本申請(qǐng)實(shí)施例公開了一種異常檢測(cè)方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)，本申請(qǐng)實(shí)施例可以獲取預(yù)設(shè)網(wǎng)卡的網(wǎng)絡(luò)端口的配置信息；基于所述配置信息獲取流經(jīng)所述網(wǎng)絡(luò)端口基于腳本運(yùn)行產(chǎn)生的流量數(shù)據(jù)；對(duì)所述流量數(shù)據(jù)進(jìn)行解析，得到流量信息；從所述流量信息中提取所述流量數(shù)據(jù)的傳輸特征信息；將所述傳輸特征信息與預(yù)設(shè)異常樣本的樣本特征信息進(jìn)行匹配；當(dāng)存在與所述傳輸特征信息匹配成功的樣本特征信息時(shí)，確定所述流量數(shù)據(jù)存在異常腳本，生成所述流量數(shù)據(jù)存在異常腳本對(duì)應(yīng)的日志文件，提高了對(duì)異常檢測(cè)準(zhǔn)確性和及時(shí)性。

技術(shù)領(lǐng)域

本申請(qǐng)涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，具體涉及一種異常檢測(cè)方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

WebShell是以asp、php、jsp或cgi等網(wǎng)頁(yè)文件形式存在的一種命令執(zhí)行環(huán)境，WebShell通常被黑客用作入侵網(wǎng)站的服務(wù)器的后門工具，其目的是獲得服務(wù)器的執(zhí)行操作權(quán)限，比如執(zhí)行系統(tǒng)命令、竊取用戶數(shù)據(jù)、刪除web頁(yè)面、以及修改主頁(yè)等，其危害不言而喻。例如，WebShell可以利用服務(wù)器漏洞向其植入動(dòng)態(tài)WebShell腳本（也被稱為后門或木馬），這些腳本與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁(yè)文件混在一起，然后使用瀏覽器來web訪問上傳到WebShell腳本，得到一個(gè)命令執(zhí)行環(huán)境，以達(dá)到控制網(wǎng)站服務(wù)器的目的，因此WebShell往往會(huì)對(duì)服務(wù)器造成較大的安全隱患。

目前，為了及時(shí)發(fā)現(xiàn)WebShell以便采取相應(yīng)的應(yīng)對(duì)措施，可以對(duì)WebShell進(jìn)行檢測(cè)，在對(duì)WebShell檢測(cè)的過程中，可以利用靜態(tài)檢測(cè)或日志檢測(cè)的方式進(jìn)行檢測(cè)。其中，靜態(tài)檢測(cè)是通過匹配特征碼以及危險(xiǎn)函數(shù)等來查找WebShell，由于靜態(tài)檢測(cè)只能查找已知的WebShell，因此對(duì)檢測(cè)結(jié)果的誤報(bào)率高以及可靠性低，并且只能在事后進(jìn)行分析，降低了發(fā)現(xiàn)WebShell的及時(shí)性。日志檢測(cè)是通過大量的web日志文件建立請(qǐng)求模型從而檢測(cè)出WebShell，但由于日志文件一般只記錄了統(tǒng)一資源定位器（Uniform?Resource?Locator，URL）或互聯(lián)網(wǎng)協(xié)議地址（Internet?Protocol?Address）等少量信息，因此該日志檢測(cè)只有在日志豐富的情況下才有檢測(cè)效果，因此降低了檢測(cè)的準(zhǔn)確性，并且也只能在事后進(jìn)行分析，降低了發(fā)現(xiàn)WebShell的及時(shí)性。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例提供一種異常檢測(cè)方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)，可以提高對(duì)異常檢測(cè)準(zhǔn)確性和及時(shí)性。

為解決上述技術(shù)問題，本申請(qǐng)實(shí)施例提供以下技術(shù)方案：

本申請(qǐng)實(shí)施例提供了一種異常檢測(cè)方法，包括：

獲取預(yù)設(shè)網(wǎng)卡的網(wǎng)絡(luò)端口的配置信息；

基于所述配置信息獲取流經(jīng)所述網(wǎng)絡(luò)端口基于腳本運(yùn)行產(chǎn)生的流量數(shù)據(jù)；

對(duì)所述流量數(shù)據(jù)進(jìn)行解析，得到流量信息；

從所述流量信息中提取所述流量數(shù)據(jù)的傳輸特征信息；

將所述傳輸特征信息與預(yù)設(shè)異常樣本的樣本特征信息進(jìn)行匹配；

當(dāng)存在與所述傳輸特征信息匹配成功的樣本特征信息時(shí)，確定所述流量數(shù)據(jù)存在異常腳本，生成所述流量數(shù)據(jù)存在異常腳本對(duì)應(yīng)的日志文件。

根據(jù)本申請(qǐng)的一個(gè)方面，還提供了一種異常檢測(cè)裝置，包括：

第一獲取單元，用于獲取預(yù)設(shè)網(wǎng)卡的網(wǎng)絡(luò)端口的配置信息；

第二獲取單元，用于基于所述配置信息獲取流經(jīng)所述網(wǎng)絡(luò)端口基于腳本運(yùn)行產(chǎn)生的流量數(shù)據(jù)；

解析單元，用于對(duì)所述流量數(shù)據(jù)進(jìn)行解析，得到流量信息；

提取單元，用于從所述流量信息中提取所述流量數(shù)據(jù)的傳輸特征信息；

匹配單元，用于將所述傳輸特征信息與預(yù)設(shè)異常樣本的樣本特征信息進(jìn)行匹配；