本發明涉及一種基于流量的webshell的檢測方法，所述檢測方法是對同一網站產生的流量進行webshell檢測，包括以下步驟：建立訓練模型，按照url+參數的模式對訓練流量進行分組，分析出每組url+參數的屬性，以得到每組訓練流量的url+參數實體及其模式畫像；進行檢測，檢測已建立訓練模型的網站，按照url+參數的模式對待檢測流量進行分組，將所有待檢測流量的url+參數與所有訓練流量的url+參數進行比較，若有url相同參數不同的待檢測流量，則分別判斷該情況下各條待檢測流量的統計分值、相似度分值和可疑度，以檢測出含有webshell的異常流量，并對異常流量進行降低誤報處理。本發明實現了建立基于流量的webshell訓練模型，能根據訓練模型進行檢測，并準確有效的檢測出誤報較低的待移除流量。

技術領域

本發明涉及網絡安全技術領域，特別涉及一種基于流量的webshell的檢測方法。

背景技術

隨著因特網技術飛速發展和日益普及，服務器安全問題也日益嚴峻，甚至嚴重威脅到網絡服務的正常運行。因此檢測服務器的漏洞和后門以保證服務器安全至關重要。webshell常被入侵者用作對網站服務器操作的后門工具，webshell大多由網頁腳本語言編寫，和其他正常的網頁運行環境相同，服務端口相同，因此很容易穿透防火墻和逃避殺毒軟件的檢測，相對于二進制編碼的程序，webshell是純文本文件，變形簡單，腳本使用靈活，很容易將特征碼進行混淆或者隱藏，使得基于特征匹配的檢測方法很難快速準確的檢測到webshell并移除。

目前，現有檢測webshell大多數是基于規則匹配，這樣會導致大量的誤報和漏報，且對于未知類型的webshell完全無能為力。在現有產品中，基于流量的webshell檢測，由于涉及到正常樣本的提取以及特征的選擇，且單條流量又無法反映webshell本質的特征，因此現有產品中還沒有比較好的模型。另外，現有的機器模型訓練嚴重依賴樣本的好壞，但是往往好的正負樣本都是很難采集到的，例如正樣本，正樣本之間相互的差距非常大，各有各的特點，很難找到正常樣本之間的共性特征用來作為訓練特征；再例如負樣本，一方面稀有很難采集，另一方面，安全研究室自己造的數據和真實的攻擊數據流量有些差異。因此，模型特征的難以設計和提取，樣本的難以采集，導致現有的機器學習或者統計模型很難做到準確有效。另外現有技術很難做到誤報與漏報之間的雙重降低，比如為了降低漏報，多添加的規則會產生更多誤報，而為了降低誤報，則少添加一些規則，那么隨之而來就會產生更多漏報，因此現有技術很難做到對誤報和漏報的雙重控制。

因此有必要提供一種基于流量的webshell的檢測方法，以實現建立基于流量的webshell訓練模型，能根據訓練模型進行檢測，并準確有效的檢測出漏報和誤報較低的需要移除的流量。

發明內容

本發明的目的在于提供一種基于流量的webshell的檢測方法，以實現建立基于流量的webshell訓練模型，能根據訓練模型進行檢測，并準確有效的檢測出漏報和誤報較低的需要移除的流量。

為了解決現有技術中存在的問題，本發明提供了一種基于流量的webshell的檢測方法，所述檢測方法是對同一網站產生的流量進行webshell檢測，包括以下步驟：

建立訓練模型，按照url+參數的模式對訓練流量進行分組，所述參數為所述訓練流量的訪問key值，分析出每組url+參數的屬性，以得到每組訓練流量的url+參數實體，并根據每組訓練流量的url+參數實體得到每組訓練流量的模式畫像，以得到訓練模型；由各條訓練流量之間的跳轉關系得到各組url+參數之間的跳轉關系，從而得到各組url+參數的圖模型，所有的圖模型構成跳轉模型圖；