【技术实现步骤摘要】
一种文件风险检测方法和装置
本专利技术涉及通信
,具体涉及一种文件风险检测方法和装置。
技术介绍
Webshell指的是以动态服务器页面(ActiveServerPages,ASP)、超文本预处理器(HypertextPreprocessor,PHP)、java服务器页面(JavaServerPages,JSP)或者公共网关接口(CommonGatewayInterface,CGI)等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门。入侵者在入侵了一个网站后,通常会将ASP或PHP等后门文件与网站服务器的目录下正常的网页文件混在一起,然后就可以使用浏览器来访问ASP或者PHP等后门文件,得到一个命令执行环境,通过Webshell取得对网站服务器在某种程度上的操作权限,从而达到控制网站服务器的目的。现有技术中,对Webshell文件的检测主要采用文本内容匹配的检测方法,通过对站点目录的遍历发现现存的网页文件,并对其中的ASP、PHP、JSP等可解析执行的动态脚本文件进行内容分析,采用基于文本静态内容进行特征匹配,并将命中的文本段上报后台,每个文件对应的一个或多个文本段在后台整合重组,得到整体特征模式,随后与全局知识库进行特征匹配对比,当全局出现大量同类相同特征,则认为不是离群点并标记为安全文件,或当特征对应文件已被运营人员处理并标记为安全,则此类文件会被认为具有同质内容而不是Webshell文件。现有技术存在的一个较大问题是,需要对文本静态特征进行特征匹配,当命中相应特征才会进入后台检测分析流程,当入侵者刻意绕过检测,使用变形或更隐蔽的 ...
【技术保护点】
1.一种文件风险检测方法,其特征在于,所述方法包括:在检测到网页文件异常时,获取所述网页文件;对所述网页文件进行文件标签分析,得到所述网页文件的多维文件特征数据;根据预先获取的全网文件特征统计信息,对所述网页文件的多维文件特征数据进行全局信息整合,得到多维文件风险信息;当所述多维文件风险信息达到预设要求时,确定所述网页文件为恶意网页文件。
【技术特征摘要】
1.一种文件风险检测方法,其特征在于,所述方法包括:在检测到网页文件异常时,获取所述网页文件;对所述网页文件进行文件标签分析,得到所述网页文件的多维文件特征数据;根据预先获取的全网文件特征统计信息,对所述网页文件的多维文件特征数据进行全局信息整合,得到多维文件风险信息;当所述多维文件风险信息达到预设要求时,确定所述网页文件为恶意网页文件。2.根据权利要求1所述的文件风险检测方法,其特征在于,所述对所述网页文件进行文件标签分析,得到所述网页文件的多维文件特征数据的步骤,包括如下至少两个步骤:对所述网页文件进行文件名特征提取,得到文件名特征数据;对所述网页文件进行文件路径特征提取,得到文件路径特征数据;对所述网页文件进行文件时间特征提取,得到文件时间特征数据;对所述网页文件进行文件内容特征提取,得到文件内容特征数据。3.根据权利要求2所述的文件风险检测方法,其特征在于,所述多维文件特征数据包括所述文件名特征数据,所述多维文件风险信息包括文件名风险信息;所述根据预先获取的全网文件特征统计信息,对所述网页文件的多维文件特征数据进行全局信息整合,得到多维文件风险信息,包括:根据所述全网文件特征统计信息,获取所述文件名特征数据中各文件名词语全网出现的频次;根据所述频次及预设的频次与文件名风险数值对应关系,确定所述文件名特征数据对应的第一文件名风险数值;检测所述文件名特征数据中是否出现预设类型词语,以确定所述文件名特征数据对应的第二文件名风险数值;其中,所述文件名风险信息包括所述第一文件名风险数值和所述第二文件名风险数值。4.根据权利要求3所述的文件风险检测方法,其特征在于,所述检测所述文件名特征数据中是否出现预设类型词语,以确定所述文件名特征数据对应的第二文件名风险数值,包括:检测所述文件名特征数据中是否出现预设类型词语;若出现预设类型词语,以预设的第一数值作为所述第二文件名风险数值;若未出现预设类型词语,以预设的第二数值作为所述第二文件名风险数值。5.根据权利要求2所述的文件风险检测方法,其特征在于,所述多维文件特征数据包括所述文件路径特征数据,所述文件路径特征数据包括文件路径深度数据和文件路径安全标签数据,所述多维文件风险信息包括文件路径风险信息;所述根据预先获取的全网文件特征统计信息,对所述网页文件的多维文件特征数据进行全局信息整合,得到多维文件风险信息,包括:根据预设的文件路径深度与文件路径风险数值对应关系,确定所述文件路径深度数据对应的第一文件路径风险数值;检测所述文件路径安全标签数据中是否存在所述目标文件路径关键词,以确定所述文件路径安全标签数据对应的第二文件路径风险数值,其中,所述目标文件路径关键词为所述全网文件特征统计信息中包括的不安全文件路径关键词;其中,所述文件路径风险信息包括第一文件路径风险数值和所述第二文件路径风险数值。6.根据权利要求2所述的文件风险检测方法,其特征在于,所述多维文件特征数据包括所述文件时间特征数据,所述多维文件风险信息包括文件时间风险信息;所述根据预先获取的全网文件特征统计信息,对所述网页文件的多维文件特征数据进行全局信息整合,得到多维文件风险信息,包括:根据所述全网文件特征统计信息中的文件时间特征信息,统计全网与所述文件时间特征数据中目标时间特征相同的目标文件数量;根据预设的文件数量与文件时间风险数值对应关系及所述目标文件数量,确定所述文件时间特征数据的文件时间风险数值;其中,所述文件时间风险信息包括所述文件时间风险数值。7.根据权利要求2所述的文件风险检测方法,其特征在于,所述多维文件特征数据包括所述文件内容特征数据,所述多维文件风险信息包括文件内容风险信息;所述根据预先获取的全网文件特征统计信息,对所述网页文件的多维文件特征数据进行全局信息整合,得到多维文件风险信息,包括:根据所述全网文件特征统计信息中的文件内容特征信息,统计全网与所述网页文件存在相同文件内容的第一文件数量;根据所述第一文件数量及预设的文件数量与文件内...
【专利技术属性】
技术研发人员:李俊波,杜海章,朱海星,刘宁,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。