本發(fā)明涉及通信領(lǐng)域，特別涉及了一種解析Webshell入侵原因的方法及裝置，用以提高Webshell入侵原因的分析效率以及提高分析準(zhǔn)確度。該方法為：將待分析的Webshell文件，與關(guān)聯(lián)的訪問日志中記錄的每一條訪問數(shù)據(jù)進行匹配，確定Webshell文件與至少一條訪問數(shù)據(jù)匹配成功時，對該至少一條訪問數(shù)據(jù)進行解析，確定入侵原因。由于訪問日志包含的訪問數(shù)據(jù)中記錄有大量的用戶訪問行為，因此，可以基于這些用戶訪問行為，準(zhǔn)確分析出導(dǎo)致Webshell入侵的原因。這樣，不但提高了分析效率，同時也提高了分析準(zhǔn)確度，也減少了對特征庫的依賴性。

技術(shù)領(lǐng)域

本申請涉及通信領(lǐng)域，特別涉及一種解析Webshell入侵原因的方法及裝置。

背景技術(shù)

黑客在入侵了一個網(wǎng)站之后，通常會在服務(wù)器上留下一些后門文件，然后使用瀏覽器訪問這些后門文件，從而達到控制服務(wù)器的目的，這些后門文件通常被稱為網(wǎng)頁后門(Webshell)。因此，針對Webshell分析入侵成功的原因,有助于制定相應(yīng)的規(guī)則進行及時檢測以及攔截。

現(xiàn)有的分析方案分為以下兩種：

第一種方案：將篩選出的被植入Webshell的主機的訪問日志，與已有的特征庫進行匹配，根據(jù)匹配結(jié)果確定入侵原因。

例如，將主機的訪問日志與已有的Webshell特征庫進行匹配，若訪問日志中的某條記錄滿足某種特征，即可判定主機被Webshell入侵是由于上述某種特征對應(yīng)的漏洞造成的。

如，Webshell特征庫里保存的一條記錄是漏洞a，漏洞a的特征是URL包含xxx.php，那么，分析被植入Webshell的主機在一段時間范圍內(nèi)的訪問日志，若訪問日志中記錄的一條URL里包含了xxx.php，那么可以判斷這個主機是由于存在a漏洞導(dǎo)致的被入侵成功。

然而，采用第一種方案，匹配方式較單一，分析成功率取決于特征庫的豐富程度，若特征庫更新不及時，則無法分析出特征庫中不包含的入侵方式，導(dǎo)致分析成功率低下。

第二種方案：由人工憑經(jīng)驗對一個一個的Webshell網(wǎng)頁進行入侵原因分析。

然而，采用個人經(jīng)驗和精力有限，導(dǎo)致分析效率低下以及分析準(zhǔn)確度不高。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種解析Webshell入侵原因的方法及裝置。用以提高Webshell入侵原因的分析效率以及提高分析準(zhǔn)確度。

本發(fā)明實施例提供的具體技術(shù)方案如下：

一種解析Webshell入侵原因的方法，包括：

獲取待分析的Webshell文件，以及獲取與所述Webshell文件關(guān)聯(lián)的訪問日志；

將所述Webshell文件，分別與所述訪問日志中記錄的每一條訪問數(shù)據(jù)進行匹配，獲得匹配結(jié)果；

根據(jù)匹配結(jié)果確定所述Webshell文件與至少一條訪問數(shù)據(jù)匹配成功時，對所述至少一條訪問數(shù)據(jù)進行解析，確定入侵原因。

較佳的，獲取待分析的Webshell文件之后，在獲取與所述Webshell文件關(guān)聯(lián)的訪問日志之前，進一步執(zhí)行以下操作中的任意一種或任意組合：

將所述Webshell文件與預(yù)設(shè)的特征庫進行匹配，并確定匹配未成功，其中，所述特征庫用于記錄Webshell特征和入侵原因之間的關(guān)聯(lián)關(guān)系；

對與所述Webshell文件相關(guān)聯(lián)的服務(wù)器的登陸日志進行檢測，確定未存在非法登陸行為；

確定在已分析成功的Webshell案例中，不存在與所述Webshell文件相同的Webshell案例。

較佳的，獲取與所述Webshell文件關(guān)聯(lián)的訪問日志，包括：