[发明专利]远程文件包含漏洞的识别方法及装置

说明书

技术领域

本发明涉及计算机网络技术，尤其涉及一种远程文件包含漏洞的识别方法及装置。

背景技术

远程文件包含漏洞是PHP（Hypertext Preprocessor，超级文本预处理语言）脚本语言特有的攻击形式，也是web应用程序最常见的攻击方法之一；由于PHP语言在web网站开发中广泛使用，因此这种漏洞也广泛存在。PHP远程文件包含漏洞可以在web服务器上执行任意代码，危害非常大，所以远程文件包含漏洞是应用层防火墙重点识别和防御的攻击对象之一。

目前识别和防御PHP远程文件包含漏洞主要有两种方法：基于具体0day漏洞进行识别和基于通用特征进行识别。基于具体0day漏洞进行识别是PHP远程文件包含漏洞最常用的识别方法，当某个常用的开源框架发布漏洞后，提取存在漏洞URL（Uniform Resource Local，统一资源定位符）和恶意参数进行防御；这种方法对漏洞特征开发的工作量巨大，且只能在漏洞公布后才能发布防御特征并进行识别，无法做到完整的事前识别，且针对某个具体网站的漏洞及内部流通的安全漏洞也无法识别。基于通用特征进行识别和正常应用区分不开，误报率很高且在实际应用中作用非常有限，只能结合具体的网站使用通用规则进行识别，不具备通用性。

发明内容

本发明的主要目的是提供一种远程文件包含漏洞的识别方法及装置，旨在解决目前常用的对远程文件包含漏洞进行识别时出现的误报和漏报的问题。

本发明实施例公开了一种远程文件包含漏洞的识别方法，包括以下步骤：

当网络请求报文通过防火墙时，比对内置规则库，识别所述网络请求报文是否与所述内置规则库匹配；

若所述网络请求报文与所述内置规则库匹配，则记录所述网络请求报文信息至会话记录表；

在防火墙接收到服务器发送的访问报文时，识别所述会话记录表中是否记录了所述访问报文；

若所述会话记录表中记录了所述访问报文，则分析所述访问报文的内容；

若分析所述访问报文满足预设允许访问规则，则识别所述访问报文为安全报文；

若分析所述访问报文具备包含漏洞的特征，则识别所述访问报文为包含安全威胁的报文。

优选地，所述分析所述访问报文具备包含漏洞的特征，则识别所述访问报文为包含安全威胁的报文包括：

识别所述访问报文为服务器发起的建立连接的请求报文，且所述访问报文包含所述会话记录表指定的跳转地址，则将所述访问报文在所述会话记录表中标记为可疑远程文件包含；

在接收到针对所述访问报文返回的应答报文时，若识别所述应答报文中包含PHP代码，则识别所述访问报文和应答报文均为包含安全威胁的报文。

优选地，所述识别所述访问报文和应答报文均为包含安全威胁的报文之后还包括：

丢弃所述应答报文，断开所述服务器与所述网络请求报文发送方及所述应答报文发送方之间的连接。

优选地，所述分析所述访问报文满足预设允许访问规则包括：

当识别所述访问报文是与所述网络请求报文进行第一个会话的应答报文且识别所述应答报文的编号符合预设编号规则时，分析所述访问报文满足预设允许访问规则。

优选地，所述识别所述访问报文为安全报文，或者识别所述访问报文为包含安全威胁的报文之后还包括：

删除所述会话记录表中对所述访问报文的记录。

优选地，所述当网络请求报文通过防火墙时，比对内置规则库，识别所述网络请求报文是否与所述内置规则库匹配之前还包括：

预设内置规则库。

优选地，所述记录所述网络请求报文信息至会话记录表的同时，启动定时器并开始计时；在所述定时器达到预设时长时，若识别到记录的所述网络请求报文未触发远程文件包含攻击，则删除记录的所述网络请求报文。

本实施例还公开一种远程文件包含漏洞的识别装置，包括：

报文识别模块，用于当网络请求报文通过防火墙时，比对内置规则库，识别所述网络请求报文是否与所述内置规则库匹配；

信息记录模块，用于在所述网络请求报文与所述内置规则库匹配时，记录所述网络请求报文信息至会话记录表；

报文识别模块，用于在防火墙接收到服务器发送的访问报文时，识别所述会话记录表中是否记录了所述访问报文；若所述会话记录表中记录了所述访问报文，则分析所述访问报文的内容；若分析所述访问报文满足预设允许访问规则，则识别所述访问报文为安全报文；若分析所述访问报文具备包含漏洞的特征，则识别所述访问报文为包含安全威胁的报文。