[发明专利]基于URI的分类模型的构建方法和Webshell攻击网站的检测方法

说明书

本发明公开了一种基于URI的分类模型的构建方法，在计算设备中执行，包括：分别获取多条已确认为正常访问网站和Webshell攻击网站的访问日志作为正样本数据和负样本数据，其中每条访问日志中包括请求资源的URI及与该URI关联的访问数据；分别从正样本数据和负样本数据中提取针对同一URI的多条访问日志，根据该多条访问日志的访问数据计算该URI的多个URI特征值，并将该多个URI特征值构造为一条URI特征向量；分别根据正/负样本数据中各URI的URI特征向量及其对应的正样本标识生成第一正/负样本集，并根据这两个样本集生成第一训练集；以该第一训练集中各样本的URI特征向量为输入，以其样本标识为输出，采用预定算法对第一训练集进行训练，得到基于URI的分类模型。

技术领域

本发明涉及互联网技术领域，尤其涉及一种基于URI的分类模型的构建方法、Webshell攻击网站的检测方法和计算设备。

背景技术

Webshell是以asp、php、jsp、cgi等网页文件形式存在的一种命令执行环境，也可以称为一种网页后门。入侵者在入侵网站后，经常在WEB服务器的WEB目录中放置Webshell后门文件，且与WEB服务器WEB目录下正常的文件混在一起，不易被发现。入侵者可以用WEB方式访问Webshell得到命令执行环境以达到控制网站或WEB服务器的目的，可进行的操作包括上传下载文件、查看数据库、执行任意程序命令等。

远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。而且使用Webshell一般不会在系统日志中留下记录，只会在WEB服务器的日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。

现有的对访问日志的WebShell检测方法中，多是基于规则和特征库进行检测，如通过收集网络上公开的WebShell并分析其特征，或者添加一些敏感函数建立WebShell特征库，然后在网站的访问日志中匹配这些特征或敏感函数，如果匹配上，则进行人工确认其是否为WebShell。这种检测主要依赖于已有WebShell攻击的积累，而且也只能检测出已知的攻击，对应未知的WebShell就很难发现。

因此，需要提供一种更有效全面的WebShell检测方法。

发明内容

为此，本发明提供一种基于URI的分类模型的构建方法、Webshell攻击网站的检测方法和计算设备，以力图解决或至少缓解上面存在的问题。

根据本发明的一个方面，提供了一种基于URI的分类模型的构建方法，在计算设备中执行，适于区分正常访问网站的URI和疑似被Webshell攻击网站的URI，该方法包括：分别获取多条已确认为正常访问网站的访问日志作为正样本数据，以及多条已确认为Webshell攻击网站的访问日志作为负样本数据，其中每条访问日志中包括请求资源的URI及与该URI相关联的访问数据；分别从正样本数据和负样本数据中提取针对同一URI的多条访问日志，根据该多条访问日志的访问数据计算该URI的多个URI特征值，并将该多个URI特征值构造为一条URI特征向量；根据正样本数据中各URI的URI特征向量及其对应的正样本标识生成第一正样本集，以及根据负样本数据中各URI的URI特征向量及其对应的负样本标识生成第一负样本集；以及根据第一正样本集和第一负样本集生成第一训练集，并以该第一训练集中各样本的URI特征向量为输入，以其样本标识为输出，采用预定算法对第一训练集进行训练，得到基于URI的分类模型。

可选地，在根据本发明的基于URI的分类模型的构建方法中，访问日志的访问数据包括以下参数中的一种或多种：请求用户的IP、请求方法、请求返回的状态码、CDN命中状态、防火墙检测的攻击类型、请求参数、开始请求时间和请求报文长度中。

可选地，在根据本发明的基于URI的分类模型的构建方法中，多个URI特征值包括以下特征值中的一种或多种：访问URI的客户端IP数量、访问URI的总次数、访问URI中返回失败次数比率、访问URI中被WAF拦截请求比率、访问的URI是否有命中CDN、访问URI中请求参数变化次数。