一種基于強制訪問控制機制的webshell防范方法
【專利摘要】本發(fā)明公開了一種基于強制訪問控制機制的webshell防范方法����,實施步驟如下:將web文件分類并基于分類建立強制訪問控制策略;獲取客戶端請求的目標web文件的客體標記����,如果客體標記為web應用腳本文件則查詢強制訪問控制策略確定目標web文件對應的權(quán)限,并根據(jù)查詢結(jié)果確定是否解析執(zhí)行目標web文件�;如果客體標記為web多媒體文件,則查詢強制訪問控制策略確定目標web文件對應的權(quán)限��,并根據(jù)查詢結(jié)果確定是否讀取目標web文件����。本發(fā)明能夠使入侵者上傳的webshell被禁止解析執(zhí)行��,從而能夠阻止入侵者通過webshell實施進一步破壞��,webshell防范全面�、安全可靠�����、成本低廉�����、通用性好��。
【專利說明】—種基于強制訪問控制機制的webshel I防范方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機系統(tǒng)的安全訪問控制【技術(shù)領(lǐng)域】�����,具體涉及一種基于強制訪問控制機制的webshell防范方法����。
【背景技術(shù)】
[0002]當前Web應用越來越豐富���,為廣大用戶的工作��、生活��、娛樂提供了極大地便利���,同時Web服務(wù)器以其強大的計算能力�����、處理性能及蘊含的較高價值逐漸成為主要攻擊目標���。SQL注入、網(wǎng)頁篡改���、網(wǎng)頁掛馬等安全事件頻發(fā)�����。2012年����,國家計算機網(wǎng)絡(luò)應急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)共監(jiān)測發(fā)現(xiàn)我國境內(nèi)52324個網(wǎng)站被植入后門����,其中政府網(wǎng)站3016個�����,較2011年月均分別增長213.7%和93.1%�。植入Webshell是入侵者獲取服務(wù)器管理權(quán)限的重要手段�,當入侵者可以成功獲得服務(wù)器主機的webshell時,入侵者便擁有服務(wù)器的部分訪問權(quán)限���,為進一步竊取��、破壞數(shù)據(jù)建立了堅實基礎(chǔ)。
[0003]當前webshell防范方法主要有如下幾種:(1)定期掃描web應用��,發(fā)現(xiàn)惡意代碼��。Webshell由于其特殊性�����,存在一定的特征�,綜合眾多特征對web應用代碼進行掃描,針對嫌疑代碼進行自動或手動處理��。該方法類似于系統(tǒng)上的殺毒軟件,只能在出現(xiàn)問題后發(fā)現(xiàn)問題��,存在一定的延遲���,無法及時的阻止入侵者進行破壞���。(2) Web應用防護系統(tǒng)(簡稱WAF)。WAF用來解決諸如防火墻等傳統(tǒng)安全設(shè)備束手無策的Web應用安全問題����,可以對webshell等針對Web的攻擊起到很好的防范效果。但WAF基于一定的規(guī)則��,難免存在漏報和誤報���,無法準確的定位webshell�����。此外��,WAF往往以一種特定產(chǎn)品提供�,價格昂貴�,配置使用也需要具有一定的專業(yè)技能����。綜上所述����,當前webshell防范方法很難及時、準確阻止入侵者實施攻擊����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明要解決的技術(shù)問題是:針對現(xiàn)有技術(shù)的上述技術(shù)問題,提供一種能夠使入侵者上傳的webshell被禁止解析執(zhí)行����,從而能夠阻止入侵者通過webshell實施進一步破壞,webshell防范全面����、安全可靠���、成本低廉��、通用性好的基于強制訪問控制機制的webshell防范方法��。
[0005]為了解決上述技術(shù)問題�,本發(fā)明采用的技術(shù)方案為:
一種基于強制訪問控制機制的webshell防范方法,其實施步驟如下:
1)基于操作系統(tǒng)的強制訪問控制機制將web服務(wù)器中的web文件通過客體標記分類為需要解析執(zhí)行的web應用腳本文件和不需要解析執(zhí)行的web多媒體文件����,同時在web服務(wù)器運行過程中檢測web服務(wù)器中新生成的文件,基于操作系統(tǒng)的強制訪問控制機制將web服務(wù)器中的新生成的文件通過客體標記分類為需要解析執(zhí)行的web應用腳本文件和不需要解析執(zhí)行的web多媒體文件��;在操作系統(tǒng)中針對所有web應用腳本文件和web多媒體文件建立強制訪問控制策略����,所述強制訪問控制策略包括每一個web應用腳本文件是否具有解析執(zhí)行權(quán)限的信息和每一個web多媒體文件是否具有只讀權(quán)限的信息; 2)當客戶端向web服務(wù)器發(fā)起請求時�����,通過web服務(wù)器的web解析器獲取客戶端所請求的目標web文件的客體標記�����,如果所述客體標記為web應用腳本文件則跳轉(zhuǎn)執(zhí)行步驟3)���,如果所述客體標記為web多媒體文件則跳轉(zhuǎn)執(zhí)行步驟4)��;
3)通過web服務(wù)器中的web腳本解析器查詢所述強制訪問控制策略確定所述目標web文件對應的權(quán)限�,如果所述目標web文件具有解析執(zhí)行權(quán)限��,則解析執(zhí)行所述目標web文件并將結(jié)果返回給客戶端,如果所述目標web文件不具有解析執(zhí)行權(quán)限��,則拒絕解析執(zhí)行所述目標web文件并返回指定的錯誤信息給客戶端����;客戶端的請求處理結(jié)束并退出;
4)通過web服務(wù)器中的web腳本解析器查詢所述強制訪問控制策略確定所述目標web文件對應的權(quán)限���,如果所述目標web文件具有只讀權(quán)限���,則讀取所述目標web文件并返回給客戶端,如果所述目標web文件不具有只讀權(quán)限�����,則拒絕讀取所述目標web文件并返回指定的錯誤信息給客戶端��;客戶端的請求處理結(jié)束并退出����。
[0006]優(yōu)選地����,所述步驟1)中建立強制訪問控制策略時�����,針對新生成的文件中的web應用腳本文件��,其對應的強制訪問控制策略默認為不具有解析執(zhí)行權(quán)限�����。
[0007]優(yōu)選地����,所述強制訪問控制策略在操作系統(tǒng)中被配置為僅僅具有管理員權(quán)限的用戶可以修改和添加��。
[0008]本發(fā)明基于強制訪問控制機制的webshell防范方法具有下述優(yōu)點:
1�����、本發(fā)明一方面通過將web服務(wù)器中的web文件通過客體標記分類為需要解析執(zhí)行的web應用腳本文件和不需要解析執(zhí)行的web多媒體文件����,針對web多媒體文件建立的強制訪問控制策略而言,每一個web多媒體文件的權(quán)限只有是否具有只讀權(quán)限兩種�,確保僅有合法的網(wǎng)頁的腳本文件被解析執(zhí)行,另一方面本發(fā)明進一步在web服務(wù)器運行過程中檢測web服務(wù)器中新生成的文件,基于操作系統(tǒng)的強制訪問控制機制將web服務(wù)器中的新生成的文件通過客體標記分類為需要解析執(zhí)行的web應用腳本文件和不需要解析執(zhí)行的web多媒體文件���,從而有效地針對webshell通常是以新生成的文件形式解析執(zhí)行��,能夠使入侵者上傳的webshe 11被禁止解析執(zhí)行�,從而能夠阻止入侵者通過webshe 11實施進一步破壞,通過上述兩方面的措施��,能夠徹底防止以web多媒體文件形式存在的webshell被解析執(zhí)行��,以此來準確���、及時達到防范webshell的防護效果���,具有webshell防范全面、安全可靠的優(yōu)點�。
[0009]2、本發(fā)明僅需對現(xiàn)有技術(shù)Web服務(wù)器的web腳本解析器進行安全擴展�����,使其具有強制訪問控制策略的查詢并根據(jù)查詢結(jié)果做不同處理的功能��,同時輔以一定的強制訪問控制(使得具有web服務(wù)器中的web文件客體標記分類功能并建立有強制訪問控制策略)��,便可以實現(xiàn)webshell的防范效果�����,成本低廉,防護效果良好�����。
[0010]3�、本發(fā)明的防護依賴于系統(tǒng)的強制訪問控制機制實現(xiàn),各系統(tǒng)的強制訪問控制都在系統(tǒng)底層實現(xiàn)�����,攻擊者難以旁路�����,因此使用本發(fā)明的防護機制具有較高的安全性�。
[0011]4、本發(fā)明基于擴展Web服務(wù)器的web腳本解析器���、并可在支持系統(tǒng)強制訪問控制的Linux���、Unix、Solaris、Windows多種平臺進行應用,支持平臺的多樣性,具有通用性好的優(yōu)點���。
【專利附圖】
【附圖說明】
[0012]圖1為本發(fā)明實施例的實施流程示意圖��。
[0013]圖2為本發(fā)明實施例中web服務(wù)器的框架結(jié)構(gòu)示意圖�。
【具體實施方式】
[0014]如圖1所示,本實施例基于強制訪問控制機制的webshell防范方法的實施步驟如下:
1)基于操作系統(tǒng)的強制訪問控制機制將web服務(wù)器中的web文件通過客體標記分類為需要解析執(zhí)行的web應用腳本文件和不需要解析執(zhí)行的web多媒體文件�,同時在web服務(wù)器運行過程中檢測web服務(wù)器中新生成的文件,基于操作系統(tǒng)的強制訪問控制機制將web服務(wù)器中的新生成的文件通過客體標記分類為需要解析執(zhí)行的web應用腳本文件和不需要解析執(zhí)行的web多媒體文件���;在操作系統(tǒng)中針對所有web應用腳本文件和web多媒體文件建立強制訪問控制策略����,所述強制訪問控制策略包括每一個web應用腳本文件是否具有解析執(zhí)行權(quán)限的信息和每一個web多媒體文件是否具有只讀權(quán)限的信息�����;
2)當客戶端向web服務(wù)器發(fā)起請求時����,通過web服務(wù)器的web解析器獲取客戶端所請求的目標web文件的客體標記,如果所述客體標記為web應用腳本文件則跳轉(zhuǎn)執(zhí)行步驟3)����,如果所述客體標記為web多媒體文件則跳轉(zhuǎn)執(zhí)行步驟4)���;
3)通過web服務(wù)器中的web腳本解析器查詢所述強制訪問控制策略確定所述目標web文件對應的權(quán)限,如果所述目標web文件具有解析執(zhí)行權(quán)限�,則解析執(zhí)行所述目標web文件并將結(jié)果返回給客戶端,如果所述目標web文件不具有解析執(zhí)行權(quán)限���,則拒絕解析執(zhí)行所述目標web文件并返回指定的錯誤信息給客戶端;客戶端的請求處理結(jié)束并退出�;
4)通過web服務(wù)器中的web腳本解析器查詢所述強制訪問控制策略確定所述目標web文件對應的權(quán)限,如果所述目標web文件具有只讀權(quán)限���,則讀取所述目標web文件并返回給客戶端����,如果所述目標web文件不具有只讀權(quán)限�����,則拒絕讀取所述目標web文件并返回指定的錯誤信息給客戶端�;客戶端的請求處理結(jié)束并退出。
[0015]本實施例一方面通過將web服務(wù)器中的web文件通過客體標記分類為需要解析執(zhí)行的web應用腳本文件和不需要解析執(zhí)行的web多媒體文件��,針對web多媒體文件建立的強制訪問控制策略而言���,每一個web多媒體文件的權(quán)限只有是否具有只讀權(quán)限兩種���,確保僅有合法的網(wǎng)頁的腳本文件被解析執(zhí)行����,另一方面本發(fā)明進一步在web服務(wù)器運行過程中檢測web服務(wù)器中新生成的文件��,基于操作系統(tǒng)的強制訪問控制機制將web服務(wù)器中的新生成的文件通過客體標記分類為需要解析執(zhí)行的web應用腳本文件和不需要解析執(zhí)行的web多媒體文件��,從而有效地針對webshell通常是以新生成的文件形式解析執(zhí)行���,能夠使入侵者上傳的webshell被禁止解析執(zhí)行���,從而能夠阻止入侵者通過webshell實施進一步破壞,通過上述兩方面的措施����,能夠徹底防止webshell被解析執(zhí)行,以此來準確����、及時達到防范webshell的防護效果,具有webshell防范全面����、安全可靠的優(yōu)點��。
[0016]如圖2所示���,本實施例針對現(xiàn)有web服務(wù)器中的修改涉及兩個方面:(一)、在web腳本解析器中增加了 web解析器安全擴展�����,通過web解析器安全擴展執(zhí)行前述的步驟2)?步驟4)的流程�;(二)����、在操作系統(tǒng)中增加了強制訪問控制機制,通過強制訪問控制機制執(zhí)行前述的步驟1)的流程����,強制訪問控制機制在系統(tǒng)底層實現(xiàn)�,攻擊者難以旁路,具有較高的安全性。上述兩個部分的修改均實現(xiàn)比較簡單方便。
[0017]本實施例中,步驟1)中建立強制訪問控制策略時����,針對新生成的文件中的web應用腳本文件��,其對應的強制訪問控制策略默認為不具有解析執(zhí)行權(quán)限��。如果客戶端惡意上傳web應用腳本文件形式的webshe 11, web應用腳本文件并不具有解析執(zhí)行權(quán)限,因此即使上傳成功����,web服務(wù)器的web解析器也不會解析webshell ;如果客戶端惡意上傳web多媒體文件形式的webshell�,web多媒體文件并不具有解析執(zhí)行權(quán)限而具有只讀權(quán)限����,因此即使上傳成功�,web服務(wù)器的web解析器也不會解析webshell而只是以靜態(tài)的方式返回結(jié)果����,從而能夠有效地對webshell進行防范。
[0018]本實施例中����,強制訪問控制策略在操作系統(tǒng)中被配置為僅僅具有管理員權(quán)限的用戶可以修改和添加,從而能夠提高強制訪問控制策略的安全性�����。
[0019]以上所述僅是本發(fā)明的優(yōu)選實施方式,本發(fā)明的保護范圍并不僅局限于上述實施例,凡屬于本發(fā)明思路下的技術(shù)方案均屬于本發(fā)明的保護范圍。應當指出,對于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來說��,在不脫離本發(fā)明原理前提下的若干改進和潤飾,這些改進和潤飾也應視為本發(fā)明的保護范圍。
【權(quán)利要求】
1.一種基于強制訪問控制機制的Webshell防范方法,其特征在于實施步驟如下: 1)基于操作系統(tǒng)的強制訪問控制機制將web服務(wù)器中的web文件通過客體標記分類為需要解析執(zhí)行的web應用腳本文件和不需要解析執(zhí)行的web多媒體文件�����,同時在web服務(wù)器運行過程中檢測web服務(wù)器中新生成的文件���,基于操作系統(tǒng)的強制訪問控制機制將web服務(wù)器中的新生成的文件通過客體標記分類為需要解析執(zhí)行的web應用腳本文件和不需要解析執(zhí)行的web多媒體文件;在操作系統(tǒng)中針對所有web應用腳本文件和web多媒體文件建立強制訪問控制策略����,所述強制訪問控制策略包括每一個web應用腳本文件是否具有解析執(zhí)行權(quán)限的信息和每一個web多媒體文件是否具有只讀權(quán)限的信息�; 2)當客戶端向web服務(wù)器發(fā)起請求時,通過web服務(wù)器的web解析器獲取客戶端所請求的目標web文件的客體標記����,如果所述客體標記為web應用腳本文件則跳轉(zhuǎn)執(zhí)行步驟3),如果所述客體標記為web多媒體文件則跳轉(zhuǎn)執(zhí)行步驟4); 3)通過web服務(wù)器中的web腳本解析器查詢所述強制訪問控制策略確定所述目標web文件對應的權(quán)限,如果所述目標web文件具有解析執(zhí)行權(quán)限���,則解析執(zhí)行所述目標web文件并將結(jié)果返回給客戶端,如果所述目標web文件不具有解析執(zhí)行權(quán)限�,則拒絕解析執(zhí)行所述目標web文件并返回指定的錯誤信息給客戶端;客戶端的請求處理結(jié)束并退出���; 4)通過web服務(wù)器中的web腳本解析器查詢所述強制訪問控制策略確定所述目標web文件對應的權(quán)限�����,如果所述目標web文件具有只讀權(quán)限�����,則讀取所述目標web文件并返回給客戶端���,如果所述目標web文件不具有只讀權(quán)限,則拒絕讀取所述目標web文件并返回指定的錯誤信息給客戶端;客戶端的請求處理結(jié)束并退出。
2.根據(jù)權(quán)利要求1所述的基于強制訪問控制機制的webshell防范方法,其特征在于:所述步驟I)中建立強制訪問控制策略時,針對新生成的文件中的web應用腳本文件,其對應的強制訪問控制策略默認為不具有解析執(zhí)行權(quán)限�。
3.根據(jù)權(quán)利要求2所述的基于強制訪問控制機制的webshell防范方法���,其特征在于:所述強制訪問控制策略在操作系統(tǒng)中被配置為僅僅具有管理員權(quán)限的用戶可以修改和添加。
【文檔編號】H04L29/06GK104394176SQ201410780733
【公開日】2015年3月4日 申請日期:2014年12月17日 優(yōu)先權(quán)日:2014年12月17日
【發(fā)明者】陳松政, 戴華東, 孫利杰, 魏立峰, 董攀, 黃辰林, 丁滟, 羅軍 申請人:中國人民解放軍國防科學技術(shù)大學