【技术实现步骤摘要】
本申请涉及计算机安全,尤其涉及一种确定文件风险的方法和装置。
技术介绍
1、webshell(网站后门)也称为木马,是一种可以在网页(web)服务器运行的脚本。黑客通过将webshell文件上传到web服务器,来获得web服务器的执行操作权限,以实现对web服务器的攻击,如,窃取web服务器中的用户数据或者修改web页面等。
2、为了防御webshell文件对web服务器的攻击,可以通过防火墙设备中的检测程序对向服务器传输的数据文件的文件内容进行检测,如,基于webshell文件对应的不同类型语言的脚本特征,结合语法语义对数据文件进行风险检测,以识别出存在攻击风险的webshell文件。但是,在向服务器传输的数据文件普遍采用流形式进行分段传输的情况下,防火墙设备中的检测程序需要获得并缓存完整的数据文件后才能够进行文件风险检测,这样会导致风险文件检测的延迟。
技术实现思路
1、本申请提供了一种确定文件风险的方法和装置,可以减少防火墙设备检测风险文件的延迟。
2、一方面,本申请提供了一种确定文件风险的方法,包括:
3、获得来自数据文件的分段报文,所述数据文件采用数据流形式向服务器传输,所述分段报文包括至少一个字符;
4、按照所述分段报文中各字符的先后顺序,确定当前时刻所述分段报文中待分析的目标字符并输入第一状态机;
5、如果基于所述第一状态机当前的第一当前状态以及所述第一当前状态对应的字符识别规则,确定出所述目标字符属于网站后
6、如果基于所述第二状态机当前的第二当前状态以及所述第二当前状态对应的分词处理规则确定出所述目标字符属于待分词的分词字符,确定当前所需分词出的分词类别信息;
7、基于所述分词类别信息,确定所述数据文件属于存在攻击风险的网站后门文件的风险程度。
8、在一种可能的实现方式中,所述获得来自数据文件的分段报文之后,还包括:
9、检测所述分段报文中是否存在表征所述数据文件属于网站后门文件的风险字符;
10、在从所述分段报文中检测到风险字符后,将所述分段报文以及所述分段报文之后获得的其他分段报文确定为待分析的分段报文;
11、所述按照所述分段报文中各字符的先后顺序,确定当前时刻所述分段报文中待分析的目标字符并输入第一状态机,包括:
12、对于待分析的分段报文,按照所述分段报文中各字符的先后顺序,确定当前时刻所述分段报文中待分析的目标字符并输入第一状态机。
13、在又一种可能的实现方式中,所述如果基于所述第一状态机当前的第一当前状态以及所述第一当前状态对应的字符识别规则,确定出所述目标字符属于网站后门文件中的有效代码字符,将所述目标字符输入第二状态机,包括:
14、如果所述第一状态机当前处于第一设定状态,且所述目标字符不属于网站后门文件对应的脚本语言中的结束标识字符,将所述目标字符确定为所述脚本语言中的有效代码字符并输入第二状态机,所述第一设定状态表明所述第一状态机基于所述目标字符之前的字符确定出待输入所述第一状态机的字符属于所述脚本语言中的代码字符;
15、如果所述第一状态机当前处于第二设定状态,且所述目标字符属于所述第二设定状态对应的用于触发进入所述第一设定状态的触发字符,将所述目标字符确定为所述脚本语言中的有效代码字符并输入第二状态机,所述第二设定状态为所述第一状态机中能够转换为所述第一设定状态的状态。
16、在又一种可能的实现方式中,还包括:
17、如果所述第一状态机当前处于第二设定状态,且所述目标字符属于所述第二设定状态对应的用于触发进入所述第一设定状态的触发字符,将所述第一状态机的状态切换为所述第一设定状态。
18、在又一种可能的实现方式中,还包括:
19、如果基于所述第一状态机当前的第一当前状态以及所述第一当前状态对应的字符识别规则,确定出所述目标字符不属于网站后门文件中的有效代码字符且确定出所述第一状态机满足状态切换条件,确定所述第一状态机所需切换到的第一目标状态;
20、将所述第一状态机的第一当前状态切换为所述第一目标状态。
21、在又一种可能的实现方式中,所述如果基于所述第二状态机当前的第二当前状态以及所述第二当前状态对应的分词处理规则确定出所述目标字符属于待分词的分词字符,确定所需分词出的分词类别信息,包括:
22、如果所述第二状态机当前处于第三设定状态,且基于所述目标设定状态对应的分词处理规则确定出所述目标字符属于待分词的分词字符,确定与所述第三设定状态对应的分词类别信息,所述第三设定状态为所述第二状态机设定的初始状态或者是所述第二状态机基于所述目标字符之前的字符确定出的能够触发确定非关键词分词的状态;
23、如果所述第二状态机当前处于第四设定状态,且基于所述目标设定状态对应的分词处理规则确定出所述目标字符属于触发分词的分词字符,缓存所述第二状态机在所述目标字符之后接收到的字符,基于缓存的字符进行关键字匹配,根据关键词匹配结果确定分词类别信息,所述第四设定状态为第二状态机基于所述目标字符之前的字符确定出的能够触发确定关键词分词的状态。
24、在又一种可能的实现方式中,在确定出分词类别信息之后,还包括:
25、将所述第二状态机的状态切换为设定的初始状态。
26、在又一种可能的实现方式中,还包括:
27、如果基于所述第二状态机当前的第二当前状态以及所述第二当前状态对应的分词处理规则确定出所述目标字符不属于待分词的分词字符,确定所述第二状态机所需切换到的第二目标状态,控制所述第二状态机的状态处于所述第二目标状态。
28、又一方面,本申请还提供了一种确定文件风险的装置,包括:
29、报文获得单元,用于获得来自数据文件的分段报文,所述数据文件采用数据流形式向服务器传输,所述分段报文包括至少一个字符;
30、字符确定单元,用于按照所述分段报文中各字符的先后顺序,确定当前时刻所述分段报文中待分析的目标字符并输入第一状态机;
31、有效字符识别单元,用于如果基于所述第一状态机当前的第一当前状态以及所述第一当前状态对应的字符识别规则,确定出所述目标字符属于网站后门文件中的有效代码字符,将所述目标字符输入第二状态机;
32、分词处理单元,用于如果基于所述第二状态机当前的第二当前状态以及所述第二当前状态对应的分词处理规则确定出所述目标字符属于待分词的分词字符,确定当前所需分词出的分词类别信息;
33、风险确定单元,用于基于所述分词类别信息,确定所述数据文件属于存在攻击风险的网站后门文件的风险程度。
34、在一种可能的实现方式中,还包括:
35、预检测单元,用于在报文获得单元获得来自数据文件的分段报文之后,检测所述分段报文中是否存在表征所本文档来自技高网...
【技术保护点】
1.一种确定文件风险的方法,其特征在于,包括:
2.根据权利要求1所述的确定文件风险的方法,其特征在于,所述获得来自数据文件的分段报文之后,还包括:
3.根据权利要求1所述的确定文件风险的方法,其特征在于,所述如果基于所述第一状态机当前的第一当前状态以及所述第一当前状态对应的字符识别规则,确定出所述目标字符属于网站后门文件中的有效代码字符,将所述目标字符输入第二状态机,包括:
4.根据权利要求3所述的确定文件风险的方法,其特征在于,还包括:
5.根据权利要求1所述的确定文件风险的方法,其特征在于,还包括:
6.根据权利要求1所述的确定文件风险的方法,其特征在于,所述如果基于所述第二状态机当前的第二当前状态以及所述第二当前状态对应的分词处理规则确定出所述目标字符属于待分词的分词字符,确定所需分词出的分词类别信息,包括:
7.根据权利要求1或6所述的确定文件风险的方法,其特征在于,在确定出分词类别信息之后,还包括:
8.根据权利要求1或6所述的确定文件风险的方法,其特征在于,还包括:
9.
10.根据权利要求9所述的确定文件风险的装置,其特征在于,还包括:
...【技术特征摘要】
1.一种确定文件风险的方法,其特征在于,包括:
2.根据权利要求1所述的确定文件风险的方法,其特征在于,所述获得来自数据文件的分段报文之后,还包括:
3.根据权利要求1所述的确定文件风险的方法,其特征在于,所述如果基于所述第一状态机当前的第一当前状态以及所述第一当前状态对应的字符识别规则,确定出所述目标字符属于网站后门文件中的有效代码字符,将所述目标字符输入第二状态机,包括:
4.根据权利要求3所述的确定文件风险的方法,其特征在于,还包括:
5.根据权利要求1所述的确定文件风险的方法,其特征在于,还包括:...
【专利技术属性】
技术研发人员:张少华,王鹤,邢汇芸,梁坤磊,
申请(专利权)人:北京启明星辰信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。