71]在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)����。各種通用系統(tǒng)也可以與基于在此的示教一起使用��。根據(jù)上面的描述�����,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的�����。此外����,本發(fā)明也不針對(duì)任何特定編程語言��。應(yīng)當(dāng)明白���,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容�,并且上面對(duì)特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式��。
[0172]在此處所提供的說明書中��,說明了大量具體細(xì)節(jié)�����。然而,能夠理解�,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中���,并未詳細(xì)示出公知的方法�、結(jié)構(gòu)和技術(shù)�����,以便不模糊對(duì)本說明書的理解��。
[0173]類似地����,應(yīng)當(dāng)理解���,為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)����,在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中��,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖�、或者對(duì)其的描述中。然而�,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說���,如下面的權(quán)利要求書所反映的那樣����,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征��。因此��,遵循【具體實(shí)施方式】的權(quán)利要求書由此明確地并入該【具體實(shí)施方式】���,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例����。
[0174]本領(lǐng)域那些技術(shù)人員可以理解���,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中����。可以把實(shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件��,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件����。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對(duì)本說明書(包括伴隨的權(quán)利要求���、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合����。除非另外明確陳述��,本說明書(包括伴隨的權(quán)利要求�����、摘要和附圖)中公開的每個(gè)特征可以由提供相同��、等同或相似目的的替代特征來代替�。
[0175]此外��,本領(lǐng)域的技術(shù)人員能夠理解���,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征��,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例�����。例如�����,在下面的權(quán)利要求書中��,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用����。
[0176]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)���,或者以它們的組合實(shí)現(xiàn)�����。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解����,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的隨身電子防丟設(shè)備的狀態(tài)檢測方法、設(shè)備�����、服務(wù)器及系統(tǒng)設(shè)備中的一些或者全部部件的一些或者全部功能���。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如�,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)ο這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上�����,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式����。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供����,或者以任何其他形式提供。
[0177]應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說明而不是對(duì)本發(fā)明進(jìn)行限制��,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例�����。在權(quán)利要求中����,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟�����。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件���。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)��。在列舉了若干裝置的單元權(quán)利要求中���,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)。單詞第一�����、第二����、以及第三等的使用不表示任何順序?�?蓪⑦@些單詞解釋為名稱。
【主權(quán)項(xiàng)】
1.一種基于云的webshell攻擊檢測方法���,其特征在于����,所述方法包括: 截獲向網(wǎng)站服務(wù)器發(fā)送的腳本文件����; 基于云平臺(tái)檢測所述腳本文件中是否存在預(yù)設(shè)的特征變形痕跡,所述特征變形痕跡為對(duì)所述腳本文件中的特征語句進(jìn)行形式改動(dòng)所產(chǎn)生的痕跡����; 若所述腳本文件中存在所述特征變形痕跡,則根據(jù)預(yù)設(shè)的還原規(guī)則對(duì)改動(dòng)過的特征語句進(jìn)行還原���,所述還原規(guī)則為特征變形規(guī)則的逆規(guī)則����; 檢測還原后的特征語句是否與預(yù)設(shè)的基本特征語句相同�����,所述基本特征語句為攻擊敏感語句; 若所述還原后的特征語句與所述基本特征語句相同���,則確定所述腳本文件為webshell攻擊文件。2.根據(jù)權(quán)利要求1所述的方法���,其特征在于���,所述特征變形痕跡為以下一個(gè)或任意多個(gè)的組合: 注釋語句、變量賦值字符��、預(yù)設(shè)特征字符和預(yù)設(shè)特征函數(shù)名�����。3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,若所述特征變形痕跡包括注釋語句��,則所述基于云平臺(tái)檢測所述腳本文件中是否存在預(yù)設(shè)的特征變形痕跡�,包括: 基于所述云平臺(tái)檢測所述腳本文件中是否存在所述注釋語句; 所述若所述腳本文件中存在所述特征變形痕跡��,則根據(jù)預(yù)設(shè)的還原規(guī)則對(duì)改動(dòng)過的特征語句進(jìn)行還原�����,包括: 若所述腳本文件中存在所述注釋語句��,則將所述注釋語句刪除���。4.根據(jù)權(quán)利要求2所述的方法�����,其特征在于�����,若所述特征變形痕跡包括變量賦值字符�����,則所述基于云平臺(tái)檢測所述腳本文件中是否存在預(yù)設(shè)的特征變形痕跡�,包括: 基于所述云平臺(tái)檢測所述腳本文件中是否存在所述變量賦值字符����; 所述若所述腳本文件中存在所述特征變形痕跡����,則根據(jù)預(yù)設(shè)的還原規(guī)則對(duì)改動(dòng)過的特征語句進(jìn)行還原�����,包括: 若所述腳本文件中存在所述變量賦值字符���,則將被賦值的變量還原。5.根據(jù)權(quán)利要求2所述的方法�����,其特征在于����,若所述特征變形痕跡包括預(yù)設(shè)特征字符,則所述基于云平臺(tái)檢測所述腳本文件中是否存在預(yù)設(shè)的特征變形痕跡�����,包括: 基于所述云平臺(tái)檢測所述腳本文件中是否存在所述預(yù)設(shè)特征字符��; 所述若所述腳本文件中存在所述特征變形痕跡,則根據(jù)預(yù)設(shè)的還原規(guī)則對(duì)改動(dòng)過的特征語句進(jìn)行還原���,包括: 若所述腳本文件中存在所述預(yù)設(shè)特征字符��,則將所述預(yù)設(shè)特征字符刪除���。6.根據(jù)權(quán)利要求2所述的方法,其特征在于����,若所述特征變形痕跡包括預(yù)設(shè)特征函數(shù)名,則所述基于云平臺(tái)檢測所述腳本文件中是否存在預(yù)設(shè)的特征變形痕跡����,包括: 基于所述云平臺(tái)檢測所述腳本文件中是否存在所述預(yù)設(shè)特征函數(shù)名; 所述若所述腳本文件中存在所述特征變形痕跡�����,則根據(jù)預(yù)設(shè)的還原規(guī)則對(duì)改動(dòng)過的特征語句進(jìn)行還原����,包括: 若所述腳本文件中存在所述預(yù)設(shè)特征函數(shù)名,則根據(jù)特征函數(shù)功能的逆功能對(duì)對(duì)應(yīng)特征函數(shù)的語句進(jìn)行還原�����。7.根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的方法,其特征在于��,在所述檢測所述腳本文件中是否存在預(yù)設(shè)的特征變形痕跡之前��,所述方法進(jìn)一步包括: 向所述云平臺(tái)獲取所述特征變形痕跡�����、所述還原規(guī)則以及所述基本特征語句�; 或者����,通過所述云平臺(tái)更新本地緩存的所述特征變形痕跡、所述還原規(guī)則以及所述基本特征語句���。8.根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的方法��,其特征在于�����,在所述確定所述腳本文件為webshell攻擊文件之后��,所述方法進(jìn)一步包括: 向所述云平臺(tái)上報(bào)所述腳本文件��。9.一種基于云的webshell攻擊檢測裝置��,其特征在于���,所述裝置包括: 截獲單元�,用于截獲向網(wǎng)站服務(wù)器發(fā)送的腳本文件��; 檢測單元�����,用于基于云平臺(tái)檢測所述截獲單元截獲的所述腳本文件中是否存在預(yù)設(shè)的特征變形痕跡�,所述特征變形痕跡為對(duì)所述腳本文件中的特征語句進(jìn)行形式改動(dòng)所產(chǎn)生的痕跡; 還原單元����,用于當(dāng)所述檢測單元檢測到所述腳本文件中存在所述特征變形痕跡時(shí),根據(jù)預(yù)設(shè)的還原規(guī)則對(duì)改動(dòng)過的特征語句進(jìn)行還原�����,所述還原規(guī)則為特征變形規(guī)則的逆規(guī)則��; 所述檢測單元,還用于檢測所述還原單元還原后的特征語句是否與預(yù)設(shè)的基本特征語句相同����,所述基本特征語句為攻擊敏感語句; 確定單元����,用于當(dāng)所述檢測單元檢測到所述還原后的特征語句與所述基本特征語句相同時(shí),確定所述腳本文件為webshell攻擊文件���。10.一種基于云的webshell攻擊檢測網(wǎng)關(guān)�����,其特征在于,所述網(wǎng)關(guān)包括如權(quán)利要求9所述的裝置����。
【專利摘要】本發(fā)明公開了一種基于云的webshell攻擊檢測方法、裝置及網(wǎng)關(guān)��,涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域���,能夠解決現(xiàn)有技術(shù)中難以識(shí)別變形webshell攻擊的問題����。本發(fā)明的方法包括:截獲向網(wǎng)站服務(wù)器發(fā)送的腳本文件;基于云平臺(tái)檢測腳本文件中是否存在預(yù)設(shè)的特征變形痕跡�����,特征變形痕跡為對(duì)腳本文件中的特征語句進(jìn)行形式改動(dòng)所產(chǎn)生的痕跡��;若腳本文件中存在特征變形痕跡�,則根據(jù)預(yù)設(shè)的還原規(guī)則對(duì)改動(dòng)過的特征語句進(jìn)行還原,還原規(guī)則為特征變形規(guī)則的逆規(guī)則�;檢測還原后的特征語句是否與預(yù)設(shè)的基本特征語句相同,基本特征語句為攻擊敏感語句���;若還原后的特征語句與基本特征語句相同��,則確定腳本文件為webshell攻擊文件���。本發(fā)明適用于黑客向網(wǎng)站服務(wù)器發(fā)送webshell攻擊文件的場景中。
【IPC分類】H04L29/06, H04L12/66, H04L29/08
【公開號(hào)】CN105100065
【申請(qǐng)?zhí)枴緾N201510363767
【發(fā)明人】田進(jìn)山, 姚熙, 李紀(jì)峰
【申請(qǐng)人】北京奇虎科技有限公司
【公開日】2015年11月25日
【申請(qǐng)日】2015年6月26日