[发明专利]一种基于关联树的WEB后门检测方法及系统

说明书

技术领域

本发明涉及WEB后门检测方法及系统，具体涉及基于关联树的WEB后门检测方法及系统，属于计算机网络安全和信息安全领域。

背景技术

当前WEB应用已经占据网络应用的主要位置，随着WEB应用的蓬勃发展，随之而来的是铺天盖地的WEB应用安全问题，WEB应用安全面临极大威胁。随着WEB技术的不断发展和网络攻击技术的提高，针对WEB应用的攻击方法也日新月异。由于WEB业务平台在各行各业中广泛应用，攻击者也将注意力从对网络服务器的攻击转移到对WEB业务的攻击，在这个层面上，攻击者可以利用安全漏洞得到WEB服务器的控制权限，窃取重要内部数据，从而获得非法利益。WEB应用市场研究公司Gartner最近发表的研究报告强调了并且预测当前成功的攻击有75%以上发生在WEB应用层。据CNCERT最新发布互联网安全威胁报告显示，在2011年CNCERT接收的网络安全事件中，网站安全类事件占61.7%，境内被篡改的网站数量为36612个，较2010年增加5.1%，4至12月被植入后门的境内网站为12513个。网站被植入后门以后，攻击者能够随时登陆并轻松实施包括系统入侵、WEB系统破坏、站点网页篡改、关键信息窃取等攻击。

因此WEB网站植入类似于WEBshell等后门程序和链接已经成为网站的安全的重大威胁，后门程序或链接被入侵者当做对网站实施攻击操作的有力工具。而WEBshell等后门程序大多由网页脚本语言编写，和其他正常的网页一样，他们运行环境相同，服务端口相同，因此很容易穿透防火墙和逃避杀毒软件的检测，所以入侵者一般都倾向于用它作为控制服务器的后门。相对于二进制编码的程序，WEBshell是纯文本文件，变形简单，脚本使用灵活，很容易将特征码进行混淆或者隐藏，这使得基于特征匹配的检测方法很难快速准确检测。传统防病毒、防火墙等方法对WEB后门程序无能为力，必须采取新的安全方法，保证服务器安全。

发明内容

有鉴于此，本发明公开了一种基于关联树的WEB后门检测方法，对WEB网站链接进行主动爬取和访问记录收集，经过分析处理，构建出WEB网站的全部URL的链接集合，优化复杂的图状关联或网状关联，形成链接关联树；当攻击者访问其植入的WEB后门WEB页面时，该后门URL请求在链接关联树中不存在，系统的安全监控模块则发出报警，并阻断该攻击请求。

本发明还公开的一种基于关联树的WEB后门在线检测系统，该检测系统不依赖于杀毒软件或文件特征检测软件，而是首先对WEB网站链接进行主动爬取和访问记录收集，经过分析处理，构建出WEB网站的全部URL的链接集合，以计算机算法中树的形式标记URL的链接和跳转关系，形成链接关联树；所述链接关联树是一种计算机算法的标识方法，通过链接和链接关系，形成一个树根、树枝、树叶形状的拓扑关系。同时树以链表、hash表形式存储，可以存储在数据库中。

具体而言，本发明的技术方案如下：一种基于关联树的WEB后门检测方法，其步骤包括：

1）设置WEB网站首页链接获取WEB网站链接爬取入口，根据所述爬取入口抓取WEB网站的所有链接信息；

2）对所述所有链接信息进行扇入和/或扇出系统计算，将扇入系数Link_in>=1或扇出Link_out>=1的链接汇聚成多个原始链接集合；

3）对所述原始链接集合进行优化处理建立树形链接关系集合，得到链接关联树WTree(links)；

4）设置所述链接关联树WTree(links)为可信链接；

5）当攻击者访问已植入WEB后门的WEB页面时，通过判断在所述链接关联树中该后门链接请求，检测出WEB后门。

更进一步，将页面链接的扇入系数Linkin=0且扇出系数Linkout=0的链接，生成僵尸链接库Blib(Links)并建立僵尸链接记录；所述僵尸链接记录表作为后门攻击快速匹配记录表，当进行攻击实时检测时，优先于链接关联树WTree(links)进行请求查询匹配。

更进一步，当进行攻击实时检测时，首先将该些僵尸链接作为可疑后门，发出安全告警，在WEB系统管理员审核完成之前全部默认关闭，若收到发出后门攻击告警，WEB应用管理员可以手动审核，以人为修正特殊链接,将该链接设置为可信链接，并加入链接关联树WTree(links)或者按照IP地址范围、时间段属性设置该链接的访问控制策略。

更进一步，在用户发送页面链接请求时，通过WEB应用代理网关对该请求链接进行截获，并在链接关联树WTree(links)中进行快速查找：