本發明實施例公開了一種Webshell文件檢測方法、裝置、電子設備及存儲介質，用以提高Webshell文件檢測的準確率，該方法包括：將待檢測的文件對應的第一字符串拆分為多個第一詞組；確定每個第一詞組在所述第一字符串中出現的次數，以及所述文件的總詞組數；針對每個第一詞組，根據該第一詞組在所述第一字符串中出現的次數，及所述文件的總詞組數，確定該第一詞組的第一參數；并根據保存的樣本文件數及所述文件，確定文件總數量，根據所述文件總數量，及包含該第一詞組的文件數量，確定該第一詞組的第二參數；根據預設的矩陣中每個預測詞組的位置，確定所述文件對應的目標矩陣；將所述目標矩陣輸入到預先訓練完成的XGBoost模型中，確定所述文件是否為Webshell文件。

技術領域

本發明涉及信息安全領域技術領域，尤其涉及一種Webshell文件檢測方法、裝置、電子設備及存儲介質。

背景技術

Webshell是一種以ASP、PHP和JSP等網頁文件形式存在的命令執行環境。入侵者可以通過XSS、sql注入等手段獲得上傳權限，再將包含Webshell的網頁文件上傳至服務器，之后入侵者可以訪問該網頁文件，通過Webshell獲得更高的權限，以達到控制服務器的目的。

根據Webshell的大小和功能，可以將Webshell分成大馬、小馬和一句話木馬。大馬功能全面，一般包括提權命令、數據庫連接、磁盤管理等功能，入侵者可以進行文件和數據庫的刪除和修改，或執行一些命令等；小馬體積小、隱蔽性強，所擁有的功能較少，通常只能用于文件上傳以及為數據庫提權；一句話木馬是指僅由一行代碼完成的可動態接收腳本指令并執行的腳本木馬，多用于代碼執行一些關鍵函數，由于該木馬通常被插入原有的正常文件中，代碼量極小，因而隱蔽性強，不易被檢測發現。

傳統的Webshell文件檢測方法包括：靜態分析、動態分析和日記分析。靜態分析在腳本運行前進行，通過匹配文件中的特征碼字符串，如常見惡意代碼塊、高危函數名eval、system等，檢測惡意腳本；動態分析在腳本運行時進行，通過分析腳本執行過程中的動態特性檢測惡意腳本，如分析eval執行上下文、文件讀寫操作、網絡流量等動態行為；日記分析在腳本運行后進行，主要通過分析Web服務器日志文件檢測惡意腳本，如利用頁面請求特征、訪問統計特征和頁面關聯特征等進行檢測。

傳統的Webshell文件檢測方法易受到代碼注釋法、代碼混淆法等逃逸方法的影響，存在誤報率、漏報率高的問題，因此，如何能夠有效地提高Webshell文件的檢測準確率是一個亟待解決的問題。

發明內容

本發明實施例提供了一種Webshell文件檢測方法、裝置、電子設備及存儲介質，用以有效地提高Webshell文件的檢測準確率。

本發明實施例提供了一種Webshell文件檢測方法，所述方法包括：

將待檢測的文件對應的第一字符串拆分為多個第一詞組，其中每個第一詞組包括至少兩個單詞；

確定每個第一詞組在所述第一字符串中出現的次數，以及所述文件的總詞組數；

針對每個第一詞組，根據該第一詞組在所述第一字符串中出現的次數，及所述文件的總詞組數，確定該第一詞組的第一參數；并根據保存的樣本文件數及所述文件，確定文件總數量，根據所述文件總數量，及包含該第一詞組的文件數量，確定該第一詞組的第二參數；

根據預設的矩陣中每個預測詞組的位置，確定所述文件對應的目標矩陣，其中所述目標矩陣中與所述每個預測詞組對應的該第一詞組處的第一數值，根據所述第一參數和所述第二參數確定；

將所述目標矩陣輸入到預先訓練完成的XGBoost模型中，確定所述文件是否為Webshell文件。

進一步地，所述XGBoost模型的訓練過程包括：