基于行为的政府网站未知Webshel检测方法研究.pdf

专 题 摘 要：提出了一种基于行为的检测未知Webshe_I的方法，此方法结合政府网站综合防护系统中大量的Webshell样本，从用 户访问行为、应用与系统交互行为和云端脚本虚拟机检测三个方面分别进行检测，最后再根据三个方面的综合检测 结果对未知Webshell进行判定。 Webshell后门，得到一个命令执行环境，以达到控制网站 一 、 背景 服务器的 目的 。 Webshell是政府网站面临的最大安全 问题，黑客通过 传统的Webshell具有明显的特征，通过特征检测或 Webshell攻击，可以篡改网页内容、张贴反动标语、网页 基于文本的机器学习手段可以检测出来。而未知Webshell 挂马、插入暗链等，严重损害政府的公众形象。近年来， 是指经过变形和隐藏等手段使常规的安全软件或设备无法 Webshell的存在形式和攻击模式也随着防护手段的提高在 发现其显著特征，近年来 ，未知Webshell的发现越来越 不断发展 。传统的单一的Webshell检测方法具有误报率 难 ，并且出现了以Web~JE务器为攻击对象的Webshell僵 高、严重滞后等缺陷，已经濒临淘汰。本文将介绍政府网 尸网络”。】。 站综合防护系统在未知Webshell攻击方面的防护方法。 Webshell~l：往是作为渗透服务器和内网的首要步骤， 大部分的黑客都是先通过获取Webshell，再进一步扩大攻 二、Webshell介绍 击成果，黑客一旦利用Webshel1种植更高权限的后门后， Webshell是1,~,asp、php、jsp或者cgi等网页文件形式 Webshell就失去了作用。 存在的一种命令执行环境，黑客在入侵了一个网站后，通 安全是一个此消彼长的动态过程，Webshell从出现到 常会将asp或php后门文件与网站服务器WEB目录下正常 现在也是经过了各种演变来躲避防护软件和安全人员的检 的网页文件混在一起 ，然后就可 以使用浏览器来访问 测。其常用的反检测手段主要有以下几种 ” ： 政府网站综合防护系统技术研究与实战应用 1隐藏：隐藏在正常网页文件中，与正常的网页代码 动态的实时分析方法 其应用场合非常单一，通用性很差。 混合在一起 ；隐藏在图片中或数据库当中；隐藏在远程 绝大多数的方法对Webshell的检测相对滞后。对未知的高级 web~E务器当中，利用远程包含或远程执行等漏洞运行。 Webshell没有有效的检测机制。 2混淆：在Webshell文件当中插入无用信息，比如在 四、 “网防GO1”的未知Webshell检测方法 php代码中插入注释符；字符串连接替换技术；加解密技 术；化整为散的技术；多重编码技术。 “网防GO1”系统通过对政府网站的未$1：]Webshell进 行行为特征分析和总结，进行基于行为的Webshell的检 三、Webshell检测研究现状 测，此方法通过在网站服务器上安装基于内核加固和驱动 Webshell主要 以文件形式存在，因此，目前研究人员 安全的Agent软件，Agent软件集成了waf探针模块和内核 主要从不同的角度和方法对Websh