本公开涉及网络安全入侵检测技术领域,公开了一种WebShell的检测方法、装置及存储介质,该方法为:确定待检测语句对应的检测进程在运行过程中使用到的待检测的系统功能调用指令,将待检测的系统功能调用指令与调用序列进行比较,上述调用序列包括WebShell对应的目标进程在运行过程中使用到的目标系统功能调用指令,目标系统功能调用指令在调用序列中的顺序与目标进程运行目标系统功能调用指令的顺序一致,如果比较后确定待检测的系统功能调用指令与调用序列相匹配,则将待检测语句判定为WebShell,通过进程确定系统功能调用指令的过程,实现了对待检测语句在本质行为上的追踪,进而提升了WebShell检测的准确性。进而提升了WebShell检测的准确性。进而提升了WebShell检测的准确性。
【技术实现步骤摘要】
一种WebShell的检测方法、装置及存储介质
[0001]本公开涉及网络安全入侵检测
,提供了一种WebShell的检测方法、装置及存储介质。
技术介绍
[0002]WebShell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。WebShell在使用过程中只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。
[0003]目前,在应用过程中检测是否为WebShell的执行语句的方法主要包括传统特征匹配、语意分析结合污点追踪方法、AI检测(即机器学习结合深度学习)、熵值分析等等。
[0004]然而,目前的检测方法本质上都是对文本进行分析。在判断是否为WebShell的执行语句的过程中,需要针对所有已知的WebShell编写匹配规则,工作量较大。并且,对开源的、已知的WebShell的检出率较高,而对未知的以及变形的WebShell则很难判别。
[0005]综上,目前尚无有效的解决办法来保障WebShell检测的准确性。
技术实现思路
[0006]本公开实施例提供一种WebShell的检测方法、装置及存储介质,用以提升WebShell检测的准确性。
[0007]本公开提供的具体技术方案如下:
[0008]第一方面,本公开实施例提供了一种WebShell的检测方法,包括:
[0009]确定待检测语句对应的检测进程在运行过程中使用到的待检测的系统功能调用指令;
[0010]将待检测的系统功能调用指令与调用序列进行比较,其中,调用序列包括WebShell对应的目标进程在运行过程中使用到的目标系统功能调用指令,目标系统功能调用指令在调用序列中的顺序与目标进程运行目标系统功能调用指令的顺序一致;
[0011]若待检测的系统功能调用指令与调用序列相匹配,则将待检测语句判定为WebShell。
[0012]可选地,调用序列通过以下方式确定:
[0013]从WebShell对应的目标进程在运行过程中的目标日志中提取目标进程使用到的目标系统功能调用指令,以及,基于目标日志确定目标进程运行目标系统功能调用指令对应的时刻信息;
[0014]基于各个时刻信息,将各个目标系统功能调用指令按照先后顺序进行排序,得到调用序列。
[0015]可选地,从目标日志提取目标进程使用到的目标系统功能调用指令,包括:
[0016]从目标日志中提取目标进程使用到的备选系统功能调用指令;
[0017]从备选系统功能调用指令中,筛选出与特征系统功能调用指令相同的指令,将筛选出的备选系统功能调用指令作为目标系统功能调用指令,其中,特征系统功能调用指令是基于WebShell的执行行为确定的。
[0018]可选地,确定待检测语句对应的检测进程在运行过程中使用到的待检测的系统功能调用指令,包括:
[0019]基于待检测语句对应的检测进程在运行过程中的检测日志的实时生成时刻,从检测日志中提取检测进程使用到的待检测的系统功能调用指令。
[0020]可选地,将待检测的系统功能调用指令与调用序列进行比较,包括:
[0021]确定待检测的系统功能调用指令的执行顺序;
[0022]比较执行顺序与目标系统功能调用指令在调用序列中的顺序是否一致;以及,统计与调用序列中的目标系统功能调用指令相同的待检测的系统功能调用指令的数量;
[0023]基于执行顺序与顺序的比较结果以及统计出的数量的大小,确定待检测的系统功能调用指令与调用序列之间匹配与否。
[0024]可选地,基于执行顺序与顺序的比较结果以及统计出的数量的大小,确定待检测的系统功能调用指令与调用序列之间匹配与否,包括:
[0025]若执行顺序与目标系统功能调用指令在调用序列中的顺序一致,且,与调用序列中的目标系统功能调用指令相同的待检测的系统功能调用指令的数量达到目标阈值,则确定待检测的系统功能调用指令与调用序列相匹配。
[0026]可选地,若待检测语句对应的检测进程有多个,则确定待检测语句对应的检测进程在运行过程中使用到的待检测的系统功能调用指令,包括:
[0027]分别确定待检测语句对应的各个检测进程的进程标识;
[0028]针对同一个进程标识对应的检测进程执行:基于待检测语句对应的检测进程在运行过程中的检测日志的实时生成时刻,从检测日志中提取检测进程使用到的备选的待检测的系统功能调用指令,其中,备选的待检测的系统功能调用指令携带有进程标识;
[0029]基于各个检测进程的调用顺序,将提取出的备选的待检测的系统功能调用指令进行合并,得到待检测的系统功能调用指令。
[0030]第二方面,本公开实施例还提供了一种WebShell的检测装置,包括:
[0031]确定单元,用于确定待检测语句对应的检测进程在运行过程中使用到的待检测的系统功能调用指令;
[0032]比较单元,用于将待检测的系统功能调用指令与调用序列进行比较,其中,调用序列包括WebShell对应的目标进程在运行过程中使用到的目标系统功能调用指令,目标系统功能调用指令在调用序列中的顺序与目标进程运行目标系统功能调用指令的顺序一致;
[0033]判定单元,用于若待检测的系统功能调用指令与调用序列相匹配,则将待检测语句判定为WebShell。
[0034]可选地,调用序列通过以下方式确定:
[0035]从WebShell对应的目标进程在运行过程中的目标日志中提取目标进程使用到的目标系统功能调用指令,以及,基于目标日志确定目标进程运行目标系统功能调用指令对应的时刻信息;
[0036]基于各个时刻信息,将各个目标系统功能调用指令按照先后顺序进行排序,得到
调用序列。
[0037]可选地,从目标日志提取目标进程使用到的目标系统功能调用指令,包括:
[0038]从目标日志中提取目标进程使用到的备选系统功能调用指令;
[0039]从备选系统功能调用指令中,筛选出与特征系统功能调用指令相同的指令,将筛选出的备选系统功能调用指令作为目标系统功能调用指令,其中,特征系统功能调用指令是基于WebShell的执行行为确定的。
[0040]可选地,确定待检测语句对应的检测进程在运行过程中使用到的待检测的系统功能调用指令,确定单元用于:
[0041]基于待检测语句对应的检测进程在运行过程中的检测日志的实时生成时刻,从检测日志中提取检测进程使用到的待检测的系统功能调用指令。
[0042]可选地,将待检测的系统功能调用指令与调用序列进行比较,比较单元用于:
[0043]确定待检测的系统功能调用指令的执行顺序;
[0044]比较执行顺序与目标系统功能调用指令在调用序列中的顺序是否一致;以及,统计与调用序列中的目标系统功能调用指令相同的待检测的系统功能调用指令的数量;
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种WebShell的检测方法,其特征在于,包括:确定待检测语句对应的检测进程在运行过程中使用到的待检测的系统功能调用指令;将所述待检测的系统功能调用指令与调用序列进行比较,其中,所述调用序列包括WebShell对应的目标进程在运行过程中使用到的目标系统功能调用指令,所述目标系统功能调用指令在所述调用序列中的顺序与所述目标进程运行目标系统功能调用指令的顺序一致;若所述待检测的系统功能调用指令与所述调用序列相匹配,则将待检测语句判定为WebShell。2.如权利要求1所述的方法,其特征在于,所述调用序列通过以下方式确定:从WebShell对应的目标进程在运行过程中的目标日志中提取所述目标进程使用到的所述目标系统功能调用指令,以及,基于所述目标日志确定所述目标进程运行所述目标系统功能调用指令对应的时刻信息;基于各个所述时刻信息,将各个所述目标系统功能调用指令按照先后顺序进行排序,得到所述调用序列。3.如权利要求2所述的方法,其特征在于,所述从所述目标日志提取所述目标进程使用到的所述目标系统功能调用指令,包括:从所述目标日志中提取所述目标进程使用到的备选系统功能调用指令;从所述备选系统功能调用指令中,筛选出与特征系统功能调用指令相同的指令,将所述筛选出的备选系统功能调用指令作为所述目标系统功能调用指令,其中,所述特征系统功能调用指令是基于WebShell的执行行为确定的。4.如权利要求1所述的方法,其特征在于,所述确定待检测语句对应的检测进程在运行过程中使用到的待检测的系统功能调用指令,包括:基于待检测语句对应的检测进程在运行过程中的检测日志的实时生成时刻,从所述检测日志中提取所述检测进程使用到的待检测的系统功能调用指令。5.如权利要求1所述的方法,其特征在于,所述将所述待检测的系统功能调用指令与调用序列进行比较,包括:确定所述待检测的系统功能调用指令的执行顺序;比较所述执行顺序与所述目标系统功能调用指令在所述调用序列中的顺序是否一致;以及,统计与所述调用序列中的目标系统功能调用指令相同的所述待检测的系统功能调用指令的数量;基于所述执行顺序与所述顺序的比较结果以及统计出的所述数量的大小,确定所述待检测的系统功能调用指令与所述...
【专利技术属性】
技术研发人员:刘紫千,常力元,李金伟,顾庆崴,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。