[发明专利]基于云的webshell攻击检测方法、装置及网关

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及一种基于云的webshell攻击检测方法、装置及网关。

背景技术

webshell是一种以asp(active server pages，动态服务器页面)、php(hypertext preprocessor，超文本预处理器)、jsp(java server pages，java服务器页面)或者cgi(common gateway interface,公共网关接口)等网页文件形式存在的命令执行环境。由于webshell是一种网页后门，所以就成为黑客入侵网站服务器的脚本攻击工具。在实际应用中，黑客在入侵了一个网站后，通常会将这些asp或php等后门文件与网站服务器web目录下正常的网页文件混在一起，然后通过浏览器来访问这些asp或php等后门文件，从而控制网站服务器。

因此，防护webshell攻击对于网站安全十分重要。在现有的webshell攻击检测技术中，网关在获得外部发送给网站服务器的脚本文件后，通过检测脚本文件中是否存在基本攻击特征来确定是否有webshell攻击。然而，黑客们为了避免webshell攻击被检测出来，编写出许多特征变形的webshell攻击方法。例如，在一些特征字符串中添加“％”、“*”等其他非字母符号，以使得该特征字符串变成一个新的自定义的字符串。在这种情况下，由于webshell攻击的基本攻击特征已被打乱，所以很难根据基本攻击特征将其检测出来，从而webshell攻击的检测成为如今一大难题。

发明内容

有鉴于此，本发明提供一种基于云的webshell攻击检测方法、装置及网关，能够解决现有技术中难以识别变形webshell攻击的问题。

第一方面，本发明提供了一种基于云的webshell攻击检测方法，所述方法包括：

截获向网站服务器发送的脚本文件；

基于云平台检测所述脚本文件中是否存在预设的特征变形痕迹，所述特征变形痕迹为对所述脚本文件中的特征语句进行形式改动所产生的痕迹；

若所述脚本文件中存在所述特征变形痕迹，则根据预设的还原规则对改动过的特征语句进行还原，所述还原规则为特征变形规则的逆规则；

检测还原后的特征语句是否与预设的基本特征语句相同，所述基本特征语句为攻击敏感语句；

若所述还原后的特征语句与所述基本特征语句相同，则确定所述脚本文件为webshell攻击文件。

第二方面，本发明提供了一种基于云的webshell攻击检测装置，所述装置包括：

截获单元，用于截获向网站服务器发送的脚本文件；

检测单元，用于基于云平台检测所述截获单元截获的所述脚本文件中是否存在预设的特征变形痕迹，所述特征变形痕迹为对所述脚本文件中的特征语句进行形式改动所产生的痕迹；

还原单元，用于当所述检测单元检测到所述脚本文件中存在所述特征变形痕迹时，根据预设的还原规则对改动过的特征语句进行还原，所述还原规则为特征变形规则的逆规则；

所述检测单元，还用于检测所述还原单元还原后的特征语句是否与预设的基本特征语句相同，所述基本特征语句为攻击敏感语句；

确定单元，用于当所述检测单元检测到所述还原后的特征语句与所述基本特征语句相同时，确定所述脚本文件为webshell攻击文件。

第三方面，本发明提供了一种基于云的webshell攻击检测网关，所述网关包括如第二方面所述的装置。

借由上述技术方案，本发明提供的基于云的webshell攻击检测方法、装置及网关，能够在外部向网站服务器发送脚本文件时，截获该脚本文件，并基于云平台先对该脚本文件进行特征变形痕迹的检测，再将改动过的特征语句进行还原，最后将还原后的特征语句与基本特征语句进行比较，若相同，则判定该脚本文件为webshell攻击文件。与现有技术中仅进行基本特征语句的检测方法相比，本发明通过先将改动后的特征语句进行还原，使得被打乱的特征语句还原为原有的特征语句，再与基本特征语句进行比对，使得隐藏在脚本文件中的基本特征语句被检测出来，从而确定该脚本文件为webshell攻击文件。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明