[发明专利]一种基于webshell攻击的检测和防护方法及系统

权利要求书

1.一种基于webshell攻击的检测和防护方法，用于利用检测防护系统防范针对web服务器主机的webshell攻击，其特征在于，所述基于webshell攻击的检测和防护方法包括主机行为学习过程、主机行为判断过程；

所述主机行为学习过程包括下述步骤：

(1)web服务器主机处理web请求：web服务器主机接收来自各个客户端的web请求，web服务器主机的内核启动进程处理web请求信息，并分析处理web请求的进程行为；

(2)收集web服务器主机行为：检测防护系统的内核对步骤(1)传输过来的web请求的进程行为信息进行收集，并将收集到的信息发送给检测防护系统的应用层；

(3)接收web服务器主机行为：检测防护系统的应用层接收步骤(2)传输过来的信息并进行提取，总结出web服务器主机行为：父进程名称、子进程名称；

(4)学习web服务器主机行为：检测防护系统的应用层在一个学习周期内学习web服务器主机的行为，即记录步骤(3)总结的web服务器主机行为并保存至检测防护系统的数据库中；

(5)确认web服务器主机行为基线：步骤(4)结束后，检测防护系统的数据库中形成web服务器主机行为列表，且检测防护系统的应用层管理者能对web服务器主机行为列表进行人工校对、调整，最后形成web服务器主机的行为基线；

所述行为基线是主机行为白名单，包括父进程名称、子进程名称；且行为基线能够进行人工调整；

(6)发送web服务器主机行为基线：步骤(5)结束后，将检测防护系统的应用层形成的行为基线文件，发回给检测防护系统的内核；

所述主机行为判断过程包括下述步骤：

(7)检测可疑访问行为：检测防护系统的内核接收行为基线，与web服务器主机处理客户端web请求的进程行为进行比对，如果该客户端web请求的进程行为，与行为基线中的进程不匹配，即判断该主机行为可能是webshell攻击，进行告警或阻断。

2.根据权利要求1所述的一种基于webshell攻击的检测和防护方法，其特征在于，所述步骤(4)中，检测防护系统的应用层学习到的web服务器主机的行为，是web服务的调用关系。

3.根据权利要求1所述的一种基于webshell攻击的检测和防护方法，其特征在于，当web服务器主机的主机系统业务发生变更时，能够重新进行主机行为学习过程，形成适用的行为基线。

4.用于权利要求1所述基于webshell攻击的检测和防护方法的检测防护系统，其特征在于，包括内核、应用层、数据库；

所述内核是对操作系统内核进行二次开发的驱动程序，用于搜集主机行为、匹配行为基线、阻断主机行为；

所述应用层用于接收、展示、学习内核收集到的主机行为，总结主机行为形成行为基线，调整行为基线；且应用层是B/S结构，能够配置管理员；

所述数据库用于组织、存储、管理数据。