[发明专利]WebShell检测方法、电子装置和计算机可读存储介质

说明书

本申请涉及一种WebShell检测方法、电子装置和计算机可读存储介质。其中，该方法包括：获取与待检测文件交互的流量数据，流量数据包括数据包序列；提取数据包序列中各数据包的有效载荷并转换为张量数据，得到张量数据序列；使用经训练的卷积神经网络提取张量数据序列中各张量数据的空间特征，得到用于表征各数据包的空间特征的第一输出特征图序列；使用经训练的长短期记忆网络的特征提取核提取第一输出特征图序列的时间特征，得到用于表征流量数据的时空特征的第二输出特征图；根据第二输出特征图，确定流量数据的第一检测结果，第一检测结果用于表征待检测文件是否为WebShell。通过本申请，提高了WebShell的检出率。

技术领域

本申请涉及信息安全领域，尤其是涉及一种WebShell检测方法、电子装置和计算机可读存储介质。

背景技术

WebShell通常情况下都是事先通过网站漏洞植入到网站服务器中，远程主机通过web方式访问被植入到web服务器中WebShell代码，多用于网站管理和黑客入侵。

WebShell源文件所使用的主要编程语言是PHP，ASP，JSP等，通过80或8080等端口与远程主机进行数据交互。其交互的恶意http数据混杂在正常的http数据中，不易区分。因此，一旦WebShell源文件成功被入侵者植入到服务器中，入侵者通过浏览器访问WebShell代码，就可以获取相关权限，进而控制服务器，窃取重要数据。简单来说，就是可执行的用来获取相关权限的代码。获得权限后的攻击者往往可以直接对服务器进行暴力数据删除、用户数据窃取、勒索受害者电子货币等，造成的危害性极大。

在传统的WebShell检测方法中，主要存在以下问题：

1、检测率低下，不能对WebShell文件有较好的检测效果，尤其是对于加密混淆的WebShell文件。

2、检测方法单一，传统检测手法往往单一的从文件或流量角度出发，往往不能有全方位的防范作用。

3、只能识别已知WebShell文件，传统的规则匹配往往需要人工维护，只能识别规则库中已有的WebShell文件特征，对于未知特征的WebShell文件往往出现漏报。

发明内容

本申请提供一种WebShell检测方法、电子装置和计算机可读存储介质，以解决相关技术中的WebShell检测方法容易漏报的问题。

第一方面，本实施例提供了一种WebShell检测方法，包括：

获取与待检测文件交互的流量数据，所述流量数据包括数据包序列；

提取所述数据包序列中各数据包的有效载荷并转换为张量数据，得到张量数据序列；

使用经训练的卷积神经网络提取所述张量数据序列中各张量数据的空间特征，得到用于表征各数据包的空间特征的第一输出特征图序列；

使用经训练的长短期记忆网络的特征提取核提取所述第一输出特征图序列的时间特征，得到用于表征所述流量数据的时空特征的第二输出特征图；

根据所述第二输出特征图，确定所述流量数据的第一检测结果，所述第一检测结果用于表征所述待检测文件是否为WebShell。

在其中的一些实施例中，使用经训练的卷积神经网络提取所述张量数据序列中各张量数据的空间特征，得到用于表征各数据包的空间特征的第一输出特征图序列包括：

使用经训练的卷积神经网络提取所述张量数据序列中各张量数据的空间特征，得到第三输出特征图序列；

将所述第三输出特征图序列中各第三输出特征图的特征维度进行重排，得到所述第一输出特征图序列，其中，所述第一输出特征图序列中各第一输出特征图的特征维度与经训练的长短期记忆网络的输入特征图的特征维度相同。

在其中的一些实施例中，提取所述数据包序列中各数据包的有效载荷并转换为张量数据，得到张量数据序列包括：