The invention discloses a web backdoor detection method, apparatus and computer readable storage medium, the invention will be detected by flow and feature set feature matching, combined with the characteristics of matching and feature set, on the detection of flow feature matching after further properties matching, to avoid the omission of some through feature matching is not clearly determine the suspicious traffic caused unnecessary losses, can be more accurate and comprehensive detection of webshell, to solve the poor effect of detection of webshell in the existing technology, the problem of low accuracy, significantly improve the webshell detection accuracy and user experience.
【技术实现步骤摘要】
本专利技术涉及计算机通信安全领域,尤其涉及一种网页后门检测方法、装置及计算机可读存储介质。
技术介绍
webshell是web与shell的结合,是一种在web服务器中以网页脚本文件形式存在的木马文件。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。攻击者通过直接访问webshell文件,借助web服务器解析和执行各种命令与操作,比如执行任意系统命令、对系统上的文件进行增删改查、植入各类恶意软件以及进一步攻击内网等操作。webshell检测技术发展至今,已经有许多的成熟技术和产品。简单的可以分为主机检测和网络检测两种。主机检测,需要在网站服务器上安装检测查杀工具或软件,主要使用的技术有静态特征库匹配、文件创建和修改时间监控、最长单词检测、重合指数检测、信息熵检测、文件压缩比检测、hook危险函数等,相对比较成熟。常见的两种网络层面上的webshell检测方式:1.最常见的网络检测方式是网络流量特征匹配,绝大多数web应用防火墙类产品都在使用这种方法。这主要包含两个方面:webshell本身代码的传输流量特征匹和webshell在执行时通信流量特征匹配。第一种方法是在向目标网站植入webshell时进行检测,第二种方法是webshell被植入后,通过通信的特征来查找webshell。网络流量特征匹配方法是实现简单、检查迅速、强特征匹配可以准确定位webshell。当然这种技术的缺点也比较明显:弱规则误报率较高。完全依赖特征库,仅能检测特征库中存在的webshell,无法检测未知的we ...
【技术保护点】
一种网页后门检测方法,其特征在于,所述方法包括:将待检测流量与特征集进行特征匹配,所述特征集为包含能够表明网页后门webshell特征的参数集合;当所述待检测流量与所述特征集未匹配成功时,将所述待检测流量与特性集进行特性匹配,所述特性集为包含能够表明webshell特性的文件集合;当所述待检测流量与所述特性集匹配成功时,判断所述待检测流量为webshell流量,对所述待检测流量进行阻断。
【技术特征摘要】
1.一种网页后门检测方法,其特征在于,所述方法包括:将待检测流量与特征集进行特征匹配,所述特征集为包含能够表明网页后门webshell特征的参数集合;当所述待检测流量与所述特征集未匹配成功时,将所述待检测流量与特性集进行特性匹配,所述特性集为包含能够表明webshell特性的文件集合;当所述待检测流量与所述特性集匹配成功时,判断所述待检测流量为webshell流量,对所述待检测流量进行阻断。2.如权利要求1所述的方法,其特征在于,所述将所述待检测流量与特性集进行特性匹配,具体包括:将所述待检测流量中的各项特性进行权值累加,获得第一累加结果,在所述第一累加结果小于第二预设阈值时,认定所述待检测流量与所述特性集未匹配成功;在所述第一累加结果大于或等于所述第一预设阈值时,认定所述待检测流量与所述特性集匹配成功。3.如权利要求1所述的方法,其特征在于,所述当所述待检测流量与所述特征集未匹配成功时,将所述待检测流量与特性集进行特性匹配之后,所述方法还包括:当所述待检测流量与所述特性集未匹配成功时,将所述待检测流量保存到日志集中,以进行日志分析,所述日志集为所述待检测流量访问数据的集合。4.如权利要求3所述的方法,其特征在于,所述当所述待检测流量与所述特性集未匹配成功时,将所述待检测流量保存到日志集中,以进行日志分析,具体包括:当所述待检测流量与所述特性集未匹配成功时,将所述待检测流量保存到日志集中;在所述日志集中的待检测流量积累到预设数量或者达到预设时间时,对所述待检测流量进行日志分析,获得分析结果,对所述分析结果中各个参数进行加权;将加权后的所述分析结果作为第二累加结果,在所述第二累加结果中的任意参数大于或等于该参数对应的第二预设阈值时,判断所述待检测流量为webshell流量,对所述待检测流量进行阻断。5.如权利要求4所述的方...
【专利技术属性】
技术研发人员:高永阔,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。