[发明专利]一种自动化检测验证Webshell的方法及装置

权利要求书

1.一种自动化检测验证Webshell的方法，其特征在于：所述方法包括以下步骤：

步骤1：在用户端部署系统，开始检测；

步骤2：原始安全事件筛选模块以预设条件进行查询，筛选得到需要进一步检测分析的内容输出并存储到本地；所述步骤2包括以下步骤：

步骤2.1：所述原始安全事件筛选模块在安全设备产生的原始告警中以预设条件进行查询；

步骤2.2：对查询后的结果进行过滤，过滤掉Http头中包含referer或源地址为内网的记录，得到需要进一步检测分析的内容；

步骤2.3：对过滤后的内容以预设的格式存储至本地；

步骤3：保持网络可达，自动化爬虫验证模块对步骤2存储到本地的内容进行逐条检查、筛选，更新；所述步骤3中，自动化爬虫验证模块的工作包括以下步骤：

步骤3.1：读取步骤2输出的内容，采集并且拼接为合法URI；

步骤3.2：使用自动化爬虫请求验证，标记每一条记录的返回结果；

步骤3.3：筛去无法访问、过期的资源，保留URL可达的记录；

步骤3.4：更新结果；

步骤4：将步骤3更新的结果以每条记录中的URL为条件，逐条在流量探针或访问日志存储系统的原始访问记录中进行查询和统计，将访问量超过阈值的记录判定为误报记录，进行筛除，得到筛选记录，若任一URL的源IP访问量小于阈值，标记为可疑；

步骤5：风险分值评估模块计算每条记录的风险分值，将分值自高至低排序；

步骤6：结束模块输出分值高于阈值分值的记录，作为验证为可疑Webshell的结果。

2.根据权利要求1所述的一种自动化检测验证Webshell的方法，其特征在于：所述步骤2.1中，预设条件为返回码为200且URL资源后缀名为服务器架构后缀名。

3.根据权利要求1所述的一种自动化检测验证Webshell的方法，其特征在于：所述步骤3.3中，无法访问、过期的资源包括删除返回码为4或3开头、或返回内容中包括错误信息、或返回内容中包含安全防火墙拦截关键字的条目。

4.根据权利要求1所述的一种自动化检测验证Webshell的方法，其特征在于：所述步骤5包括以下步骤：

步骤5.1：风险分值评估模块基于分析指标，在安全设备的告警集合中进行检索；

步骤5.2：对于发现的告警记录，基于告警记录的类型附以对应的标记分，所有类型只附分一次；

步骤5.3：计算每条记录的总风险分值，将分值自高至低排序；分值为新标签，更新到每条记录中。

5.根据权利要求4所述的一种自动化检测验证Webshell的方法，其特征在于：所述步骤5.1中，分析指标为对每个攻击阶段及其对应分值的预定义。

6.一种采用权利要求1~5之一的自动化检测验证Webshell的方法的装置，其特征在于：所述装置包括：

一原始安全事件筛选模块，用于对原始安全事件进行初步筛选和过滤；

一自动化爬虫验证模块，用于检查资源是否合法且可到达；

一访问规律分析模块，用于统计任一资源的访问频次，筛选正常资源触发的误报；

一风险分值计算模块，用于计算疑似Webshell资源的危险分；

一结束模块，用于输出最终的Webshell判别结果。