[发明专利]一种WEB后门攻击事件的确认方法有效
| 申请号: | 201810884997.X | 申请日: | 2018-08-06 |
| 公开(公告)号: | CN109040071B | 公开(公告)日: | 2021-02-09 |
| 发明(设计)人: | 王世晋;范渊;郝辰亮;黄进 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08;H04L12/24 |
| 代理公司: | 杭州中成专利事务所有限公司 33212 | 代理人: | 周世骏 |
| 地址: | 310051 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 web 后门 攻击 事件 确认 方法 | ||
1.一种WEB后门攻击事件的确认方法,其特征在于,包括以下步骤:
(1)从网络安全防护设备获取告警日志,判断是否为WEB后门攻击事件告警,不是则丢弃;
(2)从WEB后门攻击的告警日志中,逐条取出各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头;
(3)根据攻击响应头提取攻击的目标域名或IP,对比预配置的服务器资产库获得被攻击目标的服务支持语言类型;
(4)根据攻击请求头提取攻击者试图请求的URI,判断攻击者在攻击活动中使用的编程语言类型,如果攻击者所使用的后门语言与被攻击目标的服务端的编程语言不一致,则丢弃该条告警日志;
(5)根据攻击响应头提取服务器返回的状态码,判断状态码是否为200,不是则丢弃;
(6)构造随机不存在文件名,就这个随机文件向被攻击的服务器发送请求,获取响应码;判断该状态码是否为200,是则丢弃;
(7)从攻击告警的请求中获取请求参数或POST参数,解析请求,判断是否尝试在执行WEB语言命令,不是则丢弃;
(8)确认WEB后门攻击事件成功,提取攻击事件的维度数据并写入mysql数据库,标记为成功的攻击事件返回给相应的网络安全防护设备。
2.根据权利要求1所述的方法,其特征在于,所述网络安全防护设备是指防火墙或IDS设备。
3.根据权利要求1所述的方法,其特征在于,在步骤(1)中,是根据日志的类型描述字段来判断告警日志的记载是否为WEB后门攻击事件。
4.根据权利要求1所述的方法,其特征在于,在步骤(3)中,如果对比时发现没有提前配置好的服务器资产库进行配置,则向用户发送进行配置的提醒。
5.根据权利要求4所述的方法,其特征在于,在步骤(3)中,在进行服务器资产库配置时,使用具有模板的表格文件导入资产库信息。
6.根据权利要求1所述的方法,其特征在于,在步骤(8)中,攻击事件的维度数据是指攻击者IP、攻击者端口、事件和攻击目标。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810884997.X/1.html,转载请声明来源钻瓜专利网。
