[发明专利]服务器攻击的检测方法和装置

说明书

本发明涉及一种服务器攻击的检测方法和装置。上述方法包括：通过实时应用程序自我保护系统RASP实时监听网页中的操作行为；当所述RASP检测到操作行为中包含预定义的风险行为特征时，记录所述操作行为的行为数据，并将所述行为数据发送至风险评估模型；通过所述风险评估模型对所述行为数据进行分析，得到分析结果；若根据所述分析结果判定所述操作行为为攻击行为，则将所述网页标记为webshell文件。上述服务器攻击的检测方法和装置，提高了检测webshell文件的准确性，能有效保障网站服务器的信息安全。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种服务器攻击的检测方法和装置。

背景技术

webshell指的是以asp(Active Server Pages，动态服务器页面)、php(HypertextPreprocessor，超文本预处理器)、jsp(Java Server Pages，java服务器页面)或者cgi(Common Gateway Interface，公共网关接口)等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门。入侵者在入侵了一个网站后，通常会将asp或php后门文件与网站服务器的目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，通过webshell取得对网站服务器在某种程度上的操作权限，从而达到控制网站服务器的目的。

在传统的网络安全防御技术中，对webshell的检测主要是通过分析大量的webshell文件及原理建立特征库，通过特征库中的特征码判断一个网页文件是否为webshell文件，若一个网页文件中的代码包含特征库中的特征码，即判定其为webshell文件。然而，特征库中的特征码均是固定的字符串，入侵者只需通过将webshell文件中的代码进行变形，即可轻松绕过特征码的检测。因此，传统的webshell检测方式容易遗漏webshell文件，检测的准确性低，无法有效保障网站服务器安全。

发明内容

基于此，有必要提供一种服务器攻击的检测方法，能够提高检测webshell文件的准确性，有效保障网站服务器的信息安全。

此外，还有必要提供一种服务器攻击的检测装置，能够提高检测webshell文件的准确性，有效保障网站服务器的信息安全。

一种服务器攻击的检测方法，包括：

通过实时应用程序自我保护系统RASP实时监听网页中的操作行为；

当所述RASP检测到操作行为中包含预定义的风险行为特征时，记录所述操作行为的行为数据，并将所述行为数据发送至风险评估模型；

通过所述风险评估模型对所述行为数据进行分析，得到分析结果；

若根据所述分析结果判定所述操作行为为攻击行为，则将所述网页标记为webshell文件。

一种服务器攻击的检测装置，包括：

监听模块，用于通过RASP实时监听网页中的操作行为；

记录模块，用于当所述RASP检测到操作行为中包含预定义的风险行为特征时，记录所述操作行为的行为数据，并将所述行为数据发送至风险评估模型；

分析模块，用于通过所述风险评估模型对所述行为数据进行分析，得到分析结果；

标记模块，用于若根据所述分析结果判定所述操作行为为攻击行为，则将所述网页标记为webshell文件。