[发明专利]一种用于Webshell的检测方法

说明书

技术领域

本发明涉及一种Webshell的综合检测方法，通过挖掘访问网站访问记录来为所有的网站及网站文件建立统计学模型来跟踪网站文件的威胁值。

背景技术

近年来网站被植入后门等隐蔽性攻击呈逐年增长态势，国家互联网应急中心发布的《2013年我国互联网网络安全态势综述》称2013年国家互联网应急中心共监测发现我国境内6.1万个网站通过境外被植入后门，较2012年增长62.1％。黑客在利用WEB应用漏洞攻击成功后，通常会利用脚本木马实现对应用系统篡改、对操作系统控制以及对数据库中敏感数据的窃取。如图1所示的现有技术中典型的系统连接示意图。攻击者通过浏览器或者控制端与被控制的WEB应用系统之间通过开启的合法端口交换数据，隐蔽性很高，传统防火墙无法进行拦截，并且一般在系统日志中无操作记录。

“WEB”的含义是显然需要服务器开放WEB服务，“shell”的含义是取得对服务器某种程度上操作权限。Webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于Webshell大多是以动态脚本的形式出现，一般也称之为网站的后门工具或者WEB应用脚本后门。

简单理解：Webshell就是网站中一个的页面，但是它的功能非常强大异于常规的网站页面，通过这个页面可以获得一些管理员不希望获得的权限，例如：执行系统命令、运行第三方应用程序、窃取文件、删除WEB页面、修改主页等。

由于Webshell也必须遵守动态WEB应用脚本文件的编程规则如：ASP、PHP、JSP等。需要完成某些特殊的功能就不可避免的用到相应的特殊的函数，进而引申出一种较为常见的静态检测方法来定位Webshell，同样的Webshell编写者也可能通过加密的方式来躲避这种检测。故需要发明一种综合的Webshell检测算法并且结合统计学模型和深度数据挖掘的结果来最终确定文件的威胁值。

发明内容

本发明的目的在于：发明一种针对网站被挂马、网站隐秘后门、网站文件安全审计等安全问题，提出支持多种检测手段并用，覆盖网站全生命周期，能够做到事前检测、事中告警、事后朔源的高位WEB文件的方法并且结合统计学模型和深度数据挖掘的结果来最终确定文件的威胁值的综合的Webshell检测算法。

本发明是这样实现的：一种综合的Webshell检测方法，包括如下步骤：

步骤一：初始化

配置监控代理程序；编译并运行一份监控代理实例；监控代理程序完成自身初始化并同云管理中心建立安全的连接；发送监控代理程序基础信息至云管理中心；从云管理中心同步最新的扫描策略和特征库；监控代理程序在部署到服务器之前必须由管理员在云管理中心使用“监控代理程序生成器”的工具生成监控代理程序，云管理中心还会保存一份该监控代理程序文件的校验数据；监控代理程序启动自身相关服务、守护进程以及监听程序等；在服务器上运行监控代理程序之后，程序根据配置开始查找云管理中心并使用安全的方式连接到云管理中心；连接到云管理中心之后向云管理中心的专用数据接收接口发送监控代理程序基础信息；从云管理中心同步最新的扫描策略和特征库。

步骤二：扫描和检测

扫描网站根目录下所有的WEB文件并提取指纹信息，同本地存储的文件指纹库中的信息进行比对检索出指纹信息不匹配的文件；调用检测引擎对指纹信息不配的文件执行重新扫描；读取本地存储的网站访问日志摘要信息，查找网站访问日志并根据摘要信息提取增量日志：重置“扫描空闲计时器”和“日志同步计时器”；监控代理程序扫描所有被监控网站的文件，提取文件指纹信息并与本地存储的文件指纹库进行对比检索出指纹信息不匹配的文件、新增加的文件和缺少的文件，并调用检测引擎检测指纹信息不匹配和新增加的文件；文件检测，监控代理程序包含一套完整的文件检测引擎，检测引擎可以利用静态文件特征检测、运行状态检测、基于统计学方法的检测等多种手段进行检测，能准确检测文件特征，检测结果包含文件的常规属性、静态特征、运行特征、统计学特征、朴素贝叶斯决策结果和缺少的文件列表；静态特征检测结果、运行特征检测结果、统计学特征检测结果和朴素贝叶斯决策结果等，能够准确检测出文件包含特定的关键词、所使用的高危函数、是否进行了危险动作、文件是否是加密文件、是否是混淆代码文件等，缺少的文件列表为上次文件扫描过程中存在但是在本次扫描中却不存在的文件列表，该列表取自上次扫描之后的文件指纹库；监控代理程序查找访问日志摘要信息，根据配置查找网站访问日志文件并根据保存的日志文件偏移位置提取增量日志；上述步骤完成之后重置“扫描空闲计时器”和“日志同步计时器”。