[发明专利]一种多引擎WebShell脚本文件检测方法及系统

说明书

本发明实施例提供了一种多引擎WebShell脚本文件检测方法及系统，用于一方面提升对WebShell检测的效率，另一方面提升对WebShell检测的准确率。本发明实施例方法包括：获取待检测网页文件的命令执行程序；对所述命令执行程序在本地执行轻量级检测，以滤除所述命令执行程序中的正常命令执行程序和WebShell，得到不确定性命令执行程序，其中，所述轻量级检测包括黑白名单过滤机制，及多维特征融合的机器学习算法检测中的至少一种，所述多维特征包括语义特征、文本特征和统计特征中的至少两种；对所述不确定性命令执行程序在云端执行重量级检测，以识别所述不确定性命令执行程序中的WebShell。

技术领域

本发明涉及网页安全技术领域，尤其涉及一种WebShell脚本文件检测方法及系统。

背景技术

WebShell检测是一个非常重要的问题。随着Web服务的发展，越来越多的黑客将构造的WebShell上传至服务器页面目录，从而通过访问该WebShell页面窃取用户的隐私信息，或对服务器进行控制。这类问题已经成为Web安全的一个主流问题。

传统的WebShell脚本检测主要有两种方法：

一、轻量级方案：

A、基于哈希值或规则匹配。这类方案有较高的计算速度，性能好。但是这类方案的缺点是防御能力有限，表达能力较弱，只能拦截已知(类似)样本。因此，攻击者可以利用混淆绕过这类检测方法。

B、机器学习/深度学习方案。采集语义信息，然后利用机器学习、深度学习进行判断。此种方案增加的对绕过样本的检测能力。但是受限于特征，无法理解脚本的高阶的程序特征信息，准确性仍然受限。

二、重量级方案：

这类方案有较高的攻击识别准确度，能识别复杂的攻击模式。但是缺点是通常计算速度较慢，无法应用到所有的脚本检测上。因此，此类方案需要很高成本的硬件来实现才能达到与轻量级方案接近的吞吐。

而如何在提升对WebShell检测效率的前提下，提升对WebShell检测的准确率是亟待解决的一个问题。

发明内容

本发明实施例提供了一种多引擎WebShell脚本文件检测方法及系统，用于在本地对待检测网页文件的命令执行程序执行轻量级检测，在云端对所述命令执行程序中的不确定性命令执行程序执行重量级检测，从而一方面提升对WebShell检测的效率，另一方面提升对WebShell检测的准确率。

本申请实施例第一方面提供了一种多引擎WebShell脚本文件检测方法，所述方法，包括：

获取待检测网页文件的命令执行程序；

对所述命令执行程序在本地执行轻量级检测，以滤除所述命令执行程序中的正常命令执行程序和WebShell，得到不确定性命令执行程序，其中，所述轻量级检测包括黑白名单过滤机制，及多维特征融合的机器学习算法检测中的至少一种，所述多维特征包括语义特征、文本特征和统计特征中的至少两种；

对所述不确定性命令执行程序在云端执行重量级检测，以识别所述不确定性命令执行程序中的WebShell。

优选的，所述黑白名单过滤机制包括：

利用已知WebShell和已知正常命令执行程序设计正则规则，将所述正则规则作为所述黑白名单过滤机制；

和/或，

计算已知WebShell和已知正常命令执行程序的哈希值，将所述哈希值作为所述黑白名单过滤机制；

和/或，

利用词向量算法将所述已知WebShell和已知正常命令执行程序转化为向量，并将所述已知WebShell和已知正常命令执行程序的词向量作为所述黑白名单过滤机制。