[发明专利]一种基于域内页面关联关系检测webshell页面的方法及装置

说明书

本发明提供了一种基于域内页面关联关系检测webshell页面的方法及装置，上述方法包括：根据待测网站的文件目录，获取待检测网站的动态页面的脚本文件和/或标签语言文件；提取动态页面的脚本文件和/或标签语言文件中的URL链接，生成域内页面关联关系的URL链接标签树，URL链接标签树包括URL对应的页面以及各页面的包含关系；遍历URL链接标签树，提取第一类节点和第二类节点，第一类节点为不存在上下级节点的孤立节点，第二类节点为不存在上级节点，但存在下级节点的节点，且该下级节点对应的页面为域外页面；根据所提取的第一类节点和第二类节点对应的页面，得到疑似webshell页面，能准确、快速的检测出网站中是否存在webshell页面。

技术领域

本发明涉及通信技术领域，特别涉及一种基于域内页面关联关系检测webshell页面的方法及装置。

背景技术

随着WEB应用技术的不断进步与发展，WEB应用程序承载了越来越多的业务，而随之而来的也是WEB应用所面临的越来越复杂的安全问题。根据公共漏洞和暴露CVE等权威机构的统计，WEB应用类的安全攻击已经超过了其他层面安全攻击的总和，黑客攻击逐渐由传统的网络层转向应用层。黑客在入侵一个网站后，往往通过在网站中植入webshell后门的方式，达到对网站进行长期控制的目的。

webshell是一种网页形态的脚本后门程序，和普通asp、php、jsp以及aspx页面一样，webshell以文件形式存在，攻击者通过远程访问webshell的方式，通过webshell的函数功能实现对服务器的控制，如首页篡改、网站挂马以及操作系统命令执行，甚至进行提权和内网渗透等。

由于webshell以文件的形式存在，无任何进程，给webshell的检测大大增加了难度，目前现有技术包括：方法一，基于webshell特征的检测，即webshell通过某些关键函数实现对系统文件的修改，以及调用操作系统命令，可以以这些关键函数为特征进行webshell检测，如eval()等能够执行命令的函数进行匹配。但某些合法网页动态文件也可能使用这些函数，导致存在误报的情况；另外，对于编码和JS加密型的webshell，使用特征检测的方式基本无能为力。方法二，基于页面关联关系的检测，由于webshell为攻击者植入的网页后门，在网站目录下其他页面的关联关系中，可能不存在包含该webshell的页面，也不存在webshell包含本网站内其他页面链接的情况，即可视为该webshell为孤立页面。基于这一特点，通过梳理页面关联关系的方式找出网站中存在的孤立页面，该孤立页面即为webshell，但网站后台登录页面，或后台部分功能页面，其主要功能通过post传参实现，其本身及有可能为孤立页面而不包含其他页面或者不被其他页面包含，易被误判为webshell；而部分webshell可能存在链接形如指向作者微博的链接或后门中的后门链接，从判断是否为无关联关系页面的方法进行检测，则可能造成webshell的误报。

发明内容

本发明的目的在于提供一种基于域内页面关联关系检测webshell页面的方法及装置，能准确、快速的检测出网站中是否存在webshell页面。

为了达到上述目的，本发明的实施例提供了一种基于域内页面关联关系检测webshell页面的方法，该方法包括：

根据待测网站的文件目录，获取待检测网站的动态页面的脚本文件和/或标签语言文件；

提取动态页面的脚本文件和/或标签语言文件中的URL链接，生成域内页面关联关系的URL链接标签树，URL链接标签树包括URL对应的页面以及各页面的包含关系；

遍历URL链接标签树，提取第一类节点和第二类节点，第一类节点为不存在上下级节点的孤立节点，第二类节点为不存在上级节点，但存在下级节点的节点，且该下级节点对应的页面为域外页面；

根据所提取的第一类节点和第二类节点对应的页面，得到疑似webshell页面。

其中，方法还包括：