[發(fā)明專利]一種WebShell檢測方法、裝置、設(shè)備及存儲介質(zhì)有效
| 申請?zhí)枺?/td> | 202010143249.3 | 申請日: | 2020-03-04 |
| 公開(公告)號: | CN111385295B | 公開(公告)日: | 2022-11-22 |
| 發(fā)明(設(shè)計)人: | 岳巍;裴琦杰 | 申請(專利權(quán))人: | 深信服科技股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 深圳市深佳知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 44285 | 代理人: | 王兆林 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 webshell 檢測 方法 裝置 設(shè)備 存儲 介質(zhì) | ||
1.一種WebShell檢測方法,其特征在于,包括:
獲取網(wǎng)頁流量;
提取所述網(wǎng)頁流量中元素標簽內(nèi)的關(guān)鍵字;
基于WebShell檢測標準對所述關(guān)鍵字進行分析得到檢測結(jié)果;
所述基于WebShell檢測標準對所述關(guān)鍵字進行分析得到檢測結(jié)果,包括:
統(tǒng)計所述關(guān)鍵字在WebShell網(wǎng)頁樣本中的第一占比,以及所述關(guān)鍵字在非WebShell網(wǎng)頁樣本中的第二占比;
判斷所述元素標簽是否為預(yù)設(shè)的、用于WebShell網(wǎng)頁編寫的特殊元素標簽;
如果所述元素標簽為預(yù)設(shè)的所述特殊元素標簽,則獲取所述特殊元素標簽對應(yīng)的權(quán)重參數(shù);
根據(jù)所述權(quán)重參數(shù)調(diào)整所述第一占比和/或所述第二占比;
根據(jù)所述第一占比以及所述第二占比生成檢測分值,根據(jù)檢測分值判定網(wǎng)頁流量是否為WebShell流量。
2.根據(jù)權(quán)利要求1所述的WebShell檢測方法,其特征在于,在所述基于WebShell檢測標準對所述關(guān)鍵字進行分析得到檢測結(jié)果之前,所述方法還包括:
獲取WebShell網(wǎng)頁樣本以及非WebShell網(wǎng)頁樣本;
所述根據(jù)檢測分值判定網(wǎng)頁流量是否為WebShell流量,包括:
判斷所述檢測分值是否達到檢測閾值;
如果所述檢測分值達到檢測閾值,則將所述網(wǎng)頁流量設(shè)置為WebShell流量;
如果所述檢測分值未達到所述檢測閾值,則停止WebShell檢測。
3.根據(jù)權(quán)利要求2所述的WebShell檢測方法,其特征在于,
如果所述元素標簽不為預(yù)設(shè)的所述特殊元素標簽,則執(zhí)行所述根據(jù)所述第一占比以及所述第二占比生成檢測分值的步驟。
4.根據(jù)權(quán)利要求1至3任意一項所述的WebShell檢測方法,其特征在于,在所述基于WebShell檢測標準對所述關(guān)鍵字進行分析得到檢測結(jié)果之前,所述方法還包括:
在所述關(guān)鍵字中去除對所述檢測結(jié)果的準確性造成干擾的目標關(guān)鍵字。
5.根據(jù)權(quán)利要求4所述的WebShell檢測方法,其特征在于,所述在所述關(guān)鍵字中去除對所述檢測結(jié)果的準確性造成干擾的目標關(guān)鍵字,包括:
在所述關(guān)鍵字中去除字符長度大于第一長度標準的所述目標關(guān)鍵字,以及所述字符長度小于第二長度標準的所述目標關(guān)鍵字。
6.根據(jù)權(quán)利要求4所述的WebShell檢測方法,其特征在于,所述在所述關(guān)鍵字中去除對所述檢測結(jié)果的準確性造成干擾的目標關(guān)鍵字,包括:
在所述關(guān)鍵字中去除存在于目標網(wǎng)站的所述目標關(guān)鍵字。
7.一種WebShell檢測裝置,其特征在于,包括:
流量獲取模塊,用于獲取網(wǎng)頁流量;
標簽提取模塊,用于提取所述網(wǎng)頁流量中元素標簽內(nèi)的關(guān)鍵字;
關(guān)鍵字檢測模塊,用于基于WebShell檢測標準對所述關(guān)鍵字進行分析得到檢測結(jié)果;
其中,所述關(guān)鍵字檢測模塊具體用于:統(tǒng)計所述關(guān)鍵字在WebShell網(wǎng)頁樣本中的第一占比,以及所述關(guān)鍵字在非WebShell網(wǎng)頁樣本中的第二占比;根據(jù)所述第一占比以及所述第二占比生成檢測分值,根據(jù)檢測分值判定網(wǎng)頁流量是否為WebShell流量;
其中,還包括:
特殊標簽判斷模塊,用于判斷所述元素標簽是否為預(yù)設(shè)的、用于WebShell網(wǎng)頁編寫的特殊元素標簽,如果是,則依次調(diào)用權(quán)重獲取模塊以及權(quán)重調(diào)整模塊;
權(quán)重獲取模塊,用于獲取所述特殊元素標簽對應(yīng)的權(quán)重參數(shù);
權(quán)重調(diào)整模塊,用于根據(jù)所述權(quán)重參數(shù)調(diào)整所述第一占比和/或所述第二占比,并執(zhí)行所述根據(jù)所述第一占比以及所述第二占比生成檢測分值的步驟。
8.一種WebShell檢測設(shè)備,其特征在于,包括:
存儲器,用于存儲計算機程序;
處理器,用于執(zhí)行所述計算機程序時實現(xiàn)如權(quán)利要求1至6任一項所述的WebShell檢測方法的步驟。
9.一種計算機可讀存儲介質(zhì),其特征在于,所述計算機可讀存儲介質(zhì)上存儲有計算機程序,所述計算機程序被處理器執(zhí)行時實現(xiàn)如權(quán)利要求1至6任一項所述的WebShell檢測方法的步驟。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司,未經(jīng)深信服科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010143249.3/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。





