CN115174197B - webshell文件的检测方法、***、电子设备及计算机存储介质 - Google Patents
webshell文件的检测方法、***、电子设备及计算机存储介质 Download PDFInfo
- Publication number
- CN115174197B CN115174197B CN202210768075.9A CN202210768075A CN115174197B CN 115174197 B CN115174197 B CN 115174197B CN 202210768075 A CN202210768075 A CN 202210768075A CN 115174197 B CN115174197 B CN 115174197B
- Authority
- CN
- China
- Prior art keywords
- file
- webshell
- detected
- files
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 95
- 230000005856 abnormality Effects 0.000 claims abstract description 17
- 238000012795 verification Methods 0.000 claims abstract description 12
- 238000000034 method Methods 0.000 claims description 43
- 230000006854 communication Effects 0.000 claims description 40
- 238000004891 communication Methods 0.000 claims description 39
- 230000002159 abnormal effect Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 241000239226 Scorpiones Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种webshell文件检测方法、***、电子设备及计算机存储介质,webshell文件的检测方法,包括:基于预先确定的webshell报文的弱特征,对待检测设备发送的数据报文进行网络拦截,获得待发送webshell报文;根据待发送webshell报文,定位到请求发送待发送webshell报文的待检测webshell文件,并获得待检测webshell文件的文件路径;根据待检测设备中针对webshell文件的文件打开操作,生成记录有被打开的webshell文件的文件清单,根据文件清单对待检测webshell文件进行验证;若文件验证通过,则基于待检测webshell文件的文件路径,对待检测webshell文件的文件内容进行文件异常检测。
Description
技术领域
本申请实施例涉及计算机技术领域,尤其涉及一种webshell文件的检测方法、装置、电子设备及计算机存储介质。
背景技术
Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。随着网络的不断发展,webshell入侵成为网络入侵的主要方式。可以通过向设备中注入webshell文件,并通过webshell文件获得使用设备的用户的相关信息。
一般针对webshell的检测技术主要包括针对webshell文件内容进行检测和对webshell的报文中是否包括敏感字段或者敏感函数进行检测。然而,由于网页文件的数据量太大且注入的webshell多种多样,导致针对webshell文件内容进行检测时需要遍历所有的webshell文件,实现成本较高;而随着webshell的不断发展,使用密文的webshell占比越来越高,而现有的针对webshell报文内容进行检测的方案,无法有效检测出加密后的敏感字段或者敏感函数。
发明内容
有鉴于此,本申请实施例提供一种webshell文件的检测方案,以至少部分解决上述问题。
本申请实施例的第一方面,提供了一种webshell文件的检测方法,包括:基于预先确定的webshell报文的弱特征,对待检测设备发送的数据报文进行网络拦截,获得待发送webshell报文;根据所述待发送webshell报文,定位到请求发送所述待发送webshell报文的待检测webshell文件,并获得所述待检测webshell文件的文件路径;根据所述待检测设备中针对webshell文件的文件打开操作,生成记录有被打开的webshell文件的文件清单,根据所述文件清单对所述待检测webshell文件进行验证;若文件验证通过,则基于所述待检测webshell文件的文件路径,对所述待检测webshell文件的文件内容进行文件异常检测。
本申请实施例的第二方面,提供了一种webshell文件的检测***,包括:网络模块,用于基于预先确定的webshell报文的弱特征,对待检测设备发送的数据报文进行网络拦截,获得待发送webshell报文;根据所述待发送webshell报文,定位到请求发送所述待发送webshell报文的待检测webshell文件,并获得所述待检测webshell文件的文件路径,以及向文件采集模块推送所述待检测webshell文件的文件路径;文件采集模块,用于根据所述待检测设备中针对webshell文件的文件打开操作,生成记录有被打开的webshell文件的文件清单,以及根据所述文件清单对所述待检测webshell文件进行验证,以基于所述待检测webshell文件的文件路径,对所述待检测webshell文件的文件内容进行文件异常检测。
本申请实施例的第三方面,提供了一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如第一方面所述方法对应的操作。
本申请实施例的第四方面,提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面所述的方法。
本申请实施例提供的方案,通过基于webshell报文弱特征进行网络拦截,可以定位到进行网络通信的wehshell文件,从而可以针对进行网络通信的wehshell文件进行针对性的文件异常检测,并通过文件清单对webshell文件进行验证,可以减少误报,提高检测效率,尤其适用于webshell文件进行加密通信的场景。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为适用本申请实施例的webshell文件的检测方法的示例性***的示意图;
图2为本申请实施例的一种webshell文件的检测方法的步骤流程图;
图3为本申请实施例的一种webshell文件的检测装置的结构框图;
图4为本申请实施例的另一种webshell文件的检测装置的结构框图;
图5为本申请实施例的又一种webshell文件的检测装置的结构框图;
图6为本申请实施例的一种电子设备的结构示意图。
具体实施方式
为了使本领域的人员更好地理解本申请实施例中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请实施例一部分实施例,而不是全部的实施例。基于本申请实施例中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请实施例保护的范围。
下面结合本申请实施例附图进一步说明本申请实施例具体实现。
图1示出了一种适用本申请实施例的webshell文件的检测方法的示例性***。如图1所示,该***100可以包括云服务端102、通信网络104和/或一个或多个用户设备106,图1中示例为多个用户设备。
云服务端102可以是用于存储信息、数据、程序和/或任何其他合适类型的内容的任何适当的设备,包括但不限于分布式存储***设备、服务器集群、计算云服务端集群等。在一些实施例中,云服务端102可以执行任何适当的功能。例如,在一些实施例中,云服务端102可以用于存储并下发包括webshell文件的网页文件,或者用于存储并下发针对webshell文件的文件内容进行文件异常检测时的检测规则。
在一些实施例中,通信网络104可以是一个或多个有线和/或无线网络的任何适当的组合。例如,通信网络104能够包括以下各项中的任何一种或多种:互联网、内联网、广域网(WAN)、局域网(LAN)、无线网络、数字订户线路(DSL)网络、帧中继网络、异步转移模式(ATM)网络、虚拟专用网(VPN)和/或任何其它合适的通信网络。用户设备106能够通过一个或多个通信链路(例如,通信链路112)连接到通信网络104,该通信网络104能够经由一个或多个通信链路(例如,通信链路114)被链接到云服务端102。通信链路可以是适合于在用户设备106和云服务端102之间传送数据的任何通信链路,诸如网络链路、拨号链路、无线链路、硬连线链路、任何其它合适的通信链路或此类链路的任何合适的组合。
用户设备106可以包括适合于代码执行环境的任何一个或多个用户设备。在一些实施例中,用户设备106可以包括任何合适类型的设备。例如,在一些实施例中,用户设备106可以包括移动设备、平板计算机、膝上型计算机、台式计算机、服务器维护客户端、可穿戴计算机、游戏控制台、媒体播放器、车辆娱乐***和/或任何其他合适类型的用户设备。
基于上述***,本申请实施例提供了一种webshell文件的检测方法,以下通过多个实施例进行说明。
为了更加清楚地说明本申请的方案,下面先对通过webshell文件进行入侵的过程进行简介。
通过webshell文件进行入侵时的入侵行为可以拆分为以下几个步骤:
1、webshell文件注入,通过设备上的漏洞注入webshell文件。
2、通信连接,通过webshell管理平台,输入密钥建立与设备的webshell文件之间的通信连接。
3、信息收集,通过wehshell文件访问设备,收集使用设备的用户的账号信息或者设备的相关信息等。
4、提权,根据收集的信息获得设备的相关权限。
5、入侵。
一般情况下,进行防御时,采用的方法为遍历本地的webshell文件,并对webshell文件的文件内容进行文件异常检测,然而,由于设备上存储的webshell文件可能较多,且会随着网页文件的增加而增加,导致对webshell文件进行遍历的方法检测效率较低;另外,还可以根据webshell文件通过网络发出的报文对应的报文内容进行检测,若报文内容存在异常则可以将webshell文件确定为异常,然而大量的webshell文件开始采用密文,必须有对应的密钥才能解析出正确的报文内容,导致通过检测报文内容对webshell文件进行文件异常检测方法的漏检率较高。
为此,本实施例提供了一种新的webshell文件的检测方法。
参见图2,示出了一种webshell文件的检测方法的流程示意图,如图所示,其包括:
S201、基于预先确定的webshell报文的弱特征,对待检测设备发送的数据报文进行网络拦截,获得待发送webshell报文。
一般情况下,待检测设备具有网络接口,待检测设备通过网络接口进行对外通信,则本实施例中,可以通过获得网络接口的权限,对待检测设备发送的数据报文进行网络拦截。
对待检测设备发送的数据报文进行网络拦截时,可以解析数据报文的明文部分,即数据报文中不需要密钥就可以解析的部分数据,具体可以为数据报文的包头携带的数据等,本实施例对此不进行限定。通过数据报文的部分明文数据,可以定位发送数据报文的文件、确定数据报文的发送目的地等相关信息。
数据报文的特征可以包括数据报文中携带的数据包的参数、加密参数、发送目的地等。
本实施例中,webshell报文对应的特征可以分为强特征和弱特征,强特征为能够直接将数据报文确定为webshell报文的特征,弱特征为webshell报文中可能存在的特征,根据弱特征可以将数据报文中包括的webshell报文全部筛选出,但存在将其他的数据报文确定为webshell报文的可能性。
由于webshell报文可能被加密,加密后的报文特征存在多种变形,因此,本步骤中采用webshell报文弱特征对待检测设备发送的数据报文进行网络拦截,可以有效防止漏报webshell报文的可能性。
本实施例中,预先确定的webshell报文的弱特征同样为数据报文的明文部分具有的特征,通过预先确定的webshell报文的弱特征,可以识别出webshell文件请求发送的数据报文。
具体地,本实施例中,可以基于预先确定的webshell报文的有效载荷payload具有的弱特征对报文数据进行网络拦截。
示例地,若不采用加密通信,则webshell报文的有效载荷部分可以直接读取,则可以webshell报文的弱特征可以为数据报文的有效载荷中包括的参数名称等。
若采用加密通信,则webshell报文的有效载荷中的数据内容一般不会被直接读取,但是webshell报文的有效载荷中一般会携带有用于解密的数据加密参数,可以将数据加密参数作为webshell报文的弱特征,或者若采用冰蝎等工具进行加密,webshell报文的有效载荷中会具有与加密工具对应的工具特征,则可以将工具特征作为webshell报文的弱特征。
webshell报文的有效载荷payload的弱特征可以由识别软件的工作人员维护,并下发至待检测设备中。示例地,工作文员可以根据已有的webshell报文样本,确定webshell报文的有效载荷payload中的哪些位置用于存储数据加密参数,且存储的数据加密参数具体是什么,并可以将其作为webshell报文的弱特征下发至待检测设备中,待检测设备可以根据下发的webshell报文的弱特征对网络拦截到的所有数据报文进行正则匹配,将与弱特征匹配的数据报文确定为待发送webshell报文。
示例地,下发的弱特征可以为:
其中的rule_name为弱特征检测规则名称,rule_family标识下发的为对进行webshell通信过程中发送的webshell报文检测规则,type用于标识检测对象为有效载荷payload,action标识检测的为加密(block)的对象,signature用于具体的弱特征,其中的offset和range用于标识有效载荷payload中用于存储弱特征的位置,subsign为具体的弱特征。
S202、根据所述待发送webshell报文,定位到请求发送所述待发送webshell报文的待检测webshell文件,并获得所述待检测webshell文件的文件路径。
一般情况下,webshell文件通过网页文件进行注入,则获取的待检测webshell文件的文件路径具体可以为webshell文件在网页文件总目录中的相对文件路径。
具体定位待发送的数据报文(即待发送webshell报文)对应的请求对象(即请求发送待发送webshell报文的待检测webshell文件)的方法可参考相关技术,在此不再赘述。
S203、根据所述待检测设备中针对webshell文件的文件打开操作,生成记录有被打开的webshell文件的文件清单,根据所述文件清单对所述待检测webshell文件进行验证。
本实施例中,由于在步骤S201中,使用的是webshell报文的弱特征,则确定出的webshell报文存在一定的误报率,即将其他数据报文确定为webshell报文,则在步骤S202中定位到的文件也可能不是webshell文件,因此本实施例中,通过步骤S203,基于记录有被打开的webshell文件的文件清单对webshell文件进行验证,可以除webshell文件之外的其他文件过滤掉。
可选地,为了能够进行准确检测,本实施例中,步骤S203可以包括:采集所述待检测设备中针对webshell文件的文件打开操作,获得被打开的webshell文件的文件路径和文件标识;将获得的所述webshell文件的文件路径和文件标识更新至所述文件清单中;根据所述待检测webshell文件的文件路径,验证所述待检测webshell文件是否存在于所述文件清单中。
需要说明的是,本实施例中,在总的执行流程中不限定步骤“采集所述待检测设备中针对webshell文件的文件打开操作,获得被打开的webshell文件的文件路径和文件标识;将获得的所述webshell文件的文件路径和文件标识更新至所述文件清单中”和步骤S201-S202的执行顺序。
本实施例中,每采集到一次打开webshell文件的打开操作,即可根据采集到的打开操作更新文件清单,对待检测webshell文件进行验证时采用的为当前的文件清单,当前的文件清单可以为更新前的也可以为更新后的,本实施例对此不进行限定。
针对某个webshell文件A,会先打开webshell文件A,此时会将webshell文件A的文件路径和文件标识更新至文件清单中,再通过webshell文件A发送webshell报文。通过网络拦截到webshell文件A发送webshell报文后,会将webshell文件A作为待检测的webshell文件,通过文件清单进行验证,由于在之前打开webshell文件A时,已经将webshell文件A的文件路径和文件标识更新至文件清单中,则此时针对webshell文件A的验证通过,则可以执行后续步骤,对webshell文件A的文件内容进行文件异常检测。反之,若针对webshell文件A的验证未通过,则标识webshell文件A可能被误判为webshell文件,则不进行后续操作。
本实施例中,具体可以验证待检测webshell文件的文件标识pid,是否存在于文件清单中,且待检测webshell文件与文件清单中对应的文件路径一致,若一致则验证通过。若验证通过,则继续执行步骤S206,若不通过则结束本流程。
S204、若文件验证通过,则基于所述待检测webshell文件的文件路径,对所述待检测webshell文件的文件内容进行文件异常检测。
本实施例中,可以通过本地检测或者云端检测的方式对所述待检测webshell文件的文件内容进行文件异常检测。
具体地,当采用本地检测的方式时,所述S204包括:将所述待检测webshell文件的文件路径推送至本地文件检测引擎,通过所述本地文件检测引擎按照预设的检测规则,根据所述文件路径对所述webshell文件的文件内容进行文件异常检测。与云端检测的方式相比,本地检测的方式不受网络的影响,可靠性更高。具体的本地文件检测引擎的实现方式可参考相关技术,在此不再赘述。
可选地,本实施例中,待检测设备可以接收文件检测服务端下发的检测规则,并根据接收到的检测规则更新所述本地检测引擎中的所述预设的检测规则。本实施例中,具体的检测规则可以由识别软件的工作人员维护,本实施例对此不进行限定。工作人员可以及时对各种恶意的webshell文件进行统计分析,并根据分析结果更新检测规则并下发。
具体地,当采用云端检测的方式时,所述S206还可以包括:根据所述待检测webshell文件的文件路径,将所述待检测webshell文件发送至文件检测服务端;接收所述文件检测服务端对所述待检测webshell文件的文件内容进行文件异常检测后得到的异常检测结果。
与本地检测相比,云端检测速度更快,但受网络影响较大。
文件检测服务端对webshell文件的文件内容进行文件异常检测的过程可参考相关技术,在此不再赘述。
可选地,本实施例中,若根据对所述待检测webshell文件的文件内容进行文件异常检测后得到的异常检测结果,确定所述待检测webshell文件为异常文件,则执行以下至少之一:禁止所述异常文件对应的webshell报文通过网络发送;将所述异常文件删除;限制所述异常文件的访问权限。
本实施例提供的方案,基于预先确定的webshell报文的弱特征,对待检测设备发送的数据报文进行网络拦截,获得待发送webshell报文,基于webshell报文的弱特征进行网络拦截,可以尽量避免漏报webshell报文;根据所述待发送webshell报文,定位到请求发送所述待发送webshell报文的待检测webshell文件,并获得所述待检测webshell文件的文件路径;根据所述待检测设备中针对webshell文件的文件打开操作,生成记录有被打开的webshell文件的文件清单,根据所述文件清单对所述待检测webshell文件进行验证,通过对待检测webshell报文进行验证,可以过滤掉被误报为待检测webshell报文的文件;若文件验证通过,则基于所述待检测webshell文件的文件路径,对所述待检测webshell文件的文件内容进行文件异常检测,本实施例提供的方案,通过基于webshell报文弱特征进行网络拦截,可以定位到进行网络通信的wehshell文件,从而可以针对进行网络通信的wehshell文件进行针对性的文件异常检测,并通过文件清单对webshell文件进行验证,可以减少误报,提高检测效率,尤其适用于webshell文件进行加密通信的场景。
参见图3,示出了一种webshell文件的检测***的架构示意图,其包括:
网络模块301,用于基于预先确定的webshell报文的弱特征,对待检测设备发送的数据报文进行网络拦截,获得待发送webshell报文;根据所述待发送webshell报文,定位到请求发送所述待发送webshell报文的待检测webshell文件,并获得所述待检测webshell文件的文件路径,以及向文件采集模块推送所述待检测webshell文件的文件路径;
文件采集模块302,用于根据所述待检测设备中针对webshell文件的文件打开操作,生成记录有被打开的webshell文件的文件清单,以及根据所述文件清单对所述待检测webshell文件进行验证,以基于所述待检测webshell文件的文件路径,对所述待检测webshell文件的文件内容进行文件异常检测。
可选地,所述文件采集模块,具体用于采集所述待检测设备中针对webshell文件的文件打开操作,获得被打开的webshell文件的文件路径和文件标识;将获得的所述webshell文件的文件路径和文件标识更新至所述文件清单中;根据所述待检测webshell文件的文件路径,基于所述文件清单验证所述待检测webshell文件是否被打开。
可选地,本实施例中,参见图4,示出了另一种webshell文件的检测***的架构示意图,其包括设置在待检测设备中的:网络模块401、文件采集模块402、本地文件检测引擎403。
本实施例中,文件采集模块402还用于将验证通过的待检测webshell文件的文件路径发送至本地文件检测引擎403,本地文件检测引擎403用于基于所述待检测webshell文件的文件路径,对所述待检测webshell文件的文件内容进行文件异常检测。
本实施例中,网络模块401可以根据文件检测服务端下发的弱特征进行网络拦截;本地文件检测引擎403可以根据文件检测服务端下发的检测规则对webshell文件进行检测,并将确定为异常文件的webshell文件发送至网络模块401,以指示网络模块401拦截异常文件的webshell报文。
可选地,本实施例中,参见图5,示出了另一种webshell文件的检测***的架构示意图,其包括:设置在待检测设备中的网络模块501、文件采集模块502,设置在文件检测服务端的云上文件检测引擎503。
本实施例中,文件采集模块502还可以用于根据验证通过的待检测webshell文件的文件路径,获取到待检测webshell文件,并将待检测webshell文件发送至文件检测服务端,通过文件检测服务端的云上文件检测引擎503对所述待检测webshell文件的文件内容进行文件异常检测,待检测设备可以接收所述文件检测服务端对所述待检测webshell文件的文件内容进行文件异常检测后得到的异常检测结果。
本实施例中,网络模块501可以根据文件检测服务端下发的弱特征进行网络拦截;云上文件检测引擎503可以根据自身的检测规则对webshell文件进行检测,并将确定为异常文件的webshell文件发送至待检测设备,以指示待检测设备的网络模块501拦截异常文件的webshell报文。
图3-图5示出的***中各部分的具体实现可以参见上述方法实施例中的相应步骤对应的描述,并具有相应的有益效果,在此不赘述。参照图6,示出了本申请实施例五的一种电子设备的结构示意图,本申请具体实施例并不对电子设备的具体实现做限定。
如图6所示,该电子设备可以包括:处理器(processor)602、通信接口(Communications Interface)604、存储器(memory)606、以及通信总线608。
其中:
处理器602、通信接口604、以及存储器606通过通信总线608完成相互间的通信。
通信接口604,用于与其它电子设备或服务器进行通信。
处理器602,用于执行程序610,具体可以执行上述webshell文件的检测方法实施例中的相关步骤。
具体地,程序610可以包括程序代码,该程序代码包括计算机操作指令。
处理器602可能是CPU,或者是特定集成电路ASIC(Application SpecificIntegrated Circuit),或者是被配置成实施本申请实施例的一个或多个集成电路。智能设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器606,用于存放程序610。存储器606可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序610具体可以用于使得处理器602执行前述多个方法实施例中任一实施例所描述的webshell文件的检测方法对应的操作。
程序610中各步骤的具体实现可以参见上述方法实施例中的相应步骤和单元中对应的描述,并具有相应的有益效果,在此不赘述。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
本申请实施例还提供了一种计算机程序产品,包括计算机指令,该计算机指令指示计算设备执行上述多个方法实施例中的任一webshell文件的检测方法对应的操作。
需要指出,根据实施的需要,可将本申请实施例中描述的各个部件/步骤拆分为更多部件/步骤,也可将两个或多个部件/步骤或者部件/步骤的部分操作组合成新的部件/步骤,以实现本申请实施例的目的。
上述本申请实施例的方法可在硬件、固件中实现,或者被实现为可存储在记录介质(诸如CD ROM、RAM、软盘、硬盘或磁光盘)中的软件或计算机代码,或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件(诸如ASIC或FPGA)的记录介质上的这样的软件处理。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如,RAM、ROM、闪存等),当所述软件或计算机代码被计算机、处理器或硬件访问且执行时,实现在此描述的方法。此外,当通用计算机访问用于实现在此示出的方法的代码时,代码的执行将通用计算机转换为用于执行在此示出的方法的专用计算机。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的范围。
以上实施方式仅用于说明本申请实施例,而并非对本申请实施例的限制,有关技术领域的普通技术人员,在不脱离本申请实施例的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本申请实施例的范畴,本申请实施例的专利保护范围应由权利要求限定。
Claims (8)
1.一种webshell文件的检测方法,包括:
基于预先确定的webshell报文的弱特征,对待检测设备发送的数据报文进行网络拦截,获得待发送webshell报文,其中,所述弱特征为webshell报文中存在的特征;
根据所述待发送webshell报文,定位到请求发送所述待发送webshell报文的待检测webshell文件,并获得所述待检测webshell文件的文件路径;
根据所述待检测设备中针对webshell文件的文件打开操作,生成记录有被打开的webshell文件的文件清单,根据所述文件清单对所述待检测webshell文件进行验证;
若文件验证通过,则基于所述待检测webshell文件的文件路径,对所述待检测webshell文件的文件内容进行文件异常检测;
采集所述待检测设备中针对webshell文件的文件打开操作,获得记录有被打开的webshell文件的文件清单,根据所述文件清单对所述待检测webshell文件进行验证,包括:采集所述待检测设备中针对webshell文件的文件打开操作,获得被打开的webshell文件的文件路径和文件标识;将获得的所述webshell文件的文件路径和文件标识更新至所述文件清单中;根据所述待检测webshell文件的文件路径,验证所述待检测webshell文件是否存在于所述文件清单中。
2.根据权利要求1所述的方法,其中,所述基于所述待检测webshell文件的文件路径,对所述待检测webshell文件的文件内容进行文件异常检测,包括:
将所述待检测webshell文件的文件路径推送至本地文件检测引擎,通过所述本地文件检测引擎按照预设的检测规则,根据所述文件路径对所述webshell文件进行文件异常检测。
3.根据权利要求2所述的方法,其中,所述方法还包括:
接收文件检测服务端下发的检测规则,并根据接收到的检测规则更新所述本地检测引擎中的所述预设的检测规则。
4.根据权利要求1所述的方法,其中,所述基于所述待检测webshell文件的文件路径,对所述待检测webshell文件的文件内容进行文件异常检测,包括:
根据所述待检测webshell文件的文件路径,将所述待检测webshell文件发送至文件检测服务端;
接收所述文件检测服务端对所述待检测webshell文件进行文件异常检测后得到的异常检测结果。
5.根据权利要求1所述的方法,其中,所述方法还包括:
若根据对所述待检测webshell文件的文件内容进行文件异常检测后得到的异常检测结果,确定所述待检测webshell文件为异常文件,则执行以下至少之一:
禁止所述异常文件对应的webshell报文通过网络发送;
将所述异常文件删除;
限制所述异常文件的访问权限。
6.一种webshell文件的检测***,包括:
网络模块,用于基于预先确定的webshell报文的弱特征,对待检测设备发送的数据报文进行网络拦截,获得待发送webshell报文;根据所述待发送webshell报文,定位到请求发送所述待发送webshell报文的待检测webshell文件,并获得所述待检测webshell文件的文件路径,以及向文件采集模块推送所述待检测webshell文件的文件路径,其中,所述弱特征为webshell报文中存在的特征;
文件采集模块,用于根据所述待检测设备中针对webshell文件的文件打开操作,生成记录有被打开的webshell文件的文件清单,以及根据所述文件清单对所述待检测webshell文件进行验证,以基于所述待检测webshell文件的文件路径,对所述待检测webshell文件的文件内容进行文件异常检测;
所述文件采集模块,具体用于采集所述待检测设备中针对webshell文件的文件打开操作,获得被打开的webshell文件的文件路径和文件标识;将获得的所述webshell文件的文件路径和文件标识更新至所述文件清单中;根据所述待检测webshell文件的文件路径,基于所述文件清单验证所述待检测webshell文件是否被打开。
7.一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-5中任一项所述的webshell文件的检测方法对应的操作。
8.一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210768075.9A CN115174197B (zh) | 2022-07-01 | 2022-07-01 | webshell文件的检测方法、***、电子设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210768075.9A CN115174197B (zh) | 2022-07-01 | 2022-07-01 | webshell文件的检测方法、***、电子设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115174197A CN115174197A (zh) | 2022-10-11 |
| CN115174197B true CN115174197B (zh) | 2024-03-29 |
Family
ID=83489422
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210768075.9A Active CN115174197B (zh) | 2022-07-01 | 2022-07-01 | webshell文件的检测方法、***、电子设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174197B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7080407B1 (en) * | 2000-06-27 | 2006-07-18 | Cisco Technology, Inc. | Virus detection and removal system and method for network-based systems |
| KR20090063197A (ko) * | 2009-05-28 | 2009-06-17 | (주)유엠브이기술 | 해쉬 검증 기반의 웹쉘 탐지 성능 향상 기술 |
| KR101080953B1 (ko) * | 2011-05-13 | 2011-11-08 | (주)유엠브이기술 | 실시간 웹쉘 탐지 및 방어 시스템 및 방법 |
| WO2013026312A1 (zh) * | 2011-08-23 | 2013-02-28 | 中兴通讯股份有限公司 | 基于日志检测的告警方法及*** |
| CN108959071A (zh) * | 2018-06-14 | 2018-12-07 | 湖南鼎源蓝剑信息科技有限公司 | 一种基于RASP的PHP变形webshell的检测方法及*** |
| CN112597498A (zh) * | 2020-12-29 | 2021-04-02 | 天津睿邦安通技术有限公司 | 一种webshell的检测方法、***、装置及可读存储介质 |
| WO2021109669A1 (zh) * | 2019-12-05 | 2021-06-10 | 华为技术有限公司 | 恶意域名访问的检测方法、装置及计算机可读存储介质 |
| CN113132341A (zh) * | 2020-01-16 | 2021-07-16 | 深信服科技股份有限公司 | 网络攻击行为的检测方法、装置、电子设备及存储介质 |
| CN113468049A (zh) * | 2021-06-29 | 2021-10-01 | 平安养老保险股份有限公司 | 基于可配置化接口的测试方法、装置、设备及介质 |
| CN113901468A (zh) * | 2021-09-29 | 2022-01-07 | 深信服科技股份有限公司 | 一种脚本处理方法、装置、设备和存储介质 |
| CN114024773A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种webshell文件检测方法及*** |
| CN114117430A (zh) * | 2021-12-06 | 2022-03-01 | 上海安势信息技术有限公司 | WebShell检测方法、电子装置和计算机可读存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9026853B2 (en) * | 2012-07-31 | 2015-05-05 | Hewlett-Packard Development Company, L.P. | Enhancing test scripts |
| KR101291782B1 (ko) * | 2013-01-28 | 2013-07-31 | 인포섹(주) | 웹쉘 탐지/대응 시스템 |
-
2022
- 2022-07-01 CN CN202210768075.9A patent/CN115174197B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7080407B1 (en) * | 2000-06-27 | 2006-07-18 | Cisco Technology, Inc. | Virus detection and removal system and method for network-based systems |
| KR20090063197A (ko) * | 2009-05-28 | 2009-06-17 | (주)유엠브이기술 | 해쉬 검증 기반의 웹쉘 탐지 성능 향상 기술 |
| KR101080953B1 (ko) * | 2011-05-13 | 2011-11-08 | (주)유엠브이기술 | 실시간 웹쉘 탐지 및 방어 시스템 및 방법 |
| WO2013026312A1 (zh) * | 2011-08-23 | 2013-02-28 | 中兴通讯股份有限公司 | 基于日志检测的告警方法及*** |
| CN108959071A (zh) * | 2018-06-14 | 2018-12-07 | 湖南鼎源蓝剑信息科技有限公司 | 一种基于RASP的PHP变形webshell的检测方法及*** |
| WO2021109669A1 (zh) * | 2019-12-05 | 2021-06-10 | 华为技术有限公司 | 恶意域名访问的检测方法、装置及计算机可读存储介质 |
| CN113132341A (zh) * | 2020-01-16 | 2021-07-16 | 深信服科技股份有限公司 | 网络攻击行为的检测方法、装置、电子设备及存储介质 |
| CN112597498A (zh) * | 2020-12-29 | 2021-04-02 | 天津睿邦安通技术有限公司 | 一种webshell的检测方法、***、装置及可读存储介质 |
| CN113468049A (zh) * | 2021-06-29 | 2021-10-01 | 平安养老保险股份有限公司 | 基于可配置化接口的测试方法、装置、设备及介质 |
| CN113901468A (zh) * | 2021-09-29 | 2022-01-07 | 深信服科技股份有限公司 | 一种脚本处理方法、装置、设备和存储介质 |
| CN114117430A (zh) * | 2021-12-06 | 2022-03-01 | 上海安势信息技术有限公司 | WebShell检测方法、电子装置和计算机可读存储介质 |
| CN114024773A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种webshell文件检测方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115174197A (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3871392B1 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| JP6097849B2 (ja) | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム | |
| Düssel et al. | Cyber-critical infrastructure protection using real-time payload-based anomaly detection | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| CN105743732B (zh) | 一种记录局域网文件传输路径和分布情况的方法及*** | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| Liu et al. | Maldetect: A structure of encrypted malware traffic detection | |
| US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
| US20120167222A1 (en) | Method and apparatus for diagnosing malicous file, and method and apparatus for monitoring malicous file | |
| CN111314381A (zh) | 安全隔离网关 | |
| EP3826263A1 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
| RU2601147C2 (ru) | Система и способ выявления целевых атак | |
| CN115174197B (zh) | webshell文件的检测方法、***、电子设备及计算机存储介质 | |
| KR102119636B1 (ko) | 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 | |
| CN116980175A (zh) | 企业隐私分析与异常发现方法、装置、设备和存储介质 | |
| CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
| CN113595958A (zh) | 一种物联网设备的安全检测***及方法 | |
| Kwon et al. | Recovery measure against disabling reassembly attack to DNP3 communication | |
| CN103947158A (zh) | 信息包数据提取装置、信息包数据提取装置的控制方法、控制程序、计算机可读取的记录介质 | |
| CN115865487B (zh) | 一种具有隐私保护功能的异常行为分析方法和装置 | |
| US11451584B2 (en) | Detecting a remote exploitation attack | |
| García-Teodoro et al. | Automatic signature generation for network services through selective extraction of anomalous contents | |
| Satoh et al. | A new approach to identify user authentication methods toward SSH dictionary attack detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |