Web应用攻击分析方法和装置、计算机可读存储介质与流程

web应用攻击分析方法和装置、计算机可读存储介质
技术领域
1.本公开涉及网络安全领域，特别涉及一种web应用攻击分析方法和装置、计算机可读存储介质。


背景技术：

2.近些年来，国内政府和企业网站被篡改的类似黑客攻击入侵事件频出，造成的社会影响及经济损失巨大。
3.随着《网络安全法》颁布，各企业部署大量网络安全设备，日志量庞大且安全设备误报现象也频频出现。


技术实现要素：

4.发明人通过研究发现：相关技术web(world wide web，全球广域网)应用攻击检测技术可实现对web服务入侵行为的识别，通过收集和分析web访问日志、web应用防火墙日志以及主机系统日志中异常的信息，检查网站或系统中是否存在被攻击利用的迹象。但是，相关技术应用攻击检测方法在误报率、来源单一等方面存在不足。
5.鉴于以上技术问题中的至少一项，本公开提供了一种web应用攻击分析方法和装置、计算机可读存储介质，可以大大降低攻击检测的误报率。
6.根据本公开的一个方面，提供一种web应用攻击分析方法，包括：
7.对采集的多源日志按预定规则进行字段提取转换；
8.利用分布式流数据流引擎根据不同日志源的事件匹配规则，分析原始日志输出初步分析事件；
9.提取初步分析事件的统一资源定位器字段，依据事件类型，设置自动化验证参数；
10.调用验证性测试库探测脚本，对攻击点字段进行探测验证，依据验证结果输出最终分析结果。
11.在本公开的一些实施例中，所述对采集的多源日志按预定规则进行字段提取转换包括：
12.按照预定日志采集协议采集多源日志；
13.依据正则表达式或者关键字-值方式提取多源日志的指定日志字段，以统一所有数据源的原始日志格式。
14.在本公开的一些实施例中，所述利用分布式流数据流引擎根据不同日志源的事件匹配规则，分析原始日志输出初步分析事件包括：
15.根据日志源和日志过滤条件构建事件匹配规则；
16.利用分布式流数据流引擎，按构建的事件匹配规则分析原始日志输出初步分析事件。
17.在本公开的一些实施例中，所述根据日志源和日志过滤条件构建事件匹配规则包括：
18.将自定义的脚本攻击工具入侵判断流程图，转换成对应的事件匹配规则判断条件。
19.在本公开的一些实施例中，所述调用验证性测试库探测脚本，对攻击点字段进行探测验证包括：
20.依据预定验证算法，调用验证性测试库探测脚本，对攻击点字段进行检测，判断攻击点字段是否存在对应漏洞。
21.在本公开的一些实施例中，所述依据预定验证算法，调用验证性测试库探测脚本，对攻击点字段进行检测，判断攻击点字段是否存在对应漏洞包括：
22.访问初步分析事件的统一资源定位器获取返回的超文本传输协议状态码；
23.调用验证性测试探测脚本判断脚本攻击工具类型；
24.根据内置的密码字典，尝试爆破对应的脚本攻击工具密码；
25.根据状态码、脚本攻击工具类型以及爆破密码情况输出验证结果。
26.根据本公开的另一方面，提供一种web应用攻击分析装置，包括：
27.日志采集提取模块，用于对采集的多源日志按预定规则进行字段提取转换；
28.多源规则匹配模块，用于利用分布式流数据流引擎根据不同日志源的事件匹配规则，分析原始日志输出初步分析事件；
29.自动验证模块，用于提取初步分析事件的统一资源定位器字段，依据事件类型，设置自动化验证参数；调用验证性测试库探测脚本，对攻击点字段进行探测验证；
30.分析结果输出模块，用于依据验证结果输出最终分析结果。
31.在本公开的一些实施例中，所述web应用攻击分析装置用于执行实现如上述任一实施例所述的web应用攻击分析方法的操作。
32.根据本公开的另一方面，提供一种web应用攻击分析装置，包括：
33.存储器，用于存储指令；
34.处理器，用于执行所述指令，使得所述web应用攻击分析装置执行实现如上述任一实施例所所述的web应用攻击分析方法的操作。
35.根据本公开的另一方面，提供一种计算机可读存储介质，其中，所述计算机可读存储介质存储有计算机指令，所述指令被处理器执行时实现如上述任一实施例所所述的web应用攻击分析方法。
36.本公开通过对设备安全告警日志、web访问日志、web服务器主机日志等多源日志联合分析，基于脚本自动化验证攻击点是否存在，可以弥补相关技术web应用攻击分析方法在误报率、来源单一等方面的不足。
附图说明
37.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
38.图1为本公开web应用攻击分析方法一些实施例的示意图。
39.图2为本公开一些实施例中webshell入侵判断的流程图。
40.图3为本公开一些实施例中webshell验证的流程图。
41.图4为本公开web应用攻击分析方法另一些实施例的示意图。
42.图5为本公开web应用攻击分析装置一些实施例的示意图。
43.图6为本公开web应用攻击分析装置又一些实施例的示意图。
具体实施方式
44.下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
45.除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
46.同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
47.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
48.在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
49.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
50.图1为本公开web应用攻击分析方法一些实施例的示意图。优选的，本实施例可由本公开web应用攻击分析装置执行。该web应用攻击分析方法包括以下步骤100-步骤400，其中：
51.步骤100，对采集的多源日志按预定规则进行字段提取转换。
52.在本公开的一些实施例中，步骤100可以包括步骤110和步骤120，其中：
53.步骤110，按照预定日志采集协议采集多源日志。
54.在本公开的一些实施例中，预定日志采集协议可以为syslog(系统日志或系统记录)、ftp(file transfer protocol，文件传输协议)等协议。
55.步骤120，依据正则表达式或者key-value(关键字-值)方式提取多源日志的指定日志字段，以统一所有数据源的原始日志格式。
56.步骤200，利用分布式流数据流引擎根据不同日志源的事件匹配规则，分析原始日志输出初步分析事件。
57.在本公开的一些实施例中，步骤200可以包括步骤210和步骤220，其中：
58.步骤210，根据日志源和日志过滤条件构建事件匹配规则(分析规则)。
59.在本公开的一些实施例中，所述步骤210可以包括：将自定义的脚本攻击工具入侵判断流程图，转换成对应的事件匹配规则判断条件。
60.例如：图2为本公开一些实施例中webshell入侵判断的流程图。如图2所示，所述webshell入侵判断流程可包括：攻击者向被攻击者上传webshell；攻击者访问被攻击者的
webshell；从设备告警日志中获取webshell url(uniform resource locator,统一资源定位器)；从web访问日志中获取主动访问200ok的状态码；初步判断攻击成功。
61.webshell(web入侵的脚本攻击工具)入侵检测规则的构建可以包括：将图3实施例的webshell入侵判断流程图，转换成如下所示的对应的规则判断条件。
62.term1＝sql_filter_url(log_type,waf_syslog)；
63.term2＝sql_filter_httpcode(term1,web_syslog)；
64.if(term1！＝null and(term2 in[200,202]))
[0065]
output_i event()
[0066]
步骤220，利用分布式流数据流引擎，按构建的事件匹配规则分析原始日志输出初步分析事件。
[0067]
步骤300，提取初步分析事件的统一资源定位器字段，依据事件类型，设置自动化验证参数。
[0068]
步骤400，调用poc(proof of concept，验证性测试)库探测脚本，对攻击点字段进行探测验证，依据验证结果输出最终分析结果。
[0069]
在本公开的一些实施例中，步骤400可以包括：依据预定验证算法，调用验证性测试库探测脚本，对攻击点字段进行检测，判断攻击点字段是否存在对应漏洞。
[0070]
在本公开的一些实施例中，所述依据预定验证算法，调用验证性测试库探测脚本，对攻击点字段进行检测，判断攻击点字段是否存在对应漏洞的步骤可以包括步骤410-步骤440，其中：
[0071]
步骤410，访问初步分析事件的统一资源定位器获取返回的http(hypertext transfer protocol，超文本传输协议)状态码。
[0072]
步骤420，调用验证性测试探测脚本判断脚本攻击工具类型。
[0073]
步骤430，根据内置的密码字典，尝试爆破对应的脚本攻击工具密码。
[0074]
步骤440，根据状态码、脚本攻击工具类型以及爆破密码情况输出验证结果。
[0075]
图3为本公开一些实施例中webshell验证的流程图。如图3所示，本公开webshell验证可以包括步骤401-步骤405，其中：
[0076]
步骤401，webshell验证，根据事件设定算法参数，选定webshell探测算法。
[0077]
步骤402，访问事件url获取返回的http状态码。若请求已成功，则执行步骤403；否则，若请求错误，则执行步骤405。其中，200状态码为请求已成功状态码，400状态码为请求错误状态码。
[0078]
步骤403，调用poc探测脚本判断webshell类型。若类型为非webshell文件，则执行步骤405；否则，若类型为asp(active server pages，动态服务器网页)类、jsp(java server pages，java服务器网页)类、php(hypertext preprocessor，超文本预处理器)类，则执行步骤404。
[0079]
步骤404，依据内置的passwrod(密码)字典，尝试爆破对应的webshell密码。
[0080]
步骤405，根据状态码、脚本攻击工具类型以及爆破密码情况输出验证结果。
[0081]
基于本公开上述实施例提供的web应用攻击分析方法，是一种基于poc自动验证web应用攻击的分析方法，可以利用多源日志关联分析，不仅仅基于安全设备日志简单关联，而且利用web服务器主机日志中、web访问日志进行二次分析，从而防止了产生大量无意
义告警现象。本公开上述实施例提出poc脚本验证方法，对于关联二次分析产生的事件，调用poc库中的脚本进行验证，减少告警的误报率，准确定位有效的攻击行为。本公开上述实施例基于poc自动验证web应用攻击的分析方法，可以弥补当前web应用攻击分析方法在误报率、来源单一等方面的不足，满足闭环研判web应用攻击检测分析需求。
[0082]
图4为本公开web应用攻击分析方法另一些实施例的示意图。优选的，本实施例可由本公开web应用攻击分析装置执行。本实施例以某webshell检测为例进行说明。该web应用攻击分析方法包括以下步骤41-步骤45，其中：
[0083]
步骤41，多源日志数据采集。
[0084]
在本公开的一些实施例中，步骤41可以包括：按照预定日志采集协议采集多源日志。
[0085]
在本公开的一些实施例中，预定日志采集协议可以为syslog、ftp协议。
[0086]
步骤42，统一范式化字段提取。
[0087]
在本公开的一些实施例中，步骤42可以包括：依据正则表达式或者key-value方式提取多源日志的指定日志字段，以统一所有数据源的原始日志格式。
[0088]
步骤43，多源规则匹配。
[0089]
在本公开的一些实施例中，步骤43可以包括：通过多源web应用攻击规则库，利用分布式流数据流引擎根据不同日志源的事件匹配规则，分析原始日志输出初步分析事件。
[0090]
在本公开的一些实施例中，步骤43可以包括：利用分布式流数据流引擎根据不同数据源的事件匹配规则，分析原始日志输出初步的分析事件。
[0091]
在本公开的一些实施例中，步骤43可以包括：对于webshell入侵检测规则的构建，依据如图2所示的webshell入侵判断流程图，转换成对应的规则判断条件。
[0092]
步骤44，自动验证。
[0093]
在本公开的一些实施例中，步骤44可以包括：结合poc脚本验证库，自动提取初步事件url，自动化调用python(一种计算机程序设计语言)验证脚本并设置参数，对攻击点字段进行探测验证。
[0094]
在本公开的一些实施例中，步骤44可以包括：对于webshell验证，根据事件设定算法参数，选定webshell探测算法；然后访问事件url获取返回的http状态码；调用poc探测脚本判断webshell类型，依据内置的passwrod字典，尝试爆破对应的webshell密码，最后根据状态码以及爆破密码情况输出验证结果。
[0095]
步骤45，分析结果输出
[0096]
在本公开的一些实施例中，步骤45可以包括：根据验证结果，输出最终分析结果事件.
[0097]
本公开上述实施例通过对设备安全告警日志、web访问日志、web服务器主机日志等多源日志联合分析，基于脚本自动化验证攻击点是否存在，可以弥补相关技术web应用攻击分析方法在误报率、来源单一等方面的不足。
[0098]
图5为本公开web应用攻击分析装置一些实施例的示意图。如图5所示，本公开web应用攻击分析装置可以包括日志采集提取模块51、多源规则匹配模块52、自动验证模块53和分析结果输出模块54，其中：
[0099]
日志采集提取模块51，用于对采集的多源日志按预定规则进行字段提取转换。
[0100]
在本公开的一些实施例中，日志采集提取模块51可以用于按照预定日志采集协议采集多源日志；依据正则表达式或者key-value(关键字-值)方式提取多源日志的指定日志字段，以统一所有数据源的原始日志格式。
[0101]
在本公开的一些实施例中，预定日志采集协议可以为syslog协议、或ftp协议。
[0102]
多源规则匹配模块52，用于利用分布式流数据流引擎根据不同日志源的事件匹配规则，分析原始日志输出初步分析事件。
[0103]
在本公开的一些实施例中，多源规则匹配模块52可以用于根据日志源和日志过滤条件构建事件匹配规则；利用分布式流数据流引擎，按构建的事件匹配规则分析原始日志输出初步分析事件。
[0104]
在本公开的一些实施例中，多源规则匹配模块52可以用于将自定义的脚本攻击工具入侵判断流程图，转换成对应的事件匹配规则判断条件。
[0105]
自动验证模块53，用于提取初步分析事件的统一资源定位器字段，依据事件类型，设置自动化验证参数；调用验证性测试库探测脚本，对攻击点字段进行探测验证。
[0106]
在本公开的一些实施例中，自动验证模块53可以用于依据预定验证算法，调用验证性测试库探测脚本，对攻击点字段进行检测，判断攻击点字段是否存在对应漏洞。
[0107]
在本公开的一些实施例中，自动验证模块53可以用于访问初步分析事件的统一资源定位器获取返回的http状态码；调用验证性测试探测脚本判断脚本攻击工具类型；根据内置的密码字典，尝试爆破对应的脚本攻击工具密码；根据状态码、脚本攻击工具类型以及爆破密码情况输出验证结果。
[0108]
分析结果输出模块54，用于依据验证结果输出最终分析结果。
[0109]
在本公开的一些实施例中，所述web应用攻击分析装置可以用于执行实现如上述任一实施例(例如图1-图4任一实施例)所述的web应用攻击分析方法的操作。
[0110]
基于本公开上述实施例提供的web应用攻击分析装置，是一种基于poc自动验证web应用攻击的分析装置，可以利用多源日志关联分析，不仅仅基于安全设备日志简单关联，而且利用web服务器主机日志中、web访问日志进行二次分析，从而防止了产生大量无意义告警现象。本公开上述实施例提出poc脚本验证装置，对于关联二次分析产生的事件，调用poc库中的脚本进行验证，减少告警的误报率，准确定位有效的攻击行为。本公开上述实施例基于poc自动验证web应用攻击的分析装置，可以弥补当前web应用攻击分析方法在误报率、来源单一等方面的不足，满足闭环研判web应用攻击检测分析需求。
[0111]
图6为本公开web应用攻击分析装置另一些实施例的示意图。如图6所示，本公开web应用攻击分析装置可以包括存储器61和处理器62，其中：
[0112]
存储器61，用于存储指令。
[0113]
处理器62，用于执行所述指令，使得所述web应用攻击分析装置执行实现如上述任一实施例(例如图1-图4任一实施例)所所述的web应用攻击分析方法的操作。
[0114]
本公开上述实施例通过对设备安全告警日志、web访问日志、web服务器主机日志等多源日志联合分析，基于脚本自动化验证攻击点是否存在，可以弥补相关技术web应用攻击分析方法在误报率、来源单一等方面的不足。
[0115]
根据本公开的另一方面，提供一种计算机可读存储介质，其中，所述计算机可读存储介质存储有计算机指令，所述指令被处理器执行时实现如上述任一实施例(例如图1-图4
任一实施例)所所述的web应用攻击分析方法。
[0116]
基于本公开上述实施例提供的计算机可读存储介质，可以利用多源日志关联分析，不仅仅基于安全设备日志简单关联，而且利用web服务器主机日志中、web访问日志进行二次分析，从而防止了产生大量无意义告警现象。本公开上述实施例对于关联二次分析产生的事件，可以调用poc库中的脚本进行验证，减少告警的误报率，准确定位有效的攻击行为。本公开上述实施例可以弥补当前web应用攻击分析方法在误报率、来源单一等方面的不足，满足闭环研判web应用攻击检测分析需求。
[0117]
在上面所描述的web应用攻击分析装置可以实现为用于执行本技术所描述功能的通用处理器、可编程逻辑控制器(plc)、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
[0118]
至此，已经详细描述了本公开。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。
[0119]
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指示相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
[0120]
本公开的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用，并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。