本發(fā)明涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域,尤其涉及一種webshell檢測方法以及裝置、計算機裝置、可讀存儲介質(zhì)。
背景技術(shù):
一般的數(shù)據(jù)入侵是先控制web系統(tǒng),然后通過web系統(tǒng)去訪問數(shù)據(jù)庫進行數(shù)據(jù)竊取。由于借助web系統(tǒng)進行訪問時,訪問者的身份是合法的,防火墻無法識別這是異常訪問,則無法防御不這類攻擊。因此,數(shù)據(jù)庫安全產(chǎn)品,具備識別webshell行為的能力,至關(guān)重要。
然而,webshell檢測技術(shù)發(fā)展至今,較多側(cè)重于web主機檢測和網(wǎng)絡(luò)檢測:1、主機檢測,需要在網(wǎng)站服務(wù)器上安裝檢測查殺工具或軟件,主要使用的技術(shù)有靜態(tài)特征庫皮匹配、文件創(chuàng)建和修改時間監(jiān)控、最長單詞檢測、重合指數(shù)檢測、信息熵檢測、文件壓縮比檢測、hook危險函數(shù)等,該檢測方法相對比較成熟,但實時性不好;2、網(wǎng)絡(luò)檢測,即網(wǎng)絡(luò)流量特征匹配,體現(xiàn)為webshell本身代碼的傳輸流量特征匹和webshell在執(zhí)行時通信流量特征匹配,網(wǎng)絡(luò)流量特征匹配方法簡單、檢查迅速,但復(fù)雜的語義分析需要消耗的資源大,成本高,且對于已經(jīng)上傳webshell后的檢測效果較差。
因此,有必要提供優(yōu)于上述識別webshell行為的檢測方法。
技術(shù)實現(xiàn)要素:
本發(fā)明實施例提供了一種webshell檢測方法以及裝置、計算機裝置、可讀存儲介質(zhì),用于快速、有效地實現(xiàn)對webshell的檢測。
有鑒于此,本發(fā)明第一方面提供一種webshell檢測方法,可包括:
獲取訪問日志,訪問日志包括瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息、web業(yè)務(wù)系統(tǒng)基于http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息、數(shù)據(jù)庫系統(tǒng)基于數(shù)據(jù)請求信息向web業(yè)務(wù)系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息、web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息向瀏覽器反饋的http響應(yīng)信息;
從訪問日志中提取http響應(yīng)信息;
檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則確定http請求信息指向webshell。
進一步的,該方法還包括:
從訪問日志中提取數(shù)據(jù)響應(yīng)信息;
檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息包括:
根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息。
進一步的,根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息包括:
檢測數(shù)據(jù)響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則從數(shù)據(jù)響應(yīng)信息中提取敏感信息;
檢測http響應(yīng)信息是否包括敏感信息。
進一步的,在從訪問日志中提取http響應(yīng)信息之前,該方法還包括:
從訪問日志中提取數(shù)據(jù)請求信息;
解析數(shù)據(jù)請求信息是否包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令;
若是,則觸發(fā)從訪問日志中提取http響應(yīng)信息的步驟。
進一步的,在確定http請求信息指向webshell之后,該方法還包括:
針對http請求信息進行告警處理。
進一步的,在確定http請求信息指向webshell之后,該方法還包括:
記錄http請求信息對應(yīng)的網(wǎng)站的統(tǒng)一資源定位符url。
本發(fā)明第二方面提供一種webshell檢測裝置,可包括:
獲取單元,用于獲取訪問日志,訪問日志包括瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息、web業(yè)務(wù)系統(tǒng)基于http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息、數(shù)據(jù)庫系統(tǒng)基于數(shù)據(jù)請求信息向web業(yè)務(wù)系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息、web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息向瀏覽器反饋的http響應(yīng)信息;
第一提取單元,用于從訪問日志中提取http響應(yīng)信息;
檢測單元,用于檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
確定單元,用于當(dāng)http響應(yīng)信息包括數(shù)據(jù)庫系統(tǒng)的敏感信息時,則確定http請求信息指向webshell。
進一步的,裝置還包括:
第二提取單元,用于從訪問日志中提取數(shù)據(jù)響應(yīng)信息;
檢測單元,具體用于:
根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息。
進一步的,檢測單元,具體用于:
檢測數(shù)據(jù)響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則從數(shù)據(jù)響應(yīng)信息中提取敏感信息;
檢測http響應(yīng)信息是否包括敏感信息。
進一步的,裝置還包括:
第三提取單元,用于從訪問日志中提取數(shù)據(jù)請求信息;
解析單元,用于解析數(shù)據(jù)請求信息是否包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令;
觸發(fā)單元,用于當(dāng)數(shù)據(jù)請求信息包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令時,則觸發(fā)第一提取單元從訪問日志中提取http響應(yīng)信息。
進一步的,裝置還包括:
告警單元,用于針對http請求信息進行告警處理。
進一步的,裝置還包括:
記錄單元,用于記錄http請求信息對應(yīng)的網(wǎng)站的統(tǒng)一資源定位符url。
本發(fā)明第三方面提供一種計算機裝置,計算機裝置包括處理器,處理器用于執(zhí)行存儲器中存儲的計算機程序時,實現(xiàn)如下步驟:
獲取訪問日志,訪問日志包括瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息、web業(yè)務(wù)系統(tǒng)基于http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息、數(shù)據(jù)庫系統(tǒng)基于數(shù)據(jù)請求信息向web業(yè)務(wù)系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息,web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息向瀏覽器反饋的http響應(yīng)信息;
從訪問日志中提取http響應(yīng)信息;
檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則確定http請求信息指向webshell。
本發(fā)明第四方面提供一種計算機可讀存儲介質(zhì),其上存儲有計算機程序,計算機程序被處理器執(zhí)行時,處理器,用于執(zhí)行如下步驟:
獲取訪問日志,訪問日志包括瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息、web業(yè)務(wù)系統(tǒng)基于http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息、數(shù)據(jù)庫系統(tǒng)基于數(shù)據(jù)請求信息向web業(yè)務(wù)系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息,web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息向瀏覽器反饋的http響應(yīng)信息;
從訪問日志中提取http響應(yīng)信息;
檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則確定http請求信息指向webshell。
從以上技術(shù)方案可以看出,本發(fā)明實施例具有以下優(yōu)點:
本發(fā)明提供了一種webshell檢測方法,該方法通過提取訪問日志中由web業(yè)務(wù)系統(tǒng)反饋給瀏覽器的http響應(yīng)信息,可以檢測http響應(yīng)信息中是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息,若包括,則可以確定瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息指向webshell,即基于http請求信息的訪問行為不同于正常的訪問行為,為了避免數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)丟失,可以確定該訪問行為即webshell行為,相對于現(xiàn)有技術(shù)而言,該方法通過分析瀏覽器訪問web業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流,可以實現(xiàn)對webshell實時、快速而有效的檢測。
附圖說明
圖1為本發(fā)明實施例中webshell檢測方法一個實施例示意圖;
圖2為本發(fā)明實施例中瀏覽器、web業(yè)務(wù)系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)的信息交互示意圖;
圖3為本發(fā)明實施例中webshell檢測方法另一實施例示意圖;
圖4為本發(fā)明實施例中webshell檢測方法另一實施例示意圖;
圖5為本發(fā)明實施例中webshell檢測裝置一個實施例示意圖;
圖6為本發(fā)明實施例中webshell檢測裝置另一實施例示意圖;
圖7為本發(fā)明實施例中webshell檢測裝置另一實施例示意圖。
具體實施方式
本發(fā)明實施例提供了一種webshell檢測方法以及裝置、計算機裝置、可讀存儲介質(zhì),用于快速、有效地實現(xiàn)對webshell的檢測。
為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分的實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應(yīng)當(dāng)屬于本發(fā)明保護的范圍。
本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”、“第三”、“第四”等(如果存在)是用于區(qū)別類似的對象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的實施例能夠以除了在這里圖示或描述的內(nèi)容以外的順序?qū)嵤4送?,術(shù)語“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
一般來說,webshell,即web與shell的結(jié)合,是一種在web服務(wù)器中以網(wǎng)頁腳本形式存在的木馬文件。攻擊者通過直接訪問webshell文件,借助web服務(wù)器解析和執(zhí)行各種命令與操作,比如執(zhí)行任意系統(tǒng)命令、對系統(tǒng)上的文件進行增刪改查、植入各類惡意軟件以及進一步攻擊內(nèi)網(wǎng)數(shù)據(jù)庫等操作。以web服務(wù)器為目標(biāo)的攻擊的最終目的就是在目標(biāo)網(wǎng)站中植入webshell,方便持續(xù)訪問和控制。特別地,黑客一般通過控制web業(yè)務(wù)系統(tǒng),進行企業(yè)、政府等的數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)的竊取。
其中,web業(yè)務(wù)系統(tǒng),是由企業(yè)、政府等向互聯(lián)網(wǎng)用戶提供服務(wù)的可視化系統(tǒng)。互聯(lián)網(wǎng)用戶通過瀏覽器可以訪問web業(yè)務(wù)系統(tǒng),web業(yè)務(wù)系統(tǒng)根據(jù)互聯(lián)網(wǎng)用戶的訪問,可以向互聯(lián)網(wǎng)用戶反饋數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)信息。
對于數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)信息的獲取,正常用戶與非正常用戶的訪問行為表現(xiàn)不同:
例如,假設(shè)數(shù)據(jù)庫系統(tǒng)為a公司的銷售管理系統(tǒng),那么a公司的銷售人員在獲悉銷售管理系統(tǒng)的相應(yīng)數(shù)據(jù)信息時,主要在于了解如何下單,如何查看銷售數(shù)據(jù),但并不會去關(guān)心銷售管理系統(tǒng)中的數(shù)據(jù)是如何組織的,又是如何存儲的,然而,對于非正常用戶,如黑客而言,若需進行數(shù)據(jù)竊取,則需要了解銷售管理系統(tǒng)中的數(shù)據(jù)是如何組織的,又是如何存儲的,則意味著正常用戶與非正常用戶的訪問行為將不一致,由此可以用于檢測webshell。
為便于理解,下面對本發(fā)明實施例中的具體流程進行描述,請參閱圖1,本發(fā)明實施例中webshell檢測方法一個實施例包括:
101、獲取訪問日志;
本實施例中,諸如企業(yè)、政府的數(shù)據(jù)庫系統(tǒng)一般不對互聯(lián)網(wǎng)開放,開放的是web業(yè)務(wù)系統(tǒng),互聯(lián)網(wǎng)用戶無法直接對該數(shù)據(jù)庫系統(tǒng)進行訪問,而需要借助web業(yè)務(wù)系統(tǒng)進行訪問,那么當(dāng)互聯(lián)網(wǎng)用戶需要獲取相應(yīng)數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)時,如圖2所示,需要經(jīng)過以下流程:
1、互聯(lián)網(wǎng)用戶通過瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起http請求信息,以獲取數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù);
2、web業(yè)務(wù)系統(tǒng)接收到該http請求信息后,可以基于該http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起數(shù)據(jù)請求信息,以從數(shù)據(jù)庫系統(tǒng)獲取互聯(lián)網(wǎng)用戶需要獲取的數(shù)據(jù);
3、數(shù)據(jù)庫系統(tǒng)接收到數(shù)據(jù)請求信息后,可以基于該數(shù)據(jù)請求信息向web業(yè)務(wù)系統(tǒng)反饋數(shù)據(jù)響應(yīng)信息;
4、web業(yè)務(wù)系統(tǒng)接收到數(shù)據(jù)庫系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息后,可以基于該數(shù)據(jù)響應(yīng)信息向瀏覽器反饋http響應(yīng)信息,以在瀏覽器輸出用戶需要從數(shù)據(jù)庫系統(tǒng)中獲取的數(shù)據(jù)。
其中,http請求信息和http響應(yīng)信息可以為互聯(lián)網(wǎng)用戶通過瀏覽器訪問web業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流,數(shù)據(jù)請求信息和數(shù)據(jù)響應(yīng)信息可以為web業(yè)務(wù)系統(tǒng)訪問數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)流。
本實施例中,該方法可以由webshell檢測裝置來執(zhí)行,基于瀏覽器對web業(yè)務(wù)系統(tǒng)的訪問以及web業(yè)務(wù)系統(tǒng)對數(shù)據(jù)庫系統(tǒng)的訪問,該web檢測裝置可以鏡像瀏覽器訪問web業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流、web業(yè)務(wù)系統(tǒng)訪問數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)流,并記錄相應(yīng)的http請求信息、數(shù)據(jù)請求信息、數(shù)據(jù)響應(yīng)信息和http響應(yīng)信息,即獲取包括瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息、web業(yè)務(wù)系統(tǒng)基于http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息、數(shù)據(jù)庫系統(tǒng)基于數(shù)據(jù)請求信息向web業(yè)務(wù)系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息、web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息向瀏覽器反饋的http響應(yīng)信息的訪問日志。
需要說明的是,本實施例中,由于可以存在多個瀏覽器,且對于同一瀏覽器可以從不同網(wǎng)站進行http請求信息的發(fā)起,則webshell檢測裝置在鏡像瀏覽器訪問web業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流、web業(yè)務(wù)系統(tǒng)訪問數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)流并進行相應(yīng)的記錄時,獲取的訪問日志可以按照瀏覽器以及對應(yīng)的網(wǎng)站進行分類,以在檢測webshell行為時,基于http請求信息的訪問行為的分析具有較強的針對性。
102、從訪問日志中提取http響應(yīng)信息;
本實施例中,正常用戶在訪問數(shù)據(jù)庫系統(tǒng)時,也有可能會涉及數(shù)據(jù)庫系統(tǒng)的敏感信息,但在http請求信息、數(shù)據(jù)請求信息、數(shù)據(jù)響應(yīng)信息、http響應(yīng)信息中,只有為非正常用戶的訪問,http響應(yīng)信息可以包括數(shù)據(jù)庫系統(tǒng)的敏感信息,以使得非正常用戶可以根據(jù)該http響應(yīng)信息中攜帶的敏感信息進行數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)信息的竊取。因此,獲取訪問日志后,可以從訪問日志中提取http響應(yīng)信息,即web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息向瀏覽器反饋的http響應(yīng)信息。
103、檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息,若是,則執(zhí)行步驟104,若否,則執(zhí)行步驟105;
本實施例中,從訪問日志中提取http響應(yīng)信息后,可以檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息。
具體的,數(shù)據(jù)庫系統(tǒng)中可以包括多個數(shù)據(jù)庫,各個數(shù)據(jù)庫中可以包括多個數(shù)據(jù)表等內(nèi)部結(jié)構(gòu)組成,各個數(shù)據(jù)表在相應(yīng)數(shù)據(jù)庫中具有相應(yīng)的位置,各個數(shù)據(jù)庫在數(shù)據(jù)庫系統(tǒng)中也具有相應(yīng)的位置。其中,諸如數(shù)據(jù)庫的名稱、數(shù)據(jù)表的名稱、數(shù)據(jù)庫的位置、數(shù)據(jù)表的位置等表明數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)特征可以為數(shù)據(jù)庫系統(tǒng)的敏感信息。因此,從訪問日志中提取http響應(yīng)信息后,可以檢測http響應(yīng)信息中是否包括諸如數(shù)據(jù)庫的名稱、數(shù)據(jù)表的名稱、數(shù)據(jù)庫的位置、數(shù)據(jù)表的位置等表明數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)特征的敏感信息。
可以理解的是,本實施例中數(shù)據(jù)庫系統(tǒng)的敏感信息除了上述說明的內(nèi)容,還可以包括其它,如數(shù)據(jù)庫系統(tǒng)中存儲的用戶id、登錄口令、身份信息以及絕密報文等,只要為涉及數(shù)據(jù)庫系統(tǒng)的隱私與安全的信息即可,具體此處不做限定。
104、確定http請求信息指向webshell;
本實施例中,若檢測http響應(yīng)信息包括數(shù)據(jù)庫系統(tǒng)的敏感信息,則可以確定http請求信息指向webshell。
具體的,正常用戶與非正常用戶均無法通過瀏覽器直接訪問數(shù)據(jù)庫系統(tǒng),需要借助web業(yè)務(wù)系統(tǒng),如前,對于非正常用戶,如黑客而言,若需進行數(shù)據(jù)竊取,則需要了解數(shù)據(jù)庫系統(tǒng)的諸如數(shù)據(jù)特征等敏感信息,且該敏感信息可以由web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息反饋至非正常用戶使用的瀏覽器,那么當(dāng)http響應(yīng)信息包括數(shù)據(jù)庫系統(tǒng)的敏感信息時,可以確定由瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息指向webshell,即瀏覽器對web業(yè)務(wù)系統(tǒng)的訪問行為十分可疑,為了避免webshell對web業(yè)務(wù)系統(tǒng)的攻擊造成數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)泄露,可以將該訪問行為視為webshell行為。
105、結(jié)束流程。
本實施例中,若檢測http響應(yīng)信息不包括數(shù)據(jù)庫系統(tǒng)的敏感信息,則意味著基于http請求信息的訪問行為不為webshell行為,那么可以不進行其它操作,即結(jié)束流程,以實現(xiàn)瀏覽器、web業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)之間正常的信息交互。
本實施例中,通過提取訪問日志中由web業(yè)務(wù)系統(tǒng)反饋給瀏覽器的http響應(yīng)信息,可以檢測http響應(yīng)信息中是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息,若包括,則可以確定瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息指向webshell,即基于http請求信息的訪問行為不同于正常的訪問行為,為了避免數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)丟失,可以確定該訪問行為即webshell行為,相對于現(xiàn)有技術(shù)而言,該方法通過分析瀏覽器訪問web業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流,可以實現(xiàn)對webshell實時、快速而有效的檢測。
可以理解的是,在檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息時,可以預(yù)先設(shè)置諸如數(shù)據(jù)庫系統(tǒng)的敏感信息庫,該敏感信息庫中包括數(shù)據(jù)庫系統(tǒng)的所有敏感信息,并可以根據(jù)數(shù)據(jù)庫系統(tǒng)的更新而進行更新,在訪問日志中提取到http響應(yīng)信息后,可以解析http響應(yīng)信息,并將http響應(yīng)信息與敏感信息庫中的敏感信息進行匹配,若匹配成功,則可以確定http響應(yīng)信息包括數(shù)據(jù)庫系統(tǒng)的敏感信息。
在實際應(yīng)用中,除了采用上述方法檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息,還可以采用其它方式,例如:
請參閱圖3,本發(fā)明實施例中webshell檢測方法另一實施例包括:
301、獲取訪問日志;
302、從訪問日志中提取http響應(yīng)信息;
本實施例中的步驟301至步驟302與圖1所示實施例中的步驟101至步驟102相同,此處不再贅述。
303、從訪問日志中提取數(shù)據(jù)響應(yīng)信息;
本實施例中,獲取訪問日志后,可以從訪問日志中提取數(shù)據(jù)響應(yīng)信息,即數(shù)據(jù)庫系統(tǒng)基于數(shù)據(jù)請求信息向web業(yè)務(wù)系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息。
需要說明的是,本實施例中步驟303可以在步驟302之前執(zhí)行,也可以與步驟303同時執(zhí)行,只要在獲取訪問日志后執(zhí)行即可,具體此處不做限定。
304、根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息,若是,則執(zhí)行步驟305,若否,則執(zhí)行步驟306;
本實施例中,從訪問日志中提取http響應(yīng)信息和數(shù)據(jù)響應(yīng)信息后,可以根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息。
具體的,數(shù)據(jù)響應(yīng)信息反映了web業(yè)務(wù)系統(tǒng)訪問數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)流,http響應(yīng)信息反映了互聯(lián)網(wǎng)用戶通過瀏覽器訪問web業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流,由于http響應(yīng)信息是由web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息反饋至瀏覽器,則數(shù)據(jù)響應(yīng)信息中是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息,可以直接反映http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息,當(dāng)數(shù)據(jù)響應(yīng)信息和http響應(yīng)信息同時包括數(shù)據(jù)庫系統(tǒng)的敏感信息時,可以判定互聯(lián)網(wǎng)用戶通過瀏覽器訪問web業(yè)務(wù)系統(tǒng)的行為webshell行為。需要說明的是,基于互聯(lián)網(wǎng)用戶的訪問需要,對于正常訪問而言,數(shù)據(jù)響應(yīng)信息中可以包括數(shù)據(jù)庫系統(tǒng)的敏感信息,但http響應(yīng)信息中不會包括數(shù)據(jù)庫系統(tǒng)的敏感信息。
本實施例中,通過關(guān)聯(lián)分析這兩種流量特征,可以提高判斷webshell行為的準(zhǔn)確性以及效率,根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息的具體方式可以為:
檢測數(shù)據(jù)響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則從數(shù)據(jù)響應(yīng)信息中提取敏感信息;
檢測http響應(yīng)信息是否包括敏感信息。
具體的,從訪問日志中提取數(shù)據(jù)響應(yīng)信息后,可以先行檢測數(shù)據(jù)響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息,諸如是否包括數(shù)據(jù)庫的名稱等,若包括,則說明基于數(shù)據(jù)響應(yīng)信息反饋至瀏覽器的http響應(yīng)信息可能有包括數(shù)據(jù)庫系統(tǒng)的敏感信息的風(fēng)險,若不包括,則說明基于數(shù)據(jù)響應(yīng)信息反饋至瀏覽器的http響應(yīng)信息也不會包括數(shù)據(jù)庫系統(tǒng)的敏感信息。
進一步的,當(dāng)檢測數(shù)據(jù)響應(yīng)信息包括數(shù)據(jù)庫系統(tǒng)的敏感信息時,如敏感信息a,可以繼續(xù)對http響應(yīng)信息進行分析,即從數(shù)據(jù)響應(yīng)信息中提取該敏感信息a,并將該提取的敏感信息a與http響應(yīng)信息進行匹配,以檢測http響應(yīng)信息是否包括該敏感信息a。
需要說明的是,本實施例中根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息的具體方式除了上述說明的內(nèi)容,在實際應(yīng)用中,還可以采用其它方式,例如,將數(shù)據(jù)響應(yīng)信息與http響應(yīng)信息進行匹配,再檢測匹配到的相同內(nèi)容部分是否包括敏感信息,若包括,則可以確定http響應(yīng)信息包括數(shù)據(jù)庫系統(tǒng)的敏感信息,反之,則不包括,具體此處不做限定。
305、確定http請求信息指向webshell;
本實施例中的步驟305與圖1所示實施例中的步驟104相同,此處不再贅述。
進一步的,本實施例中,確定http請求信息指向webshell后,即確定基于http請求信息的訪問行為為webshell行為,可以針對該http請求信息進行告警處理,如向數(shù)據(jù)庫系統(tǒng)的管理員發(fā)送危險警告信息,以提示管理員及早做出響應(yīng),以免丟失數(shù)據(jù)。
更進一步的,本實施例中,為了加強數(shù)據(jù)庫系統(tǒng)的安全,確定基于http請求信息的訪問行為為webshell行為后,可以記錄http請求信息對應(yīng)的網(wǎng)站的統(tǒng)一資源定位符url,以在該url對應(yīng)的網(wǎng)站通過瀏覽器再次向web業(yè)務(wù)系統(tǒng)發(fā)起http請求信息時,可以直接判斷基于該http請求信息的訪問行為為webshell行為,由此不需要web業(yè)務(wù)系統(tǒng)向數(shù)據(jù)庫系統(tǒng)發(fā)起數(shù)據(jù)請求信息、接收數(shù)據(jù)庫系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息以及向瀏覽器反饋http響應(yīng)信息后,再對http響應(yīng)信息進行相應(yīng)的檢測后進行應(yīng)急處理,此種處理效率更高,且能夠及時避免可能導(dǎo)致數(shù)據(jù)丟失的現(xiàn)象的發(fā)生。同時,在該種情況下,也可以及時阻斷http請求信息,以防止web業(yè)務(wù)系統(tǒng)基于該http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起數(shù)據(jù)請求信息。
306、結(jié)束流程。
本實施例中,若根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息不包括數(shù)據(jù)庫系統(tǒng)的敏感信息,則意味著基于http請求信息的訪問行為不為webshell行為,那么可以不進行其它操作,即結(jié)束流程,以實現(xiàn)瀏覽器、web業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)之間正常的信息交互。
可以理解的是,本實施例中,若互聯(lián)網(wǎng)用戶為非正常用戶,如黑客,當(dāng)其需要通過瀏覽器并借助于web業(yè)務(wù)系統(tǒng)獲取數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)信息時,可以通過webshell,向數(shù)據(jù)庫系統(tǒng)發(fā)送獲取數(shù)據(jù)信息的相應(yīng)指令(如sql語句),該指令可以攜帶于web業(yè)務(wù)系統(tǒng)向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息中,以使得數(shù)據(jù)庫系統(tǒng)的防火墻無法識別此類攻擊。因此,為了排除這種攻擊型訪問,以免非正常用戶對數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)信息的竊取,可以先行對數(shù)據(jù)請求信息進行相應(yīng)的解析,下面進行具體說明:
請參閱圖4,本發(fā)明實施例中webshell檢測方法另一實施例包括:
401、獲取訪問日志;
本實施例中的步驟401與圖3所示實施例中的步驟201相同,此處不再贅述。
402、從訪問日志中提取數(shù)據(jù)請求信息;
本實施例中,獲取訪問日志后,可以從訪問日志中提取數(shù)據(jù)請求信息,即web業(yè)務(wù)系統(tǒng)基于http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息。
403、解析數(shù)據(jù)請求信息是否包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令,若是,則執(zhí)行步驟404,若否,則執(zhí)行步驟408;
本實施例中,獲取訪問日志后,可以從訪問日志后提取數(shù)據(jù)請求信息,并可以解析該數(shù)據(jù)請求信息是否包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令。
具體的,互聯(lián)網(wǎng)用戶借助web業(yè)務(wù)瀏覽器訪問數(shù)據(jù)庫系統(tǒng)時,需要經(jīng)過http請求信息的發(fā)起、基于http請求信息的數(shù)據(jù)請求信息的發(fā)起,基于數(shù)據(jù)請求信息的數(shù)據(jù)響應(yīng)信息的反饋、基于數(shù)據(jù)響應(yīng)信的http響應(yīng)信息的反饋這四個流程,而一般來說,http請求信息進行了相應(yīng)的加密處理,則當(dāng)非正常用戶竊取數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)信息時,需要借助web業(yè)務(wù)系統(tǒng)向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息,并在其中攜帶用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令,以防止數(shù)據(jù)庫系統(tǒng)的防火墻的識別。因此,獲取到訪問日志后,可以先行從中提取數(shù)據(jù)請求信息,并解析該數(shù)據(jù)請求信息是否包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令,以判斷http響應(yīng)信息包括數(shù)據(jù)庫敏感信息的可能性,并用于確定進一步基于http請求信息的訪問行為是否為webshell行為。
404、從訪問日志中提取http響應(yīng)信息;
本實施例中,若解析數(shù)據(jù)請求信息包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令,則意味著基于http請求信息的訪問行為很有可能為webshell行為,那么為了防止基于http請求信息的訪問行為為webshell行為時造成的數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)丟失,可以從訪問日志中提取http響應(yīng)信息,以論證基于http請求信息的訪問行為是否為webshell行為,從而可以有效避免數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)丟失。
405、從訪問日志中提取數(shù)據(jù)響應(yīng)信息;
406、根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息,若是,則執(zhí)行步驟407,若否,則執(zhí)行步驟408;
407、確定http請求信息指向webshell;
本實施例中的步驟404至步驟408與圖3所示實施例中的302至步驟306相同,此處不再贅述。
408、結(jié)束流程。
本實施例中,若解析數(shù)據(jù)請求信息不包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令,則可以確定基于http請求信息的訪問行為不為webshell行為,那么可以不進行其它操作,即結(jié)束流程,以實現(xiàn)瀏覽器、web業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)之間正常的信息交互。
本實施例中,若根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息不包括數(shù)據(jù)庫系統(tǒng)的敏感信息,則意味著基于http請求信息的訪問行為不為webshell行為,那么可以不進行其它操作,即結(jié)束流程,以實現(xiàn)瀏覽器、web業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)之間正常的信息交互。
上面對本發(fā)明實施例中的webshell檢測方法進行了描述,下面對本發(fā)明實施例中的webshell檢測裝置進行描述,請參閱圖5,本發(fā)明實施例中webshell檢測裝置一個實施例包括:
獲取單元501,用于獲取訪問日志,訪問日志包括瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息、web業(yè)務(wù)系統(tǒng)基于http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息、數(shù)據(jù)庫系統(tǒng)基于數(shù)據(jù)請求信息向web業(yè)務(wù)系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息,web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息向瀏覽器反饋的http響應(yīng)信息;
第一提取單元502,用于從訪問日志中提取http響應(yīng)信息;
檢測單元503,用于檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
確定單元504,用于當(dāng)http響應(yīng)信息包括數(shù)據(jù)庫系統(tǒng)的敏感信息時,則確定http請求信息指向webshell。
請參閱圖6,本發(fā)明實施例中webshell檢測裝置另一實施例包括:
本實施例中的單元601與圖5所示實施例中的單元501相同,單元602與圖5所示實施例中的單元502相同,此處不再贅述。
第二提取單元603,用于從訪問日志中提取數(shù)據(jù)響應(yīng)信息;
檢測單元604,用于根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
本實施例中的單元605與圖5所示實施例中的單元504相同,此處不再贅述。
告警單元606,用于針對http請求信息進行告警處理;
記錄單元607,用于記錄http請求信息對應(yīng)的網(wǎng)站的統(tǒng)一資源定位符url。
可選的,在本發(fā)明的一些實施例中,檢測單元604,可以進一步具體用于:
檢測數(shù)據(jù)響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則從數(shù)據(jù)響應(yīng)信息中提取敏感信息;
檢測http響應(yīng)信息是否包括敏感信息。
請參閱圖7,本發(fā)明實施例中webshell檢測裝置另一實施例包括:
本實施例中的單元701與圖6所示實施例中的單元601相同,此處不再贅述。
第三提取單元702,用于從訪問日志中提取數(shù)據(jù)請求信息;
解析單元703,用于解析數(shù)據(jù)請求信息是否包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令;
本實施例中的單元704與圖6所示實施例中的單元602相同,此處不再贅述。
觸發(fā)單元705,用于當(dāng)數(shù)據(jù)請求信息包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令時,則觸發(fā)第一提取單元從訪問日志中提取http響應(yīng)信息。
本實施例中的單元706與圖6所示實施例中的單元603相同,單元707與圖6所示實施例中的單元604相同,單元708與圖6所示實施例中的單元605相同,單元709與圖6所示實施例中的單元606相同,單元710與圖6所示實施例中的單元607相同,此處不再贅述。
上面從模塊化功能實體的角度對本發(fā)明實施例中的webshell檢測裝置進行了描述,下面從硬件處理的角度對本發(fā)明實施例中的計算機裝置進行描述:
本發(fā)明實施例中計算機裝置一個實施例包括:
處理器以及存儲器;
存儲器用于存儲計算機程序,處理器用于執(zhí)行存儲器中存儲的計算機程序時,可以實現(xiàn)如下步驟:
獲取訪問日志,訪問日志包括瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息、web業(yè)務(wù)系統(tǒng)基于http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息、數(shù)據(jù)庫系統(tǒng)基于數(shù)據(jù)請求信息向web業(yè)務(wù)系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息、web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息向瀏覽器反饋的http響應(yīng)信息;
從訪問日志中提取http響應(yīng)信息;
檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則確定http請求信息指向webshell。
在本發(fā)明的一些實施例中,處理器,還可以用于實現(xiàn)如下步驟:
從訪問日志中提取數(shù)據(jù)響應(yīng)信息;
檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息包括:
根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息。
在本發(fā)明的一些實施例中,處理器,還可以用于實現(xiàn)如下步驟:
檢測數(shù)據(jù)響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則從數(shù)據(jù)響應(yīng)信息中提取敏感信息;
檢測http響應(yīng)信息是否包括敏感信息。
在本發(fā)明的一些實施例中,處理器,還可以用于實現(xiàn)如下步驟:
從訪問日志中提取數(shù)據(jù)請求信息;
解析數(shù)據(jù)請求信息是否包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令;
若是,則觸發(fā)從訪問日志中提取http響應(yīng)信息的步驟。
在本發(fā)明的一些實施例中,處理器,還可以用于實現(xiàn)如下步驟:
針對http請求信息進行告警處理。
在本發(fā)明的一些實施例中,處理器,還可以用于實現(xiàn)如下步驟:
記錄http請求信息對應(yīng)的網(wǎng)站的統(tǒng)一資源定位符url。
可以理解的是,上述說明的計算機裝置中的處理器執(zhí)行所述計算機程序時,也可以實現(xiàn)上述對應(yīng)的各裝置實施例中各單元的功能,此處不再贅述。示例性的,所述計算機程序可以被分割成一個或多個模塊/單元,所述一個或者多個模塊/單元被存儲在所述存儲器中,并由所述處理器執(zhí)行,以完成本發(fā)明。所述一個或多個模塊/單元可以是能夠完成特定功能的一系列計算機程序指令段,該指令段用于描述所述計算機程序在所述webshell檢測設(shè)備中的執(zhí)行過程。例如,所述計算機程序可以被分割成上述webshell檢測設(shè)備中的各單元,各單元可以實現(xiàn)如上述相應(yīng)webshell檢測設(shè)備說明的具體功能。
所述計算機裝置可以是桌上型計算機、筆記本、掌上電腦及云端服務(wù)器等計算設(shè)備。所述計算機裝置可包括但不僅限于處理器、存儲器。本領(lǐng)域技術(shù)人員可以理解,處理器、存儲器僅僅是計算機裝置的示例,并不構(gòu)成對計算機裝置的限定,可以包括更多或更少的部件,或者組合某些部件,或者不同的部件,例如所述計算機裝置還可以包括輸入輸出設(shè)備、網(wǎng)絡(luò)接入設(shè)備、總線等。
所述處理器可以是中央處理單元(centralprocessingunit,cpu),還可以是其他通用處理器、數(shù)字信號處理器(digitalsignalprocessor,dsp)、專用集成電路(applicationspecificintegratedcircuit,asic)、現(xiàn)成可編程門陣列(field-programmablegatearray,fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件等。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等,所述處理器是所述計算機裝置的控制中心,利用各種接口和線路連接整個計算機裝置的各個部分。
所述存儲器可用于存儲所述計算機程序和/或模塊,所述處理器通過運行或執(zhí)行存儲在所述存儲器內(nèi)的計算機程序和/或模塊,以及調(diào)用存儲在存儲器內(nèi)的數(shù)據(jù),實現(xiàn)所述計算機裝置的各種功能。所述存儲器可主要包括存儲程序區(qū)和存儲數(shù)據(jù)區(qū),其中,存儲程序區(qū)可存儲操作系統(tǒng)、至少一個功能所需的應(yīng)用程序等;存儲數(shù)據(jù)區(qū)可存儲根據(jù)終端的使用所創(chuàng)建的數(shù)據(jù)等。此外,存儲器可以包括高速隨機存取存儲器,還可以包括非易失性存儲器,例如硬盤、內(nèi)存、插接式硬盤,智能存儲卡(smartmediacard,smc),安全數(shù)字(securedigital,sd)卡,閃存卡(flashcard)、至少一個磁盤存儲器件、閃存器件、或其他易失性固態(tài)存儲器件。
本發(fā)明還提供了一種計算機可讀存儲介質(zhì),該計算機可讀存儲介質(zhì)上存儲有計算機程序,計算機程序被處理器執(zhí)行時,處理器,可以用于執(zhí)行如下步驟:
獲取訪問日志,訪問日志包括瀏覽器向web業(yè)務(wù)系統(tǒng)發(fā)起的http請求信息、web業(yè)務(wù)系統(tǒng)基于http請求信息向數(shù)據(jù)庫系統(tǒng)發(fā)起的數(shù)據(jù)請求信息、數(shù)據(jù)庫系統(tǒng)基于數(shù)據(jù)請求信息向web業(yè)務(wù)系統(tǒng)反饋的數(shù)據(jù)響應(yīng)信息、web業(yè)務(wù)系統(tǒng)基于數(shù)據(jù)響應(yīng)信息向瀏覽器反饋的http響應(yīng)信息;
從訪問日志中提取http響應(yīng)信息;
檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則確定http請求信息指向webshell。
在本發(fā)明的一些實施例中,計算機可讀存儲介質(zhì)存儲的計算機程序被處理器執(zhí)行時,處理器,可以具體用于執(zhí)行如下步驟:
從訪問日志中提取數(shù)據(jù)響應(yīng)信息;
檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息包括:
根據(jù)數(shù)據(jù)響應(yīng)信息,檢測http響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息。
在本發(fā)明的一些實施例中,計算機可讀存儲介質(zhì)存儲的計算機程序被處理器執(zhí)行時,處理器,可以具體用于執(zhí)行如下步驟:
檢測數(shù)據(jù)響應(yīng)信息是否包括數(shù)據(jù)庫系統(tǒng)的敏感信息;
若包括,則從數(shù)據(jù)響應(yīng)信息中提取敏感信息;
檢測http響應(yīng)信息是否包括敏感信息。
在本發(fā)明的一些實施例中,計算機可讀存儲介質(zhì)存儲的計算機程序被處理器執(zhí)行時,處理器,可以具體用于執(zhí)行如下步驟:
從訪問日志中提取數(shù)據(jù)請求信息;
解析數(shù)據(jù)請求信息是否包括用于指示獲取數(shù)據(jù)庫系統(tǒng)的敏感信息的指令;
若是,則觸發(fā)從訪問日志中提取http響應(yīng)信息的步驟。
在本發(fā)明的一些實施例中,計算機可讀存儲介質(zhì)存儲的計算機程序被處理器執(zhí)行時,處理器,可以具體用于執(zhí)行如下步驟:
針對http請求信息進行告警處理。
在本發(fā)明的一些實施例中,計算機可讀存儲介質(zhì)存儲的計算機程序被處理器執(zhí)行時,處理器,可以具體用于執(zhí)行如下步驟:
記錄http請求信息對應(yīng)的網(wǎng)站的統(tǒng)一資源定位符url。
可以理解的是,所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時,可以存儲在相應(yīng)的一個計算機可讀取存儲介質(zhì)中?;谶@樣的理解,本發(fā)明實現(xiàn)上述相應(yīng)的實施例方法中的全部或部分流程,也可以通過計算機程序來指令相關(guān)的硬件來完成,所述的計算機程序可存儲于一計算機可讀存儲介質(zhì)中,該計算機程序在被處理器執(zhí)行時,可實現(xiàn)上述各個方法實施例的步驟。其中,所述計算機程序包括計算機程序代碼,所述計算機程序代碼可以為源代碼形式、對象代碼形式、可執(zhí)行文件或某些中間形式等。所述計算機可讀介質(zhì)可以包括:能夠攜帶所述計算機程序代碼的任何實體或裝置、記錄介質(zhì)、u盤、移動硬盤、磁碟、光盤、計算機存儲器、只讀存儲器(rom,read-onlymemory)、隨機存取存儲器(ram,randomaccessmemory)、電載波信號、電信信號以及軟件分發(fā)介質(zhì)等。需要說明的是,所述計算機可讀介質(zhì)包含的內(nèi)容可以根據(jù)司法管轄區(qū)內(nèi)立法和專利實踐的要求進行適當(dāng)?shù)脑鰷p,例如在某些司法管轄區(qū),根據(jù)立法和專利實踐,計算機可讀介質(zhì)不包括電載波信號和電信信號。
所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡潔,上述描述的系統(tǒng),裝置和單元的具體工作過程,可以參考前述方法實施例中的對應(yīng)過程,在此不再贅述。
在本申請所提供的幾個實施例中,應(yīng)該理解到,所揭露的系統(tǒng),裝置和方法,可以通過其它的方式實現(xiàn)。例如,以上所描述的裝置實施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現(xiàn)時可以有另外的劃分方式,例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,裝置或單元的間接耦合或通信連接,可以是電性,機械或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡(luò)單元上。可以根據(jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。
另外,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。
以上所述,以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對前述各實施例所記載的技術(shù)方案進行修改,或者對其中部分技術(shù)特征進行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。