【技术实现步骤摘要】
一种WebShell的检测方法、装置及存储介质
[0001]本公开涉及网络安全入侵检测
,提供了一种WebShell的检测方法、装置及存储介质。
技术介绍
[0002]WebShell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。WebShell在使用过程中只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。
[0003]目前,在应用过程中检测是否为WebShell的执行语句的方法主要包括传统特征匹配、语意分析结合污点追踪方法、AI检测(即机器学习结合深度学习)、熵值分析等等。
[0004]然而,目前的检测方法本质上都是对文本进行分析。在判断是否为WebShell的执行语句的过程中,需要针对所有已知的WebShell编写匹配规则,工作量较大。并且,对开源的、已知的WebShell的检出率较高,而对未知的以及变形的WebShell则很难判别。
[0005]综上,目前尚无有效的解决...
【技术保护点】
【技术特征摘要】
1.一种WebShell的检测方法,其特征在于,包括:确定待检测语句对应的检测进程在运行过程中使用到的待检测的系统功能调用指令;将所述待检测的系统功能调用指令与调用序列进行比较,其中,所述调用序列包括WebShell对应的目标进程在运行过程中使用到的目标系统功能调用指令,所述目标系统功能调用指令在所述调用序列中的顺序与所述目标进程运行目标系统功能调用指令的顺序一致;若所述待检测的系统功能调用指令与所述调用序列相匹配,则将待检测语句判定为WebShell。2.如权利要求1所述的方法,其特征在于,所述调用序列通过以下方式确定:从WebShell对应的目标进程在运行过程中的目标日志中提取所述目标进程使用到的所述目标系统功能调用指令,以及,基于所述目标日志确定所述目标进程运行所述目标系统功能调用指令对应的时刻信息;基于各个所述时刻信息,将各个所述目标系统功能调用指令按照先后顺序进行排序,得到所述调用序列。3.如权利要求2所述的方法,其特征在于,所述从所述目标日志提取所述目标进程使用到的所述目标系统功能调用指令,包括:从所述目标日志中提取所述目标进程使用到的备选系统功能调用指令;从所述备选系统功能调用指令中,筛选出与特征系统功能调用指令相同的指令,将所述筛选出的备选系统功能调用指令作为所述目标系统功能调用指令,其中,所述特征系统功能调用指令是基于WebShell的执行行为确定的。4.如权利要求1所述的方法,其特征在于,所述确定待检测语句对应的检测进程在运行过程中使用到的待检测的系统功能调用指令,包括:基于待检测语句对应的检测进程在运行过程中的检测日志的实时生成时刻,从所述检测日志中提取所述检测进程使用到的待检测的系统功能调用指令。5.如权利要求1所述的方法,其特征在于,所述将所述待检测的系统功能调用指令与调用序列进行比较,包括:确定所述待检测的系统功能调用指令的执行顺序;比较所述执行顺序与所述目标系统功能调用指令在所述调用序列中的顺序是否一致;以及,统计与所述调用序列中的目标系统功能调用指令相同的所述待检测的系统功能调用指令的数量;基于所述执行顺序与所述顺序的比较结果以及统计出的所述数量的大小,确定所述待检测的系统功能调用指令与所述...
【专利技术属性】
技术研发人员:刘紫千,常力元,李金伟,顾庆崴,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。