[发明专利]基于带权模糊hash的webshell检测方法

权利要求书

1.一种基于带权模糊hash的webshell检测方法，其特征在于，所述基于带权模糊hash的webshell检测方法基于权重分配的模糊hash算法，给每一个分片赋予权值，有危险函数的核心分片给予大的权值；

结合每一个分片的信息熵，信息熵值越大，给予的权值越小，提高危险函数对最后模糊hash结果的影响，同时降低无意义的扰乱对最后模糊hash结果的影响；

把每个分片的hash拼接成模糊hash串并计算总权值得到带权模糊hash值；将待检测文件的带权模糊hash值与预先存储在指纹库中每个webshell带权模糊hash值依次比较实现对webshell及webshell变种的检测。

2.如权利要求1所述的基于带权模糊hash的webshell检测方法，其特征在于，所述基于带权模糊hash的webshell检测方法包括：

步骤一，分片参数确定；带权模糊hash采用Alder-32的弱哈希函数进行分片触发条件检测，对待检测文件做滚动hash；

步骤二，每片求hash及权值；在确定整个文件分片后采用32位强hash算法FNV-1对每一个分片内容进行计算，得出一个32位的hash值；

步骤三，计算带权模糊hash值；将分片的hash对应的字符按顺序进行拼接成模糊hash串，同时将总权重拼接在模糊hash串后面，且总权重为每片权重的相加，得到待检测文件带权hash值；

步骤四，带权模糊hash值比较，相似度判断；待检测文件的带权模糊hash值与预先存储在指纹库中每个带权模糊hash值依次比较，如果指纹库中存在任何一个带权模糊hash值与所述待检测文件的带权模糊hash值的相似度超过阈值，则认为所述待检测文件是webshell。

3.如权利要求2所述的基于带权模糊hash的webshell检测方法，其特征在于，步骤二中，在计算每片hash的同时，带权hash同时计算每片的权重；并给每个分片赋予不同的权值；

分片权重公式为：

其中w为分片权重，K为系数，默认取2，D为分片中危险函数个数，I为分片的信息熵。

4.如权利要求2所述的基于带权模糊hash的webshell检测方法，其特征在于，步骤四中，预先收集webshell样本并计算出其带权模糊hash值存储在指纹库中；待检测文件的带权模糊hash值与存储在指纹库中每个带权模糊hash值依次比较，首先计算出待检测文件的hash字符串与存储在指纹库中带权模糊hash值的编辑距离d，然后计算出最终的hash串距离：

m为最终的hash串距离，d为两个hash字符串的编辑距离，L为较长hash串的长度，f(x)为两个hash字符串总权重的比较公式：

k₁，k₂为系数，默认取4和2/5，W₁，W₂分别为两个hash字符串的总权重；f(x)的值域为[-1,1]，当W₁，W₂差值较小时，f(x)的值为正，随着差值逐渐增大，f(x)的值变为负；

在计算出hash串距离后，对hash串距离做归一化处理计算出相似度，映射至0-100：

其中，m为最终hash值距离，l₁，l₂为hash值长度，编辑距离越小，模糊hash相似度h越大，文本越相似。