cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > 服务器防御 > 本文内容

防御ddos_游戏_网络类cc防护

发布时间:2021-02-24 12:04源自:51首防安全作者:51首防安全阅读()

防御ddos_游戏_网络类cc防护

2016年是信息安全的重要一年,我们看到网络犯罪分子和国家行为体的攻击规模和公众意识都在增加,物联网也成为了一个研究领域。但今天我们想谈谈一种非常古老(但同样危险)的攻击工具——web外壳——以及Rapid7正在开发的快速准确识别它们的新技术。什么是网页外壳?Web Shell是基于Web的应用程序,它为威胁参与者提供了与系统交互的能力—从文件访问和上载到在被攻击的服务器上执行任意代码的能力。它们是用多种语言编写的,包括PHP、ASP、Java和JavaScript,不过最常见的是PHP(因为大多数系统都支持PHP)。一旦它们进入你的系统中,威胁参与者就可以利用它们窃取数据或凭证,获得对网络中更重要服务器的访问权,或者作为上传更危险和更广泛恶意软件的渠道。我为什么要在乎?因为网络炮弹几乎可以击中任何人。它们最常出现在小型企业网站上,尤其是Wordpress支持的网站,因为Wordpress插件和主题是WebShell作者最喜欢的目标(因为漏洞经常出现在它们身上)。当然,Wordpress并不是孤立的——事实上所有的web应用程序都会不时地发布漏洞。因此,如果你有一个网站,接受和存储任何类型的用户输入,从论坛帖子到头像,现在是学习网页外壳的好时机,因为你很可能很容易受到它们的攻击。Web Shell的工作原理和使用方法使用web shell的第一步是将其上载到服务器,然后攻击者可以从服务器访问它。这种"安装"可以通过几种方式进行,但最常见的技术包括:利用服务器软件中的漏洞,访问管理员门户,ddos检测防御方法,或利用配置不当的主机。例如,Rapid7的事件响应团队已经处理了几起攻击事件,其中攻击者利用客户的CMS使用的第三方插件中的漏洞,使他们能够上传一个简单的PHP web shell。一旦上传了一个webshell,它就会被用来攻击系统。不同的参与者,不同的webshell,不同的webshell,因为shell可以提供多种功能。有些非常简单,只需打开与外部世界的连接,允许参与者插入更精确或恶意的代码,然后执行他们收到的任何内容。另一些则更为复杂,带有数据库或文件浏览器,让攻击者从数千英里之外的地方来袭你的代码和数据。无论是什么设计,网页外壳都可能是极其危险和常见的——US-CERT已经将其确定为网络犯罪和高级持续威胁(APT)的常用工具。如果没有检测到并消除它们,它们不仅可以为攻击者提供进入您环境的可靠、持久的后门,而且还可以提供潜在的根访问权限,这取决于它们的危害。网页外壳检测网络外壳并不是什么新鲜事,人们花了很多时间来检测和阻止它们。一旦发现系统的漏洞,就可以通过服务器查看文件的上载和修改日期(相对于发现日期),然后手动检查可疑的上载,以确定它们是否是问题的根源,这非常简单(尽管耗时)。但是,在网络外壳被用来造成危害之前检测它们呢?有几种方法可以做到这一点。一种方法是让一个自动系统检查新上传或更改的文件的内容,看看它们是否与已知的网页外壳相匹配,防御CC香港服务器,就像防病毒软件处理其他形式的恶意软件一样。如果攻击者使用的是已知的web外壳,这种方法很有效,但是在遇到自定义代码时,它会很快崩溃。另一种技术是使用模式匹配来查找通常是恶意的代码片段(下至单个函数调用的级别),例如调用系统来操作文件或打开连接。问题在于webshell的作者完全了解这种技术,并且故意以一种非常不透明和令人困惑的方式编写代码,ddos攻击以及防御方法,这使得模式匹配非常难以做到真正准确。更好的方法如果我们能够检测到网络外壳,我们就可以阻止它们,如果我们能够阻止它们,我们就可以保护我们的客户——但是正如您所看到的,所有现有的方法都有一些非常严重的缺点。意味着他们错过了很多。Rapid7实验室一直在开发一个系统,该系统使用数据科学,根据PHP文件的静态和动态分析对web shell威胁进行分类。在静态分析上下文中,我们的分类器同时查找看起来危险的函数调用和文件签名以及编码技术,如果开发人员编写的是合法的、可供生产的代码,这些技术是开发人员在试图隐藏其目的时才出现的。在动态分析上下文中,潜在的恶意文件在一个受监视的独立系统上执行,这样我们的分类器就可以看到它做了什么。然后,cc攻击防御服务,这两种方法的结果都会被输入到机器学习模型中,这个模型可以预测文件是否是恶意的,准确率非常有希望,香港阿里云ddos防御服务器,在我们测试过的数百个web Shell中,系统检测到99%的web Shell,包括定制的、一次性的Shell,误报率只有1%。结果是(广义地说),如果我们的AR团队面对1000个文件,他们只需要手动检查10个。(对于那些ML书呆子来说,是的,我们已经检查过是否适合。)在未来,我们希望使用该系统来预先检测web外壳,在它们攻击系统之前识别并隔离它们。在此之前,我们的管理检测和响应团队一直在使用它,使他们能够比单纯依靠传统、艰苦和容易出错的手动方法的团队更快地确定客户违规的来源。奥利弗·凯斯,高级数据科学家Tim Stiller,高级软件工程师

欢迎分享转载→ 防御ddos_游戏_网络类cc防护

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -