[发明专利]一种基于webshell攻击的检测和防护方法及系统

说明书

本发明涉及服务器主机或云环境中虚拟web服务器主机安全防护管理技术，旨在提供一种基于webshell攻击的检测和防护方法及系统。该种基于webshell攻击的检测和防护方法包括主机行为学习过程、主机行为判断过程，利用检测防护系统来防范针对web服务器主机的webshell攻击。本发明通过web主机服务器的自主学习形成全面且适宜的行为基线后，采用将web请求行为与行为基线比对的webshell检测方式，进一步提高了webshell检测的准确率，提高了检出率和检测效率，降低了误报率和漏报率；且如果web服务器主机的业务变动，重新学习，即可重新形成适宜的行为基线。

技术领域

本发明是关于web服务器主机或云环境中虚拟web服务器主机安全防护管理技术领域，特别涉及一种基于webshell攻击的检测和防护方法及系统。

背景技术

随着网络的迅速发展，企业内部网络面临着巨大的挑战，内部信息泄露问题也日益严重。大多数的计算机安全统计数字表明，大部分发起的攻击都来自于网络内部，因此保证内网的主机安全对防止攻击具有十分重要的意义。

主机目前所面临的安全问题大致可以分为：主机未限制使用外设接入端口、用户访问权限未按相应级别定义、非法用户进入主机系统、主机用户访问恶意链接、非法停止重要或关键主机进程、非法启动恶意性进程等。

针对web服务器主机，入侵者通常会采用webshell来控制服务器，非法停止重要或关键主机进程、非法启动恶意性进程，达到控制网站服务器的目的。Webshell工作原理：“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。由于web服务器主机开放web服务，入侵者通常会将asp、php、jsp或者cgi等网页后门文件与正常的网页文件混在web服务器主机的web服务目录下，然后就可以使用浏览器来访问这些后门文件，得到一个命令执行环境，从而非法停止重要或关键主机进程、非法启动恶意性进程，达到控制网站服务器的目的。

目前，解决webshell的技术防范方法大致如下：1、给主机服务器配置最小的权限。比如，可写目录不给执行权限，有执行权限的目录不给写权限等；2、对文件内容进行检测；3、对https协议内容进行特征匹配。方法1可能会与网页业务实现产生冲突；方法2、方法3的缺点是会给主机的运行效率造成一定的影响，且存在误告警或漏报的情况。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种智能高效、低误报率的基于webshell攻击的检测和防护方法及系统。为解决上述技术问题，本发明的解决方案是：

提供一种基于webshell攻击的检测和防护方法，用于利用检测防护系统防范针对web服务器主机的webshell攻击，所述基于webshell攻击的检测和防护方法包括主机行为学习过程、主机行为判断过程；

所述主机行为学习过程包括下述步骤：

(1)web服务器主机处理web请求：web服务器主机接收来自各个客户端的web请求，web服务器主机的内核(这里的内核是web服务器主机的操作系统内核)启动进程处理web请求信息，并分析处理web请求的进程行为；

(2)收集web服务器主机行为：检测防护系统的内核对步骤(1)传输过来的web请求的进程行为信息进行收集，并将收集到的信息发送给检测防护系统的应用层；

(3)接收web服务器主机行为：检测防护系统的应用层接收步骤(2)传输过来的信息并进行提取，总结出web服务器主机行为：父进程名称、子进程名称；

(4)学习web服务器主机行为：检测防护系统的应用层在一个学习周期内学习web服务器主机的行为，即记录步骤(3)总结的web服务器主机行为并保存至检测防护系统的数据库中；