本文探讨了通过行为分析和流量行为检测来确保网站安全的方法。通过hook技术监控命令执行函数以识别潜在入侵,同时分析服务器日志文件以发现恶意后门。此外,通过收集网络流量数据,检测Webshell特征,实现预警和应急方案的准备。关注《小道安全》获取更多技术安全资讯。
1.行为分析
通过动态检测系统上进行执行的行为来进行判断是否为恶意行为,网站是否被入侵攻击。例如通过 hook 方案进行, hookjava/php 底层的命令执行函数,判断当前是否执行到命令执行函数,如果出现这个情况,就说明网站很有可能已经被入侵攻击。
2.流量行为
通过进行收集网站后台服务器的网络流量进行大数据分析,排查黑客攻击者发送的 payload 攻击特征,特别是 Webshell 特征进行检测和告警,用于预警信息手机及应急方案的处理。
3.日志文件
通过分析日志文件进行判断网站是否有恶意后门,与我们平常的病毒扫描一样,通过排查日志文件也可以发现网站被攻击入侵一些过程,这样有利于回溯整个攻击过程。
更多技术安全请关注《小道安全》公众号。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
