webshell检测方法、装置、设备及存储介质制造方法及图纸

本发明专利技术涉及网络安全技术领域，公开一种webshell检测方法、装置、设备及存储介质，该方法包括对待检测代码文件样本进行解混淆，获得解混淆代码文件样本；获取待检测代码文件样本和解混淆代码文件样本之间的样本相似度；对待检测代码文件样本和解混淆代码文件样本进行规则特征匹配，获得规则特征匹配结果；根据样本相似度和规则特征匹配结果判断待检测代码文件样本是否为恶意代码文件。由于在对待检测代码文件样本进行检测时，加入解混淆预处理，同时计算待检测代码文件样本和解混淆代码文件样本之间的样本相似度作为检测结果的判据之一，提高webshell检测的准确性，降低误报率和漏报率，提升webshell检测结果。提升webshell检测结果。提升webshell检测结果。

【技术实现步骤摘要】
webshell检测方法、装置、设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种webshell检测方法、装置、设备及存储介质。

技术介绍

[0002]Webshell是一种以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。正因如此，webshell也常常被攻击者当作后门程序使用，用来获取web服务器的操作权限。
[0003]攻击者在进行网站入侵时，通常会将webshell文件与web目录下的正常网页放置在一起，然后通过浏览器访问webshell文件，从而获取命令执行环境，最终达到控制网站服务器的目的。webshell与正常网页具有相同的运行环境和服务端口，它与远程主机通过http协议进行数据交换，因此能够很容易地避开杀毒软件的检测和穿透防火墙。
[0004]现有的webshell检测方式难以对混淆样本进行准确检测，而对于采用新型混淆方式混淆后的webshell样本检测则需要投入较大的学习和开发成本，导致检测效果不佳。
[0005]上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

[0006]本专利技术的主要目的在于提供了一种webshell检测方法、装置、设备及存储介质，旨在解决现有技术对webshell检测存在检测效率低、误报率和漏报率高的技术问题。
[0007]为实现上述目的，本专利技术提供了一种webshell检测方法，所述方法包括以下步骤：
[0008]对待检测代码文件样本进行解混淆，获得解混淆代码文件样本；
[0009]获取所述待检测代码文件样本和所述解混淆代码文件样本之间的样本相似度；
[0010]对所述待检测代码文件样本和所述解混淆代码文件样本进行规则特征匹配，获得规则特征匹配结果；
[0011]根据所述样本相似度和所述规则特征匹配结果判断所述待检测代码文件样本是否为恶意代码文件。
[0012]可选的，所述对待检测代码文件样本进行解混淆，获得解混淆代码文件样本的步骤，包括：
[0013]获取所述待检测代码文件样本的脚本类型；
[0014]将所述待检测代码文件样本转化为抽象语法树；
[0015]基于所述脚本类型对所述抽象语法树进行简化，获得解混淆代码文件样本。
[0016]可选的，所述基于所述脚本类型对所述抽象语法树进行简化，获得解混淆代码文件样本的步骤，包括：
[0017]对所述抽象语法树进行遍历；
[0018]对遍历到的所述抽象语法树中的常量节点进行替换，获得替换后的抽象语法树；
[0019]将所述替换后的抽象语法树转换为解混淆代码文件样本。
[0020]可选的，所述将所述待检测代码文件样本转化为抽象语法树的步骤，包括：
[0021]在所述脚本类型为第一脚本类型时，获取所述第一脚本类型对应的抽象语法树解析引擎；
[0022]通过所述抽象语法树解析引擎将所述待检测代码文件样本转化为抽象语法树。
[0023]可选的，所述将所述替换后的抽象语法树转换为解混淆代码文件样本的步骤，包括：
[0024]将所述替换后的抽象语法树转换为所述第一脚本类型对应的代码文件；
[0025]去除所述第一脚本类型对应的代码文件中的孤立语句，获得解混淆代码文件样本。
[0026]可选的，所述将所述待检测代码文件样本转化为抽象语法树的步骤，还包括：
[0027]在所述脚本类型为第二脚本类型时，将所述待检测代码文件样本转换为目标脚本类型对应的代码文件；
[0028]获取所述目标脚本类型对应的抽象语法树解析引擎；
[0029]通过所述抽象语法树解析引擎对所述目标脚本类型对应的代码文件进行解析，以获得抽象语法树。
[0030]可选的，所述在所述脚本类型为第二脚本类型时，将所述待检测代码文件样本转换为目标脚本类型对应的代码文件的步骤，包括：
[0031]在所述脚本类型为第二脚本类型时，获取所述第二脚本类型对应的语法解析工具；
[0032]通过所述语法解析工具将所述待检测代码文件样本转换为目标脚本类型对应的代码文件。
[0033]可选的，所述将所述替换后的抽象语法树转换为解混淆代码文件样本的步骤，包括：
[0034]将所述替换后的抽象语法树转换为所述第二脚本类型对应的代码文件；
[0035]在所述第二脚本类型对应的代码文件中去除所述语法解析工具添加的代码，获得解混淆代码文件样本。
[0036]可选的，所述获取所述待检测代码文件样本和所述解混淆代码文件样本之间的样本相似度的步骤，包括：
[0037]分别对所述待检测代码文件样本和所述解混淆代码文件样本进行预处理，获得处理后的待检测代码文件样本和处理后的解混淆代码文件样本；
[0038]分别提取所述处理后的待检测代码文件样本的第一特征向量和所述处理后的解混淆代码文件样本的第二特征向量；
[0039]根据所述第一特征向量和所述第二特征向量计算样本相似度。
[0040]可选的，所述对所述待检测代码文件样本和所述解混淆代码文件样本进行规则特征匹配，获得规则特征匹配结果的步骤，包括：
[0041]分别对所述待检测代码文件样本和所述解混淆代码文件样本进行规则匹配，获得规则匹配结果；
[0042]在所述规则匹配结果满足第一预设条件时，对所述待检测代码文件样本和所述解混淆代码文件样本进行特征匹配，获得特征匹配结果；
[0043]将所述特征匹配结果作为规则特征匹配结果。
[0044]可选的，所述分别对所述待检测代码文件样本和所述解混淆代码文件样本进行规则匹配，获得规则匹配结果的步骤，包括：
[0045]将所述待检测代码文件样本与预设恶意规则库进行匹配，获得第一规则匹配结果；
[0046]在所述第一规则匹配结果满足第二预设条件时，将所述解混淆代码文件样本与所述预设恶意规则库进行匹配，获得第二规则匹配结果；
[0047]根据所述第一规则匹配结果和所述第二规则匹配结果确定规则匹配结果。
[0048]可选的，所述在所述规则匹配结果满足第一预设条件时，对所述待检测代码文件样本和所述解混淆代码文件样本进行特征匹配，获得特征匹配结果的步骤，包括：
[0049]在所述规则匹配结果满足第一预设条件时，将所述待检测代码文件样本和所述解混淆代码文件样本输入至预设机器学习模型中进行特征匹配，获得特征匹配结果。
[0050]可选的，所述根据所述样本相似度和所述规则特征匹配结果判断所述待检测代码文件样本是否为恶意代码文件的步骤，包括：
[0051]根据所述规则特征匹配结果判断所述待检测代码文件样本是否为恶意代码文件；
[0052]在所述待检测代本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种webshell检测方法，其特征在于，所述webshell检测方法包括以下步骤：对待检测代码文件样本进行解混淆，获得解混淆代码文件样本；获取所述待检测代码文件样本和所述解混淆代码文件样本之间的样本相似度；对所述待检测代码文件样本和所述解混淆代码文件样本进行规则特征匹配，获得规则特征匹配结果；根据所述样本相似度和所述规则特征匹配结果判断所述待检测代码文件样本是否为恶意代码文件。2.如权利要求1所述的webshell检测方法，其特征在于，所述对待检测代码文件样本进行解混淆，获得解混淆代码文件样本的步骤，包括：获取所述待检测代码文件样本的脚本类型；将所述待检测代码文件样本转化为抽象语法树；基于所述脚本类型对所述抽象语法树进行简化，获得解混淆代码文件样本。3.如权利要求2所述的webshell检测方法，其特征在于，所述基于所述脚本类型对所述抽象语法树进行简化，获得解混淆代码文件样本的步骤，包括：对所述抽象语法树进行遍历；对遍历到的所述抽象语法树中的常量节点进行替换，获得替换后的抽象语法树；将所述替换后的抽象语法树转换为解混淆代码文件样本。4.如权利要求3所述的webshell检测方法，其特征在于，所述将所述待检测代码文件样本转化为抽象语法树的步骤，包括：在所述脚本类型为第一脚本类型时，获取所述第一脚本类型对应的抽象语法树解析引擎；通过所述抽象语法树解析引擎将所述待检测代码文件样本转化为抽象语法树。5.如权利要求4所述的webshell检测方法，其特征在于，所述将所述替换后的抽象语法树转换为解混淆代码文件样本的步骤，包括：将所述替换后的抽象语法树转换为所述第一脚本类型对应的代码文件；去除所述第一脚本类型对应的代码文件中的孤立语句，获得解混淆代码文件样本。6.如权利要求1至5任一项所述的webshell检测方法，其特征在于，所述获取所述待检测代码文件样本和所述解混淆代码文件样本之间的样本相似度的步骤...

【专利技术属性】
技术研发人员：刘超颖，
申请(专利权)人：三六零数字安全科技集团有限公司，
类型：发明
国别省市：