一种基于高速网络的WebShell综合检测溯源技术研究与实现

doi:10.3969/j.issn.1671-1122.2021.01.008

信息网络安全 ›› 2021, Vol. 21 ›› Issue (1): 65-71.doi: 10.3969/j.issn.1671-1122.2021.01.008

一种基于高速网络的WebShell综合检测溯源技术研究与实现

王跃达¹(), 黄潘², 荆涛³, 宋雅稀¹

1.中国科学院计算机网络信息中心,北京 100190
2.北龙泽达（北京）数据科技有限公司,北京 100190
3.中国科学院办公厅,北京 100864

收稿日期:2020-11-07 出版日期:2021-01-10 发布日期:2021-02-23
通讯作者: 王跃达 E-mail:anquanip@cnic.cn
作者简介:王跃达（1982—）,男,吉林,高级工程师,本科,主要研究方向为网络空间安全|黄潘（2000—）,男,湖北,工程师,主要研究方向为流量检测、网络攻击|荆涛（1979—）,男,吉林,高级工程师,博士,主要研究方向为网络与信息安全、流量协议分析|宋雅稀（1994—）,女,河北,硕士,主要研究方向为网络安全
基金资助:
国家重点研发计划(2017YFB0801902)

Research and Implementation on WebShell Comprehensive Detection and Traceability Technology Based on High-speed Network

WANG Yueda¹(), HUANG Pan², JING Tao³, SONG Yaxi¹

1. Computer Network Information Center, Chinese Academy of Sciences, Beijing 100190, China
2. Beilong Zedata (Beijing) Data Technology Co., Ltd., Beijing 100190, China
3. Office of General Affairs,Chinese Academy of Sciences, Beijing 100864, China

Received:2020-11-07 Online:2021-01-10 Published:2021-02-23
Contact: WANG Yueda E-mail:anquanip@cnic.cn

摘要/Abstract

摘要：

WebShell是常见的Web脚本入侵攻击工具。攻击者将WebShell植入网站服务器后可对网站服务器进行控制,获取服务器操作权限。WebShell通常嵌套在正常网页脚本中,具有极强的隐蔽性,对网站自身及访问者带来极大危害。针对这些问题,文章提出一种基于DPDK的高速网络流量分析检测技术,在高速网络环境中对网络流量进行数据包捕获和解析,并通过特征码匹配的方式实现对WebShell的高效检测,同时对WebShell文件和攻击者进行溯源分析。

关键词: WebShell, DPDK, 流量分析, 溯源分析

Abstract:

WebShell is a common Web script intrusion attack tool. By implanting WebShell into the Website server, the Website server can be controlled and the server operating program permissions can be obtained. WebShell is usually nested in normal Webpage scripts, which has strong concealment and brings great harm to the Website itself and visitors. In response to the above problems, this paper proposes a high-speed network traffic analysis and detection technology based on DPDK, which captures and analyzes network traffic in a high-speed network environment, and realizes efficient detection of WebShell in traffic data packets through feature code matching. At the same time, the WebShell file and the attacker are traced and analyzed.

Key words: WebShell, DPDK, traffic analysis, traceability analysis

中图分类号:

TP309

王跃达, 黄潘, 荆涛, 宋雅稀. 一种基于高速网络的WebShell综合检测溯源技术研究与实现[J]. 信息网络安全, 2021, 21(1): 65-71.

WANG Yueda, HUANG Pan, JING Tao, SONG Yaxi. Research and Implementation on WebShell Comprehensive Detection and Traceability Technology Based on High-speed Network[J]. Netinfo Security, 2021, 21(1): 65-71.

图/表 6

图1

图2

表1

图3

图4

表2

参考文献 10

[1]	ZHAO Yuntao, XU Chunyu, BO bo, et al. Traffic-based WebShell Behavior Analysis and Detection Method[J]. Network Security Technology & Application, 2018,18(4):8-9.
	赵运弢, 徐春雨, 薄波, 等. 基于流量的WebShell行为分析与检测方法[J]. 网络安全技术与应用, 2018,18(4):8-9.
[2]	National Internet Emergency Center. 2019 China Internet Network Security Report[EB/OL]. http://www.cert.org.cn/publish/main/46/2020/20200811124544754595627/20200811124544754595627_.html, 2020-05-22.
	国家计算机网络应急技术处理协调中心. 2019年中国互联网网络安全报告[EB/OL]. http://www.cert.org.cn/publish/main/46/2020/20200811124544754595627/20200811124544754595627_.html, 2020-05-22.
[3]	ZHOU Henglei. A Traffic-based WebShell Communication Detection Scheme[J]. Financial Computer of China, 2020,27(6):60-64.
	周恒磊. 一种基于流量的WebShell通信检测方案[J]. 中国金融电脑, 2020,27(6):60-64.
[4]	XIAO Zhongqi. Design and Implementation of Traffic Identification System Based on DPDK[D]. Wuhan: Huazhong University of Science and Technology, 2019.
	肖中奇. 基于DPDK的流量识别系统的设计与实现[D]. 武汉:华中科技大学, 2019.
[5]	ZENG Li, YE Xiaozhou, WANG Lingfang. Summary of Research on DPDK Technology Application of Webshell Detection Framework Based on Combinatorial Policy[J]. Journal of Network New Media, 2020,9(2):1-8.
	曾理, 叶晓舟, 王玲芳. DPDK技术应用研究综述[J]. 网络新媒体技术, 2020,9(2):1-8.
[6]	REN Qingqing, ZHOU Liang, XU Zhijun, et al. PacketUsher: Exploiting DPDK to Accelerate Compute-intensive Packet Processing[EB/OL]. https://www.sciencedirect.com/science/article/abs/pii/S0140366420318521, 2020-08-11.
[7]	WANG Wenqing, PENG Guojun, CHEN Zhenhang, et al. WebShell Detection Framework Based on Combination Strategy[J]. Computer Engineering and Design, 2018,39(4):907-911, 917.
	王文清, 彭国军, 陈震杭, 等. 基于组合策略的WebShell检测框架[J]. 计算机工程与设计, 2018,39(4):907-911,917.
[8]	JIANG Tian. Research on WebShell Detection Method Based on Convolution Neural Network[J]. Information Technology and Network Security, 2019,38(7):27-31.
	姜天. 基于卷积神经网络的WebShell检测方法研究[J]. 信息技术与网络安全, 2019,38(7):27-31.
[9]	LI Jiangtao. WebShell Detection Method and Implementation Based on Machine Learning Combination Algorithm[D]. Jinan: Shandong University, 2019.
	李江涛. 基于机器学习组合算法的WebShell检测方法与实现[D]. 济南:山东大学, 2019.
[10]	ZHAI Yunsai. A Calculation Method to Find the Maximum Length of the Same Prefix and Suffix Substrings in KMP Algorithm[J]. Practical Electronics, 2020(12):50-51, 54.
	翟允赛. KMP算法中一种求相同前后缀子串最大长度的计算方法[J]. 电子制作, 2020(12):50-51,54.

WebShell特征	检测数量/条/天	检测匹配率	误报率	木马类型
getpwd=	62	100%	0%	网页大马
@eval/%40eval	2638	100%	0%	一句话木马、中国菜刀、蚁剑
array_map	77	100%	0%	中国菜刀
&z1=	246	90.2%	9.8%	中国菜刀
X@Y	1000	0.4%	99.6%	中国菜刀
silicpass	9	100%	0%	网页大马
d2hvYW1p	5	100%	0%	蚁剑
mytag_js.php	1000	50%	50%	蚁剑
&z2=	600	10%	99%	中国菜刀
%u0045	10	100%	0%	中国菜刀

一种基于高速网络的WebShell综合检测溯源技术研究与实现

Research and Implementation on WebShell Comprehensive Detection and Traceability Technology Based on High-speed Network

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 6

参考文献 10

相关文章 6

编辑推荐

Metrics

本文评价

[1]	刘超玲, 张棪, 杨慧然, 吴宏晶. 基于DPDK的虚拟化网络入侵防御系统设计与实现[J]. 信息网络安全, 2018, 18(5): 41-51.
[2]	蒋卓键, 伍淳华, 夏铭. 云系统中多层次用户分类方法研究与实现[J]. 信息网络安全, 2017, 17(8): 69-75.
[3]	褚维明, 黄进, 刘志乐. 网络空间安全态势感知数据收集研究[J]. 信息网络安全, 2016, 16(9): 202-207.
[4]	林建军, 林柏钢, 杨旸, 孙波. 基于流量分析的手机应用识别系统的设计与实现[J]. 信息网络安全, 2016, 16(8): 39-45.
[5]	. Linux下基于SVM分类器的WebShell检测方法研究[J]. , 2014, 14(5): 5-.
[6]	陈小兵;罗晖. Access数据库SQL注入攻防技术研究[J]. , 2012, 12(3): 0-0.