[發明專利]一種多引擎WebShell腳本文件檢測方法及系統在審
| 申請號: | 202010033707.8 | 申請日: | 2020-01-13 |
| 公開(公告)號: | CN113111346A | 公開(公告)日: | 2021-07-13 |
| 發明(設計)人: | 楊榮海;王大偉;黃志偉 | 申請(專利權)人: | 深信服科技股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06N20/00 |
| 代理公司: | 深圳市深佳知識產權代理事務所(普通合伙) 44285 | 代理人: | 王兆林 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 引擎 webshell 腳本 文件 檢測 方法 系統 | ||
1.一種多引擎WebShell腳本文件檢測方法,其特征在于,包括:
獲取待檢測網頁文件的命令執行程序;
對所述命令執行程序在本地執行輕量級檢測,以濾除所述命令執行程序中的正常命令執行程序和WebShell,得到不確定性命令執行程序,其中,所述輕量級檢測包括黑白名單過濾機制,及多維特征融合的機器學習算法檢測中的至少一種,所述多維特征包括語義特征、文本特征和統計特征中的至少兩種;
對所述不確定性命令執行程序在云端執行重量級檢測,以識別所述不確定性命令執行程序中的WebShell。
2.根據權利要求1所述的方法,其特征在于,所述黑白名單過濾機制包括:
利用已知WebShell和已知正常命令執行程序設計正則規則,將所述正則規則作為所述黑白名單過濾機制;
和/或,
計算所述已知WebShell和已知正常命令執行程序的哈希值,將所述哈希值作為所述黑白名單過濾機制;
和/或,
利用詞向量算法將所述已知WebShell和已知正常命令執行程序轉化為向量,并將所述已知WebShell和已知正常命令執行程序的詞向量作為所述黑白名單過濾機制。
3.根據權利要求1所述的方法,其特征在于,對所述命令執行程序在本地執行所述多維特征融合的機器學習算法檢測,包括:
提取所述命令執行程序的語義特征、文本特征和統計特征中的至少兩種特征;
利用預先訓練好的第一機器學習模型對所述至少兩種特征執行本地檢測。
4.根據權利要求3所述的方法,其特征在于,在所述利用預先訓練好的第一機器學習模型對所述至少兩種特征執行本地檢測之前,所述方法還包括:
提取出訓練樣本中網頁文件的訓練命令執行程序;
提取所述訓練命令執行程序的第一語義特征、第一文本特征和第一統計特征中的至少兩種特征;
將所述至少兩種特征執行機器學習,得到所述第一機器學習模型。
5.根據權利要求4所述的方法,其特征在于,所述提取所述訓練命令執行程序的第一語義特征包括:
將所述訓練命令執行程序轉化為token標記序列;
利用語法解析所述token序列,生成抽象語法樹;
從所述抽象語法樹中提取出危險函數、危險函數的調用次數及具有區分度的關鍵詞特征;
和/或,
遍歷所述抽象語法樹,恢復出混淆的攻擊特征。
6.根據權利要求4所述的方法,其特征在于,所述提取所述訓練命令執行程序的第一文本特征包括:
檢測所述訓練命令執行程序是否被編碼;
若是,則對所述訓練命令執行程序執行解碼,并從解碼后的訓練命令執行程序中提取出危險函數、混淆特征,及已知WebShell中特定的字符串特征、關鍵詞特征和危險路徑。
7.根據權利要求4所述的方法,其特征在于,所述提取所述訓練命令執行程序的第一統計特征包括:
檢測所述訓練命令執行程序是否被編碼;
若是,則對所述訓練命令執行程序執行解碼,并從解碼后的訓練命令執行程序中提取出混淆函數的調用次數,所述訓練命令執行程序的文本長度、特殊字符的占比以及所述訓練命令執行程序的信息熵。
8.根據權利要求4所述的方法,其特征在于,所述將所述至少兩種特征執行機器學習,得到所述第一機器學習模型,包括:
分別對所述至少兩種特征中的每種特征執行訓練,得到對應的機器學習模型;
通過集成學習將所述每種特征對應的機器學習模型,集成為所述第一機器學習模型;
或,
將所述至少兩種特征拼接起來,輸入到同一模型執行訓練,得到所述第一機器學習模型。
9.根據權利要求1至8中任一項所述的方法,其特征在于,所述重量級檢測包括程序分析的算法檢測、虛擬執行算法檢測及行為分析算法檢測中的至少一種。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深信服科技股份有限公司,未經深信服科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010033707.8/1.html,轉載請聲明來源鉆瓜專利網。
