[发明专利]一种基于攻击链的网站后门利用事件识别方法

说明书

本发明涉及一种基于攻击链的网站后门利用事件识别方法，对后台日志进行解析，确认为攻击行为则丢弃正常访问的日志数据、保留涉及攻击行为的日志，同时对攻击行为进行识别，对攻击类型进行归类合并，获得攻击行为携带的IP的纬度和攻击类型，将攻击行为划分至若干阶段，若攻击行为包括至少3个阶段则检测攻击行为是否同时存在网站后门访问行为，均满足则判断网站被入侵成功，为网站后门利用事件，服务器被入侵，完成识别。本发明对攻击产生的影响进行判定，形成完整的入侵分析，对各种来源的攻击行为进行确认和归类确保原始攻击行为有效性，进一步挖掘和攻击链分析，降低攻击分析难度、提升效率，快速发现异常入侵，提升安全响应能力。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种可以对入侵事件分析影响的基于攻击链的网站后门利用事件识别方法。

背景技术

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷，但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

攻击行为可以被检测到。传统的IDS（Intrusion Detection Systems，入侵检测系统）产品是依靠特征来检测攻击行为的，但是只能发现单次的攻击行为，无法对攻击进行进一步的关联分析，判定攻击产生的影响。SOC（Security Operations Center，安全管理中心）产品是在入侵检测的基础上进一步的安全管理分析平台，其能基于各种攻击日志进行分析，能够对一些攻击行为进行关联，但仍然依赖于IP 纬度的关联，却无法对攻击阶段进行判定，难以确定真正成功的网站入侵事件。

发明内容

为了解决现有技术中存在的问题，本发明提供一种优化的基于攻击链的网站后门利用事件识别方法，降低攻击日志分析的难度和提升效率，快速发现异常的入侵事件，提升安全响应的能力。

本发明所采用的技术方案是，一种基于攻击链的网站后门利用事件识别方法，所述方法包括以下步骤：

步骤1：获得后台的日志数据，进行解析；

步骤2：若确认为攻击行为，丢弃正常访问的日志数据，保留涉及攻击行为的日志，进行下一步；否则，返回步骤1；

步骤3：对攻击行为进行识别，同时对攻击类型进行归类合并，获得攻击行为携带的IP的纬度和所属的攻击类型；

步骤4：将攻击行为按照IP的纬度和攻击类型划分为若干阶段；

步骤5：若攻击行为包括步骤4中的至少3个阶段，检测攻击行为是否同时存在网站后门访问行为，若是，则判断网站被入侵成功，为网站后门利用事件，服务器已被入侵，完成识别；否则，该攻击行为定义为攻击尝试，在原始风险中进行备注。

优选地，所述步骤2中，若发现误报，将日志数据直接丢弃，返回步骤1。

优选地，所述步骤4中，若干阶段包括扫描探测阶段、执行攻击阶段、获取权限阶段、命令与控制阶段和数据外传阶段。

优选地，所述扫描探测阶段的攻击行为包括SQL注入、跨站脚本及代码注入。

优选地，所述执行攻击阶段的攻击行为包括远程命令执行和Webshell上传。

优选地，所述获取权限阶段的攻击行为包括溢出攻击和网站后门访问。

优选地，所述命令与控制阶段的攻击行为包括对外扫描攻击和Web CC攻击。

优选地，所述数据外传阶段的攻击行为包括文件外传和数据拖库。