[发明专利]一种WebShell的检测方法及系统

说明书

技术领域

本发明涉及互联网安全技术领域，尤其涉及一种WebShell的检测方法及系统。

背景技术

随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题，对Web应用安全的关注度也逐渐升温。

通常黑客在攻击一个Web网站时会经历以下几个步骤，首先是信息收集，找到目标网站的相关信息；然后是漏洞利用，利用收集到的信息，找到可以利用的漏洞，例如SQL注入漏洞、文件上传漏洞等，进行数据偷取或WebShell上传等。

简单的来说，WebShell就是一个asp或php木马后门,WebShell是Web入侵的脚本攻击工具。工具在上传了WebShell后，黑客以后就可以通过WebShell非常方便的对目标网站服务器进行操控，而无需再次重复寻找网站漏洞和利用网站漏洞的过程。由此可见，WebShell对网站的危害是非常巨大的，如果在一个网站上存在WebShell，那么可以肯定的说，这个网站是存在非常严重的漏洞，在网站受攻击后及时的发现，并对目标网站服务器做必要的漏洞修补，这样可以尽量的将损失降到最低，事后发现及防御也是安全防御体系中的重要一环。

现有的技术方案中，针对WebShell的检测主要有本地检测和远程检测两种。本地检测通常是一个运行在目标系统上的软件，该软件可以访问网站的根目录，并且直接进行源码级的WebShell检测。由于现有的本地检测方法需要在目标服务器上运行可执行程序，并且需要有访问和读取网站根目录的权限，这一方案存在很大的安全风险，在对安全审核比较严格的应用场景下是不允许的。

另外一种远程检测主要是基于网络爬虫，依靠路径字典以及WebShell指纹特征库来识别和检测WebShell。远程检测不需要额外的权限，但是由于WebShell的隐蔽性，以及网页爬虫只能抓取存在引用关系的页面的局限性，导致基于路径字典的检测方式存在很大的局限性，因为WebShell的上传路径和上传文件名是由攻击者任意指定的，一旦攻击者使用了一个非常复杂的路径，而这个路径又不在远程检测的路径字典里，那么远程检测就无法检测出这个WebShell，所以远程检测只能检测出比较常见的WebShell。

发明内容

有鉴于此，本发明提供一种WebShell的检测方法及系统，该发明不需要在目标服务器端运行可执行程序，并且采用将日志审计与检测结合的检测方式，弥补了现有技术中检测不全面问题。

具体来说，本发明一种WebShell的检测方法，所述方法包括以下步骤：

A，收集服务器访问日志，分析出可疑访问行为的URL。

B，将分析出可疑访问行为的URL结合WebShell特征库进行本地检测。

C，将分析出可疑访问行为的URL结合WebShell特征库进行远程检测。

D，根据检测判断如发现WebShell，则执行步骤E。

E，上报WebShell路径，同时将识别为WebShell的路径补充到WebShell路径库。

进一步地，步骤B所述的本地检测，包括配置目标服务器信息并远程登录到目标服务器进行源码级WebShell检查。

进一步地，所述的源码级WebShell检查是结合来源于WebShell特征库的本地检测指纹库通过指纹比对的方式对Web服务器根目录文件及可疑访问行为的URL文件中获得的各种语言的源代码进行WebShell检查。

进一步地，步骤C所述的远程检测，包括远程检测配置和网页爬虫及远程检测网页代码。

进一步地，所述的网页爬虫是依据来源于WebShell特征库的WebShell路径库及可疑访问行为的URL为远程检测路径并获取该远程检测路径中的应答数据。

进一步地，所述的远程检测网页代码是结合来源于WebShell特征库的远程检测指纹库通过指纹比对的方式对远程检测路径中获得的应答数据进行WebShell检测。