【技术实现步骤摘要】
webshell检测方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种webshell检测方法、装置、设备及存储介质。
技术介绍
[0002]Webshell是一种以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,webshell也常常被攻击者当作后门程序使用,用来获取web服务器的操作权限。
[0003]攻击者在进行网站入侵时,通常会将webshell文件与web目录下的正常网页放置在一起,然后通过浏览器访问webshell文件,从而获取命令执行环境,最终达到控制网站服务器的目的。webshell与正常网页具有相同的运行环境和服务端口,它与远程主机通过http协议进行数据交换,因此能够很容易地避开杀毒软件的检测和穿透防火墙。
[0004]现有的webshell检测方式难以对混淆样本进行准...
【技术保护点】
【技术特征摘要】
1.一种webshell检测方法,其特征在于,所述webshell检测方法包括以下步骤:对待检测代码文件样本进行解混淆,获得解混淆代码文件样本;获取所述待检测代码文件样本和所述解混淆代码文件样本之间的样本相似度;对所述待检测代码文件样本和所述解混淆代码文件样本进行规则特征匹配,获得规则特征匹配结果;根据所述样本相似度和所述规则特征匹配结果判断所述待检测代码文件样本是否为恶意代码文件。2.如权利要求1所述的webshell检测方法,其特征在于,所述对待检测代码文件样本进行解混淆,获得解混淆代码文件样本的步骤,包括:获取所述待检测代码文件样本的脚本类型;将所述待检测代码文件样本转化为抽象语法树;基于所述脚本类型对所述抽象语法树进行简化,获得解混淆代码文件样本。3.如权利要求2所述的webshell检测方法,其特征在于,所述基于所述脚本类型对所述抽象语法树进行简化,获得解混淆代码文件样本的步骤,包括:对所述抽象语法树进行遍历;对遍历到的所述抽象语法树中的常量节点进行替换,获得替换后的抽象语法树;将所述替换后的抽象语法树转换为解混淆代码文件样本。4.如权利要求3所述的webshell检测方法,其特征在于,所述将所述待检测代码文件样本转化为抽象语法树的步骤,包括:在所述脚本类型为第一脚本类型时,获取所述第一脚本类型对应的抽象语法树解析引擎;通过所述抽象语法树解析引擎将所述待检测代码文件样本转化为抽象语法树。5.如权利要求4所述的webshell检测方法,其特征在于,所述将所述替换后的抽象语法树转换为解混淆代码文件样本的步骤,包括:将所述替换后的抽象语法树转换为所述第一脚本类型对应的代码文件;去除所述第一脚本类型对应的代码文件中的孤立语句,获得解混淆代码文件样本。6.如权利要求1至5任一项所述的webshell检测方法,其特征在于,所述获取所述待检测代码文件样本和所述解混淆代码文件样本之间的样本相似度的步骤...
【专利技术属性】
技术研发人员:刘超颖,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。