本申請(qǐng)?zhí)峁┝艘环NWebshell檢測(cè)方法、電子設(shè)備和計(jì)算機(jī)存儲(chǔ)介質(zhì)，屬于計(jì)算機(jī)信息安全技術(shù)領(lǐng)域。所述方法包括：根據(jù)規(guī)約模型，刪除path中的無(wú)效字符串，得到標(biāo)準(zhǔn)化的path；根據(jù)標(biāo)準(zhǔn)化的path，抽取Web應(yīng)用日志的頁(yè)面特征，進(jìn)而對(duì)Web應(yīng)用日志進(jìn)行Webshell檢測(cè)。本申請(qǐng)根據(jù)規(guī)約模型刪除path中的無(wú)效字符串，得到標(biāo)準(zhǔn)化的path；根據(jù)標(biāo)準(zhǔn)化的path，抽取頁(yè)面特征，進(jìn)而進(jìn)行Webshell檢測(cè)，實(shí)現(xiàn)了根據(jù)規(guī)約模型選擇標(biāo)準(zhǔn)字符串，將涉及同一頁(yè)面的path標(biāo)準(zhǔn)化為相同的path，進(jìn)而基于path的不同抽取頁(yè)面特征，進(jìn)行Webshell檢測(cè)，不僅具有通用性，而且降低誤報(bào)率和漏報(bào)率。

技術(shù)領(lǐng)域

本申請(qǐng)涉及計(jì)算機(jī)信息安全技術(shù)領(lǐng)域，尤其涉及Webshell檢測(cè)方法、電子設(shè)備和計(jì)算機(jī)存儲(chǔ)介質(zhì)。

背景技術(shù)

Webshell是一種網(wǎng)站應(yīng)用后門程序，是網(wǎng)站應(yīng)用比較嚴(yán)重的安全威脅，黑客可以利用Webshell長(zhǎng)期獲得網(wǎng)站應(yīng)用的訪問(wèn)權(quán)限，并且可以利用存在Webshell的應(yīng)用服務(wù)器作為跳板機(jī)進(jìn)一步滲透內(nèi)網(wǎng)。因此，防護(hù)Webshell攻擊對(duì)于網(wǎng)站應(yīng)用安全以及內(nèi)網(wǎng)安全十分重要。

Webshell傳統(tǒng)檢測(cè)方法主要分為兩種：

1.靜態(tài)檢測(cè)：靜態(tài)特征檢測(cè)是指針對(duì)Webshell中可能使用的關(guān)鍵詞、高危函數(shù)、文件修改的時(shí)間、文件之間的關(guān)聯(lián)關(guān)系等靜態(tài)屬性維度進(jìn)行規(guī)則匹配。檢測(cè)過(guò)程需要建立一個(gè)包含各種規(guī)則的Webshell特征庫(kù)，如：“關(guān)鍵字：大馬|小馬|木馬|webshell”，“高危函數(shù)：eval()、excute()、run()、exec()、phpinfo()”，“WEB文件修改時(shí)間”，“文件與文件之間的關(guān)聯(lián)關(guān)系”等特征。通過(guò)將文件自身的關(guān)鍵字、高危函數(shù)、修改時(shí)間、文件與文件之間是否有關(guān)聯(lián)等特征與webshell特征庫(kù)中的規(guī)則進(jìn)行匹配，若命中特征則視為該文件為Webshell。

2.動(dòng)態(tài)檢測(cè)：黑客為了避免Webshell被靜態(tài)檢測(cè)方法直接識(shí)別到，開(kāi)發(fā)了采用加密方式繞過(guò)部分靜態(tài)特征檢測(cè)的變種Webshell。為了彌補(bǔ)靜態(tài)檢測(cè)方法對(duì)此類Webshell檢測(cè)能力的不足，便有了Webshell動(dòng)態(tài)檢測(cè)方法。動(dòng)態(tài)檢測(cè)首先提取鏡像流量，然后解析出流量中的Web應(yīng)用腳本文件(jsp、php、asp、cgi、jspx、aspx等)，最后檢測(cè)Web應(yīng)用請(qǐng)求訪問(wèn)的Web應(yīng)用腳本文件是否采用了加密混淆技術(shù)、Web應(yīng)用請(qǐng)求是否命中Webshell請(qǐng)求特征庫(kù)等規(guī)則，從而判斷該Web腳本文件是否為Webshell。

現(xiàn)有的靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)對(duì)Webshell檢測(cè)都具有一定的效果，但由于技術(shù)原因又存在了諸多不足之處。例如：靜態(tài)檢測(cè)過(guò)于依賴規(guī)則，容易出現(xiàn)誤報(bào)的情況，且無(wú)法檢測(cè)出加密或偽裝過(guò)的Webshell，會(huì)出現(xiàn)漏報(bào)的情況。動(dòng)態(tài)檢測(cè)也過(guò)多的依賴于規(guī)則，存在誤報(bào)率高的問(wèn)題，同時(shí)動(dòng)態(tài)檢測(cè)時(shí)需要獲取網(wǎng)絡(luò)鏡像流量及解析出流量中的Web請(qǐng)求，這就需要服務(wù)器具有較高的運(yùn)算性能，同時(shí)Web請(qǐng)求解析也需要準(zhǔn)確，所以動(dòng)態(tài)檢測(cè)雖然相對(duì)于靜態(tài)檢測(cè)在漏報(bào)率上效果會(huì)好一些，但檢測(cè)成本會(huì)成倍提高。

發(fā)明內(nèi)容

為解決上述問(wèn)題，本申請(qǐng)實(shí)施例提出了一種Webshell檢測(cè)方法、電子設(shè)備和計(jì)算機(jī)存儲(chǔ)介質(zhì)。

第一方面，本申請(qǐng)實(shí)施例提供了Webshell檢測(cè)方法，所述方法包括：

獲取Web應(yīng)用日志中的第一路徑path，所述第一path由至少一個(gè)第一字符串組成；

根據(jù)預(yù)先由字符串聚類得到的規(guī)約模型，刪除所述第一path中的無(wú)效第一字符串，得到標(biāo)準(zhǔn)化的第一path；

根據(jù)所述標(biāo)準(zhǔn)化的第一path，抽取所述Web應(yīng)用日志的頁(yè)面特征；

根據(jù)所述頁(yè)面特征，對(duì)所述Web應(yīng)用日志進(jìn)行Webshell檢測(cè)。

可選地，所述根據(jù)預(yù)先訓(xùn)練的規(guī)約模型刪除所述第一path中的無(wú)效字符串，得到標(biāo)準(zhǔn)化的第一path之前，還包括：