[发明专利]webshell检测取证方法及系统

说明书

本发明涉及互联网领域，公开了一种webshell检测取证方法及系统。该方法包括：在进行SQL注入和一句话木马上传攻击时，实时抓取网络攻击中的数据包信息；对抓取的数据包信息进行报文解析，并从解析后的信息中提取攻击相关特征；将提取的攻击相关特征与预设特征库中的攻击特征进行匹配，并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配；在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下，基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据；对所述安全日志数据进行采集，得到安全告警数据以实现对漏洞的取证。

技术领域

本发明涉及互联网领域，尤其涉及一种webshell检测取证方法及系统。

背景技术

文件上传漏洞起因源于服务器端或前端检测不严格或控制端存在诸多非限制条件，导致攻击者可以利用拦截工具，修改文件属性类型等操作，从而上传可以执行的脚本文件，以获取系统的WebShell，进而实现LocalSystem命令执行。其中文件上传漏洞产生的主要原因有：上传木马脚本文件、服务器端解析漏洞。

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

然而，关于互联网上存在的web安全漏洞的分析方面，目前尚无法实现自动获取漏洞的证据，只能通过代码分析或者人为判断，但这样的方式不仅存在误判的情况，且效率也较低。

发明内容

本发明提供了一种webshell检测取证方法及系统，能够解决上述现有技术中的问题。

本发明提供了一种webshell检测取证方法，其中，该方法包括：

在进行SQL注入和一句话木马上传攻击时，实时抓取网络攻击中的数据包信息；

对抓取的数据包信息进行报文解析，并从解析后的信息中提取攻击相关特征；

将提取的攻击相关特征与预设特征库中的攻击特征进行匹配，并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配；

在抓取的数据包信息的IP与IP黑名单中的IP匹配的情况下，基于所述预设特征库中与提取的攻击相关特征相匹配的攻击特征生成安全日志数据；

对所述安全日志数据进行采集，得到安全告警数据以实现对漏洞的取证。

优选地，该方法还包括对所述安全告警数据进行显示。

优选地，该方法还包括对抓取的数据包信息进行存储。

优选地，所述安全告警数据包括时间、攻击描述、源IP、目的IP、木马链接和密码、以及WebShell链接URL和WebShell密码。

优选地，抓取的数据包信息包括时间、数据包大小、IP地址和端口。

本发明还提供了一种webshell检测取证系统，其中，该系统包括：

抓取模块，用于在进行SQL注入和一句话木马上传攻击时，实时抓取网络攻击中的数据包信息；

解析提取模块，用于对抓取的数据包信息进行报文解析，并从解析后的信息中提取攻击相关特征；

匹配判断模块，用于将提取的攻击相关特征与预设特征库中的攻击特征进行匹配，并在存在匹配的情况下判断抓取的数据包信息的IP是否与IP黑名单中的IP匹配；