[发明专利]一种WEB后门攻击事件的确认方法有效
| 申请号: | 201810884997.X | 申请日: | 2018-08-06 |
| 公开(公告)号: | CN109040071B | 公开(公告)日: | 2021-02-09 |
| 发明(设计)人: | 王世晋;范渊;郝辰亮;黄进 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08;H04L12/24 |
| 代理公司: | 杭州中成专利事务所有限公司 33212 | 代理人: | 周世骏 |
| 地址: | 310051 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及网络安全防护技术,旨在提供一种WEB后门攻击事件的确认方法。本发明通过对防火墙、IDS、IPS及相关的WEB服务器日志进行解析,提取WEB后门攻击类型的日志记录,根据各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头,进一步判断WEB后门的攻击是否成功;将确认结果返回到相应的网络防护设备中,并将确认后的WEB后门攻击事件标记为成功的攻击事件展示给用户。本发明能够对WEB后门攻击事件提供更加科学的确认手段,提高网络安全防护设备对WEB后门攻击的识别率和准确率,降低了确认攻击成功的告警误报率。 | ||
| 搜索关键词: | 一种 web 后门 攻击 事件 确认 方法 | ||
【主权项】:
1.一种WEB后门攻击事件的确认方法,其特征在于,包括以下步骤:(1)从网络安全防护设备获取告警日志,判断是否为WEB后门攻击事件告警,不是则丢弃;(2)从WEB后门攻击的告警日志中,逐条取出各告警日志中记载的攻击时间、攻击者IP、攻击者端口号、被攻击IP、被攻击域名、攻击请求头和攻击响应头;(3)根据攻击响应头提取攻击的目标域名或IP,对比预配置的服务器资产库获得被攻击目标的服务支持语言类型;(4)根据攻击请求头提取攻击者试图请求的URI,判断攻击者在攻击活动中使用的编程语言类型,如果攻击者所使用的后门语言与被攻击目标的服务端的编程语言不一致,则丢弃该条告警日志;(5)根据攻击响应头提取服务器返回的状态码,判断响应状态是否为200,不是则丢弃;(6)构造随机不存在文件名,就这个随机文件向被攻击的服务器发送请求,获取响应码;判断该响应码是否为200,是则丢弃;(7)从攻击告警的请求中获取请求参数或POST参数,解析请求,判断是否尝试在执行WEB语言命令,不是则丢弃;(8)确认WEB后门攻击事件成功,提取攻击事件的维度数据并写入mysql数据库,标记为成功的攻击事件返回给相应的网络安全防护设备。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810884997.X/,转载请声明来源钻瓜专利网。
