一種基于全量訪問日志分析的網站后門檢測方法及裝置的制造方法
【專利摘要】本發(fā)明涉及一種基于全量訪問日志分析的網站后門檢測方法及裝置，其中，方法包括：獲得網站的全量訪問日志；對所述全量訪問日志進行行為特征分析，將所述全量訪問日志中請求的各個參數、消息頭以及返回的數據內容與網站后門的行為特征庫進行正則匹配，將匹配成功的全量訪問日志中對應的后門文件判定為可疑后門文件。將所述可疑后門文件的網站后門行為類型、名稱以及對應的全量訪問日志發(fā)送至日志服務器，并進行告警。適用于檢測黑客正在控制直接上傳的后門變形文件、加密文件、嵌入到正常文件的后門實施攻擊的場景等，彌補了文件hash比對、常用函數比對等網站后門檢測方法的不足。
【專利說明】
一種基于全量訪問日志分析的網站后門檢測方法及裝置
技術領域
[0001] 本發(fā)明涉及網絡安全技術領域，特別涉及一種基于全量訪問日志分析的網站后門 檢測方法及裝置。
【背景技術】
[0002] 網站后門（也稱作網頁后門、WEB后門、WEBSHELL)是以asp、php、jsp或者cgi等網頁 文件形式存在的一種命令執(zhí)行環(huán)境。黑客在入侵了一個網站后，通常會將網站后門文件與 網站服務器WEB目錄下正常的網頁文件混在一起，然后就可以使用瀏覽器或者專用客戶端 軟件來訪問后門，得到一個命令執(zhí)行環(huán)境，以達到控制網站服務器的目的。
[0003] 申請?zhí)枮椋?01310423483.1公開了一種WebShell的檢測方法及系統(tǒng)，該技術方案 通過以下思路進行檢測：收集服務器訪問日志、分析并提取具有可疑訪問行為的URL;結合 WebShell特征庫，對具有可疑訪問行為的URL進行本地檢測和遠程檢測；根據檢測結果，若 發(fā)現WebShell則上報WebShell路徑，同時將識別出的WebShell路徑補充到WebShell路徑 庫。該方案的核心內容是日志分析和特征庫比對。該方案存在一定的技術缺陷：1)遠程檢測 方法中，獲取的服務器訪問日志不包含POST參數(攻擊payload)，因為如果攻擊者通過POST 方法來提交payload(比如，控制服務器執(zhí)行的命令），則該方案不能發(fā)現異常;2)該方案的 本地檢測方法完全依賴于收集的WebShell特征庫，故無法有效地檢測出變形或加密的 WebShe 11文件。另外，由于目前WebShe 11的代碼變換、加密技術日益豐富，經過對WebShe 11 文件內容進行調整，就能輕易地繞過MD5特征庫或內容特征庫比對的檢測方法。
[0004] 申請?zhí)枮?01310691213.9公開了一種本地模擬請求輔助查找WebShell的方法及 系統(tǒng)，該技術方案讀取web服務器配置文件，獲取web服務器相關信息(包括站點個數、路徑、 域名或者端口號）；依次遍歷站點下所有文件，篩選出網頁文件，并保存網頁文件的路徑信 息;本地模擬請求，依次訪問上述網頁文件，獲取返回數據;對返回數據進行特征掃描，并根 據掃描結果生成檢測報告。該方案存在較大缺陷:如果WebShell并不是單一的文件，而是嵌 入在其他WEB文件中，通過GET(或POST)參數、HTTP消息頭的方式來觸發(fā)執(zhí)行WebShel 1中相 關代碼，該方法則無法進行檢測。
[0005] 綜上，現有技術手段分析的日志經過WEB Server加工，不包含全量訪問日志，若網 站后門通過其他字段觸發(fā)，則無法通過現有手段進行檢測;此外現有技術并沒有提出通過 網站后門的行為特征（黑客通過網站后門進行文件操作、執(zhí)行命令、數據庫管理等行為)分 析，在檢測正在實施攻擊的網站后門存在不足。

【發(fā)明內容】

[0006] 為解決現有技術的問題，本發(fā)明提出一種基于全量訪問日志分析的網站后門檢測 方法及裝置，該技術方案通過對網站后門行為特征進行提取和分析，適用于檢測黑客直接 上傳的后門變形文件、加密文件、嵌入到正常文件的后門文件等，彌補了文件hash比對、常 用函數比對等網站后門檢測方法的不足。
[0007] 為實現上述目的，本發(fā)明提供了一種基于全量訪問日志分析的網站后門檢測方 法，包括：
[0008] 獲得網站的全量訪問日志；
[0009] 對所述全量訪問日志進行行為特征分析，將所述全量訪問日志中請求的各個參 數、消息頭以及返回的數據內容與網站行為特征庫進行正則匹配，將匹配成功的全量訪問 日志對應的后門文件判定為可疑后門文件。
[0010] 優(yōu)選地，還包括：
[0011] 將所述可疑后門文件的網站后門行為類型、名稱以及對應的全量訪問日志發(fā)送至 日志服務器，并進行告警。
[0012] 優(yōu)選地，所述獲得全量訪問日志的步驟：
[0013] 通過網絡流鏡像技術將網絡設備上的進出流量復制一份到目標鏡像端口，實現對 訪問網站的網絡流量進行監(jiān)控；
[0014] 將所述鏡像端口監(jiān)控到的網絡流量導入至所述鏡像服務器；
[0015] 對所述網絡流量進行解析，獲得網絡流量中HTTP協議的全量請求和返回內容； [0016]將所述HTTP協議請求和返回內容進行存儲；
[0017] 按照規(guī)定的生成頻率生成日志文件，該日志文件為全量訪問日志，區(qū)別于Web Server只記錄HTTP協議中的部分內容。
[0018] 優(yōu)選地，所述行為特征庫的建立步驟包括：
[0019] 將已知的網站后門作為提取對象，對攻擊端與網站后門之間的通訊數據內容進行 特征提取，獲取網站后門攻擊時對應地行為特征；
[0020] 利用所述網站后門攻擊時對應地行為特征組合成行為特征庫。
[0021] 優(yōu)選地，所述全量訪問日志包括:HTTP消息頭、POST參數內容和WEB Server返回消 息頭與內容。
[0022] 優(yōu)選地，所述行為特征包括:命令執(zhí)行特征、文件操作特征和數據庫操作特征。
[0023] 優(yōu)選地，還包括:在行為特征分析之前，對獲取的全量訪問日志的具體請求進行解 碼。
[0024] 對應地，為實現上述目的，本發(fā)明還提供了一種基于全量訪問日志分析的網站后 門檢測裝置，包括：
[0025] 全量訪問日志獲取單元，用于獲得網站的全量訪問日志；
[0026] 檢測單元，用于對所述全量訪問日志進行行為特征分析，將所述全量訪問日志中 請求的各個參數、消息頭以及返回內容與行為特征庫進行正則匹配，將匹配成功的全量訪 問日志對應的后門文件判定為可疑后門文件。
[0027] 優(yōu)選地，還包括：
[0028] 告警單元，用于將所述可疑后門文件的網站后門行為類型、名稱以及對應的全量 訪問日志發(fā)送至日志服務器，并進行告警。
[0029] 優(yōu)選地，所述全量訪問日志獲取單元包括：
[0030] 監(jiān)控模塊，用于通過鏡像端口對網絡流量進行監(jiān)控；
[0031 ]導入模塊，用于將所述鏡像端口監(jiān)控到的網絡流量導入至所述鏡像服務器；
[0032]解析模塊，用于對所述網絡流量進行解析，獲得HTTP協議請求和返回內容；
[0033] 存儲模塊，用于將所述HTTP協議請求和返回內容進行存儲；
[0034] 全量訪問日志生成模塊，用于按照規(guī)定的生成頻率生成日志文件，該日志文件為 全量訪問日志。
[0035] 優(yōu)選地，所述全量訪問日志獲取單元獲取的全量訪問日志包括:HTTP消息頭、POST 參數內容和WEB Server返回消息頭、內容。
[0036] 優(yōu)選地，所述行為特征庫的行為特征包括:命令執(zhí)行特征、文件操作特征和數據庫 操作特征。
[0037] 上述技術方案具有如下有益效果：
[0038] 1、在保障Web Server正常對外服務、無需對Web Server做任何改動的情況下，獲 取網絡的全量訪問日志，實現網站后門的檢測。彌補了現有技術利用Web Server自身記錄 的訪問日志來分析檢測網站后門所存在的不足。
[0039] 2、將全量訪問日志中請求的各個參數、消息頭以及日志內容與行為特征庫進行正 則匹配，該檢測技術也同樣依賴于行為特征庫比對技術。黑客在上傳網站后門時通常會對 已知網站后門程序進行修改，例如修改title、后門展示內容等將該后門打上標簽，對后門 文件特征進行修改繞過殺毒軟件檢測，已知的基于文件內容特征、敏感函數使用、文件MD5 檢測等手段則無法進行有效檢測，而本技術方案仍然能夠檢測黑客修改文件特征后的網站 后門程序。
[0040] 3、本技術方案在對行為特征分析時，除保存全量訪問日志外，會對全量訪問日志 進行解碼工作，將得到的訪問日志的密文、明文分別進行行為特征檢測，降低了漏報情況。
【附圖說明】
[0041] 為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本 發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以 根據這些附圖獲得其他的附圖。
[0042] 圖1為本發(fā)明提出的一種基于全量訪問日志分析的網站后門檢測方法流程圖； [0043]圖2為鏡像服務器的部署拓撲圖；
[0044] 圖3為網絡流量解析結果示意圖；
[0045] 圖4為行為特征庫的樣例示意圖；
[0046] 圖5為本發(fā)明提出的一種基于全量訪問日志分析的網站后門檢測裝置框圖。
【具體實施方式】
[0047] 下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完 整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；?本發(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他 實施例，都屬于本發(fā)明保護的范圍。
[0048]本技術方案的工作原理:為了解決現有基于文件內容和返回數據特征的網站后門 檢測方法所存在的問題，本技術方案通過鏡像互聯網訪問流量方式獲得網站的全量訪問日 志，無需修改Apache、IIS等WEB Server模塊，實現對POST參數內容、HTTP全量消息頭等關鍵 信息的記錄，不影響WEB Server正常對外提供服務，部署靈活。對常見的網站后門進行行為 特征提取形成網站后門行為特征庫，將全量訪問日志中的具體請求與行為特征庫的信息進 行正則匹配，匹配到的全量訪問日志對應的網站請求判定為可疑網站后門。
[0049] 基于上述工作原理，本發(fā)明提出一種基于全量訪問日志分析的網站后門檢測方 法，如圖1所示。包括：
[0050] 步驟101):獲得網站的全量訪問日志；
[0051] 如圖2所示，為鏡像服務器的部署拓撲圖。網絡流量鏡像也稱作端口鏡像，將網絡 設備的一個或多個端口流量轉發(fā)到某一個指定端口來實現對網絡的監(jiān)聽，通過鏡像端口對 網絡流量進行監(jiān)控分析。將網絡鏡像端口流量導入到鏡像服務器后，部署數據抓包工具記 錄網絡流量，同時部署流量分析程序，解析網絡流量并提取HTTP協議請求和返回內容。如圖 3所示，為網絡流量解析結果示意圖。通過日志轉儲程序將解析到的內容以類似于Apache日 志的格式存儲在日志服務器上。根據網站訪問量大小通過配置文件設置日志文件的生成頻 率，如每小時或每天生成一個，將網絡流量解析獲取HTTP請求，返回后實時寫入該日志文 件。該方法獲取的全量訪問日志，包含了全部HTTP消息頭、POST參數內容(攻擊payload通常 位于此字段）、Apache、Nginx、IIS等的WEB Server訪問日志中HTTP返回消息頭、內容等不完 全記錄的數據。這些全量數據能有效地幫助我們進行網站后門的檢測。
[0052] 步驟102):對所述全量訪問日志進行行為特征分析，將所述全量訪問日志中請求 的各個參數、消息頭以及日志內容與行為特征庫進行正則匹配，將匹配成功的全量訪問日 志對應的后門文件判定為可疑后門文件。
[0053]在步驟102中，涉及到行為特征庫。行為特征庫的建立包括:將已知的網站后門為 提取對象，對攻擊端與網站后門之間的通訊數據內容進行特征提取，獲取網站后門攻擊時 對應地行為特征;利用所述網站后門攻擊時對應地行為特征獲得行為特征庫。攻擊端包括 瀏覽器如IE/Chrome、專用網站后門控制端如chopper。
[0054] 網站后門行為特征庫提取和傳統(tǒng)殺毒軟件一樣，當新出現一種病毒或后門之后， 需要對該文件進行人工分析，獲取其特征，形成特征庫。網站后門行為特征提取無法進行自 動化，因為網站后門攻擊是被動的，當攻擊者操作該后門時，才會有數據傳輸，通過傳輸的 內容進行行為特征提取，否則是沒有任何行為的。
[0055] 目前流行的網站后門功能大致分為三類:系統(tǒng)命令執(zhí)行功能(Unix、Wind〇WS)、文 件操作(文件讀寫、新建文件、文件刪除、文件夾刪除、新建文件夾)功能、數據庫操作(連接 數據庫、查詢數據庫等等)功能。已知網站后門行為特征提取工作的目的是獲取網站后門攻 擊時的行為特征(命令執(zhí)行特征、文件操作特征、數據庫操作特征），用于后續(xù)開展針對全量 訪問日志行為特征的分析。該工作通過分析常見后門的通訊方式、傳輸數據內容獲取網站 后門行為特征。對于同一種網站后門的文件內容變形情況，無需再次提取該變種的行為。
[0056] 如圖4所示，為行為特征庫的樣例示意圖。網站后門行為特征提取以目前已知的網 站后門（如常見的一句話后門、C99后門、PHPSPY后門、一句話后門等)為提取對象，對其攻擊 端(瀏覽器、專用客戶端程序)與服務端（網站后門）之間的通訊數據內容(HTTP payload)進 行特征提取，形成行為特征庫。即使后門文件內容發(fā)生變化（因為黑客常常修改已有網站后 門據為己用），在通訊格式不變的情況下，該分析方法能有效檢測出這種后門。網站后門行 為特征與網站后門內容特征不同，網站后門行為特征是攻擊者通過控制網站后門執(zhí)行文件 操作、數據庫操作、命令執(zhí)行操作等行為時發(fā)起的HTTP請求，該HTTP請求通常含有特定的操 作特征，傳輸過程中通常使用URL編碼、BASE64編碼以及其他常見編碼。網站后門內容特征 是指網站后門使用了特定的函數(如eval、system、exec )、含有特定的內容(如XX滲透小組、 hacked by XXX)以及后門文件MD5。但是網站后門內容特征比對方法的誤報率和漏報率十 分不理想。對互聯網上1400多種后門樣本進行了分析，研究發(fā)現原始樣本僅在100種以內， 其余均是該后門樣本的演變或修改，因此通過行為特征分析能有效檢測所有演變后的后 門。
[0057]黑客使用瀏覽器或者專用程序控制網站后門執(zhí)行操作時，通信數據（即生成的全 量訪問日志)會進行一層或多層的編碼工作。常見的http傳輸編碼有URL編碼、Base64編碼、 Unicode編碼、HTML編碼、ASCII HEX編碼等等。在得到全量訪問日志后，在進行行為分析之 前，對全量訪問日志進行解碼，將得到的訪問日志的密文、明文分別進行行為特征檢測，降 低了漏報情況。
[0058]對全量訪問日志進行實時行為分析，由于網站后門的客戶端通過HTTP協議進行控 制，控制命令通過HTTP Header、HTTP URL、HTTP payload字段進行傳輸，因此行為分析的重 點會放在這三個地方。
[0059]對全量訪問日志的各個參數、消息頭等內容和解密后的日志內容與初始化模塊中 讀取的行為特征庫進行正則匹配，將符合預先建立的行為特征庫的全量訪問日志對應的后 門文件判定為可疑后門文件。
[0060] 在獲得可疑后門文件后，說明得到黑客攻擊。將所述可疑后門文件的網站后門行 為類型、名稱以及對應的全量訪問日志發(fā)送至日志服務器，并進行告警。行為分析結果告警 程序記錄了可疑后門文件的訪問路徑、控制參數等信息，并將該結果通過安全事件、監(jiān)控平 臺進行實時告警。例如:通過郵件、短信通知進行告警。
[0061] 對應地，基于上述工作原理，本發(fā)明還提出一種基于全量訪問日志分析的網站后 門檢測裝置，如圖5所示。
[0062] 全量訪問日志獲取單元501，用于獲得網站的全量訪問日志；
[0063]檢測單元502,用于對所述全量訪問日志進行行為特征分析，將所述全量訪問日志 中請求的各個參數、消息頭以及日志內容與行為特征庫進行正則匹配，將匹配成功的全量 訪問日志對應的文件判定為可疑后門文件。
[0064] 本虛擬裝置在檢測出可疑后門文件后，可疑將所述可疑后門文件的網站后門行為 類型、名稱以及對應的全量訪問日志發(fā)送至日志服務器，并進行告警。
[0065] 在本實施例中，本虛擬裝置的全量訪問日志獲取單元包括：
[0066] 監(jiān)控模塊，用于通過鏡像端口對網絡流量進行監(jiān)控；
[0067] 導入模塊，用于將所述鏡像端口監(jiān)控到的網絡流量導入至所述鏡像服務器；
[0068]解析模塊，用于對所述網絡流量進行解析，獲得HTTP協議請求和返回內容；
[0069]存儲模塊，用于將所述HTTP協議請求和返回內容進行存儲；
[0070] 全量訪問日志生成模塊，用于按照規(guī)定的生成頻率生成日志文件，該日志文件為 全量訪問日志。
[0071] 在本實施例中，本虛擬裝置的全量訪問日志獲取單元獲取的全量訪問日志包括： HTTP消息頭、POST參數內容和WEB Server返回請求、內容。
[0072]在本實施例中，本虛擬裝置的行為特征庫的行為特征包括:命令執(zhí)行特征、文件操 作特征和數據庫操作特征。
[0073] ASP、PHP、JSP網站后門技術成熟且變種版本多，本技術方案對來自互聯網的網站 后門隨機選取20個樣本(ASP、PHP、JSP類型）進行檢測，并將檢測結果與傳統(tǒng)殺毒軟件檢測 結果進行比較，如下表1。
[0074] 表 1
[0075]
[0076] 對互聯網上常見的后門進行檢測，檢測源來自http : //github . com/tennc/ webshell，選取了 20個樣本作為檢測對象，除本專利提供的方案外，同時使用https : // www. virustotal .com(簡稱Virustotal)包含的殺毒軟件進行檢測比較，比較結果為本專利 能全部檢測正在黑客正在控制的網站后門，Virustotal中54款殺毒軟件僅能檢測PHP和ASP 語言編寫的網站后門的其中一種，無法檢測JSP語言編寫的網站后門。
[0077] 本技術方案解決了現有基于文件內容和返回數據特征的網站后門檢測方法所存 在的問題，為網站后門的檢測提供了一種通過攻擊行為分析網站可疑后門的方法，能夠準 確、靈活、及時發(fā)現網站可疑后門。
[0078] 以上所述的【具體實施方式】，對本發(fā)明的目的、技術方案和有益效果進行了進一步 詳細說明，所應理解的是，以上所述僅為本發(fā)明的【具體實施方式】而已，并不用于限定本發(fā)明 的保護范圍，凡在本發(fā)明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含 在本發(fā)明的保護范圍之內。
【主權項】
1. 一種基于全量訪問日志分析的網站后門檢測方法，其特征在于，包括： 獲得網站的全量訪問日志； 對所述全量訪問日志進行行為特征分析，將所述全量訪問日志中請求的各個參數、消 息頭以及返回的數據內容與網站行為特征庫進行正則匹配，將匹配成功的全量訪問日志對 應的后門文件判定為可疑后門文件。2. 如權利要求1所述的方法，其特征在于，還包括： 將所述可疑后門文件的網站后門行為類型、名稱以及對應的全量訪問日志發(fā)送至日志 服務器，并進行告警。3. 如權利要求1或2所述的方法，其特征在于，所述獲得全量訪問日志的步驟： 通過網絡流鏡像技術將網絡設備上的進出流量復制一份到目標鏡像端口，實現對訪問 網站的網絡流量進行監(jiān)控； 將所述鏡像端口監(jiān)控到的網絡流量導入至所述鏡像服務器； 對所述網絡流量進行解析，獲得網絡流量中HTTP協議的全量請求和返回內容； 將所述HTTP協議請求和返回內容進行存儲； 按照規(guī)定的生成頻率生成日志文件，該日志文件為全量訪問日志，區(qū)別于Web Server 只記錄HTTP協議中的部分內容。4. 如權利要求1或2所述的方法，其特征在于，所述行為特征庫的建立步驟包括： 將已知的網站后門作為提取對象，對攻擊端與網站后門之間的通訊數據內容進行特征 提取，獲取網站后門攻擊時對應地行為特征； 利用所述網站后門攻擊時對應地行為特征組合成行為特征庫。5. 如權利要求1或2所述的方法，其特征在于，所述全量訪問日志包括：HTTP消息頭、 POST參數內容和WEB Server返回消息頭與內容。6. 如權利要求4所述的方法，其特征在于，所述行為特征包括:命令執(zhí)行特征、文件操作 特征和數據庫操作特征。7. 如權利要求1或2所述的方法，其特征在于，還包括:在行為特征分析之前，對獲取的 全量訪問日志的具體請求進行解碼。8. -種基于全量訪問日志分析的網站后門檢測裝置，其特征在于，包括： 全量訪問日志獲取單元，用于獲得網站的全量訪問日志； 檢測單元，用于對所述全量訪問日志進行行為特征分析，將所述全量訪問日志中請求 的各個參數、消息頭以及返回內容與行為特征庫進行正則匹配，將匹配成功的全量訪問日 志對應的后門文件判定為可疑后門文件。9. 如權利要求8所述的裝置，其特征在于，還包括： 告警單元，用于將所述可疑后門文件的網站后門行為類型、名稱以及對應的全量訪問 日志發(fā)送至日志服務器，并進行告警。10. 如權利要求8或9所述的裝置，其特征在于，所述全量訪問日志獲取單元包括： 監(jiān)控模塊，用于通過鏡像端口對網絡流量進行監(jiān)控； 導入模塊，用于將所述鏡像端口監(jiān)控到的網絡流量導入至所述鏡像服務器； 解析模塊，用于對所述網絡流量進行解析，獲得HTTP協議請求和返回內容； 存儲模塊，用于將所述HTTP協議請求和返回內容進行存儲； 全量訪問日志生成模塊，用于按照規(guī)定的生成頻率生成日志文件，該日志文件為全量 訪問日志。11. 如權利要求8或9所述的裝置，其特征在于，所述全量訪問日志獲取單元獲取的全量 訪問日志包括:HTTP消息頭、POST參數內容和WEB Server返回消息頭、內容。12. 如權利要求8所述的裝置，其特征在于，所述行為特征庫的行為特征包括:命令執(zhí)行 特征、文件操作特征和數據庫操作特征。
【文檔編號】H04L29/06GK105933268SQ201510847210
【公開日】2016年9月7日
【申請日】2015年11月27日
【發(fā)明人】丁玲明, 周恒磊, 鄧樂, 孫會林
【申請人】中國銀聯股份有限公司