本發明公開了一種WEBSHELL檢測方法，該方法通過獲取服務器根據所述請求數據向所述客戶端反饋的響應數據，并對響應數據進行業務流量WEBSHELL特征識別。為提升檢測的精準度，也可以同時根據請求數據以及響應數據進行WEBSHELL特征識別，實現客戶端與服務器交互時的雙方向檢測。該種WEBSHELL檢測方式通過結合WEBSHELL響應特征進行WEBSHELL識別，具備較強的檢出能力和泛化能力和較低的誤報率，可以提升后門檢測效果。本發明還提供了一種WEBSHELL檢測裝置、計算機設備及可讀存儲介質，具有上述有益效果。

技術領域

本發明涉及網絡安全領域，特別涉及一種WEBSHELL檢測方法、裝置、計算機設備及可讀存儲介質。

背景技術

為保障網站服務器的安全性，需要對非法訪問行為進行監控。其中，WEBSHELL指以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境，是黑客對網站和主機進一步滲透的重要工具，也可以稱為一種網頁后門。非法訪問用戶在入侵了一個網站后，通常會將asp或php后門文件與網站服務器WEB目錄下正常的網頁文件混在一起，然后就可以使用瀏覽器來訪問asp或者php后門，得到一個命令執行環境，從而實現文件讀寫、數據庫查詢以及內網嗅探等操作。

訪問WebShell后門產生的流量數據與正常業務的流量特征有所差異，利用此差異，目前業界主要有兩種技術來檢測WebShell后門流量：1、收集已知的WebShell工具，提取指紋特征。而只有當WebShell工具曝光后，才能提取對應的指紋，因此，此種檢測方案存在真空期，該方案總是滯后于攻擊者。而且隨著WebShell混淆加密能力的增強，新型的WebShell通信很難提取出強特征，容易造成誤報或漏報。2、提取WebShell請求流量的特征以實現檢測WebShell后門通信，但是很多的WebShell后門(特別是大馬以及加密WebShell)的請求流量與正常業務類似，不包含明顯的攻擊特征，因此基于請求數據的檢測方法檢出率不高，同時誤報率也較高。

因此，如何提升WEBSHELL識別精度，是本領域技術人員需要解決的技術問題。

發明內容

本發明的目的是提供一種WEBSHELL檢測方法，該方法對于WEBSHELL檢測準確率高，提升了后門檢測效果；本發明的另一目的是提供一種WEBSHELL檢測裝置、計算機設備及可讀存儲介質。

為解決上述技術問題，本發明提供一種WEBSHELL檢測方法，包括：

當客戶端向服務器發送請求數據后，獲取所述服務器根據所述請求數據向所述客戶端反饋的響應數據；

根據所述響應數據進行業務流量WEBSHELL特征識別，生成WEBSHELL識別結果。

可選地，所述WEBSHELL檢測方法還包括：

獲取所述請求數據；

則相應地，根據所述響應數據進行業務流量WEBSHELL特征識別，包括：根據所述請求數據以及所述響應數據進行業務流量WEBSHELL特征識別。

可選地，根據所述請求數據以及所述響應數據進行業務流量WEBSHELL特征識別，包括：

調用機器學習/深度學習模型對所述請求數據以及所述響應數據進行WEBSHELL特征識別，得到模型識別結果；

根據所述模型識別結果生成所述WEBSHELL識別結果。

可選地，調用機器學習/深度學習模型對所述請求數據以及所述響應數據進行WEBSHELL特征識別，包括：

將所述請求數據輸入至請求檢測模型中進行請求數據特征識別，得到請求識別結果；

將所述響應數據輸入至響應檢測模型中進行響應數據特征識別，得到響應識別結果；