[发明专利]WebShell检测方法、电子装置和计算机可读存储介质

权利要求书

1.一种WebShell检测方法，其特征在于，包括：

获取与待检测文件交互的流量数据，所述流量数据包括数据包序列；

提取所述数据包序列中各数据包的有效载荷并转换为张量数据，得到张量数据序列；

使用经训练的卷积神经网络提取所述张量数据序列中各张量数据的空间特征，得到用于表征各数据包的空间特征的第一输出特征图序列；

使用经训练的长短期记忆网络的特征提取核提取所述第一输出特征图序列的时间特征，得到用于表征所述流量数据的时空特征的第二输出特征图；

根据所述第二输出特征图，确定所述流量数据的第一检测结果，所述第一检测结果用于表征所述待检测文件是否为WebShell。

2.根据权利要求1所述的方法，其特征在于，使用经训练的卷积神经网络提取所述张量数据序列中各张量数据的空间特征，得到用于表征各数据包的空间特征的第一输出特征图序列包括：

使用经训练的卷积神经网络提取所述张量数据序列中各张量数据的空间特征，得到第三输出特征图序列；

将所述第三输出特征图序列中各第三输出特征图的特征维度进行重排，得到所述第一输出特征图序列，其中，所述第一输出特征图序列中各第一输出特征图的特征维度与经训练的长短期记忆网络的输入特征图的特征维度相同。

3.根据权利要求1所述的方法，其特征在于，提取所述数据包序列中各数据包的有效载荷并转换为张量数据，得到张量数据序列包括：

对于所述数据包序列中的每个数据包，将所述数据包的有效载荷映射为具有预设长宽的八位灰度图像，并将所述八位灰度图像转换为二维的张量数据，其中，所述数据包的有效载荷中每个字节被映射为八位灰度图像中的一个像素，该像素的灰度值为该字节所表征的数值。

4.根据权利要求1所述的方法，其特征在于，所述待检测文件为PHP脚本；在获取流量数据，所述流量数据包括数据包序列之前，所述方法还包括：

采用PHP扩展插件VLD提取所述PHP脚本的Opcode码；

使用基于深度学习的第一语义检测模型对所述Opcode码进行语义检测，得到所述PHP脚本的第二检测结果，其中，所述第二检测结果表征所述PHP脚本属于WebShell的第一置信度；

当所述第一置信度小于第一预设值的情况下，基于所述流量数据获取所述PHP脚本的所述第一检测结果。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

当所述第一置信度不小于所述第一预设值的情况下，确定所述PHP脚本为WebShell。

6.根据权利要求1至5中任一项所述的方法，其特征在于，所述方法还包括：

提取所述待检测文件的源码的静态特征，并将所述静态特征进行归一化处理；

使用基于深度学习的第二语义检测模型对归一化的静态特征进行源码语义检测，得到所述待检测文件的第三检测结果，其中，所述第三检测结果表征所述待检测文件属于WebShell的第二置信度；

当所述第二置信度小于第二预设值的情况下，基于所述流量数据获取所述待检测文件的所述第一检测结果，和/或基于Opcode码获取所述待检测文件的所述第二检测结果。

7.根据权利要求6所述的方法，其特征在于，所述第二语义检测模型包括基于Text CNN的源码检测模型和基于二分类网络的特征检测模型；使用基于深度学习的第二语义检测模型对归一化的静态特征进行源码语义检测，得到所述待检测文件的第三检测结果包括：

使用所述源码检测模型对所述待检测文件的部分或者全部的源码进行语义识别，获得第四检测结果；

使用所述特征检测模型对归一化的静态特征进行特征分类，获得第五检测结果；

合并所述第四检测结果和所述第五检测结果，得到所述待检测文件的所述第三检测结果。

8.根据权利要求6所述的方法，其特征在于，在提取所述待检测文件的源码的静态特征之前，所述方法还包括：

对所述待检测文件的源码进行代码清洗，以去除无效字符。