[发明专利]webshell检测方法及装置

说明书

本发明提供一种webshell检测方法及装置，涉及网络安全技术领域。其中，方法包括：实时获取针对电子终端中存储的各文件的操作请求；将操作请求所要操作的文件作为目标文件，并获取目标文件的属性信息；根据目标文件的属性信息计算出属性安全值；提取出目标文件中的动态网页脚本，计算动态网页脚本的特征安全值、逻辑行为安全值以及与预存样本数据库中的危险网页脚本的相似度值，并根据所述属性安全值、特征安全值、逻辑行为安全值以及相似度值的预设权重进行计算，得到一综合安全值；在综合安全值低于预设值时，判定目标文件中存在webshell，对该目标文件加密并进行隔离。如此，能够可靠有效地检测出电子终端中的文件内是否存在webshell。

技术领域

本发明涉及网络安全技术领域，具体而言，涉及一种webshell检测方法及装置。

背景技术

Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环，也称作网页后门境。黑客在侵入一个网站后，通常会将网页后门文件与网站服务器web目录下正常的网页文件混在一起，从而能够通过浏览器来访问网页后门，得到一个命令执行环境，以达到控制网站服务器的目的。

在实际应用中，webshell可能只有一句话，也可能超过100KB。此外，webshell可以嵌入任意格式的文件中，从而逃过依靠特征码检测的传统防火墙、入侵检测、web防火墙以及防病毒软件等的检测。并且，随着各种用于反检测特征混淆隐藏技术应用到webshell上，使得现有安全设备和防病毒软件更难检测出webshell。

发明内容

有鉴于此，本发明的目的在于提供一种webshell检测方法及装置，能够可靠有效地检测出文件中隐藏的webshell。

为了达到上述目的，本发明较佳实施例提供一种webshell检测方法，应用于电子终端，所述方法包括：

实时获取针对所述电子终端中存储的各文件的操作请求；

将所述操作请求所要操作的文件作为目标文件，并获取所述目标文件的属性信息；

按照第一预设规则根据所述属性信息生成属性安全值；

根据所述属性信息查找出所述目标文件，并检测所述目标文件中是否存在动态网页脚本；

在所述目标文件中存在动态网页脚本时，提取出所述动态网页脚本；

检测并计算所述动态网页脚本的特征安全值、逻辑行为安全值以及与预存样本数据库中的危险网页脚本的相似度值；

根据所述属性安全值、特征安全值、逻辑行为安全值以及相似度值的预设权重进行计算，得到一综合安全值；

在所述综合安全值低于预设值时，判定所述目标文件中存在webshell；以及

对存在webshell的目标文件加密，将加密后的目标文件存储到预设隔离区。

优选地，检测所述目标文件中是否存在动态网页脚本的步骤包括：

检测所述目标文件中是否存在预设类型的文本；以及

在所述目标文件中存在所述预设类型的文本时，将所述预设类型的文本作为所述动态网页脚本。

优选地，所述预设类型包括asp、aspx、php、cgi以及jsp。

优选地，检测并计算所述动态网页脚本的特征安全值的步骤，包括：

检测所述动态网页脚本中是否存在与预存的第一标识符匹配的第二标识符；

在所述动态网页脚本中存在与所述第一标识符匹配的第二标识符时，提取出所述动态网页脚本中与所述第一标识符匹配的第二标识符；以及