1.行为分析
通过动态检测系统上进行执行的行为来进行判断是否为恶意行为,网站是否被入侵攻击。例如通过 hook 方案进行, hookjava/php 底层的命令执行函数,判断当前是否执行到命令执行函数,如果出现这个情况,就说明网站很有可能已经被入侵攻击。
2.流量行为
通过进行收集网站后台服务器的网络流量进行大数据分析,排查黑客攻击者发送的 payload 攻击特征,特别是 Webshell 特征进行检测和告警,用于预警信息手机及应急方案的处理。
3.日志文件
通过分析日志文件进行判断网站是否有恶意后门,与我们平常的病毒扫描一样,通过排查日志文件也可以发现网站被攻击入侵一些过程,这样有利于回溯整个攻击过程。
更多技术安全请关注《小道安全》公众号。