[发明专利]https模式下webshell攻击流量的识别方法和装置

说明书

本发明实施例公开了一种https模式下webshell攻击流量的识别方法和装置，所述方法包括：获取待识别的原始流量，从所述原始流量中筛选出TLS协议的流量作为目标流量；基于预先创建的浏览器握手信息库，在所述目标流量中滤除浏览器流量，以得到未知TLS流量；其中，所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的；基于预先创建的流量行为模型，筛选出所述未知TLS流量中的webshell攻击流量；其中，所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。本发明所提供的方案通过多次特征筛选，在不解密https的情况下使用客户端握手信息与流行为特征组合的方式识别webshell攻击的https流量，降低了流量识别难度，提高了流量识别的有效性。

技术领域

本发明涉及信息安全技术领域，具体涉及一种https模式下webshell攻击流量的识别方法和装置。

背景技术

Webshell是一种网络安全中常见的术语，其指代黑客通过专门的webshell工具与事先通过漏洞上传到目标web系统中的网页木马进行通信的攻击行为，也可以特指webshell工具。利用webshell工具进行的攻击行为在黑客对网站的渗透与破坏中非常普遍，所以对其进行检测识别也是网络安全中的一个重要方向。

如今的web系统大多采用了基于SSL/TLS加密协议实现的https访问模式，而由于其本身的工作原理是从外部访问正规的内部web系统，所以使用的安全证书会是此web系统自身的可信证书，这导致了不能使用简单的证书信息分辨出是否为webshell攻击。目前对webshell攻击流量的识别普遍采用卸载https证书的解密方式，让问题转变成对http明文流量分析来达到识别webshell工具的目的，但是近年来主流webshell工具都采用了对http明文载荷部分单独自定义加密的方式，这使得传统的卸载https证书解密识别方式的识别难度较大，有效性较差。

因此，提供一种https模式下webshell攻击流量的识别方法和装置，以解决现有的证书解密识别方式的识别难度较高，有效性较差的问题，就成为本领域技术人员亟待解决的问题。

发明内容

为此，本发明实施例提供一种https模式下webshell攻击流量的识别方法和装置，以解决现有的证书解密识别方式的识别难度较高，有效性较差的问题。

为了实现上述目的，本发明实施例提供如下技术方案：

本发明提供了一种https模式下webshell攻击流量的识别方法，所述方法包括：

获取待识别的原始流量，从所述原始流量中筛选出TLS协议的流量作为目标流量；

基于预先创建的浏览器握手信息库，在所述目标流量中滤除浏览器流量，以得到未知TLS流量；其中，所述浏览器握手信息库是利用穷举的浏览器的客户端握手信息创建的；

基于预先创建的流量行为模型，筛选出所述未知TLS流量中的webshell攻击流量；其中，所述流量行为模型是利用webshell攻击流量与web应用的流行为区别特征构建的。

在一些实施例中，从所述原始流量中筛选出TLS协议的流量作为目标流量，具体包括：

从所述原始流量中筛选出由外向内传输的TLS协议的流量作为目标流量。

在一些实施例中，客户端握手信息具体包括TLS协议中除Session_id、Random、Extension和server_name以外的所有属性信息。

在一些实施例中，基于预先创建的流量行为模型，筛选出所述未知TLS流量中的webshell攻击流量，具体包括：

在所述未知TLS流量中待识别流量的流行为特征与所述流行为模型中的流行为区别特征相匹配的情况下，则确定该待识别流量为webshell攻击流量。