腳本行為關(guān)聯(lián)防御系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及腳本行為關(guān)聯(lián)防御系統(tǒng),利用腳本解釋執(zhí)行會在同一個線程里執(zhí)行的特性,在腳本執(zhí)行時記錄腳本行為與線程關(guān)聯(lián)信息,監(jiān)控腳本信息的執(zhí)行過程,判斷過程是否正常,否則立即采取相應的攔截措施?,F(xiàn)有網(wǎng)站保護只攔截API,當有可疑行為時不能定位和識別是由什么腳本所產(chǎn)生,也就不能對某一后門進行攔截或定位,如果后門隱藏很深,將很難發(fā)現(xiàn)和清理。本發(fā)明可快速定位腳本行為,并能禁止腳本的再次執(zhí)行,讓網(wǎng)站運行在安全狀態(tài),同時還可實現(xiàn)網(wǎng)站權(quán)限設(shè)置、禁止網(wǎng)站腳本跨目錄操作、檢測和攔截網(wǎng)站使用的數(shù)據(jù)庫帳號、控制指定站點程序的可執(zhí)行性、控制指定網(wǎng)站連接外網(wǎng)、禁止指定網(wǎng)站加載指定組件等功能,具有設(shè)置細致、安全可靠的優(yōu)點。
【專利說明】腳本行為關(guān)聯(lián)防御系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域,具體涉及腳本行為關(guān)聯(lián)防御系統(tǒng),用于網(wǎng)站腳本行為檢測和攔截,能更早地發(fā)現(xiàn)安全問題,并做出相應的措施,防止黑客破壞。
【背景技術(shù)】
[0002]黑客入侵網(wǎng)站后一般都會寫入腳本后門Webshell,竊取服務、破壞系統(tǒng)與網(wǎng)站、下載數(shù)據(jù)庫等,現(xiàn)有網(wǎng)站保護軟件技術(shù)只攔截API,不能了解是哪個腳本產(chǎn)生的行為,最直接的問題是追查困難、耗時,無法找到隱藏很深的后門。如果網(wǎng)站被黑客入侵,其寫入后門隱藏性極高的文件很難通過現(xiàn)有技術(shù)來查殺,必須要有一種針對腳本行為的檢測識別系統(tǒng),盡早發(fā)現(xiàn)問題,把黑客禁在門外,讓網(wǎng)站和服務器運行在安全狀態(tài)。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的是提供腳本行為關(guān)聯(lián)防御系統(tǒng)。
[0004]腳本行為關(guān)聯(lián)防御系統(tǒng),利用記錄腳本執(zhí)行和線程關(guān)聯(lián)信息來記錄和監(jiān)控腳本后門Webshell的執(zhí)行行為,從而實現(xiàn)系統(tǒng)的監(jiān)控、檢測功能。
[0005]所述的腳本行為關(guān)聯(lián)防御系統(tǒng),當黑客訪問服務器腳本后門Webshell時,Web服務會傳遞腳本和IP信息給指定的腳本解釋器處理,腳本解釋器執(zhí)行腳本從開始至結(jié)束會在同一個線程中執(zhí)行,即使腳本創(chuàng)建新線程,也可以再進一步做記錄,在腳本執(zhí)行過程中,記錄當前的腳本行為和線程關(guān)聯(lián)信息,并判斷其過程是否正常,如果正常,直接處理返回;如果異常,通過腳本行為和線程關(guān)聯(lián)信息中所記錄的線程信息得到對應的腳本信息,再進一步采取相應的攔截或記錄措施。
[0006]所述的腳本行為關(guān)聯(lián)防御系統(tǒng),利用腳本行為與線程關(guān)聯(lián)信息,實現(xiàn)腳本行為文件的定位和追查、防止網(wǎng)站腳本跨目錄操作、指定網(wǎng)站禁止使用高權(quán)限數(shù)據(jù)庫帳號或者禁止加載指定的數(shù)據(jù)庫的功能。
[0007]本發(fā)明可快速定位腳本行為,并能禁止腳本的再次執(zhí)行,讓網(wǎng)站運行在安全狀態(tài),同時還可實現(xiàn)網(wǎng)站權(quán)限設(shè)置、控制指定站點程序的可執(zhí)行性、控制指定網(wǎng)站連接外網(wǎng)的功能,具有設(shè)置細致、安全可靠的優(yōu)點。
[0008]【專利附圖】
【附圖說明】:
圖1是正常Web服務處理的流程圖。
[0009]圖2是本發(fā)明腳本行為關(guān)聯(lián)防御模塊流程圖。
[0010]【具體實施方式】:
下面結(jié)合附圖及具體實施例對本發(fā)明再作進一步詳細的說明。
[0011]用戶(或黑客)訪問網(wǎng)站腳本時,Web服務都會轉(zhuǎn)發(fā)用戶請求到指定的腳本解釋器中去編譯執(zhí)行,腳本解釋器要處理必須讀取由Web服務傳來的腳本參數(shù)信息,當腳本解釋器讀取時做記錄處理,并把相關(guān)腳本信息和線程記錄起來,為后面的腳本行為檢測做準備,腳本執(zhí)行過程在同一個線程中處理,當有可疑行為時,讀取當前腳本所在線程所指定的記錄信息,就可以判斷是哪個腳本產(chǎn)生的行為,達到行為和腳本關(guān)聯(lián)的目的,為安全檢測做好準備。
[0012]應用示例:
1、禁止網(wǎng)站腳本跨目錄操作
以Iis的網(wǎng)站服務器為例,腳本執(zhí)行的時候能得到網(wǎng)站的目錄信息,通過攔截文件讀取、創(chuàng)建、列目錄的API,檢測是否為正常目錄的文件操作,可禁止網(wǎng)站上的腳本訪問虛擬主機以外的目錄,防止跨目錄、跨站攻擊,同時可檢測出哪個腳本在進行跨目錄的訪問或破壞其它網(wǎng)站,可以第一時間把可疑腳本提示給管理員,讓管理員能更早地發(fā)現(xiàn)問題,或直接攔截防止惡意腳本的破壞;
2、檢測和攔截網(wǎng)站使用的數(shù)據(jù)庫帳號
本發(fā)明通過攔截腳本中用于連接數(shù)據(jù)庫MYSQL/MSSQL的API,可以實現(xiàn)如下功能:
a)通過記錄信息中的網(wǎng)站ID控制網(wǎng)站只能使用的數(shù)據(jù)庫登陸帳號;
b)對網(wǎng)站使用高權(quán)限帳號時,作出相應的提示,讓管理員第一時間了解風險,防止因網(wǎng)站使用高權(quán)限帳號,導致服務器被入侵,能做到提前防范之目的;
c)可以指定哪些腳本能訪問數(shù)據(jù)庫,哪些腳本不能訪問,只要黑客通過后門訪問數(shù)據(jù)庫時,可以第一時間發(fā)現(xiàn)并攔截之,同時記錄黑客的IP,安全加倍。
[0013]3、控制指定站點程序的可執(zhí)行性
對指定網(wǎng)站設(shè)置可執(zhí)行程序的權(quán)限,當某網(wǎng)站需執(zhí)行權(quán)限,同時又不希望其它網(wǎng)站有執(zhí)行權(quán)限,可以分別對待。
[0014]4、控制指定網(wǎng)站連接外網(wǎng)
可實現(xiàn)某個網(wǎng)站訪問外網(wǎng)進行一些正常的通信,但又不是全局外連,禁止外網(wǎng)連接,可以防止常見的PHPDD0S、后門外連操作等。
[0015]5、禁止指定網(wǎng)站加載指定組件
可實現(xiàn)指定網(wǎng)站加載指定的組件,避免全局加載組件有可能帶來的安全風險。
【權(quán)利要求】
1.腳本行為關(guān)聯(lián)防御系統(tǒng),其特征是,利用記錄腳本執(zhí)行和線程關(guān)聯(lián)信息來記錄和監(jiān)控腳本后門Webshell的執(zhí)行行為,從而實現(xiàn)系統(tǒng)的監(jiān)控、檢測功能。
2.如權(quán)利要求1所述的腳本行為關(guān)聯(lián)防御系統(tǒng),其特征是,黑客訪問服務器腳本后門ffebshell, Web服務會傳遞腳本和IP信息給指定的腳本解釋器處理,腳本解釋器執(zhí)行腳本從開始至結(jié)束會在同一個線程中執(zhí)行,即使腳本創(chuàng)建新線程,也可以再進一步做記錄,在腳本執(zhí)行過程中,記錄當前的腳本行為和線程關(guān)聯(lián)信息,并判斷其過程是否正常,如果正常,直接處理返回;如果異常,通過腳本行為和線程關(guān)聯(lián)信息中所記錄的線程信息得到對應的腳本信息,再進一步采取相應的攔截或記錄措施。
3.如權(quán)利要求1所述的腳本行為關(guān)聯(lián)防御系統(tǒng),其特征是,利用腳本行為與線程關(guān)聯(lián)信息,實現(xiàn)腳本行為文件的定位和追查。
4.如權(quán)利要求1所述的腳本行為關(guān)聯(lián)防御系統(tǒng),其特征是,利用腳本行為與線程關(guān)聯(lián)信息,實現(xiàn)防止網(wǎng)站腳本跨目錄操作。
5.如權(quán)利要求1所述的腳本行為關(guān)聯(lián)防御系統(tǒng),其特征是,利用腳本行為與線程關(guān)聯(lián)信息,實現(xiàn)指定網(wǎng)站禁止使用高權(quán)限數(shù)據(jù)庫帳號,或者禁止加載指定的數(shù)據(jù)庫。
【文檔編號】H04L29/06GK103746960SQ201310638232
【公開日】2014年4月23日 申請日期:2013年12月3日 優(yōu)先權(quán)日:2013年12月3日
【發(fā)明者】彭岸峰 申請人:彭岸峰