本申請公開了一種WebShell檢測方法、裝置、設備及存儲介質，該方法的步驟包括：獲取網頁流量；提取網頁流量中元素標簽內的關鍵字；基于WebShell檢測標準對關鍵字進行分析得到檢測結果。本方法基于網頁流量中元素標簽內的關鍵字作為檢測網頁流量是否為Webshell流量的依據，實現了對于WebShell網頁的檢測，進而相對確保了網站服務器的運行安全。此外，本申請還提供一種WebShell檢測裝置、設備及存儲介質，有益效果同上所述。

技術領域

本申請涉及網絡安全領域，特別是涉及一種WebShell檢測方法、裝置、設備及存儲介質。

背景技術

WebShell是以asp、php、jsp或cgi等網頁文件形式存在的一種命令執行環境，網絡黑客往往將WebShell做為一種網頁后門，當黑客入侵一個網站后，通常會將WebShell網頁后門文件與網站服務器WEB目錄下正常的網頁文件混在一起，然后就可以使用瀏覽器來訪問WebShell網頁后門文件，得到相應的命令執行環境，以達到控制網站服務器的目的，因此WebShell網頁往往會對網站服務器造成較大的安全隱患。

由此可見，提供一種WebShell檢測方法，以實現對于WebShell網頁的檢測，進而相對確保網站服務器的運行安全，是本領域技術人員需要解決的問題。

發明內容

本申請的目的是提供一種WebShell檢測方法、裝置、設備及存儲介質，以實現對于WebShell網頁的檢測，進而相對確保網站服務器的運行安全。

為解決上述技術問題，本申請提供一種WebShell檢測方法，包括：

獲取網頁流量；

提取網頁流量中元素標簽內的關鍵字；

基于WebShell檢測標準對關鍵字進行分析得到檢測結果。

優選地，在基于WebShell檢測標準對關鍵字進行分析得到檢測結果之前，方法還包括：

獲取WebShell網頁樣本；

基于WebShell檢測標準對關鍵字進行分析得到檢測結果，包括：

統計關鍵字在WebShell網頁樣本中的占比，并根據占比生成檢測分值；

判斷檢測分值是否達到檢測閾值；

如果檢測分值達到檢測閾值，則將網頁流量設置為WebShell流量；

如果檢測分值未達到檢測閾值，則停止WebShell檢測。

優選地，在基于WebShell檢測標準對關鍵字進行分析得到檢測結果之前，方法還包括：

獲取WebShell網頁樣本以及非WebShell網頁樣本；

基于WebShell檢測標準對關鍵字進行分析得到檢測結果，包括：

統計關鍵字在WebShell網頁樣本中的第一占比，以及關鍵字在非WebShell網頁樣本中的第二占比；

根據第一占比以及第二占比生成檢測分值；

判斷檢測分值是否達到檢測閾值；

如果檢測分值達到檢測閾值，則將網頁流量設置為WebShell流量；

如果檢測分值未達到檢測閾值，則停止WebShell檢測。

優選地，在根據第一占比以及第二占比生成檢測分值之前，方法還包括：

判斷元素標簽是否為預設的特殊元素標簽；

如果元素標簽為預設的特殊元素標簽，則獲取特殊元素標簽對應的權重參數；