[发明专利]一种基于HTTP日志的多维度webshell入侵检测方法及检测系统

权利要求书

1.一种基于HTTP日志的多维度webshell入侵检测方法，其特征在于，所述方法包括如下步骤：

步骤一、获取HTTP日志数据；

步骤二、对于HTTP日志数据当中的来访IP字段进行黑名单过滤，如来访IP在黑名单当中，则直接进行存储和上报；

步骤三、利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征，并根据提取的访问参数特征及访问行为特征使用SVM分类器模型进行训练；其中，所述的访问参数包括：请求参数名个数，请求参数名平均字符长度，请求参数名最大字符长度，请求参数值平均字符长度，请求参数值最大字符长度，请求参数值是否包含恶意请求函数字符，请求参数值最大熵值；所述的访问行为包括：单位时间内总访问次数，单位时间内访问行为突发程度，单位时间内来访IP最大访问次数占比，单位时间内访问动态文件请求次数占比，单位时间内访问动态HTML页面请求次数占比，单位时间内访问静态HTML页面请求次数占比；

步骤四、对实时HTTP数据提取访问参数特征及访问行为特征，使用训练好的SVM分类器模型进行判断是否遭遇到webshell入侵，并将入侵行为进行存储和上报方便后续处理；

在所述步骤三中，从HTTP日志数据中提取所述的访问参数特征包括：判断访问参数的请求方式，若HTTP请求方式为GET，则认定请求参数为URI字符串中字符“？”的后续部分；若HTTP请求方式为POST，则认定请求参数为HTTP日志数据中的POST参数；若请求参数当中包含字符，则认定请求参数当中具有多个请求参数名及请求参数值；并将请求参数按照字符切割后，得到多个格式为“请求参数名＝请求参数值”的具体参数；所述访问参数特征是分别对多个具体的请求参数进行统计计算所得。

2.根据权利要求1所述的检测方法，其特征在于，所述HTTP日志数据包括：源IP，源端口，目标IP，目标端口，HTTP请求方式，访问主机名，URI，访问时间，POST参数。

3.一种基于HTTP日志的多维度webshell入侵检测系统，其特征在于，所述系统包括：

数据采集单元，用以采集HTTP请求数据；

数据存储单元，用于存储正常访问的HTTP数据及webshell入侵的HTTP数据；

特征提取单元，利用已知的HTTP正常访问数据及webshell入侵数据，提取访问参数特征及访问行为特征；所述的访问参数包括：请求参数名个数，请求参数名平均字符长度，请求参数名最大字符长度，请求参数值平均字符长度，请求参数值最大字符长度，请求参数值是否包含恶意请求函数字符，请求参数值最大熵值；所述的访问行为包括：单位时间内总访问次数，单位时间内访问行为突发程度，单位时间内来访IP最大访问次数占比，单位时间内访问动态文件请求次数占比，单位时间内访问动态HTML页面请求次数占比，单位时间内访问静态HTML页面请求次数占比；

模型训练单元，用于训练SVM分类器模型，将已知为正常访问及webshell入侵的HTTP数据经过特征提取单元提取到的特征输入该训练单元，经过模型评估后得到训练好的分类器模型；

数据检测单元，对实时HTTP数据提取特征后的特征进行判断，检测其是否被webshell入侵，并将检测结果分别保存到数据存储单元当中；

所述特征提取单元从HTTP日志数据中提取所述的访问参数特征包括：判断访问参数的请求方式，若HTTP请求方式为GET，则认定请求参数为URI字符串中字符“？”的后续部分；若HTTP请求方式为POST，则认定请求参数为HTTP日志数据中的POST参数；若请求参数当中包含字符，则认定请求参数当中具有多个请求参数名及请求参数值；并将请求参数按照字符切割后，得到多个格式为“请求参数名＝请求参数值”的具体参数；所述访问参数特征是分别对多个具体的请求参数进行统计计算所得。

4.根据权利要求3所述的检测系统，其特征在于，所述HTTP日志数据包括：源IP，源端口，目标IP，目标端口，HTTP请求方式，访问主机名，URI，访问时间，POST参数。