本申请公开了一种WebShell检测方法、装置、设备及存储介质,该方法的步骤包括:获取网页流量;提取网页流量中元素标签内的关键字;基于WebShell检测标准对关键字进行分析得到检测结果。本方法基于网页流量中元素标签内的关键字作为检测网页流量是否为Webshell流量的依据,实现了对于WebShell网页的检测,进而相对确保了网站服务器的运行安全。此外,本申请还提供一种WebShell检测装置、设备及存储介质,有益效果同上所述。
【技术实现步骤摘要】
一种WebShell检测方法、装置、设备及存储介质
本申请涉及网络安全领域,特别是涉及一种WebShell检测方法、装置、设备及存储介质。
技术介绍
WebShell是以asp、php、jsp或cgi等网页文件形式存在的一种命令执行环境,网络黑客往往将WebShell做为一种网页后门,当黑客入侵一个网站后,通常会将WebShell网页后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问WebShell网页后门文件,得到相应的命令执行环境,以达到控制网站服务器的目的,因此WebShell网页往往会对网站服务器造成较大的安全隐患。由此可见,提供一种WebShell检测方法,以实现对于WebShell网页的检测,进而相对确保网站服务器的运行安全,是本领域技术人员需要解决的问题。
技术实现思路
本申请的目的是提供一种WebShell检测方法、装置、设备及存储介质,以实现对于WebShell网页的检测,进而相对确保网站服务器的运行安全。为解决上述技术问题,本申请提供一种WebShell检测方法,包括:获取网页流量;提取网页流量中元素标签内的关键字;基于WebShell检测标准对关键字进行分析得到检测结果。优选地,在基于WebShell检测标准对关键字进行分析得到检测结果之前,方法还包括:获取WebShell网页样本;基于WebShell检测标准对关键字进行分析得到检测结果,包括:统计关键字在WebShell网页样本中的占比,并根据占比生成检测分值;判断检测分值是否达到检测阈值;如果检测分值达到检测阈值,则将网页流量设置为WebShell流量;如果检测分值未达到检测阈值,则停止WebShell检测。优选地,在基于WebShell检测标准对关键字进行分析得到检测结果之前,方法还包括:获取WebShell网页样本以及非WebShell网页样本;基于WebShell检测标准对关键字进行分析得到检测结果,包括:统计关键字在WebShell网页样本中的第一占比,以及关键字在非WebShell网页样本中的第二占比;根据第一占比以及第二占比生成检测分值;判断检测分值是否达到检测阈值;如果检测分值达到检测阈值,则将网页流量设置为WebShell流量;如果检测分值未达到检测阈值,则停止WebShell检测。优选地,在根据第一占比以及第二占比生成检测分值之前,方法还包括:判断元素标签是否为预设的特殊元素标签;如果元素标签为预设的特殊元素标签,则获取特殊元素标签对应的权重参数;根据权重参数调整第一占比和/或第二占比,并执行根据第一占比以及第二占比生成检测分值的步骤;如果元素标签不为预设的特殊元素标签,则执行根据第一占比以及第二占比生成检测分值的步骤。优选地,在基于WebShell检测标准对关键字进行分析得到检测结果之前,方法还包括:在关键字中去除对检测结果的准确性造成干扰的目标关键字。优选地,在关键字中去除对检测结果的准确性造成干扰的目标关键字,包括:在关键字中去除字符长度大于第一长度标准的目标关键字,以及字符长度小于第二长度标准的目标关键字。优选地,在关键字中去除对检测结果的准确性造成干扰的目标关键字,包括:在关键字中去除存在于目标网站的目标关键字。此外,本申请还提供一种WebShell检测装置,包括:流量获取模块,用于获取网页流量;标签提取模块,用于提取网页流量中元素标签内的关键字;关键字检测模块,用于基于WebShell检测标准对关键字进行分析得到检测结果。此外,本申请还提供一种WebShell检测设备,包括:存储器,用于存储计算机程序;处理器,用于执行计算机程序时实现如上述的WebShell检测方法的步骤。此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的WebShell检测方法的步骤。本申请所提供的WebShell检测方法,首先获取网页流量,进而提取该网页流量中元素标签内的关键字,进而基于Webshell检测标准对网页流量中提取到的关键字进行分析得到检测结果。本方法基于网页流量中元素标签内的关键字作为检测网页流量是否为Webshell流量的依据,实现了对于WebShell网页的检测,进而相对确保了网站服务器的运行安全。此外,本申请还提供一种WebShell检测装置、设备及存储介质,有益效果同上所述。附图说明为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例公开的一种WebShell检测方法的流程图;图2为本申请实施例公开的一种具体的WebShell检测方法的流程图;图3为本申请实施例公开的一种具体的WebShell检测方法的流程图;图4为本申请实施例公开的一种具体的WebShell检测方法的流程图;图5为本申请实施例公开的一种WebShell检测装置的结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。网络黑客往往将WebShell做为一种网页后门,当黑客入侵一个网站后,通常会将WebShell网页后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问WebShell网页后门文件,得到相应的命令执行环境,以达到控制网站服务器的目的,因此WebShell网页往往会对网站服务器造成较大的安全隐患。为此,本申请的核心是提供一种WebShell检测方法,以实现对于WebShell网页的检测,进而相对确保网站服务器的运行安全。请参见图1所示,本申请实施例公开了一种WebShell检测方法,包括:步骤S10:获取网页流量。需要说明的是,本步骤获取的网页流量可以具体为基于HTTP或HTTPs协议,即超文本传输协议产生的流量。网页流量的类型包括但不限于HTML类型。另外,网页流量可以具体是在基于网站服务器向浏览器返回的Response数据包,即HTTP通信协议的流量响应报文,在此情况下,浏览器预先向网站服务器发起对于目标网页的访问请求,进而网站服务器在收到访问请求后,进一步根据访问请求获取相应的网页文件,并将网页文件封装为Response数据包并作为网页流量返回至浏览器。获取网页流量的操作本文档来自技高网...
【技术保护点】
1.一种WebShell检测方法,其特征在于,包括:/n获取网页流量;/n提取所述网页流量中元素标签内的关键字;/n基于WebShell检测标准对所述关键字进行分析得到检测结果。/n
【技术特征摘要】
1.一种WebShell检测方法,其特征在于,包括:
获取网页流量;
提取所述网页流量中元素标签内的关键字;
基于WebShell检测标准对所述关键字进行分析得到检测结果。
2.根据权利要求1所述的WebShell检测方法,其特征在于,在所述基于WebShell检测标准对所述关键字进行分析得到检测结果之前,所述方法还包括:
获取WebShell网页样本;
所述基于WebShell检测标准对所述关键字进行分析得到检测结果,包括:
统计所述关键字在所述WebShell网页样本中的占比,并根据所述占比生成检测分值;
判断所述检测分值是否达到检测阈值;
如果所述检测分值达到检测阈值,则将所述网页流量设置为WebShell流量;
如果所述检测分值未达到所述检测阈值,则停止WebShell检测。
3.根据权利要求1所述的WebShell检测方法,其特征在于,在所述基于WebShell检测标准对所述关键字进行分析得到检测结果之前,所述方法还包括:
获取WebShell网页样本以及非WebShell网页样本;
所述基于WebShell检测标准对所述关键字进行分析得到检测结果,包括:
统计所述关键字在所述WebShell网页样本中的第一占比,以及所述关键字在所述非WebShell网页样本中的第二占比;
根据所述第一占比以及所述第二占比生成检测分值;
判断所述检测分值是否达到检测阈值;
如果所述检测分值达到检测阈值,则将所述网页流量设置为WebShell流量;
如果所述检测分值未达到所述检测阈值,则停止WebShell检测。
4.根据权利要求3所述的WebShell检测方法,其特征在于,在所述根据所述第一占比以及所述第二占比生成检测分值之前,所述方法还包括:
判断所述元素标签是否为预设的特殊元素标签;
如果所述元素标签为预设的所述特殊元...
【专利技术属性】
技术研发人员:岳巍,裴琦杰,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。