【技术实现步骤摘要】
一种服务器执行脚本的检测方法、系统、存储介质和终端
[0001]本申请涉及网络安全领域,特别涉及一种服务器执行脚本的检测方法、系统、存储介质和终端。
技术介绍
[0002]服务器执行脚本,即webshell,其通常以网页文件形式存在,该文件的后缀格式通常为php、asp、aspx、jsp等。当黑客对网站进行攻击时,常见的途径就是从外部存在Web应用的网站上传服务器执行脚本,在获取服务器执行脚本的权限后,攻击者就获取到了网站的权限,后续可以进行执行命令、内网渗透等攻击。当前主要通过对服务器执行脚本进行特征识别,例如通过规则直接识别WebShell的特定代码片段,例如直接识别eval、system等危险函数,但该过程没有考虑到正常业务代码也有可能用到这些函数,而且这种识别方式也非常容易被绕过,使得服务器执行脚本的检测精度较低。
[0003]因此,如何提高服务器执行脚本的检测精度是本领域技术人员亟需解决的技术问题。
技术实现思路
[0004]本申请的目的是提供一种服务器执行脚本的检测方法、系统、存储介质和终...
【技术保护点】
【技术特征摘要】
1.一种服务器执行脚本的检测方法,其特征在于,包括:获取脚本文件;定位所述脚本文件中的脚本代码;对所述脚本代码进行业务代码联想切片,得到业务代码;删除所述业务代码中的干扰特征,并得到包含可疑特征的可疑片段;对所述可疑片段进行分析,确定包含所述服务器执行脚本的文件。2.根据权利要求1所述的检测方法,其特征在于,对所述脚本代码进行业务代码联想切片,得到业务代码包括:对所述脚本代码执行业务分析、模糊哈希比对、代码逻辑分析和函数分析中的至少一种,得到业务代码。3.根据权利要求2所述的检测方法,其特征在于,若对所述脚本代码执行业务分析,则对所述脚本代码进行业务代码联想切片,得到业务代码包括:确定所述脚本代码对应的业务类型;根据所述业务类型确定正常业务操作,并切除所述脚本代码中所述正常业务操作对应的代码数据,得到业务代码。4.根据权利要求2所述的检测方法,其特征在于,若对所述脚本代码执行模糊哈希比对,则对所述脚本代码进行业务代码联想切片,得到业务代码包括:对所述脚本代码进行切片,得到脚本代码切片;将所述脚本代码切片与常用代码指纹库进行白样本比对,并切除所述脚本代码包含的所述常用代码指纹库中存在的代码片段,得到业务代码。5.根据权利要求2所述的检测方法,其特征在于,若对所述脚本代码执行代码逻辑分析,则对所述脚本代码进行业务代码联想切片,得到业务代码包括:确定所述脚本代码对应的运行逻辑;若检测到异常运行逻辑,将包含所述异常运行逻辑的脚本代码作为业务代码。6.根据权利要求2所述的检测方法,其特征在于,若对所述脚本代码执行函数分析,则对所述脚本代码进行业务代码联想切片,得到业务代码包括:对所述脚本代码进行函数功能检测...
【专利技术属性】
技术研发人员:徐铭桂,艾江俊,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。