[发明专利]WebShell检测方法、装置及系统

权利要求书

1.一种WebShell检测方法，其特征在于，应用于服务器，所述WebShell检测方法包括：

接收终端上传的脚本文件；

采用静态数据流分析方式和语义特征分析方式，分别对接收到的脚本文件进行分析，得到两个分析结果；

根据两个分析结果，确定所述脚本文件是否为WebShell文件，并执行相应的反馈操作至所述终端；

所述根据两个分析结果，确定所述脚本文件是否为WebShell文件的步骤包括：

在两个分析结果皆是脚本文件异常时，通知所述终端上传所述脚本文件关联的Web访问日志和访问统一资源定位符URL；

在接收到的所述Web访问日志中进行特征提取，并将提取的特征输入到预设的检测模型中，以得到检测结果；及

采用语法树中提取的风险参数对接收到的所述访问URL进行修饰，以构造出特定访问URL，向所述特定访问URL发起访问请求以得到检测结果；

若两个检测结果都无误，则确定所述脚本文件为WebShell文件。

2.如权利要求1所述的WebShell检测方法，其特征在于，所述静态数据流分析方式为：采用预设的风险函数和风险变量，对接收到的脚本文件对应的自定义函数和变量进行推导得到推导信息，并利用所述风险函数和风险变量以及所述推导信息对所述脚本文件进行分析；

所述语义特征分析方式为：预先从被标记脚本文件的语法树中提取多维度特征，并基于机器学习算法预先训练得到的训练模型对接收到的脚本文件对应的多维度特征进行分析。

3.如权利要求1所述的WebShell检测方法，其特征在于，所述向所述特定访问URL发起访问请求以得到检测结果的步骤之后，所述WebShell检测方法还包括：

若两个检测结果中存在误判，则转移至线下的人工审核，以由人工审核确定所述脚本文件是否为WebShell文件。

4.一种WebShell检测装置，其特征在于，应用于服务器，所述WebShell检测装置包括：

接收模块，用于接收终端上传的脚本文件；

分析模块，用于采用静态数据流分析方式和语义特征分析方式，分别对接收到的脚本文件进行分析，得到两个分析结果；

处理模块，用于根据两个分析结果，确定所述脚本文件是否为WebShell文件，并执行相应的反馈操作至所述终端；

所述处理模块包括：

通知单元，用于在两个分析结果皆是脚本文件异常时，通知所述终端上传所述脚本文件关联的Web访问日志和访问统一资源定位符URL；

提取输入单元，用于在接收到的所述Web访问日志中进行特征提取，并将提取的特征输入到预设的检测模型中，以得到检测结果；及

构造访问单元，用于采用语法树中提取的风险参数对接收到的所述访问URL进行修饰，以构造出特定访问URL，向所述特定访问URL发起访问请求以得到检测结果；

第一确定单元，用于若两个检测结果都无误，则确定所述脚本文件为WebShell文件。

5.如权利要求4所述的WebShell检测装置，其特征在于，所述静态数据流分析方式为：采用预设的风险函数和风险变量，对接收到的脚本文件对应的自定义函数和变量进行推导得到推导信息，并利用所述风险函数和风险变量以及所述推导信息对所述脚本文件进行分析；

所述语义特征分析方式为：预先从被标记脚本文件的语法树中提取多维度特征，并基于机器学习算法预先训练得到的训练模型对接收到的脚本文件对应的多维度特征进行分析。

6.如权利要求4所述的WebShell检测装置，其特征在于，所述处理模块还包括：

转移单元，用于若两个检测结果中存在误判，则转移至线下的人工审核，以由人工审核确定所述脚本文件是否为WebShell文件。