[發(fā)明專利]一種WebShell腳本文件的檢測(cè)方法及系統(tǒng)在審
| 申請(qǐng)?zhí)枺?/td> | 202010032760.6 | 申請(qǐng)日: | 2020-01-13 |
| 公開(公告)號(hào): | CN113110986A | 公開(公告)日: | 2021-07-13 |
| 發(fā)明(設(shè)計(jì))人: | 楊榮海;王大偉 | 申請(qǐng)(專利權(quán))人: | 深信服科技股份有限公司 |
| 主分類號(hào): | G06F11/36 | 分類號(hào): | G06F11/36;G06N20/00 |
| 代理公司: | 深圳市深佳知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 44285 | 代理人: | 王兆林 |
| 地址: | 518055 廣東省深圳市南*** | 國(guó)省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說(shuō)明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 webshell 腳本 文件 檢測(cè) 方法 系統(tǒng) | ||
1.一種WebShell腳本文件的檢測(cè)方法,其特征在于,包括:
針對(duì)訓(xùn)練樣本中網(wǎng)頁(yè)文件的命令執(zhí)行程序,構(gòu)建程序控制流和程序數(shù)據(jù)流;
分別提取所述程序控制流和程序數(shù)據(jù)流中,對(duì)應(yīng)的控制流特征和數(shù)據(jù)流特征,其中,所述控制流特征和數(shù)據(jù)流特征準(zhǔn)確地描述了所述命令執(zhí)行程序的腳本行為;
利用機(jī)器學(xué)習(xí)算法對(duì)所述控制流特征和數(shù)據(jù)流特征執(zhí)行訓(xùn)練,生成機(jī)器學(xué)習(xí)模型;
利用所述機(jī)器學(xué)習(xí)模型對(duì)待檢測(cè)網(wǎng)頁(yè)文件命令執(zhí)行程序中的WebShell進(jìn)行檢測(cè)。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述利用所述機(jī)器學(xué)習(xí)模型對(duì)待檢測(cè)網(wǎng)頁(yè)文件命令執(zhí)行程序中的WebShell進(jìn)行檢測(cè)之前,所述方法還包括:
構(gòu)建黑白名單過(guò)濾機(jī)制,以濾除所述命令執(zhí)行程序中的正常執(zhí)行程序和WebShell,得到所述命令執(zhí)行程序中的不確定性執(zhí)行程序;
所述利用所述機(jī)器學(xué)習(xí)模型對(duì)待檢測(cè)網(wǎng)頁(yè)文件命令執(zhí)行程序中的WebShell進(jìn)行檢測(cè),包括:
利用所述機(jī)器學(xué)習(xí)模型對(duì)所述命令執(zhí)行程序中的不確定性執(zhí)行程序執(zhí)行WebShell檢測(cè)。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述構(gòu)建黑白名單過(guò)濾機(jī)制,包括:
通過(guò)規(guī)則匹配、哈希算法和詞向量匹配算法中的至少一種,構(gòu)建所述黑白名單過(guò)濾機(jī)制,所述哈希算法包括強(qiáng)哈希算法和/或弱哈希算法。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述針對(duì)所述命令執(zhí)行程序,構(gòu)建程序控制流和程序數(shù)據(jù)流,包括:
用節(jié)點(diǎn)表示所述命令執(zhí)行程序中的基本代碼塊,節(jié)點(diǎn)間的有向邊表示程序控制流的路徑,節(jié)點(diǎn)間的反向邊表示可能存在的循壞,以構(gòu)建所述程序控制流;
遍歷所述程序控制流,記錄變量的初始化點(diǎn)和引用點(diǎn),保存所述初始化點(diǎn)和引用點(diǎn)對(duì)應(yīng)的參數(shù)信息和數(shù)據(jù)信息,以構(gòu)建所述程序數(shù)據(jù)流。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述提取所述程序控制流中對(duì)應(yīng)的控制流特征,包括:
提取所述程序控制流中的循環(huán)條件、判斷條件、判斷條件中的外界輸入值或與外界輸入值相關(guān)的變量、判斷條件中的比較對(duì)象及判斷結(jié)果中的至少一種特征,作為所述控制流特征,其中,所述比較對(duì)象用于與所述外界輸入值或與外界輸入值相關(guān)的變量進(jìn)行比較。
6.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述提取所述程序數(shù)據(jù)流中對(duì)應(yīng)的數(shù)據(jù)流特征,包括:
提取出所述程序數(shù)據(jù)流中的危險(xiǎn)函數(shù);
利用污點(diǎn)傳播對(duì)所述危險(xiǎn)函數(shù)執(zhí)行分析,以判斷所述危險(xiǎn)函數(shù)中的參數(shù)是否可以接收外部輸入;
利用達(dá)到定值分析所述外部輸入,是否可以傳遞到所述危險(xiǎn)函數(shù)。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述利用污點(diǎn)傳播對(duì)所述危險(xiǎn)函數(shù)執(zhí)行分析,以判斷所述危險(xiǎn)函數(shù)中的參數(shù)是否可以接收外部輸入,包括:
通過(guò)判斷路徑條件,和/或函數(shù)調(diào)用關(guān)系是否生效,來(lái)判斷所述危險(xiǎn)函數(shù)中的參數(shù)是否可以接收外部輸入。
8.一種WebShell腳本文件的檢測(cè)系統(tǒng),其特征在于,包括:
構(gòu)建單元,用于針對(duì)訓(xùn)練樣本中網(wǎng)頁(yè)文件的命令執(zhí)行程序,構(gòu)建程序控制流和程序數(shù)據(jù)流;
提取單元,用于分別提取所述程序控制流和程序數(shù)據(jù)流中,對(duì)應(yīng)的控制流特征和數(shù)據(jù)流特征,其中,所述控制流特征和數(shù)據(jù)流特征準(zhǔn)確地描述了所述命令執(zhí)行程序的腳本行為;
訓(xùn)練單元,用于利用機(jī)器學(xué)習(xí)算法對(duì)所述控制流特征和數(shù)據(jù)流特征執(zhí)行訓(xùn)練,生成機(jī)器學(xué)習(xí)模型;
檢測(cè)單元,用于利用所述機(jī)器學(xué)習(xí)模型對(duì)待檢測(cè)網(wǎng)頁(yè)文件命令執(zhí)行程序中的WebShell進(jìn)行檢測(cè)。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述構(gòu)建單元,具體用于:
用節(jié)點(diǎn)表示所述命令執(zhí)行程序中的基本代碼塊,節(jié)點(diǎn)間的有向邊表示程序控制流的路徑,節(jié)點(diǎn)間的反向邊表示可能存在的循壞,以構(gòu)建所述程序控制流;
遍歷所述程序控制流,記錄變量的初始化點(diǎn)和引用點(diǎn),保存所述初始化點(diǎn)和引用點(diǎn)對(duì)應(yīng)的參數(shù)信息和數(shù)據(jù)信息,以構(gòu)建所述程序數(shù)據(jù)流。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司,未經(jīng)深信服科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010032760.6/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F11-00 錯(cuò)誤檢測(cè);錯(cuò)誤校正;監(jiān)控
G06F11-07 .響應(yīng)錯(cuò)誤的產(chǎn)生,例如,容錯(cuò)
G06F11-22 .在準(zhǔn)備運(yùn)算或者在空閑時(shí)間期間內(nèi),通過(guò)測(cè)試作故障硬件的檢測(cè)或定位
G06F11-28 .借助于檢驗(yàn)標(biāo)準(zhǔn)程序或通過(guò)處理作錯(cuò)誤檢測(cè)、錯(cuò)誤校正或監(jiān)控
G06F11-30 .監(jiān)控
G06F11-36 .通過(guò)軟件的測(cè)試或調(diào)試防止錯(cuò)誤
- 一種WebShell的檢測(cè)方法及系統(tǒng)
- WebShell檢測(cè)方法及裝置
- 一種基于模型融合的webshell檢測(cè)方法
- 基于RASP提取webshell軟件基因進(jìn)行webshell檢測(cè)的方法
- 一種webshell檢測(cè)方法以及裝置
- webshell流量數(shù)據(jù)聚類分析方法以及控制器和介質(zhì)
- 一種遠(yuǎn)程精準(zhǔn)識(shí)別WebShell后門的方法
- 基于Relief算法的webshell檢測(cè)方法及裝置
- 一種基于數(shù)據(jù)流的Webshell靜態(tài)檢測(cè)方法及電子設(shè)備
- 一種基于圖像分析的Webshell檢測(cè)方法、終端設(shè)備及存儲(chǔ)介質(zhì)
- 腳本處理方法及裝置
- 一種實(shí)現(xiàn)腳本引擎的系統(tǒng)及方法
- 代理自動(dòng)配置腳本的處理方法及代理自動(dòng)配置腳本服務(wù)器
- 一種腳本執(zhí)行方法、裝置及計(jì)算設(shè)備
- 腳本轉(zhuǎn)換方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)
- 性能測(cè)試平臺(tái)腳本存儲(chǔ)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
- 一種實(shí)現(xiàn)測(cè)試腳本驗(yàn)證的方法及系統(tǒng)
- 結(jié)構(gòu)化查詢語(yǔ)言腳本審查方法及相關(guān)設(shè)備
- 基于FitNesse框架的數(shù)據(jù)驅(qū)動(dòng)腳本庫(kù)的方法、系統(tǒng)及介質(zhì)
- 一種腳本審計(jì)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
- 檢測(cè)裝置、檢測(cè)方法和檢測(cè)組件
- 檢測(cè)方法、檢測(cè)裝置和檢測(cè)系統(tǒng)
- 檢測(cè)裝置、檢測(cè)方法以及記錄介質(zhì)
- 檢測(cè)設(shè)備、檢測(cè)系統(tǒng)和檢測(cè)方法
- 檢測(cè)芯片、檢測(cè)設(shè)備、檢測(cè)系統(tǒng)和檢測(cè)方法
- 檢測(cè)裝置、檢測(cè)設(shè)備及檢測(cè)方法
- 檢測(cè)芯片、檢測(cè)設(shè)備、檢測(cè)系統(tǒng)
- 檢測(cè)組件、檢測(cè)裝置以及檢測(cè)系統(tǒng)
- 檢測(cè)裝置、檢測(cè)方法及檢測(cè)程序
- 檢測(cè)電路、檢測(cè)裝置及檢測(cè)系統(tǒng)
