恶意文件检测方法、装置、设备及可读存储介质制造方法及图纸

本申请公开了一种恶意文件检测方法、装置、设备及可读存储介质，恶意文件检测方法、装置、设备及可读存储介质，服务器确定web组件的web工作目录，扫描web工作目录以获取第一待检测文件。自动获取运行进程的二进制文件，对二进制文件进行恶意二进制文件检测，能够发现服务器上的恶意二进制文件，之后，对第一待检测文件执行恶意webshell检测，对二进制文件进行恶意二进制文件检测，且webshell检测和恶意二进制检测并行执行。采用该种方案，无需指定扫描目录，而是自动获取web组件的web工作目录，能够发现服务器上的恶意webshell文件和恶意二进制文件，及时产生告警，防止危害扩大，提高服务器的安全性。服务器的安全性。服务器的安全性。

【技术实现步骤摘要】
恶意文件检测方法、装置、设备及可读存储介质


[0001]本申请涉及网络安全
，特别涉及一种恶意文件检测方法、装置、设备及可读存储介质。

技术介绍

[0002]随着互联网技术的飞速发展，网络环境日益复杂，黑客入侵一个网站服务器后，在该网站服务器上部署恶意文件，以达到对网站服务器进行数据删除或者修改等恶意操作。
[0003]为了避免黑客利用恶意文件对网站服务器进行恶意操作，需要从网站服务器海量的文件中检测出恶意文件并处理。常见的恶意文件检测过程中，用户根据指定目录生成配置文件，将配置文件下发给检测系统，由检测系统对指定目录下的文件进行扫描，从而检测出恶意文件。
[0004]上述恶意文件检测方法对指定目录进行扫描，缺乏针对性，无法及时发现恶意文件，安全性差。

技术实现思路

[0005]本申请实施例提供一种恶意文件检测方法、装置、设备及可读存储介质，通过自动查找待检测文件并进行检测，能够及时发现恶意文件，提高网站服务器的安全性。
[0006]第一方面，本申请实施例提供一种恶意文件检测方法，包括：
[0007]确定web组件的web工作目录；
[0008]扫描所述web工作目录以获取第一待检测文件，对所述第一待检测文件执行恶意webshell文件检测；
[0009]获取第二待检测文件，对所述第二待检测文件执行恶意二进制文件检测；其中，所述第二待检测文件包括运行进程的二进制文件，所述恶意webshell文件检测和所述恶意二进制文件检测并行执行。
[0010]第二方面，本申请实施例提供一种恶意文件检测装置，包括：
[0011]恶意webshell文件检测模块，用于扫描所述web工作目录以获取第一待检测文件，对所述第一待检测文件执行恶意webshell文件检测；
[0012]恶意二进制文件检测模块，用于获取第二待检测文件，对所述第二待检测文件执行恶意二进制文件检测；其中，所述第二待检测文件包括运行进程的二进制文件，所述恶意webshell文件检测和所述恶意二进制文件检测并行执行。
[0013]第三方面，本申请实施例提供一种电子设备，包括：处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时使得所述电子设备实现如上第一方面或第一方面各种可能的实现方式所述的方法。
[0014]第四方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机指令，所述计算机指令在被处理器执行时用于实现如上第一方面或第一方面各种可能的实现方式所述的方法。
[0015]本申请实施例提供的恶意文件检测方法、装置、设备及可读存储介质，服务器确定web组件的web工作目录，扫描web工作目录以获取第一待检测文件。同时，无需指定扫描目录，而是自动获取运行进程的二进制文件，对二进制文件进行恶意二进制文件检测，能够发现服务器上的恶意二进制文件，之后，对第一待检测文件执行恶意webshell检测，对二进制文件进行恶意二进制文件检测，且webshell检测和恶意二进制检测并行执行。采用该种方案，无需指定扫描目录，而是自动获取web组件的web工作目录，能够发现服务器上的恶意webshell文件和恶意二进制文件，及时产生告警，防止危害扩大，提高服务器的安全性。同时。恶意webshell文件检测和恶意二进制文件检测并行执行，检测效率高。
附图说明
[0016]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0017]图1是本申请实施例提供的恶意文件检测方法的实施环境示意图；
[0018]图2是本申请实施例提供的恶意文件检测方法的流程图；
[0019]图3是本申请实施例提供的用于实施恶意文件检测方法的恶意文件检测装置的整体架构图；
[0020]图4是本申请实施例提供的恶意文件检测方法中检测恶意webshell文件的流程图；
[0021]图5是本申请实施例提供的恶意文件检测方法中检测恶意二进制文件的流程图；
[0022]图6为本申请实施例提供的一种恶意文件检测装置的示意图；
[0023]图7为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
[0024]为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。
[0025]随着互联网行业的蓬勃发展，网络安全问题也愈发严重，恶意文件的增长速度呈指数级，严重危害网络安全。现有的恶意文件检测方法中，服务器根据配置扫描指定目录，扫描范围缺乏针对性，而且CPU资源占用高，影响服务器的其他业务。
[0026]因此，如何准确、高效且不影响业务的前提下从海量文件中扫描出恶意文件成为急待解决的问题。
[0027]基于此，本申请实施例提供一种恶意文件检测方法、装置、设备及可读存储介质，通过自动查找待检测文件并进行检测，能够及时发现恶意文件，提高网站服务器的安全性。
[0028]图1是本申请实施例提供的恶意文件检测方法的实施环境示意图。请参照图1，该实施环境包括服务器11和云平台12。服务器11具有巨大的计算能力、存储能力等，能够向终端设备提供服务。服务器11可以是硬件也可以是软件。当服务器11为硬件时，该服务器11为单个服务器或多个服务器组成的分布式服务器集群。当服务器11为软件时，可以为多个软件模块或单个软件模块等，本申请实施例并不限制。
[0029]云平台12与各个服务器11建立网络连接。云平台12位于云环境，云环境是云计算模式下利用基础资源向用户提供云服务的实体。云平台12拥有大量的基础资源，包括计算资源、存储资源或网络资源等。
[0030]服务器11上存储海量文件，服务器11上安装恶意文件检测装置，通过恶意文件检测装置发现并获取服务器11的web组件的web工作目录，扫描web工作目录获得第一待检测文件。恶意文件检测装置还发现并扫描服务器11上运行的进程的二进制文件及其动态链接库，获取到第二待检测文件。对第一待检测文件执行恶意webshell文件检测，和/或，对第二待检测文件执行恶意二进制文件检测。恶意webshell文件检测和恶意二进制文件检测过程中，恶意文件检测装置在本地对待检测文件(包括第一待检测文件和第二待检测文件)进行检测。若通过本地检测还是无法确认待检测文件是否为恶意文件时，将待检测文件或待检测文件的特征发送给云平台，由云平台对待检测文件进行进一步检测。
[0031]下面，基于图1所示架构，对本申请实施例所述的恶意文件检测方法进行详细说明。示例性的，请参照图2。
[0032]图2是本申请实施例提供的恶意文件检测方法的流程图。本实施例的执行主体是服务器上的恶意文件检测装置。以下若未做特殊说明，服务器执行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意文件检测方法，其特征在于，包括：确定web组件的web工作目录；扫描所述web工作目录以获取第一待检测文件，对所述第一待检测文件执行恶意webshell文件检测；获取第二待检测文件，对所述第二待检测文件执行恶意二进制文件检测；其中，所述第二待检测文件包括运行进程的二进制文件，所述恶意webshell文件检测和所述恶意二进制文件检测并行执行。2.根据权利要求1所述的方法，其特征在于，所述第一待检测文件还包括指定目录下的文件或指定文件；所述第二待检测文件还包括所述运行进程依赖的动态链接库或默认目录下的文件，所述默认目录为黑客用于存放恶意二进制文件的目录。3.根据权利要求1或2所述的方法，其特征在于，所述对所述第一待检测文件执行恶意webshell文件检测，包括：根据所述第一待检测文件的特征与恶意webshell文件的特征对所述第一待检测文件进行第一本地检测以得到第一本地结果，所述第一本地检测包括pcre特征匹配、ssdeep特征匹配中的至少一个；若所述第一本地结果指示所述第一待检测文件不是恶意webshell文件，则向云平台发送所述第一待检测文件，以使得所述云平台对所述第一待检测文件进行第一后台检测以得到第一后台结果，所述第一后台检测包括AI算法识别、Webshell后门检测中的任意一个。4.根据权利要求3所述的方法，其特征在于，还包括：接收来自所述云平台的所述第一后台结果；根据所述第一后台结果确定所述第一待检测文件是否为恶意webshell文件。5.根据权利要求3所述的方法，其特征在于，所述确定所述第一待检测文件的特征与恶意webshell文件的特征是否匹配以得到第一本地结果，包括：从校验信息集合中确定出所述第一待检测文件的第一哈希值，所述校验信息集合中存储通过rpm包方式安装的文件的哈希值；确定所述第一待检测文件的第二哈希值和所述第一哈希值是否一致，所述第二哈希值是根据预设算法计算出的；当所述第一哈希值和所述第二哈希值不一致时，确定所述第一待检测文件的特征与恶意webshell文件的特征是否匹配以得到第一本地结果。6.根据权利要求3所述的方法，其特征在于，所述确定所述第一待检测文件的特征与恶意webshell文件的特征是否匹配以得到第一本地结果之前，还包括：确定本地缓存中不存在所...

【专利技术属性】
技术研发人员：林馨，李春艺，
申请(专利权)人：网宿科技股份有限公司，
类型：发明
国别省市：