1  TI（威胁情报）& IR（事件响应）

用户收到web攻击被植入webshell，一般两个维度比较关心。简单说我受破坏的程度，如何避免不再出现类似情况，同时关心黑客的来源身份手段等信息（黑客画像）。

直接上图

1）攻击侧的深挖：可以自动化的通过TI(威胁情报平台），对攻击源进行关联分析，对攻击者、攻击手法等进行画像。甚至可以开启自动化的端口扫描对源地址进行信息探测，进行更深入的分析。

2）受害侧的处置：自动化的关联漏洞扫描系统，对被攻击者进行扫描，根据扫描结果关联到应急响应平台，获取漏洞的处置方式并进行相关漏洞修复或执行自动化的访问控制措施等。最后再通过检测系统对漏洞处置的结果进行返回确认。

2  TI（威胁情报）

结合威胁情报，对攻击者进行充分画像。包括攻击者身份、攻击者攻击手法、攻击者常用的工具等。

3  IR（事件处理）

就webshell而言，用户说要检测webshell，为什么要检测webshell？用户说要分析日志，为什么要分析日志？

目标群体是站长（管理员）的话，他们关心什么。他们心里其实是一连串的问号。

• 我们的网站是不是被人搞了?

• 这个黑客是哪里来的？怎么入侵进来的？为什么要攻击我？进来都干了什么？（黑客是谁？从那里来？想干什么？）

• 网站到底有什么漏洞？如何修复漏洞，不让黑客进来？

• 黑客进来了，可能干了很多坏事，偷走了数据，可能监听窃听了内网很多敏感信息。

• 还有没有其他漏洞存在，别被黑客再攻击进来？

• 有没有其他同区域的系统遭受攻击

• 为避免后遗症，是否需要修改系统口令，设置权限等相关安全提升措施。

简单说我受破坏的程度，如何避免不再出现类似情况，同时关心黑客的来源身份手段等信息（黑客画像）

所以webshell检测系统我们要做的到底是什么？是覆盖WEB类安全事件事后处置的一个平台（或服务）。 主要的功能：

• 监测网站是不是被人入侵了。

• 根据流量找出攻击者的IP地址。

• 结合外部威胁情报对攻击者进行画像，给用户全面的信息。

• 基于流量可以还原攻击场景。

• 根据攻击场景分析网站存在什么漏洞。

• 根据漏洞给用户提供修补加固方案。

4  平台设想

安全行业目前已经有了很多平台：漏洞平台、众测平台、在线教育、威胁情报、安全媒体……，但是安全加固或应急处置平台目前业内还没有看到，该平台对漏洞修复、常见事件处理提供有效的验证过的处理方法、处理流程、处理工具等，可以大大提供维护人员的工作效率。我们也期待社区化模式的应急响应平台的出现。

关注 守望者实验室 微信公众号；

    Watcherlab威胁情报Feed，敬请试用！获取地址：
    http://feed.watcherlab.com/

原文始发于微信公众号（守望者实验室）：从“TI（威胁情报）”到“IR（事件响应）”：从webshell的安全说开