[发明专利]一种基于攻击链的网站后门利用事件识别方法

权利要求书

1.一种基于攻击链的网站后门利用事件识别方法，其特征在于：所述方法包括以下步骤：

步骤1：获得后台的日志数据，进行解析；

步骤2：若确认为攻击行为，丢弃正常访问的日志数据，保留涉及攻击行为的日志，进行下一步；否则，返回步骤1；

步骤3：对攻击行为进行识别，同时对攻击类型进行归类合并，获得攻击行为携带的IP的纬度和所属的攻击类型；

步骤4：将攻击行为按照IP的纬度和攻击类型划分为若干阶段；

步骤5：若攻击行为包括步骤4中的至少3个阶段，检测攻击行为是否同时存在网站后门访问行为，若是，则判断网站被入侵成功，为网站后门利用事件，服务器已被入侵，完成识别；否则，该攻击行为定义为攻击尝试，在原始风险中进行备注。

2.根据权利要求1所述的一种基于攻击链的网站后门利用事件识别方法，其特征在于：所述步骤2中，若发现误报，将日志数据直接丢弃，返回步骤1。

3.根据权利要求1所述的一种基于攻击链的网站后门利用事件识别方法，其特征在于：所述步骤4中，若干阶段包括扫描探测阶段、执行攻击阶段、获取权限阶段、命令与控制阶段和数据外传阶段。

4.根据权利要求3所述的一种基于攻击链的网站后门利用事件识别方法，其特征在于：所述扫描探测阶段的攻击行为包括SQL注入、跨站脚本及代码注入。

5.根据权利要求3所述的一种基于攻击链的网站后门利用事件识别方法，其特征在于：所述执行攻击阶段的攻击行为包括远程命令执行和Webshell上传。

6.根据权利要求3所述的一种基于攻击链的网站后门利用事件识别方法，其特征在于：所述获取权限阶段的攻击行为包括溢出攻击和网站后门访问。

7.根据权利要求3所述的一种基于攻击链的网站后门利用事件识别方法，其特征在于：所述命令与控制阶段的攻击行为包括对外扫描攻击和Web CC攻击。

8.根据权利要求3所述的一种基于攻击链的网站后门利用事件识别方法，其特征在于：所述数据外传阶段的攻击行为包括文件外传和数据拖库。

9.根据权利要求1所述的一种基于攻击链的网站后门利用事件识别方法，其特征在于：所述攻击行为还包括CSRF、SSRF、任意文件的读取和下载、任意文件删除、脚本文件上传、命令注入、struts2代码执行和反序列化攻击行为。