[发明专利]WebShell检测方法、装置及系统

说明书

本发明公开了一种WebShell检测方法，应用于服务器，所述方法包括：接收终端上传的脚本文件；采用静态数据流分析方式和统计及/或语义特征分析方式，分别对接收到的脚本文件进行分析，得到两个分析结果；根据两个分析结果，确定所述脚本文件是否为WebShell文件，并执行相应的反馈操作至所述终端。本发明还公开了一种WebShell检测装置及系统。本发明由服务器采用静态数据流分析方式和统计及/或语义特征分析方式等高级检测方式对脚本文件进行分析检测，使得WebShell的检测更加准确。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种WebShell检测方法、装置及系统。

背景技术

WebShell是网络上最主要的安全威胁之一，黑客利用漏洞上传特定文件到Web站点目录，可以获取对目标主机的长期访问权限，从而造成系统破坏，以及盗取机密信息等一系列恶性入侵事件。

传统的WebShell检测方式主要有两种：1)由终端从规则角度去检测，若规则匹配已知WebShell以减少误报，就容易导致未知WebShell的检测能力下降，若规则匹配未知的WebShell以提升识别率，就容易导致误报增多。2)由服务器从流量内容的角度去检测，由于WebShell作为一种攻击手段，可以通过加密、混淆会话内容等手段增强隐蔽性。因此，由终端从规则的角度，或由服务器从流量内容的角度去判断，对WebShell检测的准确性都较低。

发明内容

本发明的主要目的在于提出一种WebShell检测方法、装置及系统，旨在解决传统的WebShell检测方式，准确性较低的技术问题。

为实现上述目的，本发明提供的一种WebShell检测方法，应用于服务器，所述WebShell检测方法包括：

接收终端上传的脚本文件；

采用静态数据流分析方式和统计及/或语义特征分析方式，分别对接收到的脚本文件进行分析，得到两个分析结果；

根据两个分析结果，确定所述脚本文件是否为WebShell文件，并执行相应的反馈操作至所述终端。

优选地，所述静态数据流分析方式为：采用预设的风险函数和风险变量，对接收到的脚本文件对应的自定义函数和变量进行推导得到推导信息，并利用所述风险函数和风险变量以及所述推导信息对所述脚本文件进行分析；

所述统计及/或语义特征分析方式为：预先从被标记脚本文件的语法树中提取多维度特征，并基于机器学习算法预先训练得到的训练模型对接收到的脚本文件对应的多维度特征进行分析。

优选地，所述根据两个分析结果，确定所述脚本文件是否为WebShell文件的步骤包括：

在两个分析结果皆是脚本文件异常时，通知所述终端上传所述脚本文件关联的Web访问日志和访问统一资源定位符URL；

在接收到的所述Web访问日志中进行特征提取，并将提取的特征输入到预设的检测模型中，以得到检测结果；及

采用所述语法树中提取的风险参数对接收到的所述访问URL进行修饰，以构造出特定访问URL，向所述特定访问URL发起访问请求以得到检测结果；

若两个检测结果都无误，则确定所述脚本文件为WebShell文件。

优选地，所述向所述特定访问URL发起访问请求以得到检测结果的步骤之后，所述WebShell检测方法还包括：

若两个检测结果中存在误判，则转移至线下的人工审核，以由人工审核确定所述脚本文件是否为WebShell文件。

此外，为实现上述目的，本发明还提出一种WebShell检测装置，应用于服务器，所述WebShell检测装置包括：

接收模块，用于接收终端上传的脚本文件；