一种Webshell的检测方法及装置制造方法及图纸

本申请及计算机领域，公开了一种Webshell的检测方法及装置，用以提高检测精确度。该方法为：基于系统访问日志表征的各个页面的访问关系建立图模型，筛选出与其他页面之间不存在访问链接的第一类可疑页面集合，以及筛选出被源IP访问的状态不符合预设的访问条件的第二类可疑页面，再基于第一类可疑页面集合和第二类可疑页面集合的交集中包含的所有页面，进行Webshell告警。这样，可以将各个页面的访问状态通过图模型进行精准绘制，令可疑页面的特征在图模型中被更为直观地展现出来，从而能够精准地筛选出Webshell所在的页面，这不但提高了Webshell的检测精确度，同时也降低了漏报率和误报率。

Method and device for detecting Webshell

The invention discloses a method and a device for detecting Webshell, which can improve the detection accuracy. The method is: to establish a graph model of each page access log system to characterize the relationship based on the selected access, and there is no other page between the first set of suspicious pages access links, and identified second types of suspicious pages by the source IP access does not meet the access conditions preset, then all of the page the first page suspicious sets and second types of suspicious pages set intersection included based on the Webshell alarm. In this way, each page can be accurately drawn through the access graph model, feature that suspicious pages in figure model is more intuitive to show up, which can accurately screen out Webshell in the page, which not only improves the detection accuracy of Webshell, but also reduces the false positive rate and false negative rate.

【技术实现步骤摘要】
一种Webshell的检测方法及装置
本申请涉及计算机领域，特别涉及一种Webshell的检测方法及装置。
技术介绍
Webshell俗称网页后门，就是以动态服务器页面(ActiveServerPage,asp)、超文本预处理器(HypertextPreprocessor，php)、Java服务器页面(JavaServerPages，JSP)或者通用网关接口(CommonGatewayInterface，CGI)等网页文件形式存在的一种命令执行环境。黑客在入侵了一个网站后，通过上传一个对服务器具有某种操作权限的Webshell程序，比如：执行系统命令、删除web页面、修改主页等操作。而这个Webshell程序一般是和asp、php、jsp等正常的页面程序混在一起的，网站管理人员一般很难发现，黑客从而利用这一特性进行长期操控网站及服务器。目前，对Webshell的检测通常采用静态Webshell检测和动态Webshell检测两种方法：1、所谓静态Webshell检测，主要是对文件内容进行检测，检测是否包含Webshell特征，如，匹配webshell常用函数等等。然而，针对静态检测手段本文档来自技高网...

【技术保护点】
一种网页后门Webshell的检测方法，其特征在于，包括：基于系统访问日志，提取出每一个页面的访问路径和来源页面信息referer，以及提取出所有源IP，其中，一个页面的referer表征访问所述一个页面之前访问的上一个页面的访问路径；基于各个页面的访问路径以及referer，筛选出与其他页面之间不存在访问链接的第一类可疑页面，获得第一类可疑页面集合；基于各个页面的访问路径以及所有源IP，筛选出被源IP访问的状态不符合预设的访问条件的第二类可疑页面，获得第二类可疑页面集合；将第一类可疑页面集合和第二类可疑页面集合的交集中包含的所有页面，确定为包含Webshell的页面。

【技术特征摘要】
1.一种网页后门Webshell的检测方法，其特征在于，包括：基于系统访问日志，提取出每一个页面的访问路径和来源页面信息referer，以及提取出所有源IP，其中，一个页面的referer表征访问所述一个页面之前访问的上一个页面的访问路径；基于各个页面的访问路径以及referer，筛选出与其他页面之间不存在访问链接的第一类可疑页面，获得第一类可疑页面集合；基于各个页面的访问路径以及所有源IP，筛选出被源IP访问的状态不符合预设的访问条件的第二类可疑页面，获得第二类可疑页面集合；将第一类可疑页面集合和第二类可疑页面集合的交集中包含的所有页面，确定为包含Webshell的页面。2.如权利要求1所述的方法，其特征在于，基于系统访问日志，提取出每一个页面的访问路径和referer，包括：获得系统访问日志中记录的各个页面；从获得的各个页面中去除静态页面；针对去除静态页面后的每一个页面的统一资源定位URL地址，进行参数去除，提取出每一个页面的访问路径；基于系统访问日志中记录的各个页面的访问链接顺序，分别确定每一个页面的referer。3.如权利要求1所述的方法，其特征在于，基于各个页面的访问路径以及referer，筛选出与其他页面不存在访问链接的第一类可疑页面，包括：基于各个页面的访问路径以及referer，绘制表征各个页面之间访问链接关系的有向图，基于所述有向图筛选出与其他页面之间不存在访问链接的孤立页面，将所有孤立页面作为所述第一类可疑页面。4.如权利要求1所述的方法，其特征在于，基于各个页面的访问路径以及所有源IP，筛选出被源IP访问的状态不符合预设的访问条件的第二类可疑页面，包括：基于各个页面的访问路径以及所有源IP，绘制表征各个源IP和各个页面之间访问关系的二部图，基于所述二部图，筛选出被源IP访问的状态不符合预设条件的异常页面，将所有异常页面作为所述第二类可疑页面。5.如权利要求3所述的方法，其特征在于，基于所述有向图筛选出与其他页面之间不存在访问链接的孤立页面，包括：基于所述有向图，确定任意一页面对应的referer为空时，判定所述任意一页面为孤立页面；以及，基于所述有向图，确定任意一页面对应的referer所指向的访问路径，在访问所述任意一页面之前未曾访问时，判定所述任意一页面为孤立页面。6.如权利要求4所述的方法，其特征在于，基于所述二部图，筛选出被源IP访问的状态不符合预设条件的异常页面，包括：基于所述二部图，确定任意一页面关联的源IP的总数目小于第一预设门限，且关联的源IP归属的网段的总数目小于第二预设门限时，确定所述任意一页面为异常页面。7.如权利要求1－6任一项所述的方法，其特征在于，将第一类可疑页面集合和第二类可疑页面集合的交集中包含的所有页面，确定为包含Webshell的页面，包括：将第一类可疑页面集合和第二类可疑页面集合的交集中包含的所有页面，直接确定为包含Webshell的页面；或者，依次计算第一类可疑页面集合和第二类可疑页面集合的交集中包含的每一个页面，与预设的Webshell样本集合的相似度，并将相似度达到设定阈值的页面确定为包含Webshell的页面。8.一种网页后门Webshell的检测装置，其特征在于，包括：提取单元，用于基于系统访问日志，提取出每...

【专利技术属性】
技术研发人员：朱伟，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY