一种基于强制访问控制机制的webshell防范方法

摘要

本发明公开了一种基于强制访问控制机制的webshell防范方法，实施步骤如下：将web文件分类并基于分类建立强制访问控制策略；获取客户端请求的目标web文件的客体标记，如果客体标记为web应用脚本文件则查询强制访问控制策略确定目标web文件对应的权限，并根据查询结果确定是否解析执行目标web文件；如果客体标记为web多媒体文件，则查询强制访问控制策略确定目标web文件对应的权限，并根据查询结果确定是否读取目标web文件。本发明能够使入侵者上传的webshell被禁止解析执行，从而能够阻止入侵者通过webshell实施进一步破坏，webshell防范全面、安全可靠、成本低廉、通用性好。

说明书

技术领域

本发明涉及计算机系统的安全访问控制技术领域，具体涉及一种基于强制访问控制机制的webshell防范方法。

背景技术

当前Web应用越来越丰富，为广大用户的工作、生活、娱乐提供了极大地便利，同时Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件频发。2012年，国家计算机网络应急技术处理协调中心（简称CNCERT/CC）共监测发现我国境内52324个网站被植入后门，其中政府网站3016个，较2011年月均分别增长213.7%和93.1%。植入Webshell是入侵者获取服务器管理权限的重要手段，当入侵者可以成功获得服务器主机的webshell时，入侵者便拥有服务器的部分访问权限，为进一步窃取、破坏数据建立了坚实基础。

当前webshell防范方法主要有如下几种：（1）定期扫描web应用，发现恶意代码。Webshell由于其特殊性，存在一定的特征，综合众多特征对web应用代码进行扫描，针对嫌疑代码进行自动或手动处理。该方法类似于系统上的杀毒软件，只能在出现问题后发现问题，存在一定的延迟，无法及时的阻止入侵者进行破坏。（2）Web应用防护系统（简称WAF）。WAF用来解决诸如防火墙等传统安全设备束手无策的Web应用安全问题，可以对webshell等针对Web的攻击起到很好的防范效果。但WAF基于一定的规则，难免存在漏报和误报，无法准确的定位webshell。此外，WAF往往以一种特定产品提供，价格昂贵，配置使用也需要具有一定的专业技能。综上所述，当前webshell防范方法很难及时、准确阻止入侵者实施攻击。

发明内容

本发明要解决的技术问题是：针对现有技术的上述技术问题，提供一种能够使入侵者上传的webshell被禁止解析执行，从而能够阻止入侵者通过webshell实施进一步破坏，webshell防范全面、安全可靠、成本低廉、通用性好的基于强制访问控制机制的webshell防范方法。

为了解决上述技术问题，本发明采用的技术方案为：

一种基于强制访问控制机制的webshell防范方法，其实施步骤如下：

1）基于操作系统的强制访问控制机制将web服务器中的web文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件，同时在web服务器运行过程中检测web服务器中新生成的文件，基于操作系统的强制访问控制机制将web服务器中的新生成的文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件；在操作系统中针对所有web应用脚本文件和web多媒体文件建立强制访问控制策略，所述强制访问控制策略包括每一个web应用脚本文件是否具有解析执行权限的信息和每一个web多媒体文件是否具有只读权限的信息；

2）当客户端向web服务器发起请求时，通过web服务器的web解析器获取客户端所请求的目标web文件的客体标记，如果所述客体标记为web应用脚本文件则跳转执行步骤3），如果所述客体标记为web多媒体文件则跳转执行步骤4）；

3）通过web服务器中的web脚本解析器查询所述强制访问控制策略确定所述目标web文件对应的权限，如果所述目标web文件具有解析执行权限，则解析执行所述目标web文件并将结果返回给客户端，如果所述目标web文件不具有解析执行权限，则拒绝解析执行所述目标web文件并返回指定的错误信息给客户端；客户端的请求处理结束并退出；

4）通过web服务器中的web脚本解析器查询所述强制访问控制策略确定所述目标web文件对应的权限，如果所述目标web文件具有只读权限，则读取所述目标web文件并返回给客户端，如果所述目标web文件不具有只读权限，则拒绝读取所述目标web文件并返回指定的错误信息给客户端；客户端的请求处理结束并退出。

优选地，所述步骤1）中建立强制访问控制策略时，针对新生成的文件中的web应用脚本文件，其对应的强制访问控制策略默认为不具有解析执行权限。

优选地，所述强制访问控制策略在操作系统中被配置为仅仅具有管理员权限的用户可以修改和添加。

本发明基于强制访问控制机制的webshell防范方法具有下述优点：

1、本发明一方面通过将web服务器中的web文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件，针对web多媒体文件建立的强制访问控制策略而言，每一个web多媒体文件的权限只有是否具有只读权限两种，确保仅有合法的网页的脚本文件被解析执行，另一方面本发明进一步在web服务器运行过程中检测web服务器中新生成的文件，基于操作系统的强制访问控制机制将web服务器中的新生成的文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件，从而有效地针对webshell通常是以新生成的文件形式解析执行，能够使入侵者上传的webshell被禁止解析执行，从而能够阻止入侵者通过webshell实施进一步破坏，通过上述两方面的措施，能够彻底防止以web多媒体文件形式存在的webshell被解析执行，以此来准确、及时达到防范webshell的防护效果，具有webshell防范全面、安全可靠的优点。

2、本发明仅需对现有技术Web服务器的web脚本解析器进行安全扩展，使其具有强制访问控制策略的查询并根据查询结果做不同处理的功能，同时辅以一定的强制访问控制（使得具有web服务器中的web文件客体标记分类功能并建立有强制访问控制策略），便可以实现webshell的防范效果，成本低廉，防护效果良好。

3、本发明的防护依赖于系统的强制访问控制机制实现，各系统的强制访问控制都在系统底层实现，攻击者难以旁路，因此使用本发明的防护机制具有较高的安全性。

4、本发明基于扩展Web服务器的web脚本解析器、并可在支持系统强制访问控制的Linux、Unix、Solaris、Windows多种平台进行应用，支持平台的多样性，具有通用性好的优点。

附图说明

图1为本发明实施例的实施流程示意图。

图2为本发明实施例中web服务器的框架结构示意图。

具体实施方式

如图1所示，本实施例基于强制访问控制机制的webshell防范方法的实施步骤如下：

1）基于操作系统的强制访问控制机制将web服务器中的web文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件，同时在web服务器运行过程中检测web服务器中新生成的文件，基于操作系统的强制访问控制机制将web服务器中的新生成的文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件；在操作系统中针对所有web应用脚本文件和web多媒体文件建立强制访问控制策略，所述强制访问控制策略包括每一个web应用脚本文件是否具有解析执行权限的信息和每一个web多媒体文件是否具有只读权限的信息；

2）当客户端向web服务器发起请求时，通过web服务器的web解析器获取客户端所请求的目标web文件的客体标记，如果所述客体标记为web应用脚本文件则跳转执行步骤3），如果所述客体标记为web多媒体文件则跳转执行步骤4）；

3）通过web服务器中的web脚本解析器查询所述强制访问控制策略确定所述目标web文件对应的权限，如果所述目标web文件具有解析执行权限，则解析执行所述目标web文件并将结果返回给客户端，如果所述目标web文件不具有解析执行权限，则拒绝解析执行所述目标web文件并返回指定的错误信息给客户端；客户端的请求处理结束并退出；

4）通过web服务器中的web脚本解析器查询所述强制访问控制策略确定所述目标web文件对应的权限，如果所述目标web文件具有只读权限，则读取所述目标web文件并返回给客户端，如果所述目标web文件不具有只读权限，则拒绝读取所述目标web文件并返回指定的错误信息给客户端；客户端的请求处理结束并退出。

本实施例一方面通过将web服务器中的web文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件，针对web多媒体文件建立的强制访问控制策略而言，每一个web多媒体文件的权限只有是否具有只读权限两种，确保仅有合法的网页的脚本文件被解析执行，另一方面本发明进一步在web服务器运行过程中检测web服务器中新生成的文件，基于操作系统的强制访问控制机制将web服务器中的新生成的文件通过客体标记分类为需要解析执行的web应用脚本文件和不需要解析执行的web多媒体文件，从而有效地针对webshell通常是以新生成的文件形式解析执行，能够使入侵者上传的webshell被禁止解析执行，从而能够阻止入侵者通过webshell实施进一步破坏，通过上述两方面的措施，能够彻底防止webshell被解析执行，以此来准确、及时达到防范webshell的防护效果，具有webshell防范全面、安全可靠的优点。

如图2所示，本实施例针对现有web服务器中的修改涉及两个方面：（一）、在web脚本解析器中增加了web解析器安全扩展，通过web解析器安全扩展执行前述的步骤2）～步骤4）的流程；（二）、在操作系统中增加了强制访问控制机制，通过强制访问控制机制执行前述的步骤1）的流程，强制访问控制机制在系统底层实现，攻击者难以旁路，具有较高的安全性。上述两个部分的修改均实现比较简单方便。

本实施例中，步骤1）中建立强制访问控制策略时，针对新生成的文件中的web应用脚本文件，其对应的强制访问控制策略默认为不具有解析执行权限。如果客户端恶意上传web应用脚本文件形式的webshell，web应用脚本文件并不具有解析执行权限，因此即使上传成功，web服务器的web解析器也不会解析webshell；如果客户端恶意上传web多媒体文件形式的webshell，web多媒体文件并不具有解析执行权限而具有只读权限，因此即使上传成功，web服务器的web解析器也不会解析webshell而只是以静态的方式返回结果，从而能够有效地对webshell进行防范。

本实施例中，强制访问控制策略在操作系统中被配置为仅仅具有管理员权限的用户可以修改和添加，从而能够提高强制访问控制策略的安全性。

以上所述仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。