[发明专利]一种webshell的检测方法、系统、装置及可读存储介质

权利要求书

1.一种webshell的检测方法，其特征在于，包括以下步骤：

采集样本文件，对所述样本文件进行静态特征提取，得到样本文件的静态特征序列；

提取样本文件的污点追踪特征，对所述污点追踪特征与所述静态特征序列进行整合，得到完整的特征序列，将完整的特征序列转化为特征向量矩阵；

构建极限树模型，利用所述特征向量矩阵对极限树模型进行训练，得到用于样本文件检测的极限树模型；

获取待检测样本文件，获取检测样本文件的特征向量矩阵，利用所述用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测，得到检测结果。

2.根据权利要求1所述的webshell的检测方法，其特征在于，所述对所述样本文件进行静态特征提取，得到样本文件的静态特征序列，具体包括：

对所述样本文件进行过滤，保留php类型文件及以PHP、Php、php1后缀命名的php文件，对过滤后的样本文件进行统计学特征提取，获取样本文件的特征值，使所述特征值组成静态特征序列。

3.根据权利要求1所述的webshell的检测方法，其特征在于，所述对过滤后的样本文件进行统计学特征提取，获取样本文件的特征值，具体包括：

对过滤后的样本文件进行静态特征提取，获取样本文件的信息熵；过滤后的样本文件对进行文件重合指数的计算，获取文件重合指数。

4.根据权利要求3所述的webshell的检测方法，其特征在于，所述对过滤后的样本文件进行统计学特征提取，获取样本文件的特征值，还包括：

对过滤后的样本文件进行文件压缩比的计算，得到文件压缩比；对提取过滤后的样本文件中最长单词的长度。

5.根据权利要求1所述的webshell的检测方法，其特征在于，提取样本文件的污点追踪特征，具体包括：

样本文件进行抽象语法树提取，获取对应抽象语法树的污点函数，根据所述污点函数获取污点追踪特征。

6.根据权利要求5所述的webshell的检测方法，其特征在于，根据所述污点函数获取污点追踪特征，具体包括：

根据所述污点函数确定污染源、污染路径及最终的危险汇聚点，根据所述污染源、污染路径及最终的危险汇聚点还原webshell逻辑数据流，根据所述webshell逻辑数据流获取污点追踪特征。

7.根据权利要求1所述的webshell的检测方法，其特征在于，利用用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测，得到检测结果，具体包括：

利用用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测，若用于样本文件检测的极限树模型的输出结果为0，则表示样本文件为正常文件，若用于样本文件检测的极限树模型的输出结果为1，则表示样本文件为恶意文件；输出结果越趋近于1，则对应样本文件是恶意文件的可能性越高。

8.一种webshell的检测系统，其特征在于，包括静态特征序列获取模块、特征向量矩阵获取模块、极限树模型获取模块及检测模块；

所述静态特征序列获取模块，用于采集样本文件，对所述样本文件进行静态特征提取，得到样本文件的静态特征序列；

所述特征向量矩阵获取模块，用于提取样本文件的污点追踪特征，对所述污点追踪特征与所述静态特征序列进行整合，得到完整的特征序列，将完整的特征序列转化为特征向量矩阵；

所述极限树模型获取模块，用于构建极限树模型，利用所述特征向量矩阵对极限树模型进行训练，得到用于样本文件检测的极限树模型；

所述检测模块，用于获取待检测样本文件，获取检测样本文件的特征向量矩阵，利用所述用于样本文件检测的极限树模型对检测样本文件的特征向量矩阵进行检测，得到检测结果。

9.一种webshell的检测装置，其特征在于，包括处理器以及存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现如权利要求1-7任一所述的webshell的检测方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机该程序被处理器执行时，实现如权利要求1-7任一所述的webshell的检测方法。