一种面向海量日志的WebShell挖掘方法技术

本发明专利技术提供了一种面向海量日志的WebShell挖掘方法，包括以下步骤：步骤1：收集单一入口类型的网站名单；步骤2：对日志进行检测，得到满足条件的URL，进而判断高度疑似WebShell；步骤3：检测可访问性，包括获取步骤2中URL对应域名的404页面内容和URL的页面内容，比较两次请求页面内容的莱文斯坦比，排除掉自定义404页面，以此判断该URL是否真实存在，若该URL真实存在则判断该URL为WebShell。本发明专利技术基于单一入口类型网站特殊的网站结构，配合自动化检测过滤掉自定义404页面，缩小嫌疑范围，大大提高识别WebShell的精准度，从而降低人工分析的成本。

【技术实现步骤摘要】
一种面向海量日志的WebShell挖掘方法
本专利技术涉及WebShell挖掘领域，特别是一种面向海量日志的WebShell挖掘方法。
技术介绍
WebShell，顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。黑客在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问这些asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的(可以上传下载文件，查看数据库，执行任意程序命令等)。由于WebShell其大多是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。现有技术中，通过收集网络上公开的WebShell并分析其特征，或者添加一些敏感函数建立WebShell特征库，然后在网站的访问日志中匹配这些特征或敏感函数，如果匹配上，则人工再次确认是否为WebShell。其存在以下不足：1)基于特征匹配容易出现大量误报；2)WebShell特征随时变换，特征库不能完全包含所有的特征，容易出现遗漏本文档来自技高网...

【技术保护点】
一种面向海量日志的WebShell挖掘方法，其特征在于，包括以下步骤：步骤1：收集单一入口类型的网站名单；步骤2：对日志进行检测，即：步骤2.1：收集步骤1中确定的单一入口类型网站的访问日志；步骤2.2：在步骤2.1提取的日志中，提取出HTTP状态码仅为200的URL；步骤2.3：将步骤2.2中得到的URL去掉参数，并取出动态脚本类型的URL；步骤2.4：比较步骤2.3得到中的URL是否与步骤1中收集的与此URL对应域名的URL一致，如果一致则判断为正常访问；如果所比较的两个URL不一致则判断为高度疑似WebShell；步骤3：检测可访问性，即：步骤3.1：获取步骤2.3中URL对应域名的40...

【技术特征摘要】
1.一种面向海量日志的WebShell挖掘方法，其特征在于，包括以下步骤：步骤1：收集单一入口类型的网站名单；步骤2：对日志进行检测，即：步骤2.1：收集步骤1中确定的单一入口类型网站的访问日志；步骤2.2：在步骤2.1提取的日志中，提取出HTTP状态码仅为200的URL；步骤2.3：将步骤2.2中得到的URL去掉参数，并取出动态脚本类型的URL；步骤2.4：比较步骤2.3得到中的URL是否与步骤1中收集的与此URL对应域名的URL一致，如果一致则判断为正常访问；如果所比较的两个URL不一致则判断为高度疑似WebShell；步骤3：检测可访问性，即：步骤3.1：获取步骤2.3中URL对应域名的404页面内容；步骤3.2：获取步骤2.3中URL的页面内容；步骤3.3...

【专利技术属性】
技术研发人员：仲俊霖，赵永亮，
申请(专利权)人：成都知道创宇信息技术有限公司，
类型：发明
国别省市：四川,51