本申請(qǐng)實(shí)施例公開了一種webshell檢測(cè)方法和裝置，該方法包括：獲取待檢測(cè)腳本文件，并提取所述待檢測(cè)腳本文件的文件特征；所述文件特征包括：腳本語(yǔ)義特征和加密混淆特征；獲取預(yù)先訓(xùn)練好的用于區(qū)分腳本是否惡意的腳本分類器；將提取所述文件特征后的待檢測(cè)腳本文件輸入所述腳本分類器，并根據(jù)所述腳本分類器的輸出結(jié)果判斷所述待檢測(cè)腳本文件是正常網(wǎng)頁(yè)腳本或webshell惡意腳本；其中，所述腳本分類器是以進(jìn)行文件特征提取后的多個(gè)腳本文件作為訓(xùn)練樣本集和測(cè)試樣本集，對(duì)創(chuàng)建的xgboost模型進(jìn)行訓(xùn)練獲得的。通過(guò)該實(shí)施例方案，提高了檢測(cè)效率，降低了誤報(bào)率和漏報(bào)率。

技術(shù)領(lǐng)域

本文涉及網(wǎng)絡(luò)安全技術(shù)，尤指一種webshell檢測(cè)方法和裝置。

背景技術(shù)

Webshell是網(wǎng)站入侵的腳本攻擊工具，是一種可以在網(wǎng)站web服務(wù)器上執(zhí)行的后臺(tái)腳本或者命令執(zhí)行環(huán)境，大部分以php(php是一種易于學(xué)習(xí)和使用的服務(wù)器端腳本語(yǔ)言)、asp(asp可以用來(lái)創(chuàng)建和運(yùn)行動(dòng)態(tài)網(wǎng)頁(yè)或Web應(yīng)用程序)、aspx(aspx文件是微軟的在服務(wù)器端運(yùn)行的動(dòng)態(tài)網(wǎng)頁(yè)文件，用于開發(fā)Web應(yīng)用程序的類庫(kù))、jsp(jsp也是一種動(dòng)態(tài)網(wǎng)頁(yè)技術(shù)標(biāo)準(zhǔn))、jspx(jspx是一個(gè)來(lái)自于埃及的java web快速開發(fā)框架)等網(wǎng)頁(yè)腳本的形式存在。黑客通過(guò)入侵網(wǎng)站上傳webshell，獲取服務(wù)器的執(zhí)行操作權(quán)限，執(zhí)行系統(tǒng)命令、竊取用戶數(shù)據(jù)、修改網(wǎng)頁(yè)信息等惡意操作，使用戶服務(wù)器的安全受到嚴(yán)重威脅。因此，對(duì)webshell的有效檢測(cè)，對(duì)用戶服務(wù)器的安全以及用戶信息的安全都具有非常重要的意義。

目前存在兩種webshell的檢測(cè)方法，一種是動(dòng)態(tài)檢測(cè)方法，另一種是靜態(tài)檢測(cè)方法：

1、動(dòng)態(tài)檢測(cè)方法即執(zhí)行webshell腳本，捕獲腳本動(dòng)態(tài)行為特征，利用該特征判斷腳本是否惡意。該方法檢測(cè)結(jié)果準(zhǔn)確性較高，但需要配置相應(yīng)執(zhí)行環(huán)境，存在部署代價(jià)高且執(zhí)行效率較低等缺點(diǎn)。

2、相較于動(dòng)態(tài)檢測(cè)方法，基于規(guī)則的靜態(tài)檢測(cè)方法檢測(cè)速度提升很多，但由于靜態(tài)檢測(cè)方法主要是基于特征代碼匹配的靜態(tài)檢測(cè)和基于統(tǒng)計(jì)特征的靜態(tài)檢測(cè)，其中基于特征代碼匹配的靜態(tài)檢測(cè)方法由于大部分只能檢測(cè)已知威脅，所以漏報(bào)較高，而基于統(tǒng)計(jì)特征的靜態(tài)檢測(cè)方法由于特征不充分，缺乏腳本語(yǔ)義等特征，所以誤報(bào)較高。因此，目前的靜態(tài)檢測(cè)存在對(duì)未知威脅漏報(bào)、規(guī)則需要不斷更新以及統(tǒng)計(jì)特征不充分導(dǎo)致誤報(bào)高等諸多缺點(diǎn)。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例提供了一種webshell檢測(cè)方法和裝置，能夠提高檢測(cè)效率，降低誤報(bào)率和漏報(bào)率。

本申請(qǐng)實(shí)施例提供了一種webshell檢測(cè)方法，所述方法可以包括：

獲取待檢測(cè)腳本文件，并提取所述待檢測(cè)腳本文件的文件特征；所述文件特征包括：腳本語(yǔ)義特征和加密混淆特征；

獲取預(yù)先訓(xùn)練好的用于區(qū)分腳本是否惡意的腳本分類器；

將提取所述文件特征后的待檢測(cè)腳本文件輸入所述腳本分類器，并根據(jù)所述腳本分類器的輸出結(jié)果判斷所述待檢測(cè)腳本文件是正常網(wǎng)頁(yè)腳本或webshell惡意腳本；

其中，所述腳本分類器是以進(jìn)行文件特征提取后的多個(gè)腳本文件作為訓(xùn)練樣本集和測(cè)試樣本集，對(duì)創(chuàng)建的xgboost模型進(jìn)行訓(xùn)練獲得的。

在本申請(qǐng)的示例性實(shí)施例中，所述提取所述待檢測(cè)腳本文件的文件特征可以包括：

對(duì)所述待檢測(cè)腳本文件進(jìn)行預(yù)處理，并采用預(yù)設(shè)的向量空間模型VSM對(duì)預(yù)處理后的待檢測(cè)腳本文件進(jìn)行向量空間表示；

對(duì)預(yù)處理后的待檢測(cè)腳本文件和向量空間表示后的待檢測(cè)腳本文件提取文件特征。

在本申請(qǐng)的示例性實(shí)施例中，所述對(duì)所述待檢測(cè)腳本文件進(jìn)行預(yù)處理可以包括：文本代碼切分和/或去除冗余信息；所述冗余信息包括：標(biāo)點(diǎn)符號(hào)和/或非美國(guó)標(biāo)準(zhǔn)信息交換代碼ascii碼字符。