[发明专利]webshell攻击识别装置及方法

权利要求书

1.一种webshell攻击识别方法，其特征在于，包括：

获取目标网页上的网页数据；

基于静态特征库和代码特征库对网页数据进行扫描；

在扫描结果中存在匹配结果时，获取所述目标网页的行为数据；

基于行为特征库对所述行为数据进行扫描；

在所述扫描结果中存在命中结果时，确定所述目标网页上存在webshell攻击。

2.如权利要求1所述的方法，其特征在于，还包括：

在所述目标网页上存在webshell攻击时，对所述目标网页进行拦截并生成警告信息。

3.如权利要求1所述的方法，其特征在于，还包括：

基于对多个网页的网页数据中webshell数据的分析建立所述静态特征库；

基于对多个网页的网页数据中加密webshell数据的分析建立所述代码特征库；

基于对多个网页的网页数据中行为数据的分析建立所述行为特征库。

4.如权利要求1所述的方法，其特征在于，获取目标网页上的网页数据，包括：

获取多个网页的网页标识；

将所述网页标识和黑名单、白名单中的网页标识进行比对以确定所述目标网页。

5.如权利要求4所述的方法，其特征在于，将所述网页标识和黑名单、白名单中的网页标识进行比对以确定所述目标网页，包括：

当所述网页标识不在黑名单中且不在白名单时，确定所述网页为目标网页。

6.如权利要求3所述的方法，其特征在于，基于对多个网页的网页数据中webshell数据的分析建立所述静态特征库，包括：

获取多个网页的网页数据中webshell数据；

对所述webshell数据进行特征提取生成静态特征数据；

基于静态特征数据生成所述静态特征库。

7.如权利要求3所述的方法，其特征在于，基于对多个网页的网页数据中加密webshell数据的分析建立所述代码特征库，包括：

获取多个网页的网页数据中加密webshell数据；

将所述加密webshell数据转换为opcode文件；

通过自然语言处理技术提取所述opcode文件中的代码特征数据；

基于所述代码特征数据生成所述代码特征库。

8.如权利要求7所述的方法，其特征在于，通过自然语言处理技术提取所述opcode文件中的代码特征数据，包括：

将所述opcode文件中的数据转换为多个词向量；

根据所述opcode文件中的数据的深度和次数确定多个词向量的权重；

基于所述权重由所述多个词向量中提取所述代码特征数据。

9.如权利要求3所述的方法，其特征在于，基于对多个网页的网页数据中行为数据的分析建立所述行为特征库，包括：

获取满足预设条件的多个网页的网页数据中行为数据；

对所述行为数据进行特征提取以生成行为特征数据；

基于所述行为特征数据生成所述行为特征库。

10.一种webshell攻击识别装置，其特征在于，包括：

数据模块，用于获取目标网页上的网页数据；

特征模块，用于基于静态特征库和代码特征库对网页数据进行扫描；

行为模块，用于在扫描结果中存在匹配结果时，获取所述目标网页的行为数据；

扫描模块，用于基于行为特征库对所述行为数据进行扫描；

攻击模块，用于在所述扫描结果中存在命中结果时，确定所述目标网页上存在webshell攻击。