本申請實施例公開了一種通信檢測方法、裝置、設備和介質，將預設時間內獲取的初始日志數據按照資源標識符進行分類，以得到各資源標識符各自對應的日志數據。每個資源標識符對應的日志數據的分析過程相同，以所有資源標識符中的任意一個資源標識符即目標資源標識符為例，對目標資源標識符的日志數據進行統計得到行為特征信息。行為特征信息可以包括資源信息，基于資源信息確定目標資源標識符對應的通信是否為webshell通信。繞過了對加密通信內容的分析，通過對日志數據中訪問行為進行分析，實現了對webshell通信的有效檢測。

技術領域

本申請涉及安全防御技術領域，特別是涉及一種通信檢測方法、裝置、設備和計算機可讀存儲介質。

背景技術

Webshell是網頁(web)入侵的腳本攻擊工具。ASP(Active?Server?Pages，動態服務器網頁)是可用來創建動態交互式網頁并建立強大的web應用程序。PHP(HypertextPreprocessor，超文本預處理語言)是一種通用開源腳本語言，適用于web開發領域。黑客在入侵了一個網站后，通常會將ASP或PHP后門文件與網站服務器web目錄下正常的網頁文件混在一起，然后就可以使用瀏覽器來訪問ASP或者PHP后門，得到一個命令執行環境，以達到控制網站服務器的目的。

傳統方式中對通信內容進行分析，實現對webshell通信的檢測。在攻防對抗中，webshell通信越來越趨向于加密通信，冰蝎、哥斯拉這些通信加密的webshell工具已經成為攻擊者的首選。傳統的基于通信內容檢測webshell通信的方式無法解密通信內容，導致無法檢測出加密的webshell通信。

可見，如何對加密的webshell通信實現有效檢測，是本領域技術人員需要解決的問題。

發明內容

本申請實施例的目的是提供一種通信檢測方法、裝置、設備和計算機可讀存儲介質，可以對加密的webshell通信實現有效檢測。

為解決上述技術問題，本申請實施例提供一種通信檢測方法，包括：

將預設時間內獲取的初始日志數據按照資源標識符進行分類，以得到各所述資源標識符各自對應的日志數據；

對目標資源標識符的日志數據進行統計得到行為特征信息；其中，所述目標資源標識符為所有所述資源標識符中的任意一個資源標識符；所述行為特征信息包括資源信息；

基于所述行為特征信息確定所述目標資源標識符對應的通信是否為webshell通信。

可選地，所述行為特征信息還包括訪問源地址的類型及數量；其中，所述訪問源地址的類型包括內網源地址和外網源地址；

所述基于所述行為特征信息確定所述目標資源標識符對應的通信是否為webshell通信包括：

基于所述資源信息、所述訪問源地址的類型及數量確定所述目標資源標識符對應的通信是否為webshell通信。

可選地，所述基于所述資源信息、所述訪問源地址的類型及數量確定所述目標資源標識符對應的通信是否為webshell通信包括：

在所述資源信息滿足預設的資源加載條件的情況下，判斷所有所述訪問源地址是否均為外網源地址；

若所有所述訪問源地址均為外網源地址，則判定所述目標資源標識符對應的通信為webshell通信；

若所有所述訪問源地址不均為外網源地址，則判斷所有所述訪問源地址中內網源地址的個數是否小于預設閾值；

若所有所述訪問源地址中內網源地址的個數小于預設閾值，則判定所述目標資源標識符對應的通信為webshell通信。

可選地，所述行為特征信息還包括頁面信息和訪問信息；