读取并监控，具体的监控过程为：

(1)对是否存在有文件被修改或生成新文件的行为的监控：检测设备、具体是WebShell利用阶段检测模块对敏感的文件目录进行轮询，判断有无新文件的生成以及是否有文件被修改。所述敏感的文件可包括主机的私密文件以及记录有管理员信息如账号、密码和权限等内容的文件。其中，判断文件是否被修改可通过文件md5值是否发生变化来确定。可以理解，每个文件均有一个唯一的md5值，当一个文件被生成后将对其md5值进行记录，通过与记录的md5值进行比较，如果比较为md5发生变化，就可以认为文件被修改。本领域技术人员可以理解，如果非攻击数据在WebShell利用阶段下使主机生成新文件或文件被修改的情况，该情况可以是正常数据令主机产生的情况，也可以是异常数据如WebShell数据会主机产生的情况。当有新文件生成或者文件被修改后，对该文件进行WebShell查杀，当查杀结果为是在主机上生成的新文件以及文件被修改是WebShell数据产生的行为操作，则阻断该行为，提取该WebShell数据的相关信息至自动溯源***。

(2)对是否存在对数据库进行操作的行为进行监控：监控GetShell阶段识别出的非攻击数据是否存在访问数据库的行为如与数据库进行通信连接，以及修改数据库中的数据的行为如增加、删除、查找、改动等。如果监控到非攻击数据存在这种行为，则确定其为WebShell数据，阻断该行为，提取其相关信息加入至自动溯源***。

(3)对是否存在对权限进行提升的行为进行监控：监控GetShell阶段识别出的非攻击数据是否要获得更高的***权限，如果监控到存在，则确定其为WebShell数据，阻断该行为，提取其相关信息加入至自动溯源***。

(4)对是否存在上传可执行程序的行为进行监控：监控GetShell阶段识别出的非攻击数据是否存在向主机上传可执行程序如exe程序的行为进行监控，如果监控到存在，则确定其为WebShell数据，阻断该行为，提取其相关信息加入至自动溯源***。

(5)对是否存在通过植入的主机与其他内网主机进行修改文件、更改数据库、提升权限等行为的监控(ping内网主机的行为)：监控GetShell阶段识别出的非攻击数据是否存在以上几种行为，如果监控到存在，则存在渗透至内网的行为，确定其为WebShell数据，提取其相关信息加入至自动溯源***。

可以理解，记录到自动溯源***的数据可以是WebShell的相关数据，还可以将其相关数据和其产生的行为一同记录到自动溯源***中。并将该行为记录到自动溯源***。以上几种行为可视为预设的第二行为，只要GetShell阶段识别出的非攻击数据在WebShell利用阶段产生以上至少之一的行为，就可视为第二目标特征与第二行为相匹配。

需要注意的是，本应用场景中WebShell数据产生的(第二)行为包括但不限于上述的WebShell的利用行为。

可以理解，前述情况下可认为GetShell阶段没有检测WebShell的攻击，而WebShell利用阶段检测到WebShell的攻击，避免了由于GetShell阶段的漏检而为主机带来的不利影响。前述方案，相当于结合了WebShell的各个阶段(GetShell阶段和WebShell利用阶段)进行WebShell攻击的识别，可提高识别准确性同时避免漏识别。

在本应用场景中，自动溯源***可以记录GetShell阶段WebShell数据的源IP地址、浏览器标识、攻击时间等，还可以记录WebShell利用阶段的WebShell数据的攻击顺序(如先修改文件再修改数据库还是先修改数据库再修改文件等)、攻击行为等(修改文件或修改数据库)。此外，自动溯源***还可基于记录数据进行分析与归纳，以将黑客的行为进行统计。例如在同一时间内，内网的多数主机遭受到来自同一IP地址的数据包的入侵，且这些数据包在对应的主机上不断尝试权限提升行为、内网渗透行为，则可认为该同一时间内内网遭受到同一黑客或黑客组织的攻击。自动溯源***将数据包的IP地址、攻击时间、使用的浏览器等信息作为绘制信息，进行黑客画像的绘制，并呈现至管理人员，以便管理人员进行处理，从而实现对内网主机的安全性的加强。可以理解，自动溯源***还具有自动告警功能，可通过声音、图像、震动等方式实现对管理人员的提醒。

本申请实施例中综合文本特征以及在两个不同阶段下对主机产生的行为特征进行主机是否存在WebShell攻击的判断，具有更低的误报率。

可以理解，GetShell阶段可对外网终端对内网主机传输的数据进行及时监控，利用该监控进行WebShell攻击的判断时效性高，可大大避免由于监控不及时而导致错判断机会使得WebShell成功入侵至主机这一情况的出现。WebShell利用阶段对目标数据对主机产生的行为进行监控，为一种对WebShell脚本进行静态扫描的方法，这种静态扫描方法可基于对多种不利行为的监控而成功的识别出WebShell攻击，可大大提高识别或检测准确性。也即本申请实施例结合WebShell攻击的全生命周期、具体是全生命周期的各个阶段进行综合识别WebShell攻击，具备更强的检出能力、更低的误报率和更全面的告警信息。此外，自动溯源***可结合记录数据，对黑客画像进行绘制并输出，以起到告警提示作用。

本申请实施例提供一种检测设备，如图7所示，包括：第一获得单元701、第二获得单元702、第三获得单元703以及识别单元704；其中，

第一获得单元701，用于获得目标数据，所述目标数据表征为终端向主机传输的数据；

第二获得单元702，用于获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；

第三获得单元703，用于获得所述目标数据的第二目标特征，所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；

识别单元704，用于基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击。

在一个可选的实施例中，所述识别单元704，用于：

基于所述第一目标特征，识别所述目标数据是否为攻击数据；

在所述目标数据为非攻击数据的情况下，获得所述目标数据的第二目标特征；

基于所述第二目标特征，确定所述主机是否被网页脚本攻击。

在一个可选的实施例中，在所述第一目标特征表征为目标数据在被所述主机接收的情况下所述目标数据的文本特征和所述目标数据对所述主机产生的行为；所述识别单元704，用于：判断所述目标数据的文本特征是否与预设的文本特征相匹配、以及判断所述目标数据在被接收的情况下产生的行为是否与预设的第一行为相匹配；

判断所述目标数据的文本特征与预设的文本特征不匹配、以及所述目标数据在被接收的情况下产生的行为与预设的第一行为不匹配的情况下，确定所述目标数据为非攻击数据。

在一个可选的实施例中，所述识别单元704，用于：

在所述目标数据为攻击数据的情况下，

获得向所述主机传输所述目标数据的终端的标识；

控制具有所述标识的终端传输的目标数据禁止产生所述第二目标特征。

在一个可选的实施例中，所述识别单元704，用于：

在所述目标数据为攻击数据的情况下，确定所述主机在所述被接收阶段被网页脚本攻击；

判断是否能够获得所述目标数据的第二目标特征；

判断为是的情况下，确定所述主机在所述被利用阶段被网页脚本攻击。

在一个可选的实施例中，所述识别单元704，用于：判断所述第二目标特征是否与预设的第二行为相匹配；判断为匹配的情况下，确定所述主机在所述被利用阶段被网页脚本攻击。

可以理解，所述检测设备中的第一获得单元701、第二获得单元702、第三获得单元703以及识别单元704在实际应用中均可由检测设备的中央处理器(CPU，CentralProcessing Unit)、数字信号处理器(DSP，Digital Signal Processor)、微控制单元(MCU，Microcontroller Unit)或可编程门阵列(FPGA，Field－Programmable Gate Array)实现。

需要说明的是，本申请实施例的检测设备，由于该检测设备解决问题的原理与前述的检测方法相似，因此，检测设备的实施过程及实施原理均可以参见前述方法的实施过程及实施原理描述，重复之处不再赘述。

本申请实施例还提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时至少用于执行图1至图6任一所示方法的步骤。所述计算机可读存储介质具体可以为存储器。所述存储器可以为如图8所示的存储器62。

本申请实施例还提供了一种终端。图8为本申请实施例的检测设备的硬件结构示意图，如图8所示，检测设备包括：用于进行数据传输的通信组件63、至少一个处理器61和用于存储能够在处理器61上运行的计算机程序的存储器62。终端中的各个组件通过总线***64耦合在一起。可理解，总线***64用于实现这些组件之间的连接通信。总线***64除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图8中将各种总线都标为总线***64。

其中，所述处理器61执行所述计算机程序时至少执行图1至图6任一所示方法的步骤。

可以理解，存储器62可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random AccessMemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本申请实施例描述的存储器62旨在包括但不限于这些和任意其它适合类型的存储器。

上述本申请实施例揭示的方法可以应用于处理器61中，或者由处理器61实现。处理器61可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器61中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器61可以是通用处理器、DSP，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器61可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器62，处理器61读取存储器62中的信息，结合其硬件完成前述方法的步骤。

在示例性实施例中，检测设备可以被一个或多个应用专用集成电路(ASIC，Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD，ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、微处理器(Microprocessor)、或其他电子元件实现，用于执行前述的检测方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个***，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

本申请所提供的几个方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。

本申请所提供的几个产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。

本申请所提供的几个方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种检测方法，其特征在于，所述方法包括：

获得目标数据，所述目标数据表征为终端向主机传输的数据；

获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；

获得所述目标数据的第二目标特征，所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；

基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击。

2.根据权利要求1所述的方法，其特征在于，所述基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击，包括：

基于所述第一目标特征，识别所述目标数据是否为攻击数据；

在所述目标数据为非攻击数据的情况下，获得所述目标数据的第二目标特征；

基于所述第二目标特征，确定所述主机是否被网页脚本攻击。

3.根据权利要求2所述的方法，其特征在于，在所述第一目标特征表征为目标数据在被所述主机接收的情况下所述目标数据的文本特征和所述目标数据对所述主机产生的行为；

相应的，所述基于所述第一目标特征，识别所述目标数据是否为攻击数据，包括：

判断所述目标数据的文本特征是否与预设的文本特征相匹配、以及判断所述目标数据在被接收的情况下产生的行为是否与预设的第一行为相匹配；

判断所述目标数据的文本特征与预设的文本特征不匹配、以及所述目标数据在被接收的情况下产生的行为与预设的第一行为不匹配的情况下，确定所述目标数据为非攻击数据。

4.根据权利要求2或3所述的方法，其特征在于，所述方法还包括：

在所述目标数据为攻击数据的情况下，

获得向所述主机传输所述目标数据的终端的标识；

控制具有所述标识的终端传输的目标数据禁止产生所述第二目标特征。

5.根据权利要求2或3所述的方法，其特征在于，所述方法还包括：

在所述目标数据为攻击数据的情况下，确定所述主机在所述被接收阶段被网页脚本攻击；

判断是否能够获得所述目标数据的第二目标特征；

判断为是的情况下，确定所述主机在所述被利用阶段被网页脚本攻击。

6.根据权利要求2或3所述的方法，其特征在于，所述基于所述第二目标特征，确定所述主机是否被网页脚本攻击，包括：

判断所述第二目标特征是否与预设的第二行为相匹配；

判断为匹配的情况下，确定所述主机在所述被利用阶段被网页脚本攻击。

7.一种检测设备，其特征在于，包括：第一获得单元、第二获得单元、第三获得单元以及识别单元；其中，

第一获得单元，用于获得目标数据，所述目标数据表征为终端向主机传输的数据；

第二获得单元，用于获得目标数据的第一目标特征，其中第一目标特征表征为目标数据在处于被所述主机接收阶段下所述目标数据的文本特征和/或所述目标数据对所述主机产生的行为；

第三获得单元，用于获得所述目标数据的第二目标特征，所述第二目标特征表征为所述目标数据在处于被所述主机利用阶段下对所述主机产生的行为；

识别单元，用于基于所述第一目标特征和所述第二目标特征，识别所述主机是否被网页脚本攻击。

8.根据权利要求7所述的设备，其特征在于，所述识别单元，用于：

基于所述第一目标特征，识别所述目标数据是否为攻击数据；

在所述目标数据为非攻击数据的情况下，获得所述目标数据的第二目标特征；

基于所述第二目标特征，确定所述主机是否被网页脚本攻击。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1至6任一所述方法的步骤。

10.一种检测设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至6任一所述方法的步骤。

Images