【技术实现步骤摘要】
一种Webshell文件检测方法、装置、设备及介质
[0001]本专利技术涉及网络安全领域,特别是涉及一种Webshell文件检测方法、装置、设备及介质。
技术介绍
[0002]长期以来,在一些企业、高校单位、政府单位、金融单位以及技术能力较弱的公司通常会遭受Webshell的攻击。加之黑产市场巨大的利益诱惑,大多数网站都遭受过Webshell的入侵,攻击者在利用Web漏洞攻击成功后,通常会利用脚本木马实现对应用系统的篡改、对操作系统控制植入勒索病毒、挖矿病毒及对数据库敏感信息进行窃取等手段,攻击者通过浏览器或控制端与服务端利用Web端口进行数据交换,传统的防火墙无法进行拦截。且传统的Webshell检测工具需要将检测工具上传至服务器进行检测,此种检测方法会带来运维上的困难。
技术实现思路
[0003]有鉴于此,本专利技术提供一种Webshell文件检测方法、装置、设备及介质,至少部分解决现有的网络安全中传统的Webshell检测方法存在的运维困难的技术问题,本专利技术采用的技术方案为:
[0004]...
【技术保护点】
【技术特征摘要】
1.一种Webshell文件检测方法,其特征在于,应用于主服务器,所述主服务器通讯连接有若干子服务器,所述方法包括:获取任一所述子服务器发送的待检测文件的特征信息;所述特征信息为所述子服务器对所述待检测文件进行特征提取后得到的,所述待检测文件为所述子服务器中文件状态发生变化的文件;控制检测装置对接收的特征信息进行检测处理,以确定对应的所述待检测文件是否为Webshell文件。2.根据权利要求1所述的方法,其特征在于,获取任一所述子服务器发送的待检测文件的特征信息;所述特征信息为所述子服务器对所述待检测文件进行特征提取后得到的,所述待检测文件为所述子服务器中文件状态发生变化的文件,包括:实时获取每一子服务器中的所有文件的文件状态;若所述子服务器中存在文件状态发生变化的文件,则将其确定为待检测文件;通过可执行代码获取对应的所述子服务器中的所述待检测文件的特征信息;每一所述子服务器中均部署有对应的可执行代码。3.根据权利要求2所述的方法,其特征在于,若所述子服务器中存在文件状态发生变化的文件,则将其确定为待检测文件,包括:若所述子服务器中的文件发生数据变更,则将其确定为待检测文件;若所述子服务器中存在新增文件,则将其确定为待检测文件。4.根据权利要求2所述的方法,其特征在于,通过可执行代码获取对应的所述子服务器中的所述待检测文件的特征信息,包括:获取每一可执行代码发送的对应的所述子服务器的网络站点路径;控制检测装置设置每一所述可执行代码的执行状态;将获取的每一所述可执行代码发送的根据对应的执行状态采集的所述待检测文件的特征信息发送至所述检测装置。5.根据权利要求4所述的方法,其特征在于,将获取的每一所述可执行代码发送的根据对应的执行状态采集的所述待检测文件的特征信息发送至所述检测装置,包括...
【专利技术属性】
技术研发人员:王瑞龙,张永刚,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。