本发明专利技术涉及一种webshell的检测方法、系统、装置及计算机可读存储介质,所述方法包括以下步骤:采集样本文件,对所述样本文件进行静态特征提取,得到样本文件的静态特征序列;提取样本文件的污点追踪特征,对所述污点追踪特征与所述静态特征序列进行整合,得到完整的特征序列,将完整的特征序列转化为特征向量矩阵;构建极限树模型,利用所述特征向量矩阵对极限树模型进行训练,得到用于样本文件检测的极限树模型;获取待检测样本文件,获取检测样本文件的特征向量矩阵,利用所述用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测,得到检测结果。本发明专利技术所述的webshell的检测方法,提高了webshell检测的准确度及效率。
【技术实现步骤摘要】
一种webshell的检测方法、系统、装置及可读存储介质
本专利技术涉及webshell检测
,尤其涉及一种webshell的检测方法、系统、装置及计算机可读存储介质。
技术介绍
随着互联网的快速发展,人们日常生活学习、生产工作中越来越的部分都转移到网络上,人们需要大量的网络服务来满足日常的需求,这些服务的物理载体都是服务器,而服务器常常会成为不法分子的攻击目标,webshell则是不法分子最常使用的用来控制服务器的手段。如果能够在不干扰正常业务运行的情况下,从服务器中将webshell检测出来,必然能够大大降低不法人员攻击服务器的成功率,从而保证业务正常、安全的运行。现有方案大多为以下几种,特征检测、动态检测、日志分析及白名单检测等;特征检测在国内的网络环境下并不适用;动态检测主要通过监测样本在运行时的行为来判断目标是否为webshell,很难做到全部监测;日志分析主要通过分析流量日志、操作系统日志、访问日志等进行建模分析,从中整合出可能存在的异常点,根据异常点来判断目标是否为webshell或是否存在webshell类似的行为,很容易产生漏报;白名单检测通过匹配提前规定的白名单进行检测,需要有专门的人员去维护每一个流程的工作,费时费力。现有技术对webshell的检测范围较小或者对网络环境较为严格,并且检测准确度及检测效率较低。
技术实现思路
有鉴于此,有必要提供一种webshell的检测方法、系统、装置及计算机可读存储介质,用以解决现有技术中webshell检测准确度及检测效率较低的问题。本专利技术提供一种webshell的检测方法,包括以下步骤:采集样本文件,对所述样本文件进行静态特征提取,得到样本文件的静态特征序列;提取样本文件的污点追踪特征,对所述污点追踪特征与所述静态特征序列进行整合,得到完整的特征序列,将完整的特征序列转化为特征向量矩阵;构建极限树模型,利用所述特征向量矩阵对极限树模型进行训练,得到用于样本文件检测的极限树模型;获取待检测样本文件,获取检测样本文件的特征向量矩阵,利用用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测,得到检测结果。进一步地,所述对所述样本文件进行静态特征提取,得到样本文件的静态特征序列,具体包括:对所述样本文件进行过滤,保留php类型文件及以PHP、Php、php1后缀命名的php文件,对过滤后的样本文件进行统计学特征提取,获取样本文件的特征值,使所述特征值组成静态特征序列。进一步地,所述对过滤后的样本文件进行统计学特征提取,获取样本文件的特征值,具体包括:对过滤后的样本文件进行静态特征提取,获取样本文件的信息熵;过滤后的样本文件对进行文件重合指数的计算,获取文件重合指数。进一步地,所述对过滤后的样本文件进行统计学特征提取,获取样本文件的特征值,还包括:对过滤后的样本文件进行文件压缩比的计算,得到文件压缩比;对提取过滤后的样本文件中最长单词的长度。进一步地,提取样本文件的污点追踪特征,具体包括:样本文件进行抽象语法树提取,获取对应抽象语法树的污点函数,根据所述污点函数获取污点追踪特征。进一步地,根据所述污点函数获取污点追踪特征,具体包括:根据所述污点函数确定污染源、污染路径及最终的危险汇聚点,根据所述污染源、污染路径及最终的危险汇聚点还原webshell逻辑数据流,根据所述webshell逻辑数据流获取污点追踪特征。进一步地,利用用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测,得到检测结果,具体包括:利用用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测,若用于样本文件检测的极限树模型的输出结果为0,则表示样本文件为正常文件,若用于样本文件检测的极限树模型的输出结果为1,则表示样本文件为恶意文件;输出结果越趋近于1,则对应样本文件是恶意文件的可能性越高。本专利技术还提供了一种webshell的检测系统,包括静态特征序列获取模块、特征向量矩阵获取模块、极限树模型获取模块及检测模块;所述静态特征序列获取模块,用于采集样本文件,对所述样本文件进行静态特征提取,得到样本文件的静态特征序列;所述特征向量矩阵获取模块,用于提取样本文件的污点追踪特征,对所述污点追踪特征与所述静态特征序列进行整合,得到完整的特征序列,将完整的特征序列转化为特征向量矩阵;所述极限树模型获取模块,用于构建极限树模型,利用所述特征向量矩阵对极限树模型进行训练,得到用于样本文件检测的极限树模型;所述检测模块,用于获取待检测样本文件,获取检测样本文件的特征向量矩阵,利用所述用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测,得到检测结果。本专利技术还提供了一种webshell的检测装置,包括处理器以及存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现如上述任一技术方案所述的webshell的检测方法。本专利技术还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机该程序被处理器执行时,实现如上述任一技术方案所述的webshell的检测方法。与现有技术相比,本专利技术的有益效果包括:通过采集样本文件,对所述样本文件进行静态特征提取,得到样本文件的静态特征序列;提取样本文件的污点追踪特征,对所述污点追踪特征与所述静态特征序列进行整合,得到完整的特征序列,将完整的特征序列转化为特征向量矩阵;构建极限树模型,利用所述特征向量矩阵对极限树模型进行训练,得到用于样本文件检测的极限树模型;获取待检测样本文件,获取检测样本文件的特征向量矩阵,利用所述用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测,得到检测结果;提高了webshell检测的准确度及效率。附图说明图1为本专利技术提供的webshell的检测方法的流程示意图;图2为本专利技术提供的webshell检测结果;图3为本专利技术提供的webshell的检测系统的结构框图。具体实施方式下面结合附图来具体描述本专利技术的优选实施例,其中,附图构成本申请一部分,并与本专利技术的实施例一起用于阐释本专利技术的原理,并非用于限定本专利技术的范围。实施例1本专利技术实施例提供了一种webshell的检测方法,其流程示意图,如图1所示,所述方法包括以下步骤:S1、采集样本文件,对所述样本文件进行静态特征提取,得到样本文件的静态特征序列;S2、提取样本文件的污点追踪特征,对所述污点追踪特征与所述静态特征序列进行整合,得到完整的特征序列,将完整的特征序列转化为特征向量矩阵;S3、构建极限树模型,利用所述特征向量矩阵对极限树模型进行训练,得到用于样本文件检测的极限树模型;S4、获取待检测样本文件,获取检测样本文件的特征向量矩阵,利用用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测,得到检测结果。优选的本文档来自技高网...
【技术保护点】
1.一种webshell的检测方法,其特征在于,包括以下步骤:/n采集样本文件,对所述样本文件进行静态特征提取,得到样本文件的静态特征序列;/n提取样本文件的污点追踪特征,对所述污点追踪特征与所述静态特征序列进行整合,得到完整的特征序列,将完整的特征序列转化为特征向量矩阵;/n构建极限树模型,利用所述特征向量矩阵对极限树模型进行训练,得到用于样本文件检测的极限树模型;/n获取待检测样本文件,获取检测样本文件的特征向量矩阵,利用所述用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测,得到检测结果。/n
【技术特征摘要】
1.一种webshell的检测方法,其特征在于,包括以下步骤:
采集样本文件,对所述样本文件进行静态特征提取,得到样本文件的静态特征序列;
提取样本文件的污点追踪特征,对所述污点追踪特征与所述静态特征序列进行整合,得到完整的特征序列,将完整的特征序列转化为特征向量矩阵;
构建极限树模型,利用所述特征向量矩阵对极限树模型进行训练,得到用于样本文件检测的极限树模型;
获取待检测样本文件,获取检测样本文件的特征向量矩阵,利用所述用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测,得到检测结果。
2.根据权利要求1所述的webshell的检测方法,其特征在于,所述对所述样本文件进行静态特征提取,得到样本文件的静态特征序列,具体包括:
对所述样本文件进行过滤,保留php类型文件及以PHP、Php、php1后缀命名的php文件,对过滤后的样本文件进行统计学特征提取,获取样本文件的特征值,使所述特征值组成静态特征序列。
3.根据权利要求1所述的webshell的检测方法,其特征在于,所述对过滤后的样本文件进行统计学特征提取,获取样本文件的特征值,具体包括:
对过滤后的样本文件进行静态特征提取,获取样本文件的信息熵;过滤后的样本文件对进行文件重合指数的计算,获取文件重合指数。
4.根据权利要求3所述的webshell的检测方法,其特征在于,所述对过滤后的样本文件进行统计学特征提取,获取样本文件的特征值,还包括:
对过滤后的样本文件进行文件压缩比的计算,得到文件压缩比;对提取过滤后的样本文件中最长单词的长度。
5.根据权利要求1所述的webshell的检测方法,其特征在于,提取样本文件的污点追踪特征,具体包括:
样本文件进行抽象语法树提取,获取对应抽象语法树的污点函数,根据所述污点函数获取污点追踪特征。
6.根据权利要求5所述的webshell的检测方法,其特征在于,根据所述污点函数获取污点追踪特征...
【专利技术属性】
技术研发人员:李韦成,
申请(专利权)人:天津睿邦安通技术有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。