[發(fā)明專(zhuān)利]一種基于流量的webshell的檢測(cè)方法有效
| 申請(qǐng)?zhí)枺?/td> | 201910851073.4 | 申請(qǐng)日: | 2019-09-10 |
| 公開(kāi)(公告)號(hào): | CN110572397B | 公開(kāi)(公告)日: | 2022-05-24 |
| 發(fā)明(設(shè)計(jì))人: | 徐鐘豪;孟雷;謝忱 | 申請(qǐng)(專(zhuān)利權(quán))人: | 上海斗象信息科技有限公司 |
| 主分類(lèi)號(hào): | H04L9/40 | 分類(lèi)號(hào): | H04L9/40 |
| 代理公司: | 上海翰信知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 31270 | 代理人: | 張維東 |
| 地址: | 201203 上海市浦東新區(qū)碧波路6*** | 國(guó)省代碼: | 上海;31 |
| 權(quán)利要求書(shū): | 查看更多 | 說(shuō)明書(shū): | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 流量 webshell 檢測(cè) 方法 | ||
1.一種基于流量的webshell的檢測(cè)方法,其特征在于,所述檢測(cè)方法是對(duì)同一網(wǎng)站產(chǎn)生的流量進(jìn)行webshell檢測(cè),包括以下步驟:
建立訓(xùn)練模型,按照url+參數(shù)的模式對(duì)訓(xùn)練流量進(jìn)行分組,所述參數(shù)為所述訓(xùn)練流量的訪問(wèn)key值,分析出每組url+參數(shù)的屬性,以得到每組訓(xùn)練流量的url+參數(shù)實(shí)體,并根據(jù)每組訓(xùn)練流量的url+參數(shù)實(shí)體得到每組訓(xùn)練流量的模式畫(huà)像,以得到訓(xùn)練模型;由各條訓(xùn)練流量之間的跳轉(zhuǎn)關(guān)系得到各組url+參數(shù)之間的跳轉(zhuǎn)關(guān)系,從而得到各組url+參數(shù)的圖模型,所有的圖模型構(gòu)成跳轉(zhuǎn)模型圖;
進(jìn)行檢測(cè),檢測(cè)已建立訓(xùn)練模型的網(wǎng)站,按照url+參數(shù)的模式對(duì)待檢測(cè)流量進(jìn)行分組,所述參數(shù)為所述待檢測(cè)流量的訪問(wèn)key值,分析出每組url+參數(shù)的屬性,以得到每組待檢測(cè)流量的url+參數(shù)實(shí)體,將所有待檢測(cè)流量的url+參數(shù)與所有訓(xùn)練流量的url+參數(shù)進(jìn)行比較,若有url相同但是參數(shù)不同的待檢測(cè)流量,則分別計(jì)算該情況下各條待檢測(cè)流量的統(tǒng)計(jì)分值和相似度分值,分別預(yù)設(shè)統(tǒng)計(jì)分值的閾值和相似度分值的閾值,將同一相同url+不同參數(shù)所對(duì)應(yīng)的各條待檢測(cè)流量的統(tǒng)計(jì)分值和相似度分值與預(yù)設(shè)的各閾值進(jìn)行比較判斷,若其統(tǒng)計(jì)分值低于統(tǒng)計(jì)分值的閾值,且相似度分值低于相似度分值的閾值,則統(tǒng)計(jì)分值和相似度分值都不合格,接著進(jìn)行可疑度判斷,檢測(cè)出含有webshell的異常流量,否則不進(jìn)行可疑度計(jì)算,確認(rèn)該條待檢測(cè)流量為正常的流量,將異常流量進(jìn)行降低誤報(bào)處理,得到待移除的流量和正常的流量。
2.如權(quán)利要求1所述的基于流量的webshell的檢測(cè)方法,其特征在于,與訓(xùn)練流量相比,待檢測(cè)流量具有相同url和不同參數(shù)時(shí),計(jì)算統(tǒng)計(jì)分值包括以下步驟:
抽取同一相同url+不同參數(shù)所對(duì)應(yīng)的該組待檢測(cè)流量及其統(tǒng)計(jì)特征,所述統(tǒng)計(jì)特征包括出度、入度、訪問(wèn)IP多樣性以及useragent多樣性,統(tǒng)計(jì)分值的計(jì)算公式為:
其中T為抽取的該組待檢測(cè)流量中各條待檢測(cè)流量的統(tǒng)計(jì)分值,T1,T2…T4為各統(tǒng)計(jì)特征的特征值。
3.如權(quán)利要求2所述的基于流量的webshell的檢測(cè)方法,其特征在于,T1,T2…T4為各統(tǒng)計(jì)特征的特征值,各特征值的計(jì)算公式為:
Ta=1-e(-x),
其中,Ta為各統(tǒng)計(jì)特征中任一統(tǒng)計(jì)特征的特征值,a為特征值的序號(hào)1、2、3、 4,e為常數(shù),x為抽取的該組待檢測(cè)流量的出度的個(gè)數(shù)、入度的個(gè)數(shù)、訪問(wèn)IP多樣性的個(gè)數(shù)或useragent多樣性的個(gè)數(shù)。
4.如權(quán)利要求3所述的基于流量的webshell的檢測(cè)方法,其特征在于,
在抽取的該組待檢測(cè)流量中,若從待檢測(cè)流量跳轉(zhuǎn)向訓(xùn)練流量,則記錄該條待檢測(cè)流量具有一個(gè)出度;
在抽取的該組待檢測(cè)流量中,若從訓(xùn)練流量跳轉(zhuǎn)向待檢測(cè)流量,則記錄該條待檢測(cè)流量具有一個(gè)入度;
統(tǒng)計(jì)抽取的該組待檢測(cè)流量中所有待檢測(cè)流量的出度的個(gè)數(shù)和入度的個(gè)數(shù)。
5.如權(quán)利要求1所述的基于流量的webshell的檢測(cè)方法,其特征在于,與訓(xùn)練流量相比,待檢測(cè)流量具有相同url和不同參數(shù)時(shí),計(jì)算相似度分值包括以下步驟:
抽取同一相同url+不同參數(shù)所對(duì)應(yīng)的該組待檢測(cè)流量,獲取訓(xùn)練模型中和該組待檢測(cè)流量的url相同的至少一組訓(xùn)練流量;
相似度分值的計(jì)算公式為:其中D為抽取的該組待檢測(cè)流量中各條待檢測(cè)流量的相似度分值,S1,S2…Sz為抽取的該組待檢測(cè)流量分別與獲取的各組訓(xùn)練流量之間的相似值,z為獲取的訓(xùn)練流量的組數(shù)。
該專(zhuān)利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專(zhuān)利權(quán)人授權(quán)。該專(zhuān)利全部權(quán)利屬于上海斗象信息科技有限公司,未經(jīng)上海斗象信息科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買(mǎi)此專(zhuān)利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910851073.4/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專(zhuān)利網(wǎng)。
- 同類(lèi)專(zhuān)利
- 專(zhuān)利分類(lèi)
- 一種WebShell的檢測(cè)方法及系統(tǒng)
- WebShell檢測(cè)方法及裝置
- 一種基于模型融合的webshell檢測(cè)方法
- 基于RASP提取webshell軟件基因進(jìn)行webshell檢測(cè)的方法
- 一種webshell檢測(cè)方法以及裝置
- webshell流量數(shù)據(jù)聚類(lèi)分析方法以及控制器和介質(zhì)
- 一種遠(yuǎn)程精準(zhǔn)識(shí)別WebShell后門(mén)的方法
- 基于Relief算法的webshell檢測(cè)方法及裝置
- 一種基于數(shù)據(jù)流的Webshell靜態(tài)檢測(cè)方法及電子設(shè)備
- 一種基于圖像分析的Webshell檢測(cè)方法、終端設(shè)備及存儲(chǔ)介質(zhì)
- 檢測(cè)裝置、檢測(cè)方法和檢測(cè)組件
- 檢測(cè)方法、檢測(cè)裝置和檢測(cè)系統(tǒng)
- 檢測(cè)裝置、檢測(cè)方法以及記錄介質(zhì)
- 檢測(cè)設(shè)備、檢測(cè)系統(tǒng)和檢測(cè)方法
- 檢測(cè)芯片、檢測(cè)設(shè)備、檢測(cè)系統(tǒng)和檢測(cè)方法
- 檢測(cè)裝置、檢測(cè)設(shè)備及檢測(cè)方法
- 檢測(cè)芯片、檢測(cè)設(shè)備、檢測(cè)系統(tǒng)
- 檢測(cè)組件、檢測(cè)裝置以及檢測(cè)系統(tǒng)
- 檢測(cè)裝置、檢測(cè)方法及檢測(cè)程序
- 檢測(cè)電路、檢測(cè)裝置及檢測(cè)系統(tǒng)
