一种webshell的检测方法和检测系统技术方案

本发明专利技术公开了一种webshell的检测方法，其包括步骤：对文件的特征进行检测，获得N种特征属性；构建特征属性集合X＝{a1,a2,a3,……an}；构建类别集合C＝{y1,y2}；分别计算P(y1|X)和P(y2|X)，并根据计算结果进行判断：如果P(y1|X)>P(y2|X)，则判断文件不是webshell，反之则判断文件是webshell。此外，本发明专利技术公开了一种应用上述检测方法的检测系统。本发明专利技术公开的方法和系统采用朴素贝叶斯分类算法综合文件的多个特征属性进行判断，从而具有更高的准确度，有效降低了webshell的误报率和漏报率，提升了web应用服务器的安全性。

【技术实现步骤摘要】

本专利技术涉及网络安全检测技术，尤其涉及一种webshell的检测方法和检测系统。
技术介绍
webshell是以asp，php，jsp，python或者cgi等网页脚本文件存在的一种命令执行环境，也可以称作为一种网页后门。黑客在入侵了网站服务器后，通常会将webshell后门文件与网站服务器web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问webshell后门文件，得到webshell命令执行环境，从而取得对网站服务器的某种程度上的操作权限，以达到控制网站服务器的目的。因此，为了维护网站服务器的安全性，需要对webshell进行检测。webshell具有很强的隐蔽性，一般和正常的文件混在一起，甚至隐藏在正常的文件以及图片中，因此检测难度很大。常见的webshell的检测方式有多种，有的基于HTTP访问日志分析，有的对web脚本文件进行特征库匹配进行分析等，但是由于webshell实现方式多样，使用单一的方式进行检测很容易出现误报和漏报，且黑客很容易绕过检测机制实现免杀。
技术实现思路
本专利技术的目的之一是提供一种webshell的检测方法，其能够基于被检测文件的多个特征属性筛选出web应用服务器上的web目录中的文件中为webshell的文件，从而防止web应用服务器被黑客控制，提升web应用服务器的安全性。根据上述目的，本专利技术提出了一种webshell的检测方法，其包括步骤：遍历web应用服务器上的web目录中的文件，对文件的特征进行检测，获得N种特征属性；构建特征属性集合X＝{a1,a2,a3,……an

【技术保护点】
一种webshell的检测方法，其特征在于，包括步骤：遍历web应用服务器上的web目录中的文件，对文件的特征进行检测，获得N种特征属性；构建特征属性集合X＝{a1,a2,a3,……an}，其中a1,a2,a3,……an分别对应表示N种特征属性；构建类别集合C＝{y1,y2}，其中y1表示文件不是webshell，y2表示文件是webshell；分别计算P(y1|X)和P(y2|X)，并根据计算结果进行判断：如果P(y1|X)>P(y2|X)，则判断文件不是webshell，反之则判断文件是webshell；其中，计算P(y1|X)和P(y2|X)的步骤为：(1)获取足够的webshell样本以及正常文件样本，训练统计出文件分别为y1和y2时，其特征属性分别是a1,a2,a3,……an的概率P(a1|y1),P(a1|y2),P(a2|y1),P(a2|y2)，……，P(an|y1)，P(an|y2)；(2)根据下述模型公式计算出P(y1|X)和P(y2|X)：P(yi|X)=P(X|yi)P(yi)P(X),]]>P(X|yi)P(yi)=P(a1|yi)P(a2|yi)...P(an|yi)P(yi)=P(yi)Πj=1nP(aj|yi),]]>其中，i为1或2。...

【技术特征摘要】
1.一种webshell的检测方法，其特征在于，包括步骤：遍历web应用服务器上的web目录中...

【专利技术属性】
技术研发人员：王明博，李雪峰，
申请(专利权)人：众安在线财产保险股份有限公司，
类型：发明
国别省市：上海;31