[发明专利]webshell攻击识别装置及方法

说明书

本公开涉及一种webshell攻击识别方法、装置、电子设备及计算机可读介质。该方法包括：获取目标网页上的网页数据；基于静态特征库和代码特征库对网页数据进行扫描；在扫描结果中存在匹配结果时，获取所述目标网页的行为数据；基于行为特征库对所述行为数据进行扫描；在所述扫描结果中存在命中结果时，确定所述目标网页上存在webshell攻击。本申请涉及的webshell攻击识别方法、装置、电子设备及计算机可读介质，能够对webshell攻击进行快速、有效、准确的识别，在保证识别准确度的前提下，提高了识别效率，压缩了识别时间，提升了用户体验。

技术领域

本公开涉及计算机信息处理领域，具体而言，涉及一种webshell攻击识别方法、装置、电子设备及计算机可读介质。

背景技术

当前，随着互联网的不断发展，网络安全问题也受到越来越多的关注，而webshell作为网络攻击者的一种重要攻击手段也成为了网络安全领域的研究热点。webshell实际上就是一段代码，这段代码被攻击者用来实现恶意攻击的目的，所以在对webshell进行检测时，一般是从两个角度入手的，一是将webshell当成是一段代码，对这段代码进行静态分析，找出不同的webshell代码中的共同点，再将这些共同点提炼出来作为识别待检测的代码的特征。但是这种方法有着很明显的缺陷就是在提取特征这一步非常的依赖于研究者的经验，并且当前极大多数的webshell编写者为了绕过检测采用了混淆加密编码的方式。这使得这种检测方式极有可能带来漏报。另一种方式就是对这段代码在网络中的执行情况进行检测，通过对代码执行时的数据流进行分析来判断是否是webshell。但是这样的方法同样也有着其不足之处。目前，研究者们将热门的机器学习的方法引入网络安全领域，使用机器学习的模型和算法来检测webshell，但是这些方法往往会伴随着效率低，误报率高的情况出现。

因此，需要一种新的webshell攻击识别方法、装置、电子设备及计算机可读介质。

在所述背景技术部分公开的上述信息仅用于加强对本申请的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

有鉴于此，本申请提供一种webshell攻击识别方法、装置、电子设备及计算机可读介质，能够对webshell攻击进行快速、有效、准确的识别，在保证识别准确度的前提下，提高了识别效率，压缩了识别时间，提升了用户体验。

本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

根据本申请的一方面，提出一种webshell攻击识别方法，该方法包括：获取目标网页上的网页数据；基于静态特征库和代码特征库对网页数据进行扫描；在扫描结果中存在匹配结果时，获取所述目标网页的行为数据；基于行为特征库对所述行为数据进行扫描；在所述扫描结果中存在命中结果时，确定所述目标网页上存在webshell攻击。

在本申请的一种示例性实施例中，还包括：在所述目标网页上存在webshell攻击时，对所述目标网页进行拦截并生成警告信息。

在本申请的一种示例性实施例中，还包括：基于对多个网页的网页数据中webshell数据的分析建立所述静态特征库；基于对多个网页的网页数据中加密webshell数据的分析建立所述代码特征库；基于对多个网页的网页数据中行为数据的分析建立所述行为特征库。

在本申请的一种示例性实施例中，获取目标网页上的网页数据，包括：获取多个网页的网页标识；将所述网页标识和黑名单、白名单中的网页标识进行比对以确定所述目标网页。

在本申请的一种示例性实施例中，将所述网页标识和黑名单、白名单中的网页标识进行比对以确定所述目标网页，包括：当所述网页标识不在黑名单中且不在白名单时，确定所述网页为目标网页。