本申请公开了一种WebShell检测方法、装置、设备及介质,包括:实时获取待检测的流量数据;将待检测的流量数据输入至预先获取的训练后模型;训练后模型为利用预设的训练样本对长短期记忆神经网络模型进行训练后得到的,所述训练样本包括第一训练样本和第二训练样本,第一训练样本包括webshell文件以及对应的标签信息,第二训练样本包括非webshell文件以及对应的标签信息,并且,在训练过程中,对所述训练样本的上下文关系进行特征提取,然后利用所述上下文关系得到所述训练后模型;获取所述训练后模型输出的与所述待检测的流量数据对应的检测结果。这样,能够保证webshell检测的实时性,避免了流量数据只包括预设的关键字就被识别为Webshell的问题,从而降低了webshell检测的误报率。
A method, device, equipment and medium of webshell detection
【技术实现步骤摘要】
一种WebShell检测方法、装置、设备及介质
本申请涉及WebShell检测
,特别涉及一种WebShell检测方法、装置、设备及介质。
技术介绍
目前黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。Webshell植入后,黑客就拥有进入网站的钥匙,进入网站就像自己的家一样,可以查看、拿走、破坏网站里的任何东西。根据数据分析,出现反共、暗链、黑页事件的99%的网站存在后门,而Webshell由于隐蔽性强,很难被发现。在现有技术中,一般通过在服务器部署终端工具进行查杀,但实施难度大,且检测主要依赖于规则,误报和漏报率很高,无法实时发现与拦截。
技术实现思路
有鉴于此,本申请的目的在于提供一种WebShell检测方法、装置、设备及介质,能够保证webshell检测的实时性,并且,避免了流量数据只包括预设的关键字就被识别为Webshell的问题,从而降低了webshell检测的误报率。其具体方案如下:第一方面,本申请公开了一种WebShell检测方法,包括:实时获取待检测的流量数据;将所述待检测的流量数据输入至预先获取的训练后模型;其中,所述训练后模型为利用预设的训练样本对长短期记忆神经网络模型进行训练后得到的,所述训练样本包括第一训练样本和第二训练样本,所述第一训练样本包括webshell文件以及对应的标签信息,所述第二训练样本包括非webshell文件以及对应的标签信息,并且,在训练过程中,对所述训练样本的上下文关系进行特征提取,然后利用所述上下文关系得到所述训练后模型;获取所述训练后模型输出的与所述待检测的流量数据对应的检测结果。可选的,所述实时获取待检测的流量数据,包括:实时获取用户终端发起的访问流量;将所述访问流量中符合第一预设条件的流量数据确定为所述待检测的流量数据。可选的,将所述访问流量中符合第一预设条件的流量数据确定为所述待检测的流量数据,包括:判断所述访问流量的数据类型;若所述数据类型为上传的文件,则将所述上传的文件确定为所述待检测的流量数据;若所述数据类型为访问URL,则利用所述访问URL的后缀以及HTTP头部的Referer状态判断所述访问URL是否符合第二预设条件,若所述访问URL符合所述第二预设条件,则将所述访问URL的返回内容确定为所述待检测的流量数据,否则,将所述访问URL的返回内容发送至对应的访问终端。可选的,所述获取所述训练后模型输出的与所述待检测的流量数据对应的检测结果之后,还包括:若所述检测结果为所述待检测的流量数据为Webshell文件,并且,所述待检测的流量数据为所述访问URL的返回内容,则将对应的访问URL进行屏蔽,并生成对应的事件告警通知管理人员;若所述检测结果为所述待检测的流量数据为非Webshell文件,并且,所述待检测的流量数据为所述访问URL的返回内容,则将该访问URL的返回内容发送至对应的访问终端。可选的,所述获取所述训练后模型输出的与所述待检测的流量数据对应的检测结果之后,还包括:若所述检测结果为所述待检测的流量数据为Webshell文件,并且,所述待检测的流量数据为所述上传的文件,则拦截该上传的文件;若所述检测结果为所述待检测的流量数据为非Webshell文件,并且,所述待检测的流量数据为所述上传的文件,则允许该上传的文件上传。可选的,所述获取所述训练后模型输出的与所述待检测的流量数据对应的检测结果之后,还包括:若所述检测结果为所述待检测的流量数据为Webshell文件,则将该Webshell文件对应的访问IP在预设时间内进行屏蔽。第二方面,本申请公开了一种WebShell检测装置,包括:流量数据获取模块,用于实时获取待检测的流量数据;流量数据检测模块,用于将所述待检测的流量数据输入至预先获取的训练后模型;其中,所述训练后模型为利用预设的训练样本对长短期记忆神经网络模型进行训练后得到的,所述训练样本包括第一训练样本和第二训练样本,所述第一训练样本包括webshell文件以及对应的标签信息,所述第二训练样本包括非webshell文件以及对应的标签信息,并且,在训练过程中,对所述训练样本的上下文关系进行特征提取,然后利用所述上下文关系得到所述训练后模型;检测结果输出模块,用于获取所述训练后模型输出的与所述待检测的流量数据对应的检测结果。可选的,所述WebShell检测装置,还包括:访问IP屏蔽模块,用于若所述检测结果为所述待检测的流量数据为Webshell文件,则将该Webshell文件对应的访问IP在预设时间内进行屏蔽。第三方面,本申请公开了一种WebShell检测设备,包括处理器和存储器;其中,所述存储器,用于保存计算机程序;所述处理器,用于执行所述计算机程序,以实现前述的WebShell检测方法。第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述的WebShell检测方法。可见,本申请先实时获取待检测的流量数据,然后将所述待检测的流量数据输入至预先获取的训练后模型;其中,所述训练后模型为利用预设的训练样本对长短期记忆神经网络模型进行训练后得到的,所述训练样本包括第一训练样本和第二训练样本,所述第一训练样本包括webshell文件以及对应的标签信息,所述第二训练样本包括非webshell文件以及对应的标签信息,并且,在训练过程中,对所述训练样本的上下文关系进行特征提取,然后利用所述上下文关系得到所述训练后模型,最后获取所述训练后模型输出的与所述待检测的流量数据对应的检测结果。这样,通过利用webshell文件和非webshell文件的上下关系得到的训练后模型检测实时流量数据,能够保证webshell检测的实时性,并且,避免了流量数据只包括预设的关键字就被识别为Webshell的问题,从而降低了webshell检测的误报率。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本申请公开的一种WebShell检测方法流程图;图2为本申请公开的一种具体的模型训练过程图;图3为本申请公开的一种具体的WebShell检测方法流程图;图4为本申请公开的一种具体的WebShell检测方法流程图;图5为本申请公开的一种WebShell检测装置结构示意图;图6为本申请公开的一种WebShell检测设备结构图;图7为本申请公开的一种服务器结构图。<本文档来自技高网...
【技术保护点】
1.一种WebShell检测方法,其特征在于,包括:/n实时获取待检测的流量数据;/n将所述待检测的流量数据输入至预先获取的训练后模型;其中,所述训练后模型为利用预设的训练样本对长短期记忆神经网络模型进行训练后得到的,所述训练样本包括第一训练样本和第二训练样本,所述第一训练样本包括webshell文件以及对应的标签信息,所述第二训练样本包括非webshell文件以及对应的标签信息,并且,在训练过程中,对所述训练样本的上下文关系进行特征提取,然后利用所述上下文关系得到所述训练后模型;/n获取所述训练后模型输出的与所述待检测的流量数据对应的检测结果。/n
【技术特征摘要】
1.一种WebShell检测方法,其特征在于,包括:
实时获取待检测的流量数据;
将所述待检测的流量数据输入至预先获取的训练后模型;其中,所述训练后模型为利用预设的训练样本对长短期记忆神经网络模型进行训练后得到的,所述训练样本包括第一训练样本和第二训练样本,所述第一训练样本包括webshell文件以及对应的标签信息,所述第二训练样本包括非webshell文件以及对应的标签信息,并且,在训练过程中,对所述训练样本的上下文关系进行特征提取,然后利用所述上下文关系得到所述训练后模型;
获取所述训练后模型输出的与所述待检测的流量数据对应的检测结果。
2.根据权利要求1所述的WebShell检测方法,其特征在于,所述实时获取待检测的流量数据,包括:
实时获取用户终端发起的访问流量;
将所述访问流量中符合第一预设条件的流量数据确定为所述待检测的流量数据。
3.根据权利要求2所述的WebShell检测方法,其特征在于,将所述访问流量中符合第一预设条件的流量数据确定为所述待检测的流量数据,包括:
判断所述访问流量的数据类型;
若所述数据类型为上传的文件,则将所述上传的文件确定为所述待检测的流量数据;
若所述数据类型为访问URL,则利用所述访问URL的后缀以及HTTP头部的Referer状态判断所述访问URL是否符合第二预设条件,若所述访问URL符合所述第二预设条件,则将所述访问URL的返回内容确定为所述待检测的流量数据,否则,将所述访问URL的返回内容发送至对应的访问终端。
4.根据权利要求3所述的WebShell检测方法,其特征在于,所述获取所述训练后模型输出的与所述待检测的流量数据对应的检测结果之后,还包括:
若所述检测结果为所述待检测的流量数据为Webshell文件,并且,所述待检测的流量数据为所述访问URL的返回内容,则将对应的访问URL进行屏蔽,并生成对应的事件告警通知管理人员;
若所述检测结果为所述待检测的流量数据为非Webshell文件,并且,所述待检测的流量数据为所述访问URL的返回内容,则将该访问URL的返回内容发送至对应的访问终端。
5.根据权利要求3所述的WebShell检测方法,其特征在...
【专利技术属性】
技术研发人员:毛润华,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。