基于URI的分类模型的构建方法和Webshell攻击网站的检测方法技术
【技术实现步骤摘要】
基于URI的分类模型的构建方法和Webshell攻击网站的检测方法
本专利技术涉及互联网
,尤其涉及一种基于URI的分类模型的构建方法、Webshell攻击网站的检测方法和计算设备。
技术介绍
Webshell是以asp、php、jsp、cgi等网页文件形式存在的一种命令执行环境,也可以称为一种网页后门。入侵者在入侵网站后,经常在WEB服务器的WEB目录中放置Webshell后门文件,且与WEB服务器WEB目录下正常的文件混在一起,不易被发现。入侵者可以用WEB方式访问Webshell得到命令执行环境以达到控制网站或WEB服务器的目的,可进行的操作包括上传下载文件、查看数据库、执行任意程序命令等。远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。而且使用Webshell一般不会在系统日志中留下记录,只会在WEB服务器的日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。现有的对访问日志的WebShell检测方法中,多是基于规则和特征库进行检测,如通过收集网络上公开的WebShell并分析其特征,或者添加一些敏感函数建立WebShe...
【技术保护点】
一种基于URI的分类模型的构建方法,在计算设备中执行,适于区分正常访问网站的URI和疑似被Webshell攻击网站的URI,该方法包括:分别获取多条已确认为正常访问网站的访问日志作为正样本数据,以及多条已确认为Webshell攻击网站的访问日志作为负样本数据,其中每条访问日志中包括请求资源的URI以及与该URI相关联的访问数据;分别从正样本数据和负样本数据中提取针对同一URI的多条访问日志,根据该多条访问日志的访问数据计算该URI的多个URI特征值,并将该多个URI特征值构造为一条URI特征向量;根据正样本数据中各URI的URI特征向量及其对应的正样本标识生成第一正样本集,...
【技术特征摘要】
1.一种基于URI的分类模型的构建方法,在计算设备中执行,适于区分正常访问网站的URI和疑似被Webshell攻击网站的URI,该方法包括:分别获取多条已确认为正常访问网站的访问日志作为正样本数据,以及多条已确认为Webshell攻击网站的访问日志作为负样本数据,其中每条访问日志中包括请求资源的URI以及与该URI相关联的访问数据;分别从正样本数据和负样本数据中提取针对同一URI的多条访问日志,根据该多条访问日志的访问数据计算该URI的多个URI特征值,并将该多个URI特征值构造为一条URI特征向量;根据正样本数据中各URI的URI特征向量及其对应的正样本标识生成第一正样本集,以及根据负样本数据中各URI的URI特征向量及其对应的负样本标识生成第一负样本集;以及根据所述第一正样本集和第一负样本集生成第一训练集,并以该第一训练集中各样本的URI特征向量为输入,以其样本标识为输出,采用预定算法对所述第一训练集进行训练,得到所述基于URI的分类模型。2.如权利要求1所述的方法,其中,所述访问日志的访问数据包括以下参数中的一种或多种:请求用户的IP、请求方法、请求返回的状态码、CDN命中状态、防火墙检测的攻击类型、请求参数、开始请求时间和请求报文长度。3.如权利要求2所述的方法,其中,所述多个URI特征值包括以下特征值中的一种或多种:访问URI的客户端IP数量、访问URI的总次数、访问URI中返回失败次数比率、访问URI中被WAF拦截请求比率、访问的URI是否有命中CDN、访问URI中请求参数变化次数。4.如权利要求3所述的方法,其中,所述访问URI的客户端IP数量适于根据请求用户的IP计算;所述访问URI的总次数适于根据请求返回的状态码或防火墙检测的攻击类型计算;所述访问URI中返回失败次数比率适于根据请求返回的状态码计算;所述访问URI中被防火墙拦截请求比率适于根据防火墙检测的攻击类型计算;所述访问的URI是否有命中CDN适于根据CDN命中状态确定;以及所述访问URI中请求参数变化次数适于根据请求参数计算。5.如权利要求4所述的方法,其中,所述根据该多条访问日志的访问数据计算该URI的多个URI特征值的步骤包括:将正样本数据和负样本数据按照各字段的含义转...
【专利技术属性】
技术研发人员:陈金战,杨旭,张通,
申请(专利权)人:北京知道创宇信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。