网页后门检测方法、装置及计算机可读存储介质制造方法及图纸

本发明专利技术公开了一种网页后门检测方法、装置及计算机可读存储介质，本发明专利技术通过将待检测流量与特征集进行特征匹配，结合与特性集进行特性匹配，在对所述待检测流量进行特征匹配之后又进一步进行特性匹配，避免了遗漏一些通过特征匹配无法明确判断的可疑流量所造成不必要的损失，能够更加准确和全面地检测webshell，解决了现有技术中webshell检测效果较差，准确度低的问题，显著提升了webshell检测的准确性和用户体验。

Method, device and computer readable storage medium for back door detection of webpage

The invention discloses a web backdoor detection method, apparatus and computer readable storage medium, the invention will be detected by flow and feature set feature matching, combined with the characteristics of matching and feature set, on the detection of flow feature matching after further properties matching, to avoid the omission of some through feature matching is not clearly determine the suspicious traffic caused unnecessary losses, can be more accurate and comprehensive detection of webshell, to solve the poor effect of detection of webshell in the existing technology, the problem of low accuracy, significantly improve the webshell detection accuracy and user experience.

【技术实现步骤摘要】

本专利技术涉及计算机通信安全领域，尤其涉及一种网页后门检测方法、装置及计算机可读存储介质。
技术介绍
webshell是web与shell的结合，是一种在web服务器中以网页脚本文件形式存在的木马文件。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。攻击者通过直接访问webshell文件，借助web服务器解析和执行各种命令与操作，比如执行任意系统命令、对系统上的文件进行增删改查、植入各类恶意软件以及进一步攻击内网等操作。webshell检测技术发展至今，已经有许多的成熟技术和产品。简单的可以分为主机检测和网络检测两种。主机检测，需要在网站服务器上安装检测查杀工具或软件，主要使用的技术有静态特征库匹配、文件创建和修改时间监控、最长单词检测、重合指数检测、信息熵检测、文件压缩比检测、hook危险函数等，相对比较成熟。常见的两种网络层面上的webshell检测方式：1.最常见的网络检测方式是网络流量特征匹配，绝大多数web应用防火墙类产品都在使用这种方法。这主要包含两个方面：webshell本身代码的传输流量特征匹和webshell在执行时通信流量特征匹配。第一种方法是在向目标网站植入webshell时进行检测，第二种方法是webshell被植入后，通过通信的特征来查找webshell。网络流量特征匹配方法是实现简单、检查迅速、强特征匹配可以准确定位webshell。当然这种技术的缺点也比较明显：弱规则误报率较高。完全依赖特征库，仅能检测特征库中存在的webshell，无法检测未知的webshell。特征库的维护和升级成本较高；对加密和混淆代码的webshell(比如使用PHPCodeLock加密的phpwebshell)检测效果较差。2.在webshell的植入过程中，对HTTP会话流量进行语义识别与分析，检测是否含有可以编译成可执行脚本文件的流量。这种技术不依赖或很少依赖特征集，可以有效的检测已知和未知的webshell，当然也有一定缺点：进行复杂的语义分析需要复杂的计算，消耗的资源大，成本高，通常在云端实现；对webshell植入过程检测效果较好，对于已经上传webshell后的检测效果较差。上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。
技术实现思路
本专利技术主要目的在于提供一种基于中间流量及访问日志的webshell的检测方法、装置及计算机可读存储介质，旨在解决现有技术中webshell检测准确率低的技术问题。为实现上述目的，本专利技术提供一种网页后门检测方法，所述方法包括：将待检测流量与特征集进行特征匹配，所述特征集为包含能够表明网页后门webshell特征的参数集合；当所述待检测流量与所述特征集未匹配成功时，将所述待检测流量与特性集进行特性匹配，所述特性集为包含能够表明webshell特性的文件集合；当所述待检测流量与所述特性集匹配成功时，判断所述待检测流量为webshell流量，对所述待检测流量进行阻断。优选地，所述将所述待检测流量与特性集进行特性匹配，具体包括：将所述待检测流量中的各项特性进行权值累加，获得第一累加结果，在所述第一累加结果小于第二预设阈值时，认定所述待检测流量与所述特性集未匹配成功；在所述第一累加结果大于或等于所述第一预设阈值时，认定所述待检测流量与所述特性集匹配成功。优选地，所述当所述待检测流量与所述特征集未匹配成功时，将所述待检测流量与特性集进行特性匹配之后，所述方法还包括：当所述待检测流量与所述特性集未匹配成功时，将所述待检测流量保存到日志集中，以进行日志分析，所述日志集为所述待检测流量访问数据的集合。优选地，所述当所述待检测流量与所述特性集未匹配成功时，将所述待检测流量保存到日志集中，以进行日志分析，具体包括：当所述待检测流量与所述特性集未匹配成功时，将所述待检测流量保存到日志集中；在所述日志集中的待检测流量积累到预设数量或者达到预设时间时，对所述待检测流量进行日志分析，获得分析结果，对所述分析结果中各个参数进行加权；将加权后的所述分析结果作为第二累加结果，在所述第二累加结果中的任意参数大于或等于该参数对应的第二预设阈值时，判断所述待检测流量为webshell流量，对所述待检测流量进行阻断。优选地，所述对所述待检测流量进行日志分析，获得分析结果，具体包括：将所述日志集中的待检测流量与预设流量库中的流量进行对比，获得新增内容；统计所述日志集中的待检测流量的页面访问时间和页面访问频率；统计所述日志集中的待检测流量的页面参数类型和页面参数变化数量；将所述新增内容、所述页面访问时间、所述页面访问频率、所述页面参数类型和所述页面参数变化数量作为所述分析结果。优选地，所述将待检测流量与特征集进行特征匹配之后，所述方法还包括：当所述待检测流量与所述特征集匹配成功时，判断所述待检测流量为webshell流量，对所述待检测流量进行阻断。优选地，所述将待检测流量与特征集进行特征匹配之前，所述方法还包括：对初始流量进行预处理，将经过预处理后的所述初始流量作为待检测流量；其中，所述预处理包括对所述初始流量中的HTTP会话内容进行重组和对所述初始流量中的HTTP协议进行解析。优选地，所述对初始流量进行预处理，将经过预处理后的所述初始流量作为待检测流量之后，所述方法还包括：将所述待检测流量与所述预设流量库中的流量进行依次对比；当所述待检测流量与所述预设流量库中的流量均不相同时，执行所述将待检测流量与特征集进行特征匹配的步骤。此外，为实现上述目的，本专利技术还提出一种网页后门检测装置，其特征在于，所述网页后门检测装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网页后门检测程序，所述网页后门检测程序配置为实现如上文所述的网页后门检测方法的步骤。此外，为实现上述目的，本专利技术还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有网页后门检测程序，所述网页后门检测程序被处理器执行时如上文所述的网页后门检测方法的步骤。本专利技术通过将待检测流量与特征集进行特征匹配，结合与特性集进行特性匹配，在对所述待检测流量进行特征匹配之后又进一步进行特性匹配，避免了遗漏一些通过特征匹配无法明确判断的可疑流量所造成不必要的损失，能够更加准确和全面地检测webshell，解决了现有技术中webshell检测效果较差，准确度低的问题，显著提升了webshell检测的准确性和用户体验。附图说明图1为本专利技术实施例方案涉及的硬件运行环境的网页后门检测服务器结构示意图；图2为本专利技术网页后门检测方法第一实施例的流程示意图；图3为本专利技术网页后门检测方法第二实施例的流程示意图；图4为本专利技术网页后门检测方法第三实施例的流程示意图；图5为本专利技术网页后门检测方法第四实施例的流程示意图；图6为本专利技术网页后门检测方法第五实施例的流程示意图；图7为本专利技术网页后门检测方法第六实施例的流程示意图；图8为本专利技术网页后门检测方法第七实施例的流程示意图；图9为本专利技术网页后门检测方法第八实施例的流程示意图；图10为本专利技术网页后门检测方法第九实施例的流程示意图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理本文档来自技高网...

【技术保护点】
一种网页后门检测方法，其特征在于，所述方法包括：将待检测流量与特征集进行特征匹配，所述特征集为包含能够表明网页后门webshell特征的参数集合；当所述待检测流量与所述特征集未匹配成功时，将所述待检测流量与特性集进行特性匹配，所述特性集为包含能够表明webshell特性的文件集合；当所述待检测流量与所述特性集匹配成功时，判断所述待检测流量为webshell流量，对所述待检测流量进行阻断。

【技术特征摘要】
1.一种网页后门检测方法，其特征在于，所述方法包括：将待检测流量与特征集进行特征匹配，所述特征集为包含能够表明网页后门webshell特征的参数集合；当所述待检测流量与所述特征集未匹配成功时，将所述待检测流量与特性集进行特性匹配，所述特性集为包含能够表明webshell特性的文件集合；当所述待检测流量与所述特性集匹配成功时，判断所述待检测流量为webshell流量，对所述待检测流量进行阻断。2.如权利要求1所述的方法，其特征在于，所述将所述待检测流量与特性集进行特性匹配，具体包括：将所述待检测流量中的各项特性进行权值累加，获得第一累加结果，在所述第一累加结果小于第二预设阈值时，认定所述待检测流量与所述特性集未匹配成功；在所述第一累加结果大于或等于所述第一预设阈值时，认定所述待检测流量与所述特性集匹配成功。3.如权利要求1所述的方法，其特征在于，所述当所述待检测流量与所述特征集未匹配成功时，将所述待检测流量与特性集进行特性匹配之后，所述方法还包括：当所述待检测流量与所述特性集未匹配成功时，将所述待检测流量保存到日志集中，以进行日志分析，所述日志集为所述待检测流量访问数据的集合。4.如权利要求3所述的方法，其特征在于，所述当所述待检测流量与所述特性集未匹配成功时，将所述待检测流量保存到日志集中，以进行日志分析，具体包括：当所述待检测流量与所述特性集未匹配成功时，将所述待检测流量保存到日志集中；在所述日志集中的待检测流量积累到预设数量或者达到预设时间时，对所述待检测流量进行日志分析，获得分析结果，对所述分析结果中各个参数进行加权；将加权后的所述分析结果作为第二累加结果，在所述第二累加结果中的任意参数大于或等于该参数对应的第二预设阈值时，判断所述待检测流量为webshell流量，对所述待检测流量进行阻断。5.如权利要求4所述的方...

【专利技术属性】
技术研发人员：高永阔，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东;44