[发明专利]一种通信检测方法、装置、设备和介质

说明书

本申请实施例公开了一种通信检测方法、装置、设备和介质，将预设时间内获取的初始日志数据按照资源标识符进行分类，以得到各资源标识符各自对应的日志数据。每个资源标识符对应的日志数据的分析过程相同，以所有资源标识符中的任意一个资源标识符即目标资源标识符为例，对目标资源标识符的日志数据进行统计得到行为特征信息。行为特征信息可以包括资源信息，基于资源信息确定目标资源标识符对应的通信是否为webshell通信。绕过了对加密通信内容的分析，通过对日志数据中访问行为进行分析，实现了对webshell通信的有效检测。

技术领域

本申请涉及安全防御技术领域，特别是涉及一种通信检测方法、装置、设备和计算机可读存储介质。

背景技术

Webshell是网页(web)入侵的脚本攻击工具。ASP(Active Server Pages，动态服务器网页)是可用来创建动态交互式网页并建立强大的web应用程序。PHP(HypertextPreprocessor，超文本预处理语言)是一种通用开源脚本语言，适用于web开发领域。黑客在入侵了一个网站后，通常会将ASP或PHP后门文件与网站服务器web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问ASP或者PHP后门，得到一个命令执行环境，以达到控制网站服务器的目的。

传统方式中对通信内容进行分析，实现对webshell通信的检测。在攻防对抗中，webshell通信越来越趋向于加密通信，冰蝎、哥斯拉这些通信加密的webshell工具已经成为攻击者的首选。传统的基于通信内容检测webshell通信的方式无法解密通信内容，导致无法检测出加密的webshell通信。

可见，如何对加密的webshell通信实现有效检测，是本领域技术人员需要解决的问题。

发明内容

本申请实施例的目的是提供一种通信检测方法、装置、设备和计算机可读存储介质，可以对加密的webshell通信实现有效检测。

为解决上述技术问题，本申请实施例提供一种通信检测方法，包括：

将预设时间内获取的初始日志数据按照资源标识符进行分类，以得到各所述资源标识符各自对应的日志数据；

对目标资源标识符的日志数据进行统计得到行为特征信息；其中，所述目标资源标识符为所有所述资源标识符中的任意一个资源标识符；所述行为特征信息包括资源信息；

基于所述行为特征信息确定所述目标资源标识符对应的通信是否为webshell通信。

可选地，所述行为特征信息还包括访问源地址的类型及数量；其中，所述访问源地址的类型包括内网源地址和外网源地址；

所述基于所述行为特征信息确定所述目标资源标识符对应的通信是否为webshell通信包括：

基于所述资源信息、所述访问源地址的类型及数量确定所述目标资源标识符对应的通信是否为webshell通信。

可选地，所述基于所述资源信息、所述访问源地址的类型及数量确定所述目标资源标识符对应的通信是否为webshell通信包括：

在所述资源信息满足预设的资源加载条件的情况下，判断所有所述访问源地址是否均为外网源地址；

若所有所述访问源地址均为外网源地址，则判定所述目标资源标识符对应的通信为webshell通信；

若所有所述访问源地址不均为外网源地址，则判断所有所述访问源地址中内网源地址的个数是否小于预设阈值；

若所有所述访问源地址中内网源地址的个数小于预设阈值，则判定所述目标资源标识符对应的通信为webshell通信。

可选地，所述行为特征信息还包括页面信息和访问信息；