本發明實施例提供了一種多引擎WebShell腳本文件檢測方法及系統，用于一方面提升對WebShell檢測的效率，另一方面提升對WebShell檢測的準確率。本發明實施例方法包括：獲取待檢測網頁文件的命令執行程序；對所述命令執行程序在本地執行輕量級檢測，以濾除所述命令執行程序中的正常命令執行程序和WebShell，得到不確定性命令執行程序，其中，所述輕量級檢測包括黑白名單過濾機制，及多維特征融合的機器學習算法檢測中的至少一種，所述多維特征包括語義特征、文本特征和統計特征中的至少兩種；對所述不確定性命令執行程序在云端執行重量級檢測，以識別所述不確定性命令執行程序中的WebShell。

技術領域

本發明涉及網頁安全技術領域，尤其涉及一種WebShell腳本文件檢測方法及系統。

背景技術

WebShell檢測是一個非常重要的問題。隨著Web服務的發展，越來越多的黑客將構造的WebShell上傳至服務器頁面目錄，從而通過訪問該WebShell頁面竊取用戶的隱私信息，或對服務器進行控制。這類問題已經成為Web安全的一個主流問題。

傳統的WebShell腳本檢測主要有兩種方法：

一、輕量級方案：

A、基于哈希值或規則匹配。這類方案有較高的計算速度，性能好。但是這類方案的缺點是防御能力有限，表達能力較弱，只能攔截已知(類似)樣本。因此，攻擊者可以利用混淆繞過這類檢測方法。

B、機器學習/深度學習方案。采集語義信息，然后利用機器學習、深度學習進行判斷。此種方案增加的對繞過樣本的檢測能力。但是受限于特征，無法理解腳本的高階的程序特征信息，準確性仍然受限。

二、重量級方案：

這類方案有較高的攻擊識別準確度，能識別復雜的攻擊模式。但是缺點是通常計算速度較慢，無法應用到所有的腳本檢測上。因此，此類方案需要很高成本的硬件來實現才能達到與輕量級方案接近的吞吐。

而如何在提升對WebShell檢測效率的前提下，提升對WebShell檢測的準確率是亟待解決的一個問題。

發明內容

本發明實施例提供了一種多引擎WebShell腳本文件檢測方法及系統，用于在本地對待檢測網頁文件的命令執行程序執行輕量級檢測，在云端對所述命令執行程序中的不確定性命令執行程序執行重量級檢測，從而一方面提升對WebShell檢測的效率，另一方面提升對WebShell檢測的準確率。

本申請實施例第一方面提供了一種多引擎WebShell腳本文件檢測方法，所述方法，包括：

獲取待檢測網頁文件的命令執行程序；

對所述命令執行程序在本地執行輕量級檢測，以濾除所述命令執行程序中的正常命令執行程序和WebShell，得到不確定性命令執行程序，其中，所述輕量級檢測包括黑白名單過濾機制，及多維特征融合的機器學習算法檢測中的至少一種，所述多維特征包括語義特征、文本特征和統計特征中的至少兩種；

對所述不確定性命令執行程序在云端執行重量級檢測，以識別所述不確定性命令執行程序中的WebShell。

優選的，所述黑白名單過濾機制包括：

利用已知WebShell和已知正常命令執行程序設計正則規則，將所述正則規則作為所述黑白名單過濾機制；

和/或，

計算已知WebShell和已知正常命令執行程序的哈希值，將所述哈希值作為所述黑白名單過濾機制；

和/或，

利用詞向量算法將所述已知WebShell和已知正常命令執行程序轉化為向量，并將所述已知WebShell和已知正常命令執行程序的詞向量作為所述黑白名單過濾機制。