本发明专利技术提供了一种Webshell文件检测方法、装置、设备及介质,该方法包括:获取任一子服务器发送的待检测文件的特征信息;特征信息为子服务器对待检测文件进行特征提取后得到的,待检测文件为子服务器中文件状态发生变化的文件;控制检测装置对接收的特征信息进行检测处理,以确定对应的待检测文件是否为Webshell文件。本发明专利技术通过检测装置对待检测文件进行检测处理,来确定对应的待检测文件是否为Webshell文件,并由主服务器进行数据展示,且对其通讯连接的所有子服务器进行统一集中Webshell文件检测,解决了现有的Webshell检测方法存在的运维困难的技术问题。运维困难的技术问题。运维困难的技术问题。
【技术实现步骤摘要】
一种Webshell文件检测方法、装置、设备及介质
[0001]本专利技术涉及网络安全领域,特别是涉及一种Webshell文件检测方法、装置、设备及介质。
技术介绍
[0002]长期以来,在一些企业、高校单位、政府单位、金融单位以及技术能力较弱的公司通常会遭受Webshell的攻击。加之黑产市场巨大的利益诱惑,大多数网站都遭受过Webshell的入侵,攻击者在利用Web漏洞攻击成功后,通常会利用脚本木马实现对应用系统的篡改、对操作系统控制植入勒索病毒、挖矿病毒及对数据库敏感信息进行窃取等手段,攻击者通过浏览器或控制端与服务端利用Web端口进行数据交换,传统的防火墙无法进行拦截。且传统的Webshell检测工具需要将检测工具上传至服务器进行检测,此种检测方法会带来运维上的困难。
技术实现思路
[0003]有鉴于此,本专利技术提供一种Webshell文件检测方法、装置、设备及介质,至少部分解决现有的网络安全中传统的Webshell检测方法存在的运维困难的技术问题,本专利技术采用的技术方案为:
[0004]根据本申请的一个方面,提供一种Webshell文件检测方法,应用于主服务器,主服务器通讯连接有若干子服务器,所述Webshell文件检测方法包括:
[0005]获取任一子服务器发送的待检测文件的特征信息;特征信息为子服务器对待检测文件进行特征提取后得到的,待检测文件为子服务器中文件状态发生变化的文件;
[0006]控制检测装置对接收的特征信息进行检测处理,以确定对应的待检测文件是否为Webshell文件。
[0007]在本申请的一种示例性实施例中,获取任一子服务器发送的待检测文件的特征信息;特征信息为子服务器对待检测文件进行特征提取后得到的,待检测文件为子服务器中文件状态发生变化的文件,包括:
[0008]实时获取每一子服务器中的所有文件的文件状态;
[0009]若子服务器中存在文件状态发生变化的文件,则将其确定为待检测文件;
[0010]通过可执行代码获取对应的子服务器中的待检测文件的特征信息;每一子服务器中均部署有对应的可执行代码。
[0011]在本申请的一种示例性实施例中,若子服务器中存在文件状态发生变化的文件,则将其确定为待检测文件,包括:
[0012]若子服务器中的文件发生数据变更,则将其确定为待检测文件;
[0013]若子服务器中存在新增文件,则将其确定为待检测文件。
[0014]在本申请的一种示例性实施例中,通过可执行代码获取对应的子服务器中的待检测文件的特征信息,包括:
[0015]获取每一可执行代码发送的对应的子服务器的网络站点路径;
[0016]控制检测装置设置每一可执行代码的执行状态;
[0017]将获取的每一可执行代码发送的根据对应的执行状态采集的待检测文件的特征信息发送至检测装置。
[0018]在本申请的一种示例性实施例中,将获取的每一可执行代码发送的根据对应的执行状态采集的待检测文件的特征信息发送至检测装置,包括:
[0019]若可执行代码的执行状态为自动检测,则将对应的子服务器中的待检测文件的特征信息发送至检测装置;
[0020]若可执行代码的执行状态为手动检测,则在接收到用户输入的检测指令时,将对应的子服务器中的待检测文件的特征信息发送至检测装置。
[0021]在本申请的一种示例性实施例中,控制检测装置对接收的特征信息进行检测处理,以确定对应的待检测文件是否为Webshell文件,包括:
[0022]检测装置将接收到的待检测文件的特征信息与预设的Webshell文件的特征信息进行比对;
[0023]若待检测文件的特征信息与预设的Webshell文件的特征信息相匹配,则将对应的待检测文件确定为Webshell文件。
[0024]在本申请的一种示例性实施例中,在控制检测装置对接收的特征信息进行检测处理,以确定对应的待检测文件是否为Webshell文件的步骤后,所述Webshell文件检测方法,还包括:
[0025]若待检测文件被确定为Webshell文件,则控制检测装置将其删除。
[0026]根据本申请的一个方面,提供一种Webshell文件检测装置,包括:
[0027]文件获取模块,用于获取任一子服务器发送的待检测文件的特征信息;特征信息为子服务器对待检测文件进行特征提取后得到的,待检测文件为子服务器中文件状态发生变化的文件;
[0028]文件检测模块,用于控制检测装置对接收的特征信息进行检测处理,以确定对应的待检测文件是否为Webshell文件。
[0029]根据本申请的一个方面,提供一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现所述Webshell文件检测方法。
[0030]根据本申请的一个方面,提供一种电子设备,包括处理器和所述的非瞬时性计算机可读存储介质。
[0031]本专利技术至少具有以下有益效果:
[0032]本专利技术通过可执行代码将对应的子服务器中的待检测文件的特征信息发送至检测装置,由检测装置对其进行检测处理,来确定对应的待检测文件是否为Webshell文件,并由主服务器进行数据展示,且对其通讯连接的所有子服务器进行统一集中Webshell文件检测,适用于传统网络环境以及各种云场景,解决了现有的Webshell检测方法存在的运维困难的技术问题。
附图说明
[0033]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0034]图1为本专利技术实施例提供的Webshell文件检测方法的流程图;
[0035]图2为本专利技术实施例提供的Webshell文件检测装置的框图。
具体实施方式
[0036]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0037]Webshell是一种恶意脚本,是利用Web服务器自身的环境运行的恶意代码,Web指的是网页服务,Shell指的是计算机程序运行的指令命令。攻击者通过Webshell进行网络攻击的攻击方法是将Webshell脚本上传到Web目录,利用网页服务程序来实现对服务器的操控,而包含有Webshell的文件则是Webshell文件,所以,为了避免攻击者利用Webshell来操控服务器,就需对服务器中的文件进行Webshell检测,来判断哪些文件属于Webshell恶意文件,哪些文件属于正常文件。
[003本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种Webshell文件检测方法,其特征在于,应用于主服务器,所述主服务器通讯连接有若干子服务器,所述方法包括:获取任一所述子服务器发送的待检测文件的特征信息;所述特征信息为所述子服务器对所述待检测文件进行特征提取后得到的,所述待检测文件为所述子服务器中文件状态发生变化的文件;控制检测装置对接收的特征信息进行检测处理,以确定对应的所述待检测文件是否为Webshell文件。2.根据权利要求1所述的方法,其特征在于,获取任一所述子服务器发送的待检测文件的特征信息;所述特征信息为所述子服务器对所述待检测文件进行特征提取后得到的,所述待检测文件为所述子服务器中文件状态发生变化的文件,包括:实时获取每一子服务器中的所有文件的文件状态;若所述子服务器中存在文件状态发生变化的文件,则将其确定为待检测文件;通过可执行代码获取对应的所述子服务器中的所述待检测文件的特征信息;每一所述子服务器中均部署有对应的可执行代码。3.根据权利要求2所述的方法,其特征在于,若所述子服务器中存在文件状态发生变化的文件,则将其确定为待检测文件,包括:若所述子服务器中的文件发生数据变更,则将其确定为待检测文件;若所述子服务器中存在新增文件,则将其确定为待检测文件。4.根据权利要求2所述的方法,其特征在于,通过可执行代码获取对应的所述子服务器中的所述待检测文件的特征信息,包括:获取每一可执行代码发送的对应的所述子服务器的网络站点路径;控制检测装置设置每一所述可执行代码的执行状态;将获取的每一所述可执行代码发送的根据对应的执行状态采集的所述待检测文件的特征信息发送至所述检测装置。5.根据权利要求4所述的方法,其特征在于,将获取的每一所述可执行代码发送的根据对应的执行状态采集的所述待检测文件的特征信息发送至所述检测装置,包括...
【专利技术属性】
技术研发人员:王瑞龙,张永刚,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。