CN111385295A - 一种WebShell检测方法、装置、设备及存储介质 - Google Patents
一种WebShell检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111385295A CN111385295A CN202010143249.3A CN202010143249A CN111385295A CN 111385295 A CN111385295 A CN 111385295A CN 202010143249 A CN202010143249 A CN 202010143249A CN 111385295 A CN111385295 A CN 111385295A
- Authority
- CN
- China
- Prior art keywords
- webshell
- detection
- keywords
- webpage
- proportion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种WebShell检测方法、装置、设备及存储介质,该方法的步骤包括:获取网页流量;提取网页流量中元素标签内的关键字;基于WebShell检测标准对关键字进行分析得到检测结果。本方法基于网页流量中元素标签内的关键字作为检测网页流量是否为Webshell流量的依据,实现了对于WebShell网页的检测,进而相对确保了网站服务器的运行安全。此外,本申请还提供一种WebShell检测装置、设备及存储介质,有益效果同上所述。
Description
技术领域
本申请涉及网络安全领域,特别是涉及一种WebShell检测方法、装置、设备及存储介质。
背景技术
WebShell是以asp、php、jsp或cgi等网页文件形式存在的一种命令执行环境,网络黑客往往将WebShell做为一种网页后门,当黑客入侵一个网站后,通常会将WebShell网页后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问WebShell网页后门文件,得到相应的命令执行环境,以达到控制网站服务器的目的,因此WebShell网页往往会对网站服务器造成较大的安全隐患。
由此可见,提供一种WebShell检测方法,以实现对于WebShell网页的检测,进而相对确保网站服务器的运行安全,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种WebShell检测方法、装置、设备及存储介质,以实现对于WebShell网页的检测,进而相对确保网站服务器的运行安全。
为解决上述技术问题,本申请提供一种WebShell检测方法,包括:
获取网页流量;
提取网页流量中元素标签内的关键字;
基于WebShell检测标准对关键字进行分析得到检测结果。
优选地,在基于WebShell检测标准对关键字进行分析得到检测结果之前,方法还包括:
获取WebShell网页样本;
基于WebShell检测标准对关键字进行分析得到检测结果,包括:
统计关键字在WebShell网页样本中的占比,并根据占比生成检测分值;
判断检测分值是否达到检测阈值;
如果检测分值达到检测阈值,则将网页流量设置为WebShell流量;
如果检测分值未达到检测阈值,则停止WebShell检测。
优选地,在基于WebShell检测标准对关键字进行分析得到检测结果之前,方法还包括:
获取WebShell网页样本以及非WebShell网页样本;
基于WebShell检测标准对关键字进行分析得到检测结果,包括:
统计关键字在WebShell网页样本中的第一占比,以及关键字在非 WebShell网页样本中的第二占比;
根据第一占比以及第二占比生成检测分值;
判断检测分值是否达到检测阈值;
如果检测分值达到检测阈值,则将网页流量设置为WebShell流量;
如果检测分值未达到检测阈值,则停止WebShell检测。
优选地,在根据第一占比以及第二占比生成检测分值之前,方法还包括:
判断元素标签是否为预设的特殊元素标签;
如果元素标签为预设的特殊元素标签,则获取特殊元素标签对应的权重参数;
根据权重参数调整第一占比和/或第二占比,并执行根据第一占比以及第二占比生成检测分值的步骤;
如果元素标签不为预设的特殊元素标签,则执行根据第一占比以及第二占比生成检测分值的步骤。
优选地,在基于WebShell检测标准对关键字进行分析得到检测结果之前,方法还包括:
在关键字中去除对检测结果的准确性造成干扰的目标关键字。
优选地,在关键字中去除对检测结果的准确性造成干扰的目标关键字,包括:
在关键字中去除字符长度大于第一长度标准的目标关键字,以及字符长度小于第二长度标准的目标关键字。
优选地,在关键字中去除对检测结果的准确性造成干扰的目标关键字,包括:
在关键字中去除存在于目标网站的目标关键字。
此外,本申请还提供一种WebShell检测装置,包括:
流量获取模块,用于获取网页流量;
标签提取模块,用于提取网页流量中元素标签内的关键字;
关键字检测模块,用于基于WebShell检测标准对关键字进行分析得到检测结果。
此外,本申请还提供一种WebShell检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的WebShell检测方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的WebShell检测方法的步骤。
本申请所提供的WebShell检测方法,首先获取网页流量,进而提取该网页流量中元素标签内的关键字,进而基于Webshell检测标准对网页流量中提取到的关键字进行分析得到检测结果。本方法基于网页流量中元素标签内的关键字作为检测网页流量是否为Webshell流量的依据,实现了对于WebShell 网页的检测,进而相对确保了网站服务器的运行安全。此外,本申请还提供一种WebShell检测装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种WebShell检测方法的流程图;
图2为本申请实施例公开的一种具体的WebShell检测方法的流程图;
图3为本申请实施例公开的一种具体的WebShell检测方法的流程图;
图4为本申请实施例公开的一种具体的WebShell检测方法的流程图;
图5为本申请实施例公开的一种WebShell检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
网络黑客往往将WebShell做为一种网页后门,当黑客入侵一个网站后,通常会将WebShell网页后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问WebShell网页后门文件,得到相应的命令执行环境,以达到控制网站服务器的目的,因此WebShell网页往往会对网站服务器造成较大的安全隐患。
为此,本申请的核心是提供一种WebShell检测方法,以实现对于WebShell 网页的检测,进而相对确保网站服务器的运行安全。
请参见图1所示,本申请实施例公开了一种WebShell检测方法,包括:
步骤S10:获取网页流量。
需要说明的是,本步骤获取的网页流量可以具体为基于HTTP或HTTPs 协议,即超文本传输协议产生的流量。网页流量的类型包括但不限于HTML 类型。
另外,网页流量可以具体是在基于网站服务器向浏览器返回的Response 数据包,即HTTP通信协议的流量响应报文,在此情况下,浏览器预先向网站服务器发起对于目标网页的访问请求,进而网站服务器在收到访问请求后,进一步根据访问请求获取相应的网页文件,并将网页文件封装为Response数据包并作为网页流量返回至浏览器。获取网页流量的操作执行对象可以是向网站服务器发起访问请求的浏览器,或该浏览器所属的用户端设备,也可以是网站服务器将网页流量传输至浏览器途中经过的网关设备等能够在网页流量传输途中经过的设备。
步骤S11:提取网页流量中元素标签内的关键字。
本步骤中网页流量的元素标签是在网页源代码中用于标记网页中内容元素的标签,在元素标签内的关键字表征的即为网页流量对应的网页内容。当网页流量的类型为HTML类型时,网页流量中的元素标签即为HTML标签,而关键字即为在HTML标签的开始标签与结束标签之间的HTML元素,另外,对于网页流量中元素标签内关键字的提取,具体可以采用XPath解析工具实现,能够相对确保对于关键字提取的可靠性。
步骤S12:基于WebShell检测标准对关键字进行分析得到检测结果。
由于网页流量中元素标签内的关键字能够表征网页的实际用途以及可以执行的功能等,因此本步骤的重点在于通过对关键字进行分析的方式判定网页流量是否为WebShell流量,以此实现对网页流量的WebShell检测。
本申请所提供的WebShell检测方法,首先获取网页流量,进而提取该网页流量中元素标签内的关键字,进而基于Webshell检测标准对网页流量中提取到的关键字进行分析得到检测结果。本方法基于网页流量中元素标签内的关键字作为检测网页流量是否为Webshell流量的依据,实现了对于WebShell 网页的检测,进而相对确保了网站服务器的运行安全。
请参见图2所示,本申请实施例公开了一种WebShell检测方法,包括:
步骤S20:获取网页流量。
步骤S21:提取网页流量中元素标签内的关键字。
步骤S22:获取WebShell网页样本。
需要说明的是,本步骤的重点在于获取具有WebShell功能的网页,即 WebShell网页样本,本实施例中,应预先存储有WebShell网页样本集合,以此能够基于WebShell网页样本集合获取WebShell网页样本以用于与获取到的网页流量中的关键字进行比对,进而判定获取到的网页流量是否属于 WebShell流量,另外,对于WebShell网页样本的获取可以具体是获取预先保存的WebShell网页样本集合中的一个或多个WebShell网页样本。
步骤S23:统计关键字在WebShell网页样本中的占比,并根据占比生成检测分值。
在获取到WebShell网页样本后,本步骤进一步统计关键字在WebShell 网页样本中的占比,也就是统计获取到的网页流量中的关键字与WebShell网页样本中关键字之间的整体匹配程度,进而根据占比生成检测分值,检测分值可以仅基于占比计算产生,也可以基于占比以及其它权重参数共同产生,在此不做具体限定。
步骤S24:判断检测分值是否达到检测阈值,如果是,则执行步骤S25,否则,执行步骤S26。
步骤S25:将网页流量设置为WebShell流量。
步骤S26:停止WebShell检测。
检测阈值是用于界定网页流量是否属于WebShell流量的标准,在根据关键字在WebShell网页样本中的占比生成检测分值后,进一步判断检测分值是否达到检测阈值,如果是,则将网页流量设置为WebShell流量,否则,认为网页流量不属于WebShell流量,进而停止WebShell检测。
本实施例通过统计网页流量中的关键字在WebShell网页样本中的占比,以此生成表征网页流量与WebShell网页样本之间近似程度的检测分值,进而根据检测分值判定网页流量是否为WebShell流量,以此完成WebShell检测,相对确保了WebShell检测的整体准确性。
请参见图3所示,本申请实施例公开了一种WebShell检测方法,包括:
步骤S30:获取网页流量。
步骤S31:提取网页流量中元素标签内的关键字。
步骤S32:获取WebShell网页样本以及非WebShell网页样本。
需要说明的是,本实施例的重点在于在基于WebShell检测标准对关键字进行分析之前,先获取WebShell网页样本以及非WebShell网页样本,本步骤中的WebShell网页样本指的是具有WebShell功能的网页,而非WebShell网页样本指的是不具有WebShell功能的普通网页。
本实施例中,应预先存储有WebShell网页样本集合以及非WebShell网页的集合,以此能够基于WebShell网页样本集合获取WebShell网页样本,并基于非WebShell网页的集合获取非WebShell网页样本,进而用于共同与获取到的网页流量中的关键字进行比对,进而判定获取到的网页流量是否属于 WebShell流量。
另外,对于WebShell网页样本的获取可以具体是获取预先保存的 WebShell网页样本集合中的一个或多个WebShell网页样本,对于非WebShell 网页样本的获取可以具体是获取预先保存的非WebShell网页样本集合中的一个或多个非WebShell网页样本。
步骤S33:统计关键字在WebShell网页样本中的第一占比,以及关键字在非WebShell网页样本中的第二占比。
在获取到WebShell网页样本后,本步骤进一步统计关键字在WebShell 网页样本中的第一占比,也就是统计获取到的网页流量中的关键字与 WebShell网页样本中关键字之间的整体匹配程度;此外,本步骤在获取到非 WebShell网页样本后,本步骤进一步统计关键字在非WebShell网页样本中的第二占比,也就是统计获取到的网页流量中的关键字与非WebShell网页样本中关键字之间的整体匹配程度,本步骤中的第一占比表征的是网页流量与 WebShell网页样本之间的近似程度,而第二占比表征的是网页流量与非 WebShell网页样本之间的近似程度,以此在后续步骤中根据第一占比以及第二占比综合评估网页流量与WebShell流量以及非WebShell流量的整体趋近程度。
步骤S34:根据第一占比以及第二占比生成检测分值。
在获取到第一占比以及第二占比后,本步骤进一步根据第一占比以及第二占比共同生成检测分值,检测分值可以仅基于第一占比以及第二占比计算产生,也可以基于第一占比、第二占比以及其它权重参数共同产生,在此不做具体限定。
更进一步的,根据第一占比以及第二占比生成检测分值,可以具体是基于贝叶斯分类算法执行对第一占比以及第二占比的综合运算生成检测分值,贝叶斯分类算法是统计学的一种分类方法,它是一类利用概率统计知识进行分类的算法,该算法的分类准确率高、速度快,进而能够相对准确且高效的对网页流量进行WebShell流量以及非WebShell流量之间的分类,确保检测分值的生成效率以及准确性。
步骤S35:判断检测分值是否达到检测阈值,如果是,则执行步骤S36,否则,执行步骤S37。
步骤S36:将网页流量设置为WebShell流量。
步骤S37:停止WebShell检测。
检测阈值是用于界定网页流量是否属于WebShell流量的标准,在生成检测分值后,进一步判断检测分值是否达到检测阈值,如果是,则将网页流量设置为WebShell流量,否则,认为网页流量不属于WebShell流量,进而停止 WebShell检测。
本实施例通过统计网页流量中的关键字在WebShell网页样本以及非 WebShell网页样本中各自的占比,综合生成表征网页流量与WebShell网页样本之间近似程度的检测分值,进而根据检测分值判定网页流量是否为 WebShell流量,以此完成WebShell检测,相对确保了WebShell检测的整体准确性。
请参见图4所示,本申请实施例公开了一种WebShell检测方法,包括:
步骤S40:获取网页流量。
步骤S41:提取网页流量中元素标签内的关键字。
步骤S42:获取WebShell网页样本以及非WebShell网页样本。
步骤S43:统计关键字在WebShell网页样本中的第一占比,以及关键字在非WebShell网页样本中的第二占比。
步骤S44:判断元素标签是否为预设的特殊元素标签,如果是,则执行步骤S45至步骤S47,否则,执行步骤S47。
步骤S45:获取特殊元素标签对应的权重参数。
需要说明的是,本实施例考虑到在实际场景中,某些特定的元素标签,即特殊元素标签,往往用于WebShell网页的编写,因此本实施例在基于 WebShell检测标准对关键字进行分析得到检测结果之前,首先判断元素标签是否为预设的特殊元素标签,如果是则进一步获取该特殊元素标签对于 WebShell检测的影响权重,即获取特殊元素标签对应的权重参数。
步骤S46:根据权重参数调整第一占比和/或第二占比。
在获取到权重参数之后,进一步根据权重参数对于WebShell检测的影响权重,调整第一占比和/或第二占比,以此在后续步骤中基于对第一占比和/ 或第二占比间接产生调整检测分值的效果。
步骤S47:根据第一占比以及第二占比生成检测分值。
步骤S48:判断检测分值是否达到检测阈值,如果是,则执行步骤S49,否则,执行步骤S410。
步骤S49:将网页流量设置为WebShell流量。
步骤S410:停止WebShell检测。
本实施例当存在特殊元素标签时,基于特殊元素标签对于WebShell检测的影响,生成该特殊元素标签对应的权重参数,进而根据该权重参数调整特殊元素标签内的关键字对应的第一占比以及第二占比进行调整,进而根据检测分值判定网页流量是否为WebShell流量,以此完成WebShell检测,进一步确保了WebShell检测的整体准确性。
在上述一系列实施方式的基础上,作为一种优选的实施方式,在基于 WebShell检测标准对关键字进行分析得到检测结果之前,方法还包括:
在关键字中去除对检测结果的准确性造成干扰的目标关键字。
需要说明的是,本实施方式的重点是在基于WebShell检测标准对关键字进行分析得到检测结果之前,先对关键字进行预处理,目的是过滤关键字中对WebShell检测造成误报的目标关键字,目标关键字应根据实际情况而定,本实施方式相对确保了检测结果的准确性。
在上述实施方式的基础上,作为一种优选的实施方式,在关键字中去除对检测结果的准确性造成干扰的目标关键字,包括:
在关键字中去除字符长度大于第一长度标准的目标关键字,以及字符长度小于第二长度标准的目标关键字。
需要说明的是,由于考虑到较长的关键字出现的概率相对较低,受非 WebShell网页样本的影响越大;而较短的关键字出现的概率相对较高,导致第一占比与第二占比之间越相似。因此本实施方式在关键字中去除字符长度大于第一长度标准的目标关键字,以及字符长度小于第二长度标准的目标关键字,其中,第一长度标准以及第二长度标准应根据实际情况而定。本实施方式进一步确保了检测结果的准确性。
在上述实施方式的基础上,作为一种优选的实施方式,在关键字中去除对检测结果的准确性造成干扰的目标关键字,包括:
在关键字中去除存在于目标网站的目标关键字。
需要说明的是,本实施方式考虑到,部分关键字可能会在某些特定的网站集中出现,从而造成误报。例如,软件下载网站出现大量的<a>元素标签蕴含“File Manager”、“Database manager”、“FTP***”等关键字,可能造成检测结果的误报。因此本实施方式在关键字中去除存在于目标网站特定的目标关键字,此处所指的目标关键字应根据实际情况而定,本实施方式能够进一步确保检测结果的准确性。
请参见图5所示,本申请实施例公开了一种WebShell检测装置,包括:
流量获取模块10,用于获取网页流量;
标签提取模块11,用于提取网页流量中元素标签内的关键字;
关键字检测模块12,用于基于WebShell检测标准对关键字进行分析得到检测结果。
本申请所提供的WebShell检测装置,首先获取网页流量,进而提取该网页流量中元素标签内的关键字,进而基于Webshell检测标准对网页流量中提取到的关键字进行分析得到检测结果。本装置基于网页流量中元素标签内的关键字作为检测网页流量是否为Webshell流量的依据,实现了对于WebShell 网页的检测,进而相对确保了网站服务器的运行安全。
在前述实施例的基础上,本申请实施例对WebShell检测装置进行进一步的说明和优化。具体的:
在一种具体实施方式中,装置还包括:
第一样本获取模块,用于获取WebShell网页样本;
关键字检测模块12,包括:
第一占比统计模块,用于统计关键字在WebShell网页样本中的占比,并根据占比生成检测分值;
第一阈值判断模块,用于判断检测分值是否达到检测阈值,如果是,则调用第一设置模块,否则,调用第一停止模块;
第一设置模块,用于将网页流量设置为WebShell流量;
第一停止模块,用于停止WebShell检测。
在一种具体实施方式中,装置还包括:
第二样本获取模块,用于获取WebShell网页样本以及非WebShell网页样本;
关键字检测模块12,包括:
第二占比统计模块,用于统计关键字在WebShell网页样本中的第一占比,以及关键字在非WebShell网页样本中的第二占比;
第二占比统计模块,用于根据第一占比以及第二占比生成检测分值;
第二阈值判断模块,判断检测分值是否达到检测阈值,如果是,则调用第二设置模块,否则,调用第二停止模块;
第二设置模块,用于将网页流量设置为WebShell流量;
第二停止模块,用于停止WebShell检测。
在一种具体实施方式中,装置还包括:
特殊标签判断模块,用于判断元素标签是否为预设的特殊元素标签,如果是,则依次调用权重获取模块以及权重调整模块,否则,调用第二占比统计模块。
权重获取模块,用于获取特殊元素标签对应的权重参数。
权重调整模块,用于根据权重参数调整第一占比和/或第二占比,并调用第二占比统计模块。
在一种具体实施方式中,装置还包括:
关键字过滤模块,用于在关键字中去除对检测结果的准确性造成干扰的目标关键字。
在一种具体实施方式中,关键字过滤模块,包括:
长度过滤模块,用于在关键字中去除字符长度大于第一长度标准的目标关键字,以及字符长度小于第二长度标准的目标关键字。
在一种具体实施方式中,关键字过滤模块,包括:
网站过滤模块,用于在关键字中去除存在于目标网站的目标关键字。
此外,本申请实施例还公开了一种WebShell检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的WebShell检测方法的步骤。
本申请所提供的WebShell检测设备,首先获取网页流量,进而提取该网页流量中元素标签内的关键字,进而基于Webshell检测标准对网页流量中提取到的关键字进行分析得到检测结果。本设备基于网页流量中元素标签内的关键字作为检测网页流量是否为Webshell流量的依据,实现了对于WebShell 网页的检测,进而相对确保了网站服务器的运行安全。
此外,本申请实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的WebShell检测方法的步骤。
本申请所提供的计算机可读存储介质,首先获取网页流量,进而提取该网页流量中元素标签内的关键字,进而基于Webshell检测标准对网页流量中提取到的关键字进行分析得到检测结果。本计算机可读存储介质基于网页流量中元素标签内的关键字作为检测网页流量是否为Webshell流量的依据,实现了对于WebShell网页的检测,进而相对确保了网站服务器的运行安全。
以上对本申请所提供的一种WebShell检测方法、装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种WebShell检测方法,其特征在于,包括:
获取网页流量;
提取所述网页流量中元素标签内的关键字;
基于WebShell检测标准对所述关键字进行分析得到检测结果。
2.根据权利要求1所述的WebShell检测方法,其特征在于,在所述基于WebShell检测标准对所述关键字进行分析得到检测结果之前,所述方法还包括:
获取WebShell网页样本;
所述基于WebShell检测标准对所述关键字进行分析得到检测结果,包括:
统计所述关键字在所述WebShell网页样本中的占比,并根据所述占比生成检测分值;
判断所述检测分值是否达到检测阈值;
如果所述检测分值达到检测阈值,则将所述网页流量设置为WebShell流量;
如果所述检测分值未达到所述检测阈值,则停止WebShell检测。
3.根据权利要求1所述的WebShell检测方法,其特征在于,在所述基于WebShell检测标准对所述关键字进行分析得到检测结果之前,所述方法还包括:
获取WebShell网页样本以及非WebShell网页样本;
所述基于WebShell检测标准对所述关键字进行分析得到检测结果,包括:
统计所述关键字在所述WebShell网页样本中的第一占比,以及所述关键字在所述非WebShell网页样本中的第二占比;
根据所述第一占比以及所述第二占比生成检测分值;
判断所述检测分值是否达到检测阈值;
如果所述检测分值达到检测阈值,则将所述网页流量设置为WebShell流量;
如果所述检测分值未达到所述检测阈值,则停止WebShell检测。
4.根据权利要求3所述的WebShell检测方法,其特征在于,在所述根据所述第一占比以及所述第二占比生成检测分值之前,所述方法还包括:
判断所述元素标签是否为预设的特殊元素标签;
如果所述元素标签为预设的所述特殊元素标签,则获取所述特殊元素标签对应的权重参数;
根据所述权重参数调整所述第一占比和/或所述第二占比,并执行所述根据所述第一占比以及所述第二占比生成检测分值的步骤;
如果所述元素标签不为预设的所述特殊元素标签,则执行所述根据所述第一占比以及所述第二占比生成检测分值的步骤。
5.根据权利要求1至4任意一项所述的WebShell检测方法,其特征在于,在所述基于WebShell检测标准对所述关键字进行分析得到检测结果之前,所述方法还包括:
在所述关键字中去除对所述检测结果的准确性造成干扰的目标关键字。
6.根据权利要求5所述的WebShell检测方法,其特征在于,所述在所述关键字中去除对所述检测结果的准确性造成干扰的目标关键字,包括:
在所述关键字中去除字符长度大于第一长度标准的所述目标关键字,以及所述字符长度小于第二长度标准的所述目标关键字。
7.根据权利要求5所述的WebShell检测方法,其特征在于,所述在所述关键字中去除对所述检测结果的准确性造成干扰的目标关键字,包括:
在所述关键字中去除存在于目标网站的所述目标关键字。
8.一种WebShell检测装置,其特征在于,包括:
流量获取模块,用于获取网页流量;
标签提取模块,用于提取所述网页流量中元素标签内的关键字;
关键字检测模块,用于基于WebShell检测标准对所述关键字进行分析得到检测结果。
9.一种WebShell检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的WebShell检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的WebShell检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010143249.3A CN111385295B (zh) | 2020-03-04 | 2020-03-04 | 一种WebShell检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010143249.3A CN111385295B (zh) | 2020-03-04 | 2020-03-04 | 一种WebShell检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111385295A true CN111385295A (zh) | 2020-07-07 |
| CN111385295B CN111385295B (zh) | 2022-11-22 |
Family
ID=71219776
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010143249.3A Active CN111385295B (zh) | 2020-03-04 | 2020-03-04 | 一种WebShell检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111385295B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114697049A (zh) * | 2020-12-14 | 2022-07-01 | 中国科学院计算机网络信息中心 | WebShell检测方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8990944B1 (en) * | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
| CN106572117A (zh) * | 2016-11-11 | 2017-04-19 | 北京安普诺信息技术有限公司 | 一种WebShell文件的检测方法和装置 |
| CN107659570A (zh) * | 2017-09-29 | 2018-02-02 | 杭州安恒信息技术有限公司 | 基于机器学习与动静态分析的Webshell检测方法及*** |
| CN108920955A (zh) * | 2018-06-29 | 2018-11-30 | 北京奇虎科技有限公司 | 一种网页后门检测方法、装置、设备及存储介质 |
| CN109684844A (zh) * | 2018-12-27 | 2019-04-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种webshell检测方法及装置 |
| CN110827253A (zh) * | 2019-10-30 | 2020-02-21 | 北京达佳互联信息技术有限公司 | 一种目标检测模型的训练方法、装置及电子设备 |
-
2020
- 2020-03-04 CN CN202010143249.3A patent/CN111385295B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8990944B1 (en) * | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
| CN106572117A (zh) * | 2016-11-11 | 2017-04-19 | 北京安普诺信息技术有限公司 | 一种WebShell文件的检测方法和装置 |
| CN107659570A (zh) * | 2017-09-29 | 2018-02-02 | 杭州安恒信息技术有限公司 | 基于机器学习与动静态分析的Webshell检测方法及*** |
| CN108920955A (zh) * | 2018-06-29 | 2018-11-30 | 北京奇虎科技有限公司 | 一种网页后门检测方法、装置、设备及存储介质 |
| CN109684844A (zh) * | 2018-12-27 | 2019-04-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种webshell检测方法及装置 |
| CN110827253A (zh) * | 2019-10-30 | 2020-02-21 | 北京达佳互联信息技术有限公司 | 一种目标检测模型的训练方法、装置及电子设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114697049A (zh) * | 2020-12-14 | 2022-07-01 | 中国科学院计算机网络信息中心 | WebShell检测方法及装置 |
| CN114697049B (zh) * | 2020-12-14 | 2024-04-12 | 中国科学院计算机网络信息中心 | WebShell检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111385295B (zh) | 2022-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922052B (zh) | 一种结合多重特征的恶意url检测方法 | |
| CN113098870B (zh) | 一种网络诈骗检测方法、装置、电子设备及存储介质 | |
| CN111401416B (zh) | 异常网站的识别方法、装置和异常对抗行为的识别方法 | |
| CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN108566399B (zh) | 钓鱼网站识别方法及*** | |
| KR100848319B1 (ko) | 웹 구조정보를 이용한 유해 사이트 차단 방법 및 장치 | |
| CN105184159A (zh) | 网页篡改的识别方法和装置 | |
| CN104766014A (zh) | 用于检测恶意网址的方法和*** | |
| WO2016188029A1 (zh) | 解析二维码的方法及装置、计算机可读存储介质、计算机程序产品与终端设备 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| CN101895516A (zh) | 一种跨站脚本攻击源的定位方法及装置 | |
| CN112532624B (zh) | 一种黑链检测方法、装置、电子设备及可读存储介质 | |
| CN114650176A (zh) | 钓鱼网站的检测方法、装置、计算机设备及存储介质 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| CN104023046A (zh) | 移动终端识别方法和装置 | |
| CN111385295B (zh) | 一种WebShell检测方法、装置、设备及存储介质 | |
| CN109284465B (zh) | 一种基于url的网页分类器构建方法及其分类方法 | |
| CN113364784B (zh) | 检测参数生成方法、装置、电子设备及存储介质 | |
| CN103475673A (zh) | 钓鱼网站识别方法、装置及客户端 | |
| CN111125704B (zh) | 一种网页挂马识别方法及*** | |
| CN113141332B (zh) | 一种命令注入识别方法、***、设备及计算机存储介质 | |
| CN115801455B (zh) | 一种基于网站指纹的仿冒网站检测方法及装置 | |
| US10313127B1 (en) | Method and system for detecting and alerting users of device fingerprinting attempts | |
| CN112202763B (zh) | 一种ids策略生成方法、装置、设备及介质 | |
| CN113688346A (zh) | 一种违法网站识别方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |