本公开涉及一种木马检测方法及装置、电子设备、计算机可读存储介质,属于网络安全技术领域。该方法包括:获取待检测文件,根据待检测文件,确定待检测文件对应的待检测特征向量;根据木马检测模型对待检测特征向量进行检测,并确定待检测文件是否为木马文件。本公开可以提高木马检测的准确性及效率。
Trojan detection methods and devices, electronic equipment, storage media
【技术实现步骤摘要】
木马检测方法及装置、电子设备、存储介质
本公开涉及网络安全
,尤其涉及一种木马检测方法及装置、电子设备、计算机可读存储介质。
技术介绍
在Web(网络)安全领域,黑客想要入侵服务器,一般都会上传木马文件,以获取服务器的更高权限并执行更多的功能,例如命令执行等。为了提高信息的安全性,可以对服务器中的文件进行检测,并将检测到的木马文件删除。现有的木马检测方法中,可以通过正则表达式匹配的方法进行检测,但是该方法对于未知的木马文件不易检测,并且需要人工添加规则,因此,检测的准确性及效率较低。需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
本公开的目的在于提供一种木马检测方法及装置、电子设备、计算机可读存储介质,进而至少在一定程度上克服由于现有技术的限制和缺陷而导致的木马检测时检测准确性及效率较低的问题。本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。根据本公开的第一方面,提供一种木马检测方法,包括:获取待检测文件;根据所述待检测文件,确定所述待检测文件对应的待检测特征向量;根据木马检测模型对所述待检测特征向量进行检测,并确定所述待检测文件是否为木马文件。可选的,所述根据所述待检测文件,确定所述待检测文件对应的待检测特征向量,包括:对所述待检测文件进行解析,得到所述待检测文件的中间代码;将所述待检测文件的中间代码转换为所述待检测特征向量。可选的,所述待检测文件包括:超文本预处理器PHP文件、JAVA文件和Python文件。可选的,所述将所述待检测文件的中间代码转换为待检测特征向量,包括:通过CountVectorizer将所述待检测文件的中间代码转换为中间特征向量;通过TfidfVectorizer将所述中间特征向量转换为待检测特征向量。可选的,所述根据木马检测模型对所述待检测特征向量进行检测,并确定所述待检测文件是否为木马文件,包括:根据木马检测模型确定所述待检测特征向量对应的属性向量,其中,所述属性向量包括属于木马文件的概率和属于非木马文件的概率;根据所述属性向量,确定所述待检测文件是否为木马文件。可选的,所述木马检测模型是根据多个训练样本文件的样本特征向量及所述多个训练样本文件对应的样本属性向量进行机器学习得到的,所述样本属性向量是根据所述训练样本文件是否属于木马文件确定的。可选的,所述木马检测模型是通过朴素贝叶斯算法训练得到的。根据本公开的第二方面,提供一种木马检测装置,包括:待检测文件获取模块,用于获取待检测文件;特征向量确定模块,用于根据所述待检测文件,确定所述待检测文件对应的待检测特征向量;检测结果确定模块,用于根据木马检测模型对所述待检测特征向量进行检测,并确定所述待检测文件是否为木马文件。根据本公开的第三方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的方法。根据本公开的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的方法。本公开的示例性实施例具有以下有益效果:本公开的示例性实施例提供的木马检测方法及装置中,在将待检测文件转换为待检测特征向量后,将待检测特征向量输入木马检测模型中,以进一步提取待检测特征向量中的特征,从而对待检测文件进行检测。由于木马检测模型是基于大量样本,通过机器学习的方式训练得到的,因此,可以提高木马检测的准确性及效率。并且,本公开无需人工干预维护添加规则,节约了大量运营维护成本。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示意性示出了本公开实施例的木马检测方法的一种流程图;图2示意性示出本公开实施例中木马检测模型的训练方法的流程图;图3示意性示出了本公开实施例的木马检测装置的一种结构示意图;图4示意性示出本公开实施例中一种用于实现上述方法的电子设备的计算机系统的结构示意图。具体实施方式现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。需要说明的是,本公开中,用语“包括”、“配置有”、“设置于”用以表示开放式的包括在内的意思,并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等;用语“第一”、“第二”等仅作为标记使用,不是对其对象数量或次序的限制。在Web木马检测技术中,由于PHP(HypertextPreprocessor,超文本预处理器)语言的灵活性,PHP类型的Web木马检测一直是传统防火墙以及安全厂商重点的优化对象。其中,WebShell木马检测是在Web攻防中常见的木马检测种类之一,由于隐藏性高,和普通页面相近,难以被发现,以及混淆后隐藏在代码中难以被检测发现,所以WebShell通常采用混淆、加密等方式来进行逃避检测。Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页木马或后门。现有的木马检测方法中,可以采用正则表达式匹配的方法,匹配关键特征函数、特征字符串的方式,对PHP文件进行扫描匹配,人工运营添加规则的方式。然而,专利技术人在实现本申请的过程中发现,现有技术至少存在如下问题:1.对于未知的木马样本不易检测;2.存在漏报、误报情况较多,需要根据编写的规则是否宽泛决定误报率;3.黑客知道规则后,容易绕过检测规则,同时无法对未知的样本进行高效的检测;4.需要安全人员消耗大量的精力去维护规则库,人工运营成本高。为了解决上述问题,本申请提供了一种木马检测方法及装置、电子设备、计算机可读存储介质,以提高木马检测的准确性及效率。下面首先对本申请实施例提供的木马检测方法进行详细介绍。参见图1,图1示意性示出了本公开实施例的木马检测方法的一种流程图,可以包括以下步骤:步骤S110,获取待检测文件。步骤S120,根据待检测文件,确定待检测文件对应的待检测特征向量。步骤S130,根据木马检测模型本文档来自技高网...
【技术保护点】
1.一种木马检测方法,其特征在于,所述方法包括:/n获取待检测文件;/n根据所述待检测文件,确定所述待检测文件对应的待检测特征向量;/n根据木马检测模型对所述待检测特征向量进行检测,并确定所述待检测文件是否为木马文件。/n
【技术特征摘要】
1.一种木马检测方法,其特征在于,所述方法包括:
获取待检测文件;
根据所述待检测文件,确定所述待检测文件对应的待检测特征向量;
根据木马检测模型对所述待检测特征向量进行检测,并确定所述待检测文件是否为木马文件。
2.根据权利要求1所述的方法,其特征在于,所述根据所述待检测文件,确定所述待检测文件对应的待检测特征向量,包括:
对所述待检测文件进行解析,得到所述待检测文件的中间代码;
将所述待检测文件的中间代码转换为所述待检测特征向量。
3.根据权利要求1所述的方法,其特征在于,所述待检测文件包括:超文本预处理器PHP文件、JAVA文件和Python文件。
4.根据权利要求2所述的方法,其特征在于,所述将所述待检测文件的中间代码转换为待检测特征向量,包括:
通过CountVectorizer将所述待检测文件的中间代码转换为中间特征向量;
通过TfidfVectorizer将所述中间特征向量转换为待检测特征向量。
5.根据权利要求1所述的方法,其特征在于,所述根据木马检测模型对所述待检测特征向量进行检测,并确定所述待检测文件是否为木马文件,包括:
根据木马检测模型确定所述待检测特征向量对应的属性向量,其中,所述...
【专利技术属性】
技术研发人员:黄加南,
申请(专利权)人:贵州医渡云技术有限公司,
类型:发明
国别省市:贵州;52
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。