[发明专利]一种基于RASP的PHP变形webshell的检测方法及系统

权利要求书

1.一种基于RASP的PHP变形webshell的检测方法，针对检测系统，通过部署探针，检测出编程语言是PHP的变形webshell；包括如下步骤：

1)检测系统为web服务器，获取web服务器全部目录中的代码文件，每个代码文件为一段代码，通过初步检测得出初步检测数值；

所述初步检测具体执行如下操作：

对于空格符，统计每个代码文件中相邻两个空格之间的其他字符的数目，形成代表所检测的代码文件的空格分布情况的一组数据；再将该组数据与正常空格分布范围进行比较，计算得到标准差，作为空格符偏离程度；

对于换行符，采用上述方法计算得到标准差，作为换行符偏离程度；

2)确定检测系统的参数输入点，参数输入点为所检测系统与外部的连接点和连接点处的危险函数，在危险函数处插入标记探针，通过标记探针标记参数；

3)将检测探针插入待检测代码，获取被插入检测探针的待检测代码的上下文；上下文信息包括：请求的路径、请求的方法、请求的参数、web根目录、请求头、请求体、客户端地址、服务器信息、探针记录的信息；

4)记录步骤2)被标记参数的运行轨迹和行为，监测被标记参数，获得参数的运行轨迹，作为最终记录结果；

5)当检测探针检测到被标记的参数时，结合获取到的上下文进行分析，识别是否是webshell；具体地，根据被标记参数的运行轨迹和行为，如果当前被检测代码涉及访问敏感文件、下载敏感文件、大量请求数据、操作数据库时，即识别为webshell；如果当前被检测代码不涉及上述操作，则根据被标记参数的运行轨迹和行为，检查检测系统的应用逻辑是否被用户输入所修改，从而判断是否是webshell；由此识别检测系统是否被攻击。

2.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，根据被标记参数的运行轨迹，得到被标记参数和被标记参数所在函数详细的调用堆栈，用于分析与复现漏洞。

3.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，若检测是webshell，则识别出检测系统被攻击；当检测系统被攻击后，根据上下文进行分析，其中访问次数较少而执行的敏感操作短时间较为集中的客户端地址则为本次攻击事件的攻击源；较为集中，为一个小时超过5次；敏感操作包括：访问或下载敏感文件、数据库操作。

4.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，步骤1) 初步检测具体通过式1计算改进的标准差得到偏离程度；

其中，μ为正常空格分布范围或正常换行符分布范围；x_i表示每个代码文件中相邻两个空格或换行符之间的其他字符的数目，是计算标准差时要输入的数据；N为数据的个数。

5.如权利要求4所述基于RASP的PHP变形webshell的检测方法，其特征是，正常空格分布范围为(3，8)；正常换行符分布范围的取值为μ＝(15,30)。

6.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，步骤2)参数输入点为所检测系统与外部的连接点和连接点处的危险函数；所述连接点包括：检测系统与数据库的连接点、检测系统与文件系统的连接点、检测系统与其他系统的跳转点；所述危险函数包括：涉及数据库操作的函数、涉及文件操作的函数、涉及管理员执行命令的函数。

7.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，步骤5)中，敏感文件包括：配置信息、网页缓存及密码、SAM文件、项目代码。

8.如权利要求1所述基于RASP的PHP变形webshell的检测方法，其特征是，步骤5)中，对代码部分做词法分析，有下列两种情况之一则为webshell:

A.判断HTTP请求中的输入即被标记的参数是否在词法分析的结果中占据了多个token；

B.经过词法分析后，如果正常程序和被检测程序两者不同，则识别为应用逻辑被用户输入修改。

9.一种实现权利要求1～8任一项所述基于RASP的PHP变形webshell的检测方法的系统，其特征是，包括：初步检测模块、上下文获取模块、已标记参数监测模块、判断模块、后期分析模块和事后溯源模块；

其中，初步检测模块用于对每个代码文件进行处理，得出初步检测数值，包括：空格符标准差、换行符标准差；

上下文获取模块用于获取上下文；

已标记参数监测模块用于记录被标记参数的运行轨迹和行为，监测被标记参数；

判断模块用于结合获取得到的上下文进行分析，识别是否是webshell；

后期分析模块用于根据上下文和调用堆栈，复现漏洞，理解漏洞形成原因，为该漏洞打上补丁；

事后溯源模块用于追踪本次攻击的攻击源。