[发明专利]一种WEB后门攻击事件的确认方法

说明书

本发明涉及网络安全防护技术，旨在提供一种WEB后门攻击事件的确认方法。本发明通过对防火墙、IDS、IPS及相关的WEB服务器日志进行解析，提取WEB后门攻击类型的日志记录，根据各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头，进一步判断WEB后门的攻击是否成功；将确认结果返回到相应的网络防护设备中，并将确认后的WEB后门攻击事件标记为成功的攻击事件展示给用户。本发明能够对WEB后门攻击事件提供更加科学的确认手段，提高网络安全防护设备对WEB后门攻击的识别率和准确率，降低了确认攻击成功的告警误报率。

技术领域

本发明涉及网络安全防护技术，特别涉及一种WEB后门攻击事件的确认方法。

背景技术

WEB后门，英文称WebShell，指的是以网页代码实现的用于非法用途的网页木马。具体表现为：攻击者通过植入WEB后门，从而控制整个WEB服务器，操作文件上传下载、非法篡改文件等。

随着网络攻击事件数量日益增加，网络黑客的攻击技术和手段越来越高明，网上流传的开源黑客工具降低了攻击的成本，因此每天都有数不尽的非法扫描、后门探测等攻击流量，公司的防火墙、IDS、IPS设备上的日志也是每天上千万条攻击数据的累加。而WEB后门攻击事件往往是网络告警日志分析的重中之重，一旦WEB后门攻击成功，对公司的业务和数据都可能造成无法挽回的损失。因此，对WEB后门攻击事件的进行确认是公司用户网络安全防护工作中是重点内容。因为只有对相关事件进行确认之后，才能确定攻击事件是否成功。如果不进行确认，将会导致一堆误报。

目前常用的WEB后门攻击事件的确认手段主要包括：(1)分析人员发现网络安全防护设备上出现WEB后门攻击告警后，人工登录服务器，使用杀毒软件查杀是否存在后门文件。(2)分析人员依靠经验判断网络安全防护设备上出现的WEB后门攻击告警事件是否可能成功。

但是，上述手段存在以下不足之处：(1)安全人员有可能不能及时处理网络安全防护设备上所有的WEB后门攻击事件。因为实际工作中信息安全相关的分析人员往往没有服务器运维的权限，没法及时登录服务器排查。(2)仅仅依靠分析人员自身的经验往往不能够准确的判断后门攻击是否成功，可能会存在误判的情况。(3)网络安全防护设备上误报的告警太多，导致安全人员分析告警记录时需要频繁翻页，容易忽视重要的攻击线索。

发明内容

本发明要解决的技术问题是，克服现有技术中的不足，提供一种WEB后门攻击事件的确认方法。

为解决上述技术问题，本发明采用的解决方案是：

提供一种WEB后门攻击事件的确认方法，包括以下步骤：

(1)从网络安全防护设备获取告警日志，判断是否为WEB后门攻击事件告警，不是则丢弃；

(2)从WEB后门攻击的告警日志中，逐条取出各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头；

(3)根据攻击响应头提取攻击的目标域名或IP，对比预配置的服务器资产库获得被攻击目标的服务支持语言类型；

(4)根据攻击请求头提取攻击者试图请求的URI，判断攻击者在攻击活动中使用的编程语言类型，如果攻击者所使用的后门语言与被攻击目标的服务端的编程语言不一致，则丢弃该条告警日志；

(5)根据攻击响应头提取服务器返回的状态码，判断响应状态是否为200，不是则丢弃；

(6)构造随机不存在文件名，就这个随机文件向被攻击的服务器发送请求，获取响应码；判断该响应码是否为200，是则丢弃；

(7)从攻击告警的请求中获取请求参数或POST参数，解析请求，判断是否尝试在执行WEB语言命令，不是则丢弃；