[发明专利]一种自动化检测验证Webshell的方法及装置

说明书

本发明涉及一种自动化检测验证Webshell的方法及装置，用户端部署，以原始安全事件筛选模块以预设条件进行查询，将需要进一步检测分析的内容输出并存至本地，自动化爬虫验证模块对内容进行检查、筛选，访问规律分析模块获得更新结果后查询和统计，筛选记录，风险分值评估模块计算每条记录的风险分值、排序，结束模块输出验证为可疑Webshell的结果。本发明提高审计效率，对不同厂商、设备的告警进行处理，网络安全知识掌握较少的人员也可以完成；快速筛选验证可疑网站目录，输出置信度较高的Webshell地址；配置容易，条件灵活，可根据实际差异调整，可联动不同类型的日志和告警，大幅提升审计效率。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种自动化检测验证Webshell的方法及装置。

背景技术

Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，在云互联网时代通常被黑客用作入侵网站服务器的后门工具。黑客成功入侵服务器后，为了维持对服务器的控制或为了进行深度操作，通常会上传Webshell文件至后台，之后就可以通过访问该Webshell资源作为渗透的入口。

通常来说,黑客进行网络攻击、上传Webshell后，为了隐藏，会进行混淆，使得真实的Webshell表现为如下特点：

1、资源文件名进行伪装，尽量使其与正常网站资源相似，如index1.php、login.aspx等，防止被网站运维管理员发现及删除；

2、部分Webshell资源无法通过直接访问得到，其会返回一些无意义的字符，只有使用特殊的请求方法才能利用；

3、黑客完成某些攻击阶段后，会主动删除后门文件，以防后期被检测发现。

因此，检测Webshell需要从多个维度进行判别，不仅需要对实时流量进行分析，后期动态审计也是重要的复盘、验证过程。

现有的各网络安全公司和厂商对Webshell的检测均各有一套技术，但是在实际中的困难和误差主要表现如下：

1、各厂商的实现逻辑各有差异，在现实中上线后经常会产生大量告警，真实的Webshell威胁会被淹没在其中，网站运维管理员从中筛查的效率差，且没有网络安全知识的人员很难进行分析；

2、黑客为了防止Webshell被安防设备发现，可能会对其进行加密处理，相关远控指令会以密文的形式进行传递，大大减少被检测的概率；

3、部分业务系统在开发时存在代码不规范的问题，可能会被误判；

4、不同厂商的安全设备各自独立，彼此之间无法进行联动。

基于上述困难和误差，在广域的互联网下构建一个可以多维分析、共享联动的检测Webshell的体系非常重要。

发明内容

本发明解决了现有技术中存在的问题，提供了一种优化的自动化检测验证Webshell的方法及装置。

本发明所采用的技术方案是，一种自动化检测验证Webshell的方法，所述方法包括以下步骤：

步骤1：在用户端部署系统，开始检测；

步骤2：原始安全事件筛选模块以预设条件进行查询，筛选得到需要进一步检测分析的内容输出并存储到本地；

步骤3：保持网络可达，自动化爬虫验证模块对步骤2存储到本地的内容进行逐条检查、筛选，更新；

步骤4：访问规律分析模块获得步骤3更新的结果，逐条进行查询和统计，筛选记录，将正常资源触发的误报筛除；

步骤5：风险分值评估模块计算每条记录的风险分值，将分值自高至低排序；