一種WebShell的檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種WebShell的檢測方法及系統(tǒng)�����。該系統(tǒng)包括日志審計(jì)模塊���,本地檢測模塊�,遠(yuǎn)程檢測模塊���,結(jié)果輸出模塊���,所述系統(tǒng)執(zhí)行如下處理流程:A,收集服務(wù)器訪問日志�����,分析出可疑訪問行為的URL���;B��,將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行本地檢測和遠(yuǎn)程檢測�;C,根據(jù)檢測判斷如發(fā)現(xiàn)WebShell則上報(bào)WebShell路徑�,同時(shí)將識(shí)別為WebShell的路徑補(bǔ)充到WebShell路徑庫。本發(fā)明提高了網(wǎng)絡(luò)Web應(yīng)用中WebShell檢測的檢出率和檢測效率����,降低了漏報(bào)率和誤報(bào)率�����。
【專利說明】—種WebSheI I的檢測方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)安全【技術(shù)領(lǐng)域】�����,尤其涉及一種WebShell的檢測方法及系統(tǒng)����。
【背景技術(shù)】
[0002]隨著Web2.0、社交網(wǎng)絡(luò)��、微博等等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生����,基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛��,企業(yè)信息化的過程中各種應(yīng)用都架設(shè)在Web平臺(tái)上����,Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強(qiáng)烈關(guān)注���,接踵而至的就是Web安全威脅的凸顯����,黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限����,輕則篡改網(wǎng)頁內(nèi)容,重則竊取重要內(nèi)部數(shù)據(jù)���,更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼����,使得網(wǎng)站訪問者受到侵害���。這也使得越來越多的用戶關(guān)注應(yīng)用層的安全問題��,對Web應(yīng)用安全的關(guān)注度也逐漸升溫����。
[0003]通常黑客在攻擊一個(gè)Web網(wǎng)站時(shí)會(huì)經(jīng)歷以下幾個(gè)步驟,首先是信息收集���,找到目標(biāo)網(wǎng)站的相關(guān)信息��;然后是漏洞利用�����,利用收集到的信息��,找到可以利用的漏洞,例如SQL注入漏洞�、文件上傳漏洞等,進(jìn)行數(shù)據(jù)偷取或WebShell上傳等����。
[0004]簡單的來說,WebShell就是一個(gè)asp或php木馬后門,WebShell是Web入侵的腳本攻擊工具�����。工具在上傳了 WebShell后,黑客以后就可以通過WebShell非常方便的對目標(biāo)網(wǎng)站服務(wù)器進(jìn)行操控���,而無需再次重復(fù)尋找網(wǎng)站漏洞和利用網(wǎng)站漏洞的過程���。由此可見,WebShell對網(wǎng)站的危害是非常巨大的����,如果在一個(gè)網(wǎng)站上存在WebShell,那么可以肯定的說��,這個(gè)網(wǎng)站是存在非常嚴(yán)重的漏洞�����,在網(wǎng)站受攻擊后及時(shí)的發(fā)現(xiàn)����,并對目標(biāo)網(wǎng)站服務(wù)器做必要的漏洞修補(bǔ),這樣可以盡量的將損失降到最低�����,事后發(fā)現(xiàn)及防御也是安全防御體系中的重要一環(huán)����。
[0005]現(xiàn)有的技術(shù)方案中����,針對WebShell的檢測主要有本地檢測和遠(yuǎn)程檢測兩種���。本地檢測通常是一個(gè)運(yùn)行在目標(biāo)系統(tǒng)上的軟件���,該軟件可以訪問網(wǎng)站的根目錄,并且直接進(jìn)行源碼級(jí)的WebShell檢測�。由于現(xiàn)有的本地檢測方法需要在目標(biāo)服務(wù)器上運(yùn)行可執(zhí)行程序,并且需要有訪問和讀取網(wǎng)站根目錄的權(quán)限�����,這一方案存在很大的安全風(fēng)險(xiǎn)�,在對安全審核比較嚴(yán)格的應(yīng)用場景下是不允許的。
[0006]另外一種遠(yuǎn)程檢測主要是基于網(wǎng)絡(luò)爬蟲�����,依靠路徑字典以及WebShell指紋特征庫來識(shí)別和檢測WebShell����。遠(yuǎn)程檢測不需要額外的權(quán)限,但是由于WebShell的隱蔽性��,以及網(wǎng)頁爬蟲只能抓取存在引用關(guān)系的頁面的局限性��,導(dǎo)致基于路徑字典的檢測方式存在很大的局限性�,因?yàn)閃ebShell的上傳路徑和上傳文件名是由攻擊者任意指定的,一旦攻擊者使用了一個(gè)非常復(fù)雜的路徑���,而這個(gè)路徑又不在遠(yuǎn)程檢測的路徑字典里��,那么遠(yuǎn)程檢測就無法檢測出這個(gè)WebShe11�,所以遠(yuǎn)程檢測只能檢測出比較常見的WebShe11�����。
【發(fā)明內(nèi)容】
[0007]有鑒于此���,本發(fā)明提供一種WebShell的檢測方法及系統(tǒng)�,該發(fā)明不需要在目標(biāo)服務(wù)器端運(yùn)行可執(zhí)行程序�����,并且采用將日志審計(jì)與檢測結(jié)合的檢測方式,彌補(bǔ)了現(xiàn)有技術(shù)中檢測不全面問題���。
[0008]具體來說���,本發(fā)明一種WebShell的檢測方法,所述方法包括以下步驟:
[0009]A�����,收集服務(wù)器訪問日志�,分析出可疑訪問行為的URL。
[0010]B,將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行本地檢測�����。
[0011]C�,將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行遠(yuǎn)程檢測。
[0012]D��,根據(jù)檢測判斷如發(fā)現(xiàn)WebShell����,則執(zhí)行步驟E。
[0013]E�����,上報(bào)WebShell路徑���,同時(shí)將識(shí)別為WebShell的路徑補(bǔ)充到WebShell路徑庫���。
[0014]進(jìn)一步地,步驟B所述的本地檢測��,包括配置目標(biāo)服務(wù)器信息并遠(yuǎn)程登錄到目標(biāo)服務(wù)器進(jìn)行源碼級(jí)WebShell檢查����。
[0015]進(jìn)一步地,所述的源碼級(jí)WebShell檢查是結(jié)合來源于WebShell特征庫的本地檢測指紋庫通過指紋比對的方式對Web服務(wù)器根目錄文件及可疑訪問行為的URL文件中獲得的各種語言的源代碼進(jìn)行WebShell檢查。
[0016]進(jìn)一步地��,步驟C所述的遠(yuǎn)程檢測��,包括遠(yuǎn)程檢測配置和網(wǎng)頁爬蟲及遠(yuǎn)程檢測網(wǎng)頁代碼���。
[0017]進(jìn)一步地,所述的網(wǎng)頁爬蟲是依據(jù)來源于WebShell特征庫的WebShell路徑庫及可疑訪問行為的URL為遠(yuǎn)程檢測路徑并獲取該遠(yuǎn)程檢測路徑中的應(yīng)答數(shù)據(jù)���。
[0018]進(jìn)一步地,所述的遠(yuǎn)程檢測網(wǎng)頁代碼是結(jié)合來源于WebShell特征庫的遠(yuǎn)程檢測指紋庫通過指紋比對的方式對遠(yuǎn)程檢測路徑中獲得的應(yīng)答數(shù)據(jù)進(jìn)行WebShell檢測�����。
[0019]進(jìn)一步地,步驟A所述的可疑訪問行為的URL為按URL訪問的頻度及參數(shù)來分析的URL�����,所有出現(xiàn)過的URL���,給定一個(gè)可疑級(jí)別為低�����;訪問頻度最少的URL����,給定一個(gè)可疑級(jí)別為中���;出現(xiàn)惡意內(nèi)容的URL��,給定一個(gè)可疑級(jí)別為高�����。
[0020]本發(fā)明同時(shí)提供一種WebShell檢測系統(tǒng),所述系統(tǒng)包括��,
[0021]日志審計(jì)模塊:用于收集服務(wù)器訪問日志��,分析出可疑訪問行為的URL���。
[0022]本地檢測模塊:用于將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行。
[0023]遠(yuǎn)程檢測模塊:用于將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行���。
[0024]結(jié)果輸出模塊:用于根據(jù)檢測判斷如發(fā)現(xiàn)WebShell,則上報(bào)WebShell路徑��,同時(shí)將識(shí)別為WebShell的路徑補(bǔ)充到WebShell路徑庫���。
[0025]進(jìn)一步地,所述的本地檢測模塊���,具體用于配置目標(biāo)服務(wù)器信息并遠(yuǎn)程登錄到目標(biāo)服務(wù)器進(jìn)行源碼級(jí)WebShell檢查�����。
[0026]進(jìn)一步地,所述的源碼級(jí)WebShell檢查是結(jié)合來源于WebShell特征庫的本地檢測指紋庫通過指紋比對的方式對Web服務(wù)器根目錄文件及可疑訪問行為的URL文件中獲得的各種語言的源代碼進(jìn)行WebShell檢查
[0027]進(jìn)一步地���,所述的遠(yuǎn)程檢測模塊,具體用于遠(yuǎn)程檢測配置和網(wǎng)頁爬蟲及遠(yuǎn)程檢測網(wǎng)頁代碼����。
[0028]進(jìn)一步地,所述的網(wǎng)頁爬蟲是依據(jù)來源于WebShell特征庫的WebShell路徑庫及可疑訪問行為的URL為遠(yuǎn)程檢測路徑并獲取該遠(yuǎn)程檢測路徑中的應(yīng)答數(shù)據(jù)��。
[0029]進(jìn)一步地�����,所述的遠(yuǎn)程檢測網(wǎng)頁代碼是結(jié)合來源于WebShell特征庫的遠(yuǎn)程檢測指紋庫通過指紋比對的方式對遠(yuǎn)程檢測路徑中獲得的應(yīng)答數(shù)據(jù)進(jìn)行WebShell檢測�����。
[0030]進(jìn)一步地,所述的可疑訪問行為的URL為按URL訪問的頻度及參數(shù)來分析的URL,所有出現(xiàn)過的URL���,給定一個(gè)可疑級(jí)別為低;訪問頻度最少的URL����,給定一個(gè)可疑級(jí)別為中;出現(xiàn)惡意內(nèi)容的URL���,給定一個(gè)可疑級(jí)別為高���。
[0031]由此可見,針對現(xiàn)有技術(shù)中WebShell檢測的局限性�����,本發(fā)明通過將可疑訪問行為的URL與本地檢測和遠(yuǎn)程檢測配合這種全面的WebShell檢測方式進(jìn)一步的提高了WebShell檢測的準(zhǔn)確率,提高了檢出率和檢測效率�,降低了漏報(bào)率和誤報(bào)率,并且本發(fā)明本地檢測通過遠(yuǎn)程登錄的方式執(zhí)行�,避免了現(xiàn)有技術(shù)中本地檢測需要在目標(biāo)服務(wù)器安裝運(yùn)行程序的問題,而且使檢測更加方便執(zhí)行��。
【專利附圖】
【附圖說明】
[0032]圖1是本發(fā)明一種實(shí)施方式中WebShell的檢測方法的流程圖�;
[0033]圖2是本發(fā)明一種實(shí)施方式中WebShell的檢測系統(tǒng)邏輯結(jié)構(gòu)圖����。
【具體實(shí)施方式】
[0034]下面結(jié)合圖1和圖2對本發(fā)明技術(shù)方案作進(jìn)一步詳細(xì)的說明。
[0035]本發(fā)明通過預(yù)先設(shè)定可疑的WebShell路徑庫�����,本地檢測指紋庫及遠(yuǎn)程檢測指紋庫��,作為檢測的基本依據(jù)�����。以下結(jié)合網(wǎng)絡(luò)安全檢測技術(shù)描述本發(fā)明如何實(shí)現(xiàn)全面的WebShell檢測的過程�����。
[0036]圖1是本發(fā)明一種WebShell的檢測方法的流程圖。在優(yōu)選的實(shí)施方式中�,本發(fā)明方法具體如下:
[0037]A,收集服務(wù)器訪問日志�,分析出可疑訪問行為的URL。
[0038]具體地,通過SSH登錄服務(wù)器獲取Web中間件(apache, tomcat, iis等軟件)產(chǎn)生的訪問日志��,訪問日志中記錄有用戶每一次訪問的URL�,參數(shù)等,通過對訪問的URL的頻度以及參數(shù)的檢查�����,找出最為疑似WebShell的頁面���,然后對這些頁面進(jìn)行檢查分析�,分析出網(wǎng)站的目錄結(jié)構(gòu)及可疑的訪問行為��,并且對網(wǎng)站中可疑的訪問行為進(jìn)行統(tǒng)計(jì)�,按URL訪問的頻度及參數(shù)來統(tǒng)計(jì),所有出現(xiàn)過的URL�,給定一個(gè)可疑級(jí)別為低;訪問頻度最少的URL,給定一個(gè)可疑級(jí)別為中�����;出現(xiàn)惡意內(nèi)容的URL�����,給定一個(gè)可疑級(jí)別為高�����。
[0039]本實(shí)施方式中獲取服務(wù)器訪問日志的方法還可以有多種方式�,如服務(wù)器上配置發(fā)送日志至Syslog方式,服務(wù)器上配置文件共享方式�����,ftp上傳下載方式��,通過SSH���、T elnet等或其他遠(yuǎn)程讀取日志文件的方式����。惡意內(nèi)容包括可執(zhí)行命令���、SQL語句��,敏感文件名及文件內(nèi)容����、腳本語言等。
[0040]B,將分析出可疑訪問行為的URL結(jié)合WebShelI特征庫進(jìn)行本地檢測和遠(yuǎn)程檢測�。
[0041]具體地,本地檢測�,開啟SSH遠(yuǎn)程登錄服務(wù),配置目標(biāo)服務(wù)器信息如用戶訪問賬戶口令及備份網(wǎng)站根目錄等�,并遠(yuǎn)程登錄到目標(biāo)服務(wù)器,結(jié)合來源于WebShell特征庫的本地檢測指紋庫通過指紋比對的方式對Web服務(wù)器根目錄文件及可疑訪問行為的URL文件中獲得的各種語言的源代碼進(jìn)行WebShell檢查�。配置信息中備份網(wǎng)站根目錄的目的是為了不影響其他用戶訪問服務(wù)器。各種語言的源代碼�����,包括有����,如目前比較常用的asp(ActiVeServer Page), jsp( Java Server Pages), php (Hypertext Preprocessor)等網(wǎng)頁腳本語言源代碼。在本實(shí)施方式中����,本地檢測配置需要配置的用戶信息是用戶根據(jù)自己的需求及環(huán)境需要所指定的��,這里所說的配置的用戶信息并不是全部用戶信息��,而只是部分內(nèi)容信息�����。SSH是標(biāo)準(zhǔn)服務(wù)器都會(huì)安裝的服務(wù)程序����,如系統(tǒng)沒有安裝也可自行安裝�。本地檢測指紋庫可以是從源代碼中提取的指紋特征。指紋包括一些危險(xiǎn)的方法調(diào)用���,一些常見的字符串等。
[0042]在優(yōu)選的實(shí)施方式中遠(yuǎn)程登錄方式可以是通過SSH方式遠(yuǎn)程登錄��,當(dāng)然�,所述遠(yuǎn)程登錄方式也可以為可以實(shí)現(xiàn)上述方法的其他遠(yuǎn)程登錄方式,如Telnet或其他遠(yuǎn)程登錄方式��。在此不做限制��。
[0043]具體地,遠(yuǎn)程檢測���,包括遠(yuǎn)程檢測配置和網(wǎng)頁爬蟲及遠(yuǎn)程檢測網(wǎng)頁代碼���。
[0044]配置網(wǎng)站URL,模擬正?����?蛻舳诉h(yuǎn)程訪問目標(biāo)網(wǎng)站�����,網(wǎng)頁爬蟲依據(jù)來源于WebShell特征庫的WebShell路徑庫及可疑訪問行為的URL為遠(yuǎn)程檢測路徑并獲取該遠(yuǎn)程檢測路徑中的應(yīng)答數(shù)據(jù)�,遠(yuǎn)程檢測網(wǎng)頁代碼結(jié)合來源于WebShell特征庫的遠(yuǎn)程檢測指紋庫通過指紋比對的方式對遠(yuǎn)程檢測路徑中獲得的應(yīng)答數(shù)據(jù)進(jìn)行WebShell檢測�����。優(yōu)選的所述的應(yīng)答數(shù)據(jù)為客戶端網(wǎng)頁源代碼通常是html代碼���。該遠(yuǎn)程檢測指紋庫可以是從網(wǎng)頁html代碼中提取的指紋特征���。
[0045]C���,根據(jù)檢測判斷如發(fā)現(xiàn)WebShell,則執(zhí)行步驟D�����。
[0046]D�,上報(bào)WebShell路徑,同時(shí)將識(shí)別為WebShell的路徑補(bǔ)充到WebShell路徑庫�����。
[0047]以上所述實(shí)施方式中��,對操作系統(tǒng)沒有特別限制���,如windows, Iinux等操作系統(tǒng)下都可執(zhí)行���,另外根據(jù)需要還可以只執(zhí)行其中任意一部分的檢測,如只執(zhí)行本地檢測與日志審計(jì)配合或只執(zhí)行遠(yuǎn)程檢測與日志審計(jì)配合其中任一部分都能完成其相應(yīng)檢測的完整的WebShell檢測流程����。
[0048]基于上述方法��,圖2給出了本發(fā)明WebShell的檢測系統(tǒng)邏輯結(jié)構(gòu)圖。該檢測系統(tǒng)應(yīng)用于PC上��,作為該邏輯檢測系統(tǒng)的運(yùn)行載體�,所述PC設(shè)備的硬件環(huán)境通常至少都包括CPU,內(nèi)存以及其他硬件�。邏輯模塊存儲(chǔ)于內(nèi)存中。
[0049]日志審計(jì)模塊:收集服務(wù)器訪問日志�����,分析出可疑訪問行為的URL�����,具體為����,通過SSH登錄服務(wù)器獲取Web中間件(apache, tomcat, iis等軟件)產(chǎn)生的訪問日志,訪問日志中記錄有用戶每一次訪問的urI,參數(shù)等,按URL訪問的頻度及參數(shù)來統(tǒng)計(jì),所有出現(xiàn)過的URL,給定一個(gè)可疑級(jí)別為低�;訪問頻度最少的URL,給定一個(gè)可疑級(jí)別為中�����;出現(xiàn)惡意內(nèi)容的URL�,給定一個(gè)可疑級(jí)別為高�����。
[0050]本地檢測模塊:將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行本地檢測�����,具體為��,遠(yuǎn)程登錄到目標(biāo)服務(wù)器����,結(jié)合來源于WebShell特征庫的本地檢測指紋庫通過指紋比對的方式對Web服務(wù)器根目錄文件及可疑訪問行為的URL文件中獲得的各種語言的源代碼進(jìn)行WebShell檢查�����。
[0051]遠(yuǎn)程檢測模塊:將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行遠(yuǎn)程檢測���,具體為�����,配置網(wǎng)站URL����,模擬正??蛻舳诉h(yuǎn)程訪問目標(biāo)網(wǎng)站,網(wǎng)頁爬蟲依據(jù)來源于WebShell特征庫的WebShell路徑庫及可疑訪問行為的URL為遠(yuǎn)程檢測路徑并獲取該遠(yuǎn)程檢測路徑中的應(yīng)答數(shù)據(jù)�����,遠(yuǎn)程檢測網(wǎng)頁代碼結(jié)合來源于WebShell特征庫的遠(yuǎn)程檢測指紋庫通過指紋比對的方式對遠(yuǎn)程檢測路徑中獲得的應(yīng)答數(shù)據(jù)進(jìn)行WebShell檢測�。
[0052]結(jié)果輸出模塊:根據(jù)檢測判斷如發(fā)現(xiàn)WebShell,則上報(bào)WebShell路徑,同時(shí)將識(shí)別為WebShell的路徑補(bǔ)充到WebShell路徑庫后����。
[0053]以上所描述的僅僅是本發(fā)明較佳的實(shí)現(xiàn)方式,并不用以限定本發(fā)明的保護(hù)范圍���,任何等同的變化和修改皆因涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)����。
【權(quán)利要求】
1.一種WebShell的檢測方法���,其特征在于��,包括以下步驟: A��,收集服務(wù)器訪問日志�����,分析出可疑訪問行為的URL ��; B���,將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行本地檢測���; C,將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行遠(yuǎn)程檢測�����; D�����,根據(jù)檢測判斷如發(fā)現(xiàn)WebShell���,則執(zhí)行步驟E ���; E,上報(bào)WebShell路徑,同時(shí)將識(shí)別為WebShell的路徑補(bǔ)充到WebShell路徑庫�。
2.如權(quán)利要求1所述的方法,其特征在于���,步驟B所述的本地檢測,包括配置目標(biāo)服務(wù)器信息并遠(yuǎn)程登錄到目標(biāo)服務(wù)器進(jìn)行源碼級(jí)WebShell檢查�����。
3.如權(quán)利要求2所述的方法�����,其特征在于���,所述的源碼級(jí)WebShell檢查是結(jié)合來源于WebShell特征庫的本地檢測指紋庫通過指紋比對的方式對Web服務(wù)器根目錄文件及可疑訪問行為的URL文件中獲得的各種語言的源代碼進(jìn)行WebShell檢查�。
4.如權(quán)利要求1所述的方法�,其特征在于,步驟C所述的遠(yuǎn)程檢測��,包括遠(yuǎn)程檢測配置和網(wǎng)頁爬蟲及遠(yuǎn)程檢測網(wǎng)頁代碼��。
5.如權(quán)利要求4所述的方法���,其特征在于��,所述的網(wǎng)頁爬蟲是依據(jù)來源于WebShell特征庫的WebShell路徑庫及可疑訪問行為的URL為遠(yuǎn)程檢測路徑并獲取該遠(yuǎn)程檢測路徑中的應(yīng)答數(shù)據(jù)��。
6.如權(quán)利要求4所述的方法��,其特征在于����,所述的遠(yuǎn)程檢測網(wǎng)頁代碼是結(jié)合來源于WebShell特征庫的遠(yuǎn)程檢測指紋庫通過指紋比對的方式對遠(yuǎn)程檢測路徑中獲得的應(yīng)答數(shù)據(jù)進(jìn)行WebShell檢測。
7.如權(quán)利要求1所述的方法���,其特征在于���,步驟A所述的可疑訪問行為的URL為按URL訪問的頻度及參數(shù)來分析的URL,所有出現(xiàn)過的URL����,給定一個(gè)可疑級(jí)別為低;訪問頻度最少的URL���,給定一個(gè)可疑級(jí)別為中����;出現(xiàn)惡意內(nèi)容的URL,給定一個(gè)可疑級(jí)別為高�����。
8.一種WebShell檢測系統(tǒng)��,其特征在于���,該系統(tǒng)包括: 日志審計(jì)模塊:用于收集服務(wù)器訪問日志,分析出可疑訪問行為的URL �����; 本地檢測模塊:用于將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行����; 遠(yuǎn)程檢測模塊:用于將分析出可疑訪問行為的URL結(jié)合WebShell特征庫進(jìn)行; 結(jié)果輸出模塊:用于根據(jù)檢測判斷如發(fā)現(xiàn)WebShell����,則上報(bào)WebShell路徑,同時(shí)將識(shí)別為WebShell的路徑補(bǔ)充到WebShell路徑庫�����。
9.如權(quán)利要求8所述的系統(tǒng),其特征在于�,所述的本地檢測模塊,具體用于配置目標(biāo)服務(wù)器信息并遠(yuǎn)程登錄到目標(biāo)服務(wù)器進(jìn)行源碼級(jí)WebShell檢查��。
10.如權(quán)利要求9所述的系統(tǒng)��,其特征在于�����,所述的源碼級(jí)WebShell檢查是結(jié)合來源于WebShell特征庫的本地檢測指紋庫通過指紋比對的方式對Web服務(wù)器根目錄文件及可疑訪問行為的URL文件中獲得的各種語言的源代碼進(jìn)行WebShell檢查����。
11.如權(quán)利要求8所述的系統(tǒng),其特征在于�����,所述的遠(yuǎn)程檢測模塊���,具體用于遠(yuǎn)程檢測配置和網(wǎng)頁爬蟲及遠(yuǎn)程檢測網(wǎng)頁代碼���。
12.如權(quán)利要求11所述的系統(tǒng),其特征在于�����,所述的網(wǎng)頁爬蟲是依據(jù)來源于WebShell特征庫的WebShell路徑庫及可疑訪問行為的URL為遠(yuǎn)程檢測路徑并獲取該遠(yuǎn)程檢測路徑中的應(yīng)答數(shù)據(jù)。
13.如權(quán)利要求11所述的系統(tǒng)�����,其特征在于���,所述的遠(yuǎn)程檢測網(wǎng)頁代碼是結(jié)合來源于WebShell特征庫的遠(yuǎn)程檢測指紋庫通過指紋比對的方式對遠(yuǎn)程檢測路徑中獲得的應(yīng)答數(shù)據(jù)進(jìn)行WebShell檢測���。
14.如權(quán)利要求8所述的系統(tǒng),其特征在于�,所述的可疑訪問行為的URL為按URL訪問的頻度及參數(shù)來分析的URL����,所有出現(xiàn)過的URL,給定一個(gè)可疑級(jí)別為低�����;訪問頻度最少的URL����,給定一個(gè)可疑級(jí)別為中�����;出現(xiàn)惡意內(nèi)容的URL����,給定一個(gè)可疑級(jí)別為高�。
【文檔編號(hào)】H04L29/06GK104468477SQ201310423483
【公開日】2015年3月25日 申請日期:2013年9月16日 優(yōu)先權(quán)日:2013年9月16日
【發(fā)明者】李小龍 申請人:杭州迪普科技有限公司