【技术实现步骤摘要】
一种webshell流量的检测方法、装置、设备和存储介质
[0001]本专利技术实施例涉及主机安全和沙箱检测技术,尤其涉及一种webshell流量的检测方法、装置、设备和存储介质。
技术介绍
[0002]当前互联网的使用日益普及,互联网安全对于信息安全也愈发重要,webshell是网站入侵的常用脚本,利用webshell可以在Web服务器上执行系统命令、窃取数据等恶意操作,危害极大。
[0003]在现有技术中,通常基于规则策略进行检测,即针对可疑函数名、可疑请求名来对超文本传输协议(Hyper Text Transfer Protocol,HTTP)字段内容以及负载内容进行匹配检测。然而,现有技术存在如下技术缺陷:规则策略的制定针对特定函数名或请求名,覆盖度和可扩展性较差,且攻击者通过改变字段内容容易规避检测。
技术实现思路
[0004]本专利技术提供一种webshell流量的检测方法、装置、设备和存储介质,以实现高性能、低误报率地检测webshell流量的效果。
[0005]第一方面,本专利...
【技术保护点】
【技术特征摘要】
1.一种webshell流量的检测方法,其特征在于,包括:对训练数据集中的流量进行HTTP字段解析;对所述HTTP字段解析结果进行特征提取;基于特征提取结果训练得到检测算法模型;基于所述检测算法模型对流量检测数据集进行检测,得到webshell流量;其中,所述webshell流量使用HTTP超文本传输协议进行传输。2.根据权利要求1所述的webshell流量的检测方法,其特征在于,所述HTTP字段解析结果包括:uri统一资源标示符、content
‑
length内容长度、referer对请求中uri的原始获取和payload载荷。3.根据权利要求1所述的webshell流量的检测方法,其特征在于,对训练数据集中的流量进行HTTP字段解析之前,还包括:搭建用于产生模拟流量的靶场;运行所述靶场,得到所述流量训练数据集。4.根据权利要求3所述的webshell流量的检测方法,其特征在于,所述流量检测数据集包括第一检测数据集和/或第二检测数据集,在基于训练得到的检测算法模型对流量检测数据集进行检测之前,还包括:运行所述靶场,得到所述第一检测数据集;和/或,从外部网络获取所述第二检测数据集。5.根据权利要求1所述的webshell流量的检测方法,其特征在于,所述流量训练数据集中正常流量的数量大于webshell流量的数量。6.根据权利要求1所述的webshell流量的检测方...
【专利技术属性】
技术研发人员:陈嘉豪,梁彧,傅强,蔡琳,杨满智,田野,阿曼太,王杰,金红,陈晓光,
申请(专利权)人:恒安嘉新北京科技股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。