沉寂的时间长了
思考
已经有好长时间没有发文章了,也不是懒,总想做一些安全方面的积累,再进行输出,这样的产出可能更有价值。
最近一直在做PHP WebShell的检测,尝试了很多种办法,基于现有数据,大致是如下四种:
每一种方法都有它的优点和缺陷,尝试多种方法其实就是在维持误报和漏报的平衡。
基于行为分析的检测,使用动态监控函数的方式,是大幅度乃至消除漏报的。虽然动态监控函数非常有效,但是会偏向于函数和参数细节,无法整体分析,漏报少了,相应的误报可能就会很多,不过这是根本解决WebShell的途径。
基于静态特征,统计学和语义的检测,其实都是在静态分析PHP文件,可以整体来分析WebShell。虽然有局限,但是必不可少。
当然还有基于日志,基于流量的分析方式,因为没做过,所以不谈了。
等我将漏报和误报做的不错了,
我会搭个网站,提供一个上传接口,欢迎大家来挑战。
同时将我的总结分享出去。