本發明提供了一種網頁入侵腳本攻擊工具的檢測方法及服務器，其方法包括：獲取預設時間段內受保護站點下各網頁的網頁出入度值；根據網頁出入度值，確定包含疑似網頁入侵腳本攻擊工具webshell文件的候選集合；根據預設特征行為，確定候選集合中的webshell文件。本發明通過對受保護站點下各網頁的網頁出入度進行預檢，確定一部分疑似webshell文件的候選集合，以降低文件檢測的計算量，再通過預設特征行為檢測對疑似webshell文件進行再次驗證以確定候選集合中的webshell文件，提高webshell文件識別的準確率。

技術領域

本發明涉及通信技術領域，尤其涉及一種網頁入侵腳本攻擊工具的檢測方法及服務器。

背景技術

網頁入侵腳本攻擊工具(webshell)是以動態服務器頁面(Active Server Pages，asp)、超文本預處理器(PHP:Hypertext Preprocessor，php)和java服務器頁面(JavaServer Pages，jsp)等網頁文件形式存在的一種命令執行環境，也可以將其稱為一種網頁后門。黑客可以通過入侵網站或非法上傳等方式，將需要的木馬后門放置在服務器上與正常的頁面文件混在一起，通過瀏覽器來訪問或者通過相關的工具進行訪問，得到一個命令執行環境，以達到控制網站服務器的目的。

目前，現有的webshell檢測技術主要有基于主機的文件檢測和基于網絡數據流的行為檢測。其中，基于主機的文件檢測是對所有腳本文件進行檢測，并匹配異常信息，這種方法計算量大、效率低下，且不易檢測變種木馬，從而漏、誤報率較高。而基于網絡數據流的行為檢測是采集檢測對象的流量，并匹配行為特征，這種方法計算簡單，但比較依賴于特征庫，且由于是基于網絡數據流所以會涉及全局文件，因此對于一些正常文件調用高危函數也會被匹配到，因此誤報率較高。

發明內容

本發明提供一種網頁入侵腳本攻擊工具的檢測方法及服務器，解決了現有技術中網頁入侵腳本攻擊工具的檢測方法計算量大且誤報率高的問題。

本發明的實施例提供一種網頁入侵腳本攻擊工具的檢測方法，包括：

獲取預設時間段內受保護站點下各網頁的網頁出入度值；

根據網頁出入度值，確定包含疑似網頁入侵腳本攻擊工具webshell文件的候選集合；

根據預設特征行為，確定候選集合中的webshell文件。

本發明的實施例還提供了一種服務器，包括：

第一獲取模塊，用于獲取預設時間段內受保護站點下各網頁的網頁出入度值；

第一處理模塊，用于根據網頁出入度值，確定包含疑似網頁入侵腳本攻擊工具webshell文件的候選集合；

第二處理模塊，用于根據預設特征行為，確定候選集合中的webshell文件。

本發明的實施例還提供了一種服務器，包括：處理器；與處理器相連接的存儲器，以及與處理器相連接的收發機；其中，處理器用于調用并執行存儲器中所存儲的計算機程序，處理器執行計算機程序時實現上述網頁入侵腳本攻擊工具的檢測方法的步驟。

本發明的實施例還提供了一種計算機存儲介質，其上存儲有計算機指令，該指令并處理器執行時實現上述網頁入侵腳本攻擊工具的檢測方法的步驟。

本發明的上述技術方案的有益效果是：通過對受保護站點下各網頁的網頁出入度進行預檢，確定一部分疑似webshell文件的候選集合，以降低文件檢測的計算量，再通過預設特征行為檢測對疑似webshell文件進行再次驗證以確定候選集合中的webshell文件，提高webshell文件識別的準確率。

附圖說明

圖1表示本發明實施例的網頁入侵腳本攻擊工具的檢測方法的流程示意圖；