[发明专利]一种基于webshell攻击的检测和防护方法及系统有效
| 申请号: | 201710225087.6 | 申请日: | 2017-04-07 |
| 公开(公告)号: | CN107070913B | 公开(公告)日: | 2020-04-28 |
| 发明(设计)人: | 胡冬;范渊;龙文洁 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 杭州中成专利事务所有限公司 33212 | 代理人: | 周世骏 |
| 地址: | 310051 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及服务器主机或云环境中虚拟web服务器主机安全防护管理技术,旨在提供一种基于webshell攻击的检测和防护方法及系统。该种基于webshell攻击的检测和防护方法包括主机行为学习过程、主机行为判断过程,利用检测防护系统来防范针对web服务器主机的webshell攻击。本发明通过web主机服务器的自主学习形成全面且适宜的行为基线后,采用将web请求行为与行为基线比对的webshell检测方式,进一步提高了webshell检测的准确率,提高了检出率和检测效率,降低了误报率和漏报率;且如果web服务器主机的业务变动,重新学习,即可重新形成适宜的行为基线。 | ||
| 搜索关键词: | 一种 基于 webshell 攻击 检测 防护 方法 系统 | ||
【主权项】:
一种基于webshell攻击的检测和防护方法,用于利用检测防护系统防范针对web服务器主机的webshell攻击,其特征在于,所述基于webshell攻击的检测和防护方法包括主机行为学习过程、主机行为判断过程;所述主机行为学习过程包括下述步骤:(1)web服务器主机处理web请求:web服务器主机接收来自各个客户端的web请求,web服务器主机的内核启动进程处理web请求信息,并分析处理web请求的进程行为;(2)收集web服务器主机行为:检测防护系统的内核对步骤(1)传输过来的web请求的进程行为信息进行收集,并将收集到的信息发送给检测防护系统的应用层;(3)接收web服务器主机行为:检测防护系统的应用层接收步骤(2)传输过来的信息并进行提取,总结出web服务器主机行为:父进程名称、子进程名称;(4)学习web服务器主机行为:检测防护系统的应用层在一个学习周期内学习web服务器主机的行为,即记录步骤(3)总结的web服务器主机行为并保存至检测防护系统的数据库中;(5)确认web服务器主机行为基线:步骤(4)结束后,检测防护系统的数据库中形成web服务器主机行为列表,且检测防护系统的应用层管理者能对web服务器主机行为列表进行人工校对、调整,最后形成web服务器主机的行为基线;所述行为基线是主机行为白名单,包括父进程名称、子进程名称;(6)发送web服务器主机行为基线:步骤(5)结束后,将检测防护系统的应用层形成的行为基线文件,发回给检测防护系统的内核;所述主机行为判断过程包括下述步骤:(7)检测可疑访问行为:检测防护系统的内核接收行为基线,与web服务器主机处理客户端web请求的进程行为进行比对,如果该客户端web请求的进程行为,与行为基线中的进程不匹配,即判断该主机行为可能是webshell攻击,进行告警或阻断。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710225087.6/,转载请声明来源钻瓜专利网。
