[发明专利]一种多引擎WebShell脚本文件检测方法及系统

权利要求书

1.一种多引擎WebShell脚本文件检测方法，其特征在于，包括：

获取待检测网页文件的命令执行程序；

对所述命令执行程序在本地执行轻量级检测，以滤除所述命令执行程序中的正常命令执行程序和WebShell，得到不确定性命令执行程序，其中，所述轻量级检测包括黑白名单过滤机制，及多维特征融合的机器学习算法检测中的至少一种，所述多维特征包括语义特征、文本特征和统计特征中的至少两种；

对所述不确定性命令执行程序在云端执行重量级检测，以识别所述不确定性命令执行程序中的WebShell。

2.根据权利要求1所述的方法，其特征在于，所述黑白名单过滤机制包括：

利用已知WebShell和已知正常命令执行程序设计正则规则，将所述正则规则作为所述黑白名单过滤机制；

和/或，

计算所述已知WebShell和已知正常命令执行程序的哈希值，将所述哈希值作为所述黑白名单过滤机制；

和/或，

利用词向量算法将所述已知WebShell和已知正常命令执行程序转化为向量，并将所述已知WebShell和已知正常命令执行程序的词向量作为所述黑白名单过滤机制。

3.根据权利要求1所述的方法，其特征在于，对所述命令执行程序在本地执行所述多维特征融合的机器学习算法检测，包括：

提取所述命令执行程序的语义特征、文本特征和统计特征中的至少两种特征；

利用预先训练好的第一机器学习模型对所述至少两种特征执行本地检测。

4.根据权利要求3所述的方法，其特征在于，在所述利用预先训练好的第一机器学习模型对所述至少两种特征执行本地检测之前，所述方法还包括：

提取出训练样本中网页文件的训练命令执行程序；

提取所述训练命令执行程序的第一语义特征、第一文本特征和第一统计特征中的至少两种特征；

将所述至少两种特征执行机器学习，得到所述第一机器学习模型。

5.根据权利要求4所述的方法，其特征在于，所述提取所述训练命令执行程序的第一语义特征包括：

将所述训练命令执行程序转化为token标记序列；

利用语法解析所述token序列，生成抽象语法树；

从所述抽象语法树中提取出危险函数、危险函数的调用次数及具有区分度的关键词特征；

和/或，

遍历所述抽象语法树，恢复出混淆的攻击特征。

6.根据权利要求4所述的方法，其特征在于，所述提取所述训练命令执行程序的第一文本特征包括：

检测所述训练命令执行程序是否被编码；

若是，则对所述训练命令执行程序执行解码，并从解码后的训练命令执行程序中提取出危险函数、混淆特征，及已知WebShell中特定的字符串特征、关键词特征和危险路径。

7.根据权利要求4所述的方法，其特征在于，所述提取所述训练命令执行程序的第一统计特征包括：

检测所述训练命令执行程序是否被编码；

若是，则对所述训练命令执行程序执行解码，并从解码后的训练命令执行程序中提取出混淆函数的调用次数，所述训练命令执行程序的文本长度、特殊字符的占比以及所述训练命令执行程序的信息熵。

8.根据权利要求4所述的方法，其特征在于，所述将所述至少两种特征执行机器学习，得到所述第一机器学习模型，包括：

分别对所述至少两种特征中的每种特征执行训练，得到对应的机器学习模型；

通过集成学习将所述每种特征对应的机器学习模型，集成为所述第一机器学习模型；

或，

将所述至少两种特征拼接起来，输入到同一模型执行训练，得到所述第一机器学习模型。

9.根据权利要求1至8中任一项所述的方法，其特征在于，所述重量级检测包括程序分析的算法检测、虚拟执行算法检测及行为分析算法检测中的至少一种。