[发明专利]远程文件包含漏洞的识别方法及装置

权利要求书

1.一种远程文件包含漏洞的识别方法，其特征在于，包括以下步骤：

当网络请求报文通过防火墙时，比对内置规则库，识别所述网络请求报文是否与所述内置规则库匹配；

若所述网络请求报文与所述内置规则库匹配，则记录所述网络请求报文信息至会话记录表；

在防火墙接收到服务器发送的访问报文时，识别所述会话记录表中是否记录了所述访问报文；

若所述会话记录表中记录了所述访问报文，则分析所述访问报文的内容；

若分析所述访问报文满足预设允许访问规则，则识别所述访问报文为安全报文；

若分析所述访问报文具备包含漏洞的特征，则识别所述访问报文为包含安全威胁的报文。

2.如权利要求1所述的方法，其特征在于，所述分析所述访问报文具备包含漏洞的特征，则识别所述访问报文为包含安全威胁的报文包括：

识别所述访问报文为服务器发起的建立连接的请求报文，且所述访问报文包含所述会话记录表指定的跳转地址，则将所述访问报文在所述会话记录表中标记为可疑远程文件包含；

在接收到针对所述访问报文返回的应答报文时，若识别所述应答报文中包含PHP代码，则识别所述访问报文和应答报文均为包含安全威胁的报文。

3.如权利要求2所述的方法，其特征在于，所述识别所述访问报文和应答报文均为包含安全威胁的报文之后还包括：

丢弃所述应答报文，断开所述服务器与所述网络请求报文发送方及所述应答报文发送方之间的连接。

4.如权利要求1所述的方法，其特征在于，所述分析所述访问报文满足预设允许访问规则包括：

当识别所述访问报文是与所述网络请求报文进行第一个会话的应答报文且识别所述应答报文的编号符合预设编号规则时，分析所述访问报文满足预设允许访问规则。

5.如权利要求1至4任一项所述的方法，其特征在于，所述识别所述访问报文为安全报文，或者识别所述访问报文为包含安全威胁的报文之后还包括：

删除所述会话记录表中对所述访问报文的记录。

6.如权利要求1至4任一项所述的方法，其特征在于，所述当网络请求报文通过防火墙时，比对内置规则库，识别所述网络请求报文是否与所述内置规则库匹配之前还包括：

预设内置规则库。

7.如权利要求6所述的方法，其特征在于，所述记录所述网络请求报文信息至会话记录表的同时，启动定时器并开始计时；在所述定时器达到预设时长时，若识别到记录的所述网络请求报文未触发远程文件包含攻击，则删除记录的所述网络请求报文。

8.一种远程文件包含漏洞的识别装置，其特征在于，包括：

报文识别模块，用于当网络请求报文通过防火墙时，比对内置规则库，识别所述网络请求报文是否与所述内置规则库匹配；

信息记录模块，用于在所述网络请求报文与所述内置规则库匹配时，记录所述网络请求报文信息至会话记录表；

报文识别模块，用于在防火墙接收到服务器发送的访问报文时，识别所述会话记录表中是否记录了所述访问报文；若所述会话记录表中记录了所述访问报文，则分析所述访问报文的内容；若分析所述访问报文满足预设允许访问规则，则识别所述访问报文为安全报文；若分析所述访问报文具备包含漏洞的特征，则识别所述访问报文为包含安全威胁的报文。

9.如权利要求8所述的装置，其特征在于，所述报文识别模块还用于：

识别所述访问报文为服务器发起的建立连接的请求报文，且所述访问报文包含所述会话记录表指定的跳转地址，则将所述访问报文在所述会话记录表中标记为可疑远程文件包含；

在接收到针对所述访问报文返回的应答报文时，若识别所述应答报文中包含PHP代码，则识别所述访问报文和应答报文均为包含安全威胁的报文。

10.如权利要求9所述的装置，其特征在于，所述报文识别模块还用于：

丢弃所述应答报文，断开所述服务器与所述网络请求报文发送方及所述应答报文发送方之间的连接。

11.如权利要求8所述的装置，其特征在于，所述报文识别模块还用于：

当识别所述访问报文是与所述网络请求报文进行第一个会话的应答报文且识别所述应答报文的编号符合预设编号规则时，分析所述访问报文满足预设允许访问规则。