許波，姜政偉，辛麗玲＊，周宇飛

1.中國人民公安大學(xué),信息網(wǎng)絡(luò)安全學(xué)院，北京 100038

2.中國科學(xué)院信息工程研究所，北京 100093

3.成都市公安局，四川 成都 610017

4.山東省濱海公安局，山東 東營 257013

引言

隨著信息化技術(shù)的發(fā)展，各行業(yè)擁有大量的網(wǎng)絡(luò)資產(chǎn)，針對網(wǎng)絡(luò)資產(chǎn)的違法犯罪不斷凸顯，網(wǎng)絡(luò)黑灰產(chǎn)、侵犯公民個人信息等犯罪活動呈現(xiàn)高發(fā)狀態(tài)，而此類犯罪多來源于黑客的滲透和入侵。黑客開展網(wǎng)絡(luò)滲透時手段多種多樣，但目的均為獲取計算機(jī)信息系統(tǒng)權(quán)限，進(jìn)一步竊取、篡改數(shù)據(jù)[1]。黑客滲透成功后為了維持或提升權(quán)限，會通過注入、XSS、上傳等滲透手段在目標(biāo)網(wǎng)站植入PHP、JSP、ASPX 等格式的木馬文件，即Webshell。Webshell 作為黑客用于后門權(quán)限維持的重要手段，活躍于各種網(wǎng)絡(luò)攻擊事件中，因此及時、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)流量中的Webshell 通信，保證網(wǎng)絡(luò)安全的需求日益迫切。

國家互聯(lián)網(wǎng)應(yīng)急中心《2021 年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全檢測數(shù)據(jù)分析報告》，境內(nèi)外8,289 個IP地址對我國境內(nèi)約1.4 萬個網(wǎng)站植入后門，植入后門已經(jīng)嚴(yán)重威脅我國網(wǎng)絡(luò)安全和國家安全[2]。而根據(jù)公安部“凈網(wǎng)2021”專項行動報告顯示，2021 年全國公安機(jī)關(guān)鏟除制售木馬病毒、開發(fā)攻擊軟件平臺團(tuán)伙341 個，抓獲實施黑客攻擊活動人員3,309名[3]。公安機(jī)關(guān)打擊黑客數(shù)量仍低于存在的攻擊黑客數(shù)量，其中一個重要的原因就是存在大量網(wǎng)站后門因沒有發(fā)現(xiàn)或被檢測出而逃避打擊。

因此，Webshell 檢測成為打擊黑客犯罪中非常關(guān)鍵的步驟，對于Webshell 檢測方法的研究，能夠準(zhǔn)確發(fā)現(xiàn)滲透入侵網(wǎng)站的惡意攻擊行為，在預(yù)警、研判、打擊非法入侵計算機(jī)信息系統(tǒng)等黑客類案件中具有積極意義。

1 研究現(xiàn)狀

目前，學(xué)術(shù)界依據(jù)Webshell 檢測方法的不同，將Webshell 檢測劃分為三種，分別是基于文件的檢測方法、基于流量的檢測方法以及基于日志的檢測方法[4]。其中，基于流量的檢測方法，又可以分為靜態(tài)檢測和動態(tài)檢測的方式。

靜態(tài)檢測常見的有采用正則表達(dá)式進(jìn)行匹配、生成語法樹提取語法樹特征、文本統(tǒng)計量特征如字符分布等，其中基于正則匹配的檢測方式是對一些常見的Webshell 關(guān)鍵特征進(jìn)行提取，通過對文本的語義和語法分析，匹配文件中的特征字符串，判斷是否為高危文件，從而判斷文件是否為Webshell，例如危險函數(shù)名、文本的特征碼、文件關(guān)聯(lián)度、敏感參數(shù)等，當(dāng)特征符合條件時判斷為Webshell[5]。如易楠[6]實現(xiàn)的基于語義分析的Webshell 檢測方法；Truong Dinh Tu 等人[7]依據(jù)文本惡意特征進(jìn)行判斷的方法。

動態(tài)檢測是針對Webshell 上傳到服務(wù)器后，對Webshell 執(zhí)行時在流量中表現(xiàn)出來的特征進(jìn)行檢測，從網(wǎng)絡(luò)中檢測到的是Web 應(yīng)用程序被解釋執(zhí)行的代碼[8]。動態(tài)分析根據(jù)惡意代碼文件在執(zhí)行環(huán)境中產(chǎn)生的流量中提取特征，建立Webshell 動態(tài)特征庫，常見方法為攔截抓包后進(jìn)行語義分析提取。

本文主要研究的是針對HTTP 流量的檢測方法，通過靜態(tài)檢測和動態(tài)檢測結(jié)合的方式，對Webshell惡意代碼進(jìn)行行為數(shù)據(jù)研究并提取特征[9]，基于特征工程實現(xiàn)Webshell 投遞、入侵過程的檢測，并且在實際網(wǎng)絡(luò)威脅情報模型應(yīng)用中實現(xiàn)對Webshell 文件和攻擊者的回溯，實際應(yīng)用后打擊黑客犯罪的效果明顯。

2 HTTP 協(xié)議消息結(jié)構(gòu)與流量分析

2.1 HTTP 協(xié)議請求消息

HTTP 協(xié)議是超文本傳輸協(xié)議（Hyper Text Transfer Protocol）的縮寫，用于將文本內(nèi)容從服務(wù)器傳輸?shù)奖镜貫g覽器。其工作原理是基于TCP/IP 通信協(xié)議傳輸數(shù)據(jù)（HTML 文件、圖片文件、查詢結(jié)果等）。根據(jù)HTTP 協(xié)議標(biāo)準(zhǔn)，定義了GET、POST 和HEAD三種請求方法。HTTP 請求消息：一個HTTP 請求報文包含4 個部分：請求行、請求頭、空行和請求數(shù)據(jù)，典型的請求報文內(nèi)容見表1。

表1 典型的請求報文內(nèi)容Table 1 Typical request message content

請求行由3 個字段組成：請求方法、請求URL和HTTP 協(xié)議及版本，它們之間用空格分隔。例如，POST/index.html HTTP/1.1。其中，GET 請求是最常見的請求方法，使用GET 方法時，URL 中包含請求參數(shù)和相對應(yīng)的值，URL 鏈接中“?”跟隨的部分就是GET 方法發(fā)送的請求數(shù)據(jù)，傳輸?shù)拿總€數(shù)據(jù)由“&”分割，傳遞的參數(shù)長度受到限制；POST 請求方法以名稱或值的形式將請求參數(shù)封裝在HTTP 請求數(shù)據(jù)中，對傳輸數(shù)據(jù)的大小沒有限制，也不會顯示在URL 中，能夠大量傳輸數(shù)據(jù)。在實驗環(huán)境測試后發(fā)現(xiàn)，Webshell 特征常見于GET 方法的請求數(shù)據(jù)與POST方法的請求數(shù)據(jù)包體中，本文對HTTP 協(xié)議中GET、POST 請求方法的Webshell 惡意代碼檢測進(jìn)行研究。

請求頭由成對的關(guān)鍵字和值組成，每行一對，關(guān)鍵字和值用英文冒號分隔。請求頭告知服務(wù)器關(guān)于客戶端請求的信息。

請求數(shù)據(jù)只在POST 方法中使用，適用于需要客戶端填寫數(shù)據(jù)的情況。

2.2 HTTP 協(xié)議響應(yīng)消息

HTTP 響應(yīng)包括四個部分：狀態(tài)行、響應(yīng)頭、空行和響應(yīng)正文。因黑客攻擊表現(xiàn)為發(fā)起惡意網(wǎng)絡(luò)請求，所以本文不具體闡述響應(yīng)包。在模型構(gòu)建過程中，為排除利用批量腳本工具掃描Webshell 行為產(chǎn)生噪點數(shù)據(jù)，采用HTTP 響應(yīng)包中狀態(tài)行作為威脅模型中判斷Webshell 存活的篩選條件之一，例如：HTTP/1.1 200 OK，狀態(tài)碼200 即成功請求網(wǎng)頁，可判斷檢測出Webshell 存活。

2.3 HTTP 協(xié)議流量來源

本文主要闡述的是一種基于HTTP 協(xié)議流量的Webshell 檢測方法，流量來源于一骨干網(wǎng)鏡像流量，目的是為了驗證在實際應(yīng)用中發(fā)現(xiàn)滲透入侵行為的準(zhǔn)確率，并利用此方法回溯黑客，為公安機(jī)關(guān)預(yù)警、打擊非法侵入計算機(jī)信息系統(tǒng)等黑客犯罪行為提供一種解決方案。

3 Webshell 特征工程

3.1 Webshell 定義與分類

黑客進(jìn)行網(wǎng)絡(luò)攻擊時，具有一定的固有流程，攻擊流程在結(jié)果上映射為一次成功的攻擊事件后會獲取Webshell，Webshell 作為黑客成功入侵網(wǎng)站服務(wù)器后留下的后門，可以利用特定遠(yuǎn)程控制端程序訪問網(wǎng)站的特定目錄，對網(wǎng)站服務(wù)器進(jìn)行遠(yuǎn)程控制，增加、刪除、修改網(wǎng)站服務(wù)器文件，下載、篡改數(shù)據(jù)庫數(shù)據(jù)，在服務(wù)器上執(zhí)行系統(tǒng)命令等。

Webshell 原意是一種shell 腳本語言編寫的程序，方便網(wǎng)站或WEB 服務(wù)器管理員進(jìn)行網(wǎng)站管理、服務(wù)器管理的一種腳本程序，一般具備文件上傳下載、執(zhí)行服務(wù)器系統(tǒng)命令、數(shù)據(jù)庫操作等功能，因此誕生后便被黑客所利用。現(xiàn)在通常是指通過注入、XSS、上傳等滲透手段植入木馬，獲取網(wǎng)站或服務(wù)器控制權(quán)限的后門利用腳本工具。

根據(jù)功能和攻擊影響可分為以下3 種類型：（1）簡單型Webshell 程序，俗稱“一句話木馬”，只提供基本命令執(zhí)行功能的Webshell 程序，功能簡單，必須要“菜刀”、“冰蝎”等管理工具配合使用，才能夠完成與“大馬”類似的功能；（2）文件上傳型Webshell 程序，俗稱“小馬”，不包含命令執(zhí)行功能且功能簡單，通常作為跳板上傳“大馬”或其他惡意文件；（3）網(wǎng)頁型Webshell 程序，俗稱“大馬”，文件體積較大、代碼結(jié)構(gòu)復(fù)雜，代碼中包含文件管理、命令執(zhí)行、數(shù)據(jù)庫操作等功能，可以在WEB 界面操作，通常只需要在瀏覽器中輸入木馬地址，即可實現(xiàn)對網(wǎng)站權(quán)限的控制[10]。

3.2 Webshell 特征提取方法

Webshell 具有多種特征，包括木馬文件名、危險函數(shù)名、數(shù)據(jù)包內(nèi)容、請求頭、網(wǎng)絡(luò)流量行為、利用工具特征等[11]。本文主要基于常見木馬文件名和兩種HTTP 請求流量提取特征。

（1）木馬文件名特征提取

Webshell 是植入木馬獲取網(wǎng)站數(shù)據(jù)的利用工具，植入木馬名稱、內(nèi)容由黑客編寫并發(fā)布到網(wǎng)絡(luò)上，其文件名具有明顯特征。很多攻擊者不具有編寫木馬能力或為了便于Webshell 管理，在將Webshell 傳到被攻擊網(wǎng)站中時，不會進(jìn)行重新命名，即使重命名，通常會命名為一些比較特殊且具有一定隱蔽性或易于混淆管理員視線的Webshell 名稱，如90sec.asp、t00ls.jsp、404.php 等[12]。采集互聯(lián)網(wǎng)開源項目中的木馬樣本，提取并歸納出木馬Webshell 文件名稱作為匹配特征，整理的部分Webshell 名稱特征如表2 所示。

表2 常見Webshell 木馬文件名稱特征示例Table 2 Examples of common Webshell Trojan file name features

（2）基于HTTP 請求流量的特征提取

首先，搭建各類實驗環(huán)境，模擬黑客利用漏洞的攻擊行為，例如在本地虛擬機(jī)環(huán)境中搭建本地測試網(wǎng)站，網(wǎng)站中放入JSP、ASP、PHP、ASPX 木馬，使用“菜刀”、“冰蝎”、“哥斯拉”、“XISE”等多個Webshell 利用工具模擬已經(jīng)滲透入侵成功的狀態(tài)。同時，實時對上述工具進(jìn)行抓包，分析Webshell 利用工具流量分析，其主要包含內(nèi)容見表3。

表3 Webshell 包含內(nèi)容Table 3 Webshell contains content

在反復(fù)驗證抓包數(shù)據(jù)后，發(fā)現(xiàn)Webshell 請求包的頭部格式相對固定，主要包括密碼、字符編碼和執(zhí)行命令等，Webshell 的payload 主要集中在URL與POST 請求消息中，對應(yīng)不同的腳本工具、網(wǎng)站代碼、EXP 等具有不同的特征，因此Webshell 檢測可以基于HTTP 協(xié)議流量進(jìn)行特征匹配。在特征匹配過程中，將數(shù)據(jù)包中的固定關(guān)鍵字可以用作特征值，如“eval、system”等危險函數(shù)、執(zhí)行的CMD命令、流量中解密動作函數(shù)base64_decode 等。參照互聯(lián)網(wǎng)中常見的開源木馬樣本項目進(jìn)行本地實驗環(huán)境部署，如：http://virussign.com、https://virusshare.com、GitHub 倉庫中tennc/Webshell、Webshellpub/awsome-Webshell、ysrc/Webshell-sample 等項目，結(jié)合目前主流的靜態(tài)規(guī)則庫，如市面上流行的河馬、百度Webshell、D 盾中危險函數(shù)與自建的Webshell庫[10]，經(jīng)人工篩選、抓包、分析、提取特征見表4、表5。

表4 POST 方式提取Webshell 特征示例Table 4 Example of extracting Webshell features by POST

表5 URL 提取規(guī)則特征示例Table 5 Example of URL extraction rule features

4 結(jié)合威脅情報的Webshell 檢測方法

4.1 Webshell 檢測方法

Webshell 的工作機(jī)制是通過網(wǎng)絡(luò)請求將惡意命令傳遞到服務(wù)器，以實現(xiàn)控制目標(biāo)服務(wù)器權(quán)限，最常見傳遞方式就是利用木馬文件發(fā)起HTTP 請求。WEB 類木馬主要分為三種類型：“大馬”、“小馬”和一句話木馬，原理均是調(diào)用系統(tǒng)函數(shù)來執(zhí)行Webshell 傳入的惡意命令。由于Webshell 是基于HTTP 協(xié)議運行的，傳輸?shù)牧髁烤鶠镠TTP 數(shù)據(jù)包。因此，只需要對本文中提到的HTTP 協(xié)議流量中的請求數(shù)據(jù)進(jìn)行特征檢測，Webshell 文件在執(zhí)行過程中請求數(shù)據(jù)有GET、POST，即POST 數(shù)據(jù)包和URL中會包含文中表4、表5 的特征值，使用正則表達(dá)式匹配的方法，對HTTP 協(xié)議流量的特定字段字符串，檢查一個字符串是否具有某些惡意特征的子字符串，如果匹配成功，則認(rèn)為本條流量具有明顯的惡意特征，屬于惡意流量。如果匹配不成功，則認(rèn)為此流量是正常流量或未被識別的惡意流量[13]。例如，對于在HTTP 協(xié)議流量中傳輸?shù)腤ebshell 加密數(shù)據(jù)，其請求包一般攜帶通過特定函數(shù)獲取Webshell 中相關(guān)特征的Base64 密文，base64_decode 就是PHP 一句話木馬用Base64 解密密文的行為[14]，因此可以通過此函數(shù)作為特征檢測，判斷Webshell 是否存在。

4.2 融合多維特征與威脅情報的Webshell檢測模型

首先，對接入的數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、數(shù)據(jù)歸并、數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)比對、數(shù)據(jù)標(biāo)識等預(yù)處理操作，提高數(shù)據(jù)的質(zhì)量和關(guān)聯(lián)性，為統(tǒng)一的存儲和集中的管理提供基礎(chǔ)。其次，基于特征工程提取黑客行為的相關(guān)特征信息建立知識庫，分類歸納公開漏洞攻擊、“大馬”類Webshell 網(wǎng)頁、一句話木馬類靜、動態(tài)特征、僵木蠕惡意程序回連黑域名、黑URL 等特征信息，形成HTTP 流量數(shù)據(jù)包所支持的規(guī)則，提供集中、統(tǒng)一的Webshell 特征規(guī)則下發(fā)和黑客行為采集的接口，在鏡像HTTP 協(xié)議數(shù)據(jù)中發(fā)現(xiàn)針對WEB 服務(wù)器的網(wǎng)絡(luò)攻擊事件的數(shù)據(jù)包，用于采集黑客攻擊事件的數(shù)據(jù)。

得到包含Webshell 數(shù)據(jù)包后，需要進(jìn)一步檢索、處理與數(shù)據(jù)包源IP 相關(guān)的數(shù)據(jù)內(nèi)容，形成包含時間、源IP、源端口、目的IP、目的端口的POST 包格式文件，還原整個Webshell 的連接與執(zhí)行操作過程。因為該數(shù)據(jù)包匹配的是HTTP 流量，所以請求的網(wǎng)頁路徑即是Webshell 文件路徑，直接訪問POST 請求包中的HOST 和路徑就能打開并連接Webshell。因匹配命中流量較大，模型提取host 和路徑，生成文本文件，通過自動化腳本發(fā)送HTTP 請求包，查看相應(yīng)HTTP響應(yīng)碼，以驗證相關(guān)頁面是否能夠正常訪問。最終通過實時采集網(wǎng)絡(luò)攻擊事件信息，基于攻擊行為成功的黑客行為事件，利用攻擊源和目的的IP、POST包以及驗證結(jié)果生產(chǎn)威脅情報，產(chǎn)生的威脅情包中包含新的Webshell 流量特征，重新輸入到模型中，進(jìn)行復(fù)現(xiàn)和調(diào)整，進(jìn)而提取到更多的Webshell 特征補充到知識庫中支撐檢測，使得檢測模型整體能夠形成閉環(huán)。

在模型構(gòu)建過程中結(jié)合了公安機(jī)關(guān)“打擊和預(yù)防犯罪”的定位，立足網(wǎng)絡(luò)安全保衛(wèi)需求，滿足公共網(wǎng)絡(luò)安全事件的線索發(fā)現(xiàn)、取證、偵察等需要，從宏觀角度出發(fā)把握城市總體被滲透威脅的態(tài)勢情況；從微觀角度出發(fā)發(fā)現(xiàn)危害公共網(wǎng)絡(luò)的安全事件，為網(wǎng)絡(luò)等級保護(hù)和黑客案件打擊提供線索情報，為互聯(lián)網(wǎng)公共網(wǎng)絡(luò)安全事件監(jiān)測提供了有力的支撐。

5 實驗與結(jié)果分析

5.1 實驗方法與實驗數(shù)據(jù)

分析鏡像骨干網(wǎng)1 小時流量，其中，HTTP 請求流量約69 萬條，根據(jù)表4、表5 提取到的Webshell特征關(guān)鍵詞，基于正則匹配的方法，判斷流量POST包與URL 中是否包含關(guān)鍵詞，并通過“菜刀”、“冰蝎”等工具實際驗證檢出的Webshell 是否準(zhǔn)確。

經(jīng)過實驗，完全匹配到包含Webshell 特征的一句話木馬1,918 個，“小馬”559 個，“大馬”27 個，見表6。流量復(fù)現(xiàn)分析和驗證后，確定實驗檢測出的Webshell 均為攻擊流量，仍存活的Webshell 有64 個，可判斷模型對已知的Webshell 特征檢測效果較好，且命中的一句話木馬類型的Webshell 比例最高。

表6 實驗結(jié)果Table 6 Experimental results

圖1 融合多維特征與威脅情報的Webshell 檢測模型Fig.1 Webshell detection model incorporating multi-dimensional features and threat intelligence

根據(jù)生產(chǎn)環(huán)境下的數(shù)據(jù)進(jìn)行的實驗結(jié)果分析，模型對“大馬”檢出率最低，為驗證實驗漏報率，獲取互聯(lián)網(wǎng)開源倉庫Github 中下載量最高、更新最多的Webshell 項目（tennc/webshell）。抽取項目中最新提交的一句話木馬、“大馬”、“小馬”三類惡意樣本生成惡意流量600 條，模擬Webshell 特征構(gòu)造正常流量2,000 條，輸入到模型中仿真運行，檢測出一句話木馬流量200 條、“小馬”流量197 條，“大馬”流量184 條，整體漏報率3.17%。誤將正常流量中識別為“大馬”的1 條，“小馬”3 條，一句話9條，整體誤報率0.65%。其中，“大馬”因其變種多、構(gòu)造復(fù)雜的特點，使用加密或混淆等方法規(guī)避檢測，漏報率相對較高，一句話木馬因結(jié)構(gòu)簡單，特征中危險函數(shù)容易被誤識別，導(dǎo)致誤報率相對較高，詳細(xì)漏報率、誤報率情況見表7。

表7 實驗結(jié)果Table 7 Experimental results

實驗結(jié)果表明，相較于基于威脅情報的檢測方式，如劉亮等人[16]研究的基于威脅情報的入侵檢測方法，具有漏報率低的優(yōu)點。同時，對比只采用特征工程的檢測方法，如王躍達(dá)等人[12]研究的基于WebShell 文件名和通信流量兩種特征的檢測方法，具有特征庫維護(hù)難度低的特點。

5.2 威脅情報模型實驗與應(yīng)用結(jié)果分析

接入某骨干網(wǎng)絡(luò)分光流量，通過部署2 臺服務(wù)器光纖直連分光器，捕獲流量進(jìn)行分析。經(jīng)過實際部署應(yīng)用后，在總寬帶110Gbps 的流量中一個月捕獲HTTP 流量約5 億條，平均每天檢測約6.1 萬條Webshell 流量，能夠識別木馬以及中國菜刀、蟻劍、“XISE”等Webshell 管理工具產(chǎn)生的流量特征，通過程序和人工處理驗證，共計匹配到1,541 余個（去重后911 個）仍存活Webshell 并回溯黑客行為，其中通過部分特征對Webshell 木馬流量進(jìn)行檢測的一個月命中數(shù)據(jù)如表8。

表8 威脅情報檢測模型實際應(yīng)用結(jié)果Table 8 Threat intelligence detection model practical application results

6 結(jié)語

根據(jù)實驗結(jié)果不難發(fā)現(xiàn)，基于特征工程的檢測方法對已知的Webshell 檢測具有漏報率低、誤報率低的優(yōu)點，但面對一些使用特殊方式加密或混淆的未知變種Webshell 惡意代碼仍可以規(guī)避檢測[15]，檢測方法高度依賴Webshell 特征庫，具有漏報率高、特征庫維護(hù)規(guī)模龐大的缺點[8]。因此本文創(chuàng)新性提出融合多維特征與威脅情報的Webshell 檢測模型，一是實時跟蹤互聯(lián)網(wǎng)上開源威脅情報信息，提取攻擊中的木馬后門特征，產(chǎn)出威脅情報，二是對檢測出的威脅情報中的惡意流量進(jìn)一步分析、提取特征，閉環(huán)產(chǎn)生威脅情報，形成實時動態(tài)更新的知識庫，降低了特征庫維護(hù)難度。

雖然基于特征工程的檢測方法還存在一定缺陷，但是在實際應(yīng)用中具有方便、快速、簡單，對已知特定攻擊行為檢測精度和效率較高的優(yōu)點，能夠真正從威脅情報實際應(yīng)用的角度檢測大量Webshell 并回溯攻擊源，為公安機(jī)關(guān)打擊黑客犯罪提供準(zhǔn)確、有效的威脅情報，因此在預(yù)防、打擊黑客犯罪的實際應(yīng)用中是非常有價值的。

利益沖突聲明

所有作者聲明不存在利益沖突關(guān)系。