[发明专利]基于行为特征的web后门检测方法和装置

说明书

【技术领域】

本发明涉及互联网安全技术领域，特别涉及一种基于行为特征的web后门检测方法和装置。

【背景技术】

目前在互联网行业中，安全问题越来越显著，经常有恶意攻击者攻陷互联网网站后，在网站源代码中遗留后门(代码)。后门是指一种绕过安全性控制而获取对程序或系统访问权限的方法。攻击者可以在网站漏洞修补完毕后继续通过后门控制网站权限。在获得网站权限之后，攻击者会立刻上传web木马病毒，进行进一步权限提升，给服务器造成严重威胁。常见的web后门有：一句话木马、phpspy、jspspy等。

现有的web后门检测工具大多采用静态特征检测技术，基于一些内容特征，比如，后门通常使用的eval、system、runtime.exec等函数名，来进行关键词检测，发现即报警为web后门。由于静态特征检测使用的特征码较为固定，而web后门程序较为灵活，经常存在各类型的变形、加密等变种形式，一旦后门编写人员利用编码混淆、加密等技术，不使用这些内容特征，即可躲过后门检测。

另外，现有的检测方式大多以客户端杀毒软件的形式在个人PC机上应用，而目前还没有比较合适的后门检测方法针对web环境的服务器端，尤其是针对拥有大规模线上产品的web服务器集群。比如，目前很多大型互联网公司经营线上产品(web应用程序)较多，通常存在成百上千，乃至万、十万级别的web服务器，需要在这些机器上部署并查找web后门文件。由于线上web代码数较多，且分属于不同项目，变动较为频繁，结构也无法预先统一；线上代码逻辑较为复杂，可能存在部分代码与后门关键词代码较为类似，导致出现较多的误报；web访问量较大，且可能存在一定的负载均衡措施，整个攻击流程和后门文件可能存留于不同的机器上。这就给传统的静态特征码后门检测技术带来很大的挑战。

【发明内容】

有鉴于此，本发明提供了一种基于行为特征的web后门检测方法和装置，通过行为特征的检测方式，能够有效检查出加密变形的web后门，提高web后门的检出率和检测效率，减少误报率。

具体技术方案如下：

一种基于行为特征的web后门检测方法，该方法包括以下步骤：

S1、针对脚本文件分别执行步骤S1_1或步骤S1_2，其中

步骤S1_1、获取web目录下脚本文件的文件属性信息，根据所述文件属性信息中的文件创建时间、文件属主或文件权限，确定脚本文件的属性异常度，将属性异常度满足预设要求的脚本文件识别为后门文件；

步骤S1_2、从web日志中统计各脚本文件的访问频度、访问来源数或分时段访问量，根据统计结果确定脚本文件的访问异常度，将访问异常度满足预设要求的脚本文件识别为后门文件；

S2、将步骤S1中识别为后门文件的脚本文件作为检测结果输出。

根据本发明一优选实施例，所述步骤S1_1中，

根据所述文件属主确定脚本文件的属性异常度为：判断是否脚本文件的文件属主为异常用户且文件类型属于预设类型，如果是，则为该脚本文件赋予属主异常权值；

根据所述文件创建时间确定脚本文件的属性异常度为：计算脚本文件的创建时间相比较同目录其他文件的时间离散度，确定时间离散度大于预设离散度阈值的脚本文件，如果确定的脚本文件数低于预设文件数，则为确定的脚本文件赋予时间离散权值；

根据所述文件权限确定脚本文件的属性异常度为：判断脚本文件权限是否不是默认文件权限且文件属主为预设用户，如果是，则为该脚本文件赋予权限异常权值。

根据本发明一优选实施例，所述脚本文件的属性异常度是该脚本文件的属主异常权值、时间离散权值或权限异常权值中一种或者任意组合的加权值。

根据本发明一优选实施例，所述属性异常度满足预设要求包括：

所述属性异常度排在前N1个，N1为预设正整数；

或者，所述属性异常度大于预设异常度阈值。

根据本发明一优选实施例，所述步骤S1_2中，

根据所述访问频度的统计结果确定脚本文件的访问异常度为：判断脚本文件的访问频度是否低于预设访问数阈值，如果是，则为该脚本文件赋予访问频度异常权值；

根据所述访问来源数的统计结果确定脚本文件的访问异常度为：判断脚本文件的访问来源数是否低于预设访问来源阈值，如果是，则为该脚本文件赋予访问源异常权值；

根据所述分时段访问量的统计结果确定脚本文件的访问异常度为：判断脚本文件的分时段访问量超出预设分时段阈值的次数是否大于规定次数，如果是，则为该脚本文件赋予分时段访问异常权值。