CN105046154A - 一种webshell检测方法及装置 - Google Patents
一种webshell检测方法及装置 Download PDFInfo
- Publication number
- CN105046154A CN105046154A CN201510496802.0A CN201510496802A CN105046154A CN 105046154 A CN105046154 A CN 105046154A CN 201510496802 A CN201510496802 A CN 201510496802A CN 105046154 A CN105046154 A CN 105046154A
- Authority
- CN
- China
- Prior art keywords
- webshell
- abnormal information
- file
- weighted value
- target abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/33—Querying
- G06F16/3331—Query processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种webshell检测方法及装置,其中,所述方法包括:根据webshell样本库确定待检测的两个以上的目标异常信息、确定每一个目标异常信息对应的第一权重值、以及确定标准值;获取web服务器网站目录下的全部脚本文件;检测每一个脚本文件中所包括的目标异常信息;根据每一个脚本文件包括的每一个目标异常信息和每一个目标异常信息对应的第一权重值计算每一个脚本文件对应的第三权重值;判断每一个脚本文件的第三权重值是否大于或等于标准值,如果是,则确定大于或等于标准值的第三权重值对应的脚本文件包括webshell。通过本发明的技术方案,可检测出web服务器中的webshell。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种webshell检测方法及装置。
背景技术
Webshell是一种在web服务器中以网页脚本文件形式存在的木马文件,入侵者可通过浏览器直接访问webshell以得到命令执行环境,进而通过该webshell在被入侵的web服务器中上传或下载文件、修改文件内容、查看数据库、执行任意程序命令等。
Webshell在web入侵中充当着脚本攻击工具的作用,入侵者可以通过webshell达到控制网站或web服务器的目的;由于webshell与被控制的web服务器或远程主机交换的数据都是通过HTTP协议默认端口传递的,因此,webshell会被认为是正常的网站访问,不会被防火墙拦截,同时,由于webshell与web服务器网站目录下正常的网页脚本文件混在—起,具有极强的隐蔽性,不易被发现。
发明内容
有鉴于此,本发明提供了一种webshell检测方法及装置,可检测出web服务器中的webshell。
第一方面,本发明提供了一种webshell检测方法,包括:
S0:根据webshell样本库确定待检测的两个以上的目标异常信息、确定每一个目标异常信息对应的第一权重值、以及确定标准值,还包括:
S1:获取web服务器网站目录下的全部脚本文件;
S2:检测每一个脚本文件中所包括的目标异常信息;
S3:根据每一个所述脚本文件包括的每一个目标异常信息和所述每一个目标异常信息对应的第一权重值计算每一个所述脚本文件对应的第三权重值;
S4:判断每一个所述脚本文件的第三权重值是否大于或等于所述标准值,如果是,则确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell。
进一步的,所述步骤S4之后还包括:
设置隔离区;
当确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell时,将所述webshell转移至所述隔离区。
进一步的,在将所述webshell转移至隔离区之后,还包括:
检测所述webshell对应的网站是否报错,如果是,则根据报错信息从所述隔离区恢复对应的webshell。
进一步的,所述确定待检测的两个以上的目标异常信息包括:将以下异常信息中的至少两种确定为待检测的两个以上的目标异常信息:
文件提供上传或下载功能、通过文件获取信息***信息、文件具有修改其它文件的功能、通过文件执行shell、cmd等命令控制信息***、通过文件对信息***进行查询或修改、文件大于100k或文件小于10k。
进一步的,
所述确定每一个目标异常信息对应的第一权重值,包括:统计每一个目标异常信息在所述webshell样本库中出现的次数和所述webshell样本库中出现所述两个以上的目标异常信息的总次数,针对每一个目标异常信息,将当前的目标异常信息在所述webshell样本库中出现的次数与所述webshell样本库中出现所述两个以上的目标异常信息的总次数的商作为当前的目标异常信息对应的第一权重值;
所述确定标准值,包括:根据所述webshell样本库中的每一个webshell包括的全部目标异常信息,将当前webshell包括的每一个目标异常信息对应的第一权重值的和作为当前webshell对应的第二权重值;对比每一个所述webshell样本库中的webshell对应的第二权重值,确定其中最小的一个第二权重值包括标准值。
第二方面,本发明提供了一种webshell检测装置,包括:
确定单元,用于根据webshell样本库确定待检测的两个以上的目标异常信息、确定每一个目标异常信息对应的第一权重值、以及确定标准值;
获取单元,用于获取web服务器网站目录下的全部脚本文件;
第一检测单元,用于检测每一个脚本文件中所包括的目标异常信息;
计算单元,用于根据每一个所述脚本文件包括的每一个目标异常信息和所述每一个目标异常信息对应的第一权重值计算每一个所述脚本文件对应的第三权重值;
判断单元,判断每一个所述脚本文件的第三权重值是否大于或等于所述标准值,如果是,则确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell。
进一步的,还包括:
设置单元,用于设置隔离区;
处理单元,用于当确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell时,将所述webshell转移至所述隔离区。
进一步的,还包括:
第二检测单元,用于检测所述webshell对应的网站是否报错;
恢复单元,用于当所述检测单元的检测结果为是时,从所述第一设置单元设置的隔离区恢复对应的webshell。
进一步的,
所述确定单元,用于将以下异常信息中的至少两种确定为待检测的两个以上的目标异常信息:
文件提供上传或下载功能、通过文件获取信息***信息、文件具有修改其它文件的功能、通过文件执行shell、cmd等命令控制信息***、通过文件对信息***进行查询或修改、文件大于100k或文件小于10k。
进一步的,
所述确定单元,还用于统计每一个目标异常信息在所述webshell样本库中出现的次数和所述webshell样本库中出现所述两个以上的目标异常信息的总次数,针对每一个目标异常信息,将当前的目标异常信息在所述webshell样本库中出现的次数与所述webshell样本库中出现所述两个以上的目标异常信息的总次数的商作为当前的目标异常信息对应的第一权重值;
所述确定单元,还用于根据所述webshell样本库中的每一个webshell包括的全部目标异常信息,将当前webshell包括的每一个目标异常信息对应的第一权重值的和作为当前webshell对应的第二权重值;对比每一个所述样本webshell对应的第二权重值,确定其中最小的一个第二权重值包括标准值。
本发明提供的一种webshell检测方法及装置,通过获取web服务器网站目录下的全部脚本文件,根据通过webshell样本库预先确定的需要检测的异常信息获取每一个脚本文件的全部异常信息,并根据通过该webshell样本库预先确定的异常信息对应的第一权重值计算每一个脚本文件的第三权重值,如果有第三权重值大于通过该webshell样本库确定的标准值,则确定该第三权重值对应的脚本文件为webshell,从而检测出web服务器中的webshell,进而提高了检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种webshell检测方法的流程图;
图2是本发明一实施例提供的另一种webshell检测方法的流程图;
图3是本发明一实施例提供的一种webshell检测装置的结构示意图;
图4是本发明一实施例提供的另一种webshell检测装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种webshell检测方法,该方法可以包括以下步骤:
S0:根据webshell样本库确定待检测的两个以上的目标异常信息、确定每一个目标异常信息对应的第一权重值、以及确定标准值;
S1:获取web服务器网站目录下的全部脚本文件;
S2:检测每一个脚本文件中所包括的目标异常信息;
S3:根据每一个所述脚本文件包括的每一个目标异常信息和所述每一个目标异常信息对应的第一权重值计算每一个所述脚本文件对应的第三权重值;
S4:判断每一个所述脚本文件的第三权重值是否大于或等于所述标准值,如果是,则确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell。
本发明提供的一种webshell检测方法,通过获取web服务器网站目录下的全部脚本文件,根据通过webshell样本库预先确定的需要检测的异常信息获取每一个脚本文件的全部异常信息,并根据通过该webshell样本库预先确定的异常信息对应的第一权重值计算每一个脚本文件的第三权重值,如果有第三权重值大于通过该webshell样本库确定的标准值,则确定该第三权重值对应的脚本文件为webshell,从而检测出web服务器中的webshell,进而提高了检测效率。
为了防止被检测到的webshell继续对该web服务器造成破坏或窃取该web服务器内的信息,本发明一个优选实施例中,所述步骤S4之后还包括:设置隔离区,当确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell时,将所述webshell转移至所述隔离区。
进一步的,为了防止对脚本文件进行检测时误将当前web服务器下的正常脚本文件当成webshell移动至隔离区,本发明一个优选实施例中,在将所述webshell转移至隔离区之后,还包括:检测所述webshell对应的网站是否报错,如果是,则根据报错信息从所述隔离区恢复对应的webshell。
在某些特定的环境下,web服务器下的正常脚本文件也可能具备和webshell文件相同的异常信息,比如,管理员进行***维护时,可能通过特定的脚本文件对其他脚本文件进行更改以及访问数据库并修改数据库信息等,而此时,对该特定的脚本文件进行检测时由于其包含了多个异常信息,可能导致其计算出来的第三权重值高于标准值,进而使其被移动至隔离区。
因此,一方面,可将隔离区文件设置为不可查看且不可执行,防止入侵者继续对web服务器造成破坏或窃取该web服务器内的信息,另一方面,可将隔离区文件设置为可恢复文件,比如,当检测到web服务器下一个名为date的正常脚本文件丢失导致对应的网站报错,可利用相关权限从隔离区恢复该文件名为date的脚本文件。
针对于根据webshell样本库确定待检测的两个以上的目标异常信息,具体地,可通过对webshell样本库进行行为分析以获取至少两个目标异常信息,目标异常信息包括但不限于:文件提供上传或下载功能、通过文件获取信息***信息、文件具有修改其它文件的功能、通过文件执行shell、cmd等命令控制信息***、通过文件对信息***进行查询或修改、文件大于100k或文件小于10k;需要说明的是,上述异常信息仅为对webshell样本库进行分析以获取的主要异常信息,还可以包括其他异常信息,比如文件内容异常、文件压缩比异常等。
进一步的,可通过统计每一个目标异常信息在所述webshell样本库中出现的次数和所述webshell样本库中出现所述两个以上的目标异常信息的总次数,针对每一个目标异常信息,将当前的目标异常信息在所述webshell样本库中出现的次数与所述webshell样本库中出现所述两个以上的目标异常信息的总次数的商作为当前的目标异常信息对应的第一权重值。
进一步的,可根据所述webshell样本库中的每一个webshell包括的全部目标异常信息,将当前webshell包括的每一个目标异常信息对应的第一权重值的和作为当前webshell对应的第二权重值;对比每一个所述webshell样本库中的webshell对应的第二权重值,确定其中最小的一个第二权重值包括标准值。
为使本发明的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明作进一步地详细描述。
如图2所示,本发明实施例提供了另一种webshell检测方法,该方法可以包括以下步骤:
步骤201,设置webshell样本库,通过对该webshell样本库中的webshell进行行为分析以确定待检测的目标异常信息。
目标异常信息即webshell通常会具备的而web服务器下的脚本文件不具备或者只有在特定情况下才能具备的信息,比如webshell提供访问数据库的功能,web服务器内的正常脚本文件一般不具备该功能,只有配合管理员进行数据库管理的脚本文件才具备该功能,因此,可将提供访问数据库功能作为一个目标异常信息;
举例来说,可设置一个webshell样本库包括7个webshell样本文件,分别为a、b、c、d、e、f、g,对该webshell样本库中的7个样本文件进行行为分析可以获取当前webshell样本库内的webshell包括的目标异常信息包括,A:文件提供上传或下载功能、B:通过文件获取信息***信息、C:文件具有修改其它文件的功能、D:通过文件执行shell、cmd等命令控制信息***、E:通过文件对信息***进行查询或修改、F:文件大于100k或文件小于10k;需要说明的是目标异常信息包括但不限于上述目标异常信息,比如,还可以包括文件压缩比异常、文件内容异常等。
步骤202,确定每一个待检测的目标异常信息对应的第一权重值。
统计该webshell样本库中每一个webshell对应的目标异常信息如下,
a包括:A、B、C、D、E、F;
b包括:B、C、D、E、F;
c包括:C、D、E;
d包括:A、B、C;
e包括:A、C、D;
f包括:A、B、C、D;
g包括:A、C、D。
通过上述数据,可得出上述6种目标异常信息在该webshell样本库中分别出现的次数为,A:5次、B:4次、C:7次、D:6次、E:3次、F:2次;以及该webshell样本库中出现目标异常信息的总次数为27次。
由上述数据通过概率学分析可知,基于该样本库,每个webshell中出现上述不同的目标异常信息的概率为每一个目标异常在样本库中出现的次数除以该webshell样本库中出现目标异常信息的总次数,可得出计算结果分别为,A:0.19、B:0.15、C:0.26、D:0.22、E:0.11、F:0.07;由于某一项目标异常信息对应的概率越高,说明入侵者使用该目标异常信息对web服务器造成破坏或窃取该web服务器下的信息的可能也就越高,因此,在对该项目标异常信息检测时,可对该项信息赋予相对较高的权重,比如,可按每一项目标异常信息出现的概率对应设置为该项异常信息对应的权重,即作为该项目标异常信息对应的第一权重值。
步骤203,计算该webshell样本库中每一个webshell对应的第二权重值,并将最小的一个第二权重值确定为标准值。
本实施例中,由该webshell样本库可知,入侵者通常会使用一个具备多个目标异常信息的webshell破坏web服务器或者窃取该web服务器内的信息,在本实施例中,由于根据webshell样本库确定了全部可能出现的目标异常信息,并根据每一项目标异常信息在webshell中出现的概率分别赋予了对应的第一权重值,同样基于概率学分析,可将当前webshell样本库中的webshell对应的目标异常信息对应的第一权重值相加得出的值,即第二权重值,作为判断具备对应的目标异常信息的文件是webshell的概率;由上述计算方法可得,该webshell样本库中的每一个webshell分别对应的第二权重值为,a:1、b:0.81、c:0.59、d:0.6、e:0.67、f:0.82、g:0.67;
由上述数据可知,c对应的webshell对应的第二权重值最小,因此,可将c对应的第二权重值0.59设置为判断一个脚本文件包括webshell的最低权重值,即标准值。
需要说明的是,本实施例仅为本发明的优选方案,通过设置webshell样本库确定待检测的异常信息、以及计算第一权重值和标准值的过程中,对于选择样本webshell数量和样本种类不同的情况下,计算出的第一权重值和标准值可能会有较小的差别,可选择尽量多的样本种类和样本数量以及确定更多的目标异常信息可得出更加合理的第一权重值和标准值。
步骤204,获取web服务器网站目录下的全部脚本文件。
可通过遍历该web服务器下的网站目录以获取全部的脚本文件。
步骤205,检测每一个脚本文件中所包括的目标异常信息。
步骤206,计算每一个所述脚本文件对应的第三权重值。
可通过步骤203中计算webshell样本库中webshell的第二权重值的计算方法计算每一个脚本文件对应的第三权重值,比如,对于该web服务器网站目录下的脚本文件m和脚本文件n,脚本文件m包括待检测的目标异常信息A、B、C、D,脚本文件n包括待检测的目标异常信息A、B、C、D、E,本实施例中这些异常信息分别对应的第一权重值为:A:0.19、B:0.15、C:0.26、D:0.22、E:0.11、F:0.07,由此可得出脚本文件m对应的第三权重值A+B+C+D的值为0.82,脚本文件n对应的第三权重值A+B+C+D+E的值为0.93。
步骤207,判断每一个脚本文件对应的第三权重值是否大于或等于标准值。
步骤208,将大于或等于标准值的第三权重值对应的脚本文件转移至隔离区。
隔离区内的文件被设置为不允许被打开或执行,防止被转移至隔离区内的webshell继续破坏该web服务器,达到保护web服务器的目的。
步骤207至步骤208中,如上述步骤206计算出的脚本文件m和脚本文件n对应的第三权重值分别为0.82和0.93,大于步骤203中确定的标准值0.59,因此,将脚本文件m和脚本文件n确定为webshell,进而将脚本文件m和脚本文件能移动至隔离区,被转移至隔离区的脚本文件m和脚本文件n不允许被打开或执行。
步骤209,检测被转移至隔离区的webshell对应的网站是否报错,当结果为是时执行步骤210。
本实施例中,不能排除将正常文件误测为webshell的可能,因此,可通过设置检测模块检测被转移至隔离区的脚本文件对应的网站是否报错,即检测是否出现误测将该web服务器网站目录下的正常脚本文件转移至隔离区的情况。
步骤210,根据报错信息,通过相关权限从隔离区恢复对应的脚本文件。
根据报错信息回复相应的脚本文件,比如,将脚本文件m和脚本文件转移至隔离区后,脚本文件m对应的网站报错,报错信息为缺少文件名为date的脚本文件,当管理员确定脚本文件m对应的文件名为date时,可利用相关管理员权限从该隔离区恢复该脚本文件m,以使脚本文件对应的网站能够正常工作。
如图3所示,本发明实施例提供了一种webshell检测装置,可以包括:
确定单元301,用于根据webshell样本库确定待检测的两个以上的目标异常信息、确定每一个目标异常信息对应的第一权重值、以及确定标准值;
获取单元302,用于获取web服务器网站目录下的全部脚本文件;
第一检测单元303,用于检测每一个脚本文件中所包括的目标异常信息;
计算单元304,用于根据每一个所述脚本文件包括的每一个目标异常信息和所述每一个目标异常信息对应的第一权重值计算每一个所述脚本文件对应的第三权重值;
判断单元305,判断每一个所述脚本文件的第三权重值是否大于或等于所述标准值,如果是,则确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell。
如图4所示,本发明实施例提供了另一种webshell检测装置,
在一种可能实现的方式中,还包括:
设置单元401,用于设置隔离区;
处理单元402,用于当确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell时,将所述webshell转移至所述隔离区。
在一种可能实现的方式中,还包括:
第二检测单元403,用于检测所述webshell对应的网站是否报错。
恢复单元404,用于当所述检测单元的检测结果为是时,从所述第一设置单元设置的隔离区恢复对应的webshell。
在一中可能实现的方式中,
所述确定单元301,用于将以下异常信息中的至少两种确定为待检测的两个以上的目标异常信息:
文件提供上传或下载功能、通过文件获取信息***信息、文件具有修改其它文件的功能、通过文件执行shell、cmd等命令控制信息***、通过文件对信息***进行查询或修改、文件大于100k或文件小于10k。
在一中可能实现的方式中,
所述确定单元301,还用于统计每一个目标异常信息在所述webshell样本库中出现的次数和所述webshell样本库中出现所述两个以上的目标异常信息的总次数,针对每一个目标异常信息,将当前的目标异常信息在所述webshell样本库中出现的次数与所述webshell样本库中出现所述两个以上的目标异常信息的总次数的商作为当前的目标异常信息对应的第一权重值;
所述确定单元301,还用于统计所述webshell样本库中的每一个webshell包括的全部目标异常信息,将当前webshell包括的全部目标异常信息对应的第一权重值的和作为当前webshell对应的第二权重值;
对比每一个所述样本webshell对应的第二权重值,确定其中最小的一个第二权重值包括标准值。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例至少具有如下有益效果:
1、通过获取web服务器网站目录下的全部脚本文件,根据通过webshell样本库预先确定的需要检测的异常信息获取每一个脚本文件的全部异常信息,并根据通过该webshell样本库预先确定的异常信息对应的第一权重值计算每一个脚本文件的第三权重值,如果有第三权重值大于通过该webshell样本库确定的标准值,则确定该第三权重值对应的脚本文件为webshell,从而检测出web服务器中的webshell,进而提高了检测效率。
2、设置隔离区,将webshell移动至隔离区以使该webshell不可被查看或执行,从而保证该webshell不会继续对web服务器造成破坏,同时,使被误测为webshell的脚本文件可从该隔离区恢复。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者信息与另一个实体或信息区分开来,而不一定要求或者暗示这些实体或信息之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种webshell检测方法,其特征在于,包括:根据webshell样本库确定待检测的两个以上的目标异常信息、确定每一个目标异常信息对应的第一权重值、以及确定标准值,还包括:
S1:获取web服务器网站目录下的全部脚本文件;
S2:检测每一个脚本文件中所包括的目标异常信息;
S3:根据每一个所述脚本文件包括的每一个目标异常信息和所述每一个目标异常信息对应的第一权重值计算每一个所述脚本文件对应的第三权重值;
S4:判断每一个所述脚本文件的第三权重值是否大于或等于所述标准值,如果是,则确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell。
2.根据权利要求1所述的方法,其特征在于,所述步骤S4之后还包括:
设置隔离区;
当确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell时,将所述webshell转移至所述隔离区。
3.根据权利要求2所述的方法,其特征在于,在将所述webshell转移至隔离区之后,还包括:
检测所述webshell对应的网站是否报错,如果是,则根据报错信息从所述隔离区恢复对应的webshell。
4.根据权利要1-3中任一所述的方法,其特征在于,所述确定待检测的两个以上的目标异常信息包括:将以下异常信息中的至少两种确定为待检测的两个以上的目标异常信息:
文件提供上传或下载功能、通过文件获取信息***信息、文件具有修改其它文件的功能、通过文件执行shell、cmd等命令控制信息***、通过文件对信息***进行查询或修改、文件大于100k或文件小于10k。
5.根据权利要求4所述的方法,其特征在于,
所述确定每一个目标异常信息对应的第一权重值,包括:统计每一个目标异常信息在所述webshell样本库中出现的次数和所述webshell样本库中出现所述两个以上的目标异常信息的总次数,针对每一个目标异常信息,将当前的目标异常信息在所述webshell样本库中出现的次数与所述webshell样本库中出现所述两个以上的目标异常信息的总次数的商作为当前的目标异常信息对应的第一权重值;
所述确定标准值,包括:根据所述webshell样本库中的每一个webshell包括的全部目标异常信息,将当前webshell包括的每一个目标异常信息对应的第一权重值的和作为当前webshell对应的第二权重值;对比每一个所述webshell样本库中的webshell对应的第二权重值,确定其中最小的一个第二权重值包括标准值。
6.一种webshell检测装置,其特征在于,包括:
确定单元,用于根据webshell样本库确定待检测的两个以上的目标异常信息、确定每一个目标异常信息对应的第一权重值、以及确定标准值;
获取单元,用于获取web服务器网站目录下的全部脚本文件;
第一检测单元,用于检测每一个脚本文件中所包括的目标异常信息;
计算单元,用于根据每一个所述脚本文件包括的每一个目标异常信息和所述每一个目标异常信息对应的第一权重值计算每一个所述脚本文件对应的第三权重值;
判断单元,判断每一个所述脚本文件的第三权重值是否大于或等于所述标准值,如果是,则确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell。
7.根据权利要求5所述的装置,其特征在于,还包括:
设置单元,用于设置隔离区;
处理单元,用于当确定大于或等于所述标准值的第三权重值对应的脚本文件包括webshell时,将所述webshell转移至所述隔离区。
8.根据权利要求7所述的装置,其特征在于,还包括:
第二检测单元,用于检测所述webshell对应的网站是否报错;
恢复单元,用于当所述检测单元的检测结果为是时,从所述第一设置单元设置的隔离区恢复对应的webshell。
9.根据权利要求6-8中任一所述的装置,其特征在于,
所述确定单元,用于将以下异常信息中的至少两种确定为待检测的两个以上的目标异常信息:
文件提供上传或下载功能、通过文件获取信息***信息、文件具有修改其它文件的功能、通过文件执行shell、cmd等命令控制信息***、通过文件对信息***进行查询或修改、文件大于100k或文件小于10k。
10.根据权利要求9所述的装置,其特征在于,
所述确定单元,还用于统计每一个目标异常信息在所述webshell样本库中出现的次数和所述webshell样本库中出现所述两个以上的目标异常信息的总次数,针对每一个目标异常信息,将当前的目标异常信息在所述webshell样本库中出现的次数与所述webshell样本库中出现所述两个以上的目标异常信息的总次数的商作为当前的目标异常信息对应的第一权重值;
所述确定单元,还用于根据所述webshell样本库中的每一个webshell包括的全部目标异常信息,将当前webshell包括的每一个目标异常信息对应的第一权重值的和作为当前webshell对应的第二权重值;对比每一个所述样本webshell对应的第二权重值,确定其中最小的一个第二权重值包括标准值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510496802.0A CN105046154A (zh) | 2015-08-13 | 2015-08-13 | 一种webshell检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510496802.0A CN105046154A (zh) | 2015-08-13 | 2015-08-13 | 一种webshell检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105046154A true CN105046154A (zh) | 2015-11-11 |
Family
ID=54452691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510496802.0A Pending CN105046154A (zh) | 2015-08-13 | 2015-08-13 | 一种webshell检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105046154A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106850617A (zh) * | 2017-01-25 | 2017-06-13 | 余洋 | webshell检测方法及装置 |
| CN106911686A (zh) * | 2017-02-20 | 2017-06-30 | 杭州迪普科技股份有限公司 | WebShell检测方法及装置 |
| CN107135199A (zh) * | 2017-03-29 | 2017-09-05 | 国家电网公司 | 网页后门的检测方法和装置 |
| CN109933977A (zh) * | 2019-03-12 | 2019-06-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种检测webshell数据的方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN102291394A (zh) * | 2011-07-22 | 2011-12-21 | 网宿科技股份有限公司 | 基于网络加速设备的安全防御*** |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN102970309A (zh) * | 2012-12-25 | 2013-03-13 | 苏州山石网络有限公司 | 僵尸主机的检测方法、检测装置及防火墙 |
| CN103634306A (zh) * | 2013-11-18 | 2014-03-12 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
| CN103853979A (zh) * | 2010-12-31 | 2014-06-11 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| US20140337310A1 (en) * | 2006-08-08 | 2014-11-13 | CastTV Inc. | Facilitating video search |
-
2015
- 2015-08-13 CN CN201510496802.0A patent/CN105046154A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140337310A1 (en) * | 2006-08-08 | 2014-11-13 | CastTV Inc. | Facilitating video search |
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN103853979A (zh) * | 2010-12-31 | 2014-06-11 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN102291394A (zh) * | 2011-07-22 | 2011-12-21 | 网宿科技股份有限公司 | 基于网络加速设备的安全防御*** |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN102970309A (zh) * | 2012-12-25 | 2013-03-13 | 苏州山石网络有限公司 | 僵尸主机的检测方法、检测装置及防火墙 |
| CN103634306A (zh) * | 2013-11-18 | 2014-03-12 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 孙飞帆: ""基于动态分析的网页恶意脚本检测技术研究"", 《中国优秀博硕士学位论文全文数据库 信息科技辑》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106850617A (zh) * | 2017-01-25 | 2017-06-13 | 余洋 | webshell检测方法及装置 |
| CN106911686A (zh) * | 2017-02-20 | 2017-06-30 | 杭州迪普科技股份有限公司 | WebShell检测方法及装置 |
| CN106911686B (zh) * | 2017-02-20 | 2020-07-07 | 杭州迪普科技股份有限公司 | WebShell检测方法及装置 |
| CN107135199A (zh) * | 2017-03-29 | 2017-09-05 | 国家电网公司 | 网页后门的检测方法和装置 |
| CN107135199B (zh) * | 2017-03-29 | 2020-05-01 | 国家电网公司 | 网页后门的检测方法和装置 |
| CN109933977A (zh) * | 2019-03-12 | 2019-06-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种检测webshell数据的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107241296B (zh) | 一种Webshell的检测方法及装置 | |
| KR101337874B1 (ko) | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| WO2017107853A1 (zh) | 一种数据监控管理方法、数据监控方法及*** | |
| CN102567546B (zh) | 一种sql注入检测方法及装置 | |
| CN103001946B (zh) | 网站安全检测方法和设备 | |
| CN112491602B (zh) | 行为数据的监控方法、装置、计算机设备及介质 | |
| CN102541729A (zh) | 软件安全漏洞检测装置和方法 | |
| CN105046154A (zh) | 一种webshell检测方法及装置 | |
| CN102970282B (zh) | 网站安全检测*** | |
| CN102647421A (zh) | 基于行为特征的web后门检测方法和装置 | |
| CN104298923B (zh) | 漏洞类型识别方法以及装置 | |
| Zhu et al. | Android malware detection based on multi-head squeeze-and-excitation residual network | |
| CN111953697A (zh) | 一种apt攻击识别及防御方法 | |
| KR20120068611A (ko) | 공간 연동을 통한 보안 상황 인지와 상황 정보 생성 장치 및 방법 | |
| CN104462985A (zh) | bat漏洞的检测方法以及装置 | |
| Singh et al. | Sql injection detection and correction using machine learning techniques | |
| CN109344661A (zh) | 一种基于机器学习的微代理的网页防篡改方法 | |
| CN109815697B (zh) | 误报行为处理方法及装置 | |
| CN104935601A (zh) | 基于云的网站日志安全分析方法、装置及*** | |
| CN109542764B (zh) | 网页自动化测试方法、装置、计算机设备和存储介质 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| CN105430001A (zh) | Apt攻击的检测方法、终端设备、服务器及*** | |
| CN111680104A (zh) | 数据同步方法、装置、计算机设备及可读存储介质 | |
| CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151111 |
|
| WD01 | Invention patent application deemed withdrawn after publication |