本發明公開一種Webshell檢測方法及系統，包括：獲取源碼文件；計算源碼文件的模糊哈希值、數據流語法特征、統計學特征和語法結構特征；獲取統計學特征表示；分別將源碼文件的模糊哈希值及數據流語法特征與Webshell特征庫對比，得到同源相似度檢測結果及數據流語法特征檢測結果；分別將統計學特征表示及語法結構特征，輸入統計學文件特征檢測模型及語法結構特征檢測模型，得到統計學文件特征檢測結果及語法結構特征檢測結果；根據上述檢測結果，獲取待檢測網站文件的Webshell檢測結果。本發明能夠有效地檢測出網站及APT攻擊中的Webshell樣本，檢測效率高，可檢測新型、變種Webshell，提供了較好的用戶體驗，能夠在常規站點檢查中達到有效檢測Webshell的效果。

技術領域

本發明涉及計算機網絡安全和大數據領域，具體涉及一種Webshell檢測方法及系統。

背景技術

隨著互聯網技術的飛速發展，網絡與人們的生活聯系日益緊密，網絡空間安全形勢日益復雜。Web應用程序的安全性受到了越來越多的關注，服務端安全問題日益嚴峻，甚至嚴重威脅到網絡服務的正常運行。因此及時發現并檢測服務器的后門，保證服務端安全至關重要。

網站服務器頻繁被植入后門，已經成為安全人員所面臨的重要問題，雖然隨著技術的發展，越來越多的安全設備及產品被應用于保護Web服務，但總會有漏網之魚的存在。當網站漏洞被攻擊者發現利用后，攻擊者通常會進一步地控制網站服務器并維持對服務器的訪問權限，因此會上傳可利用的Webshell網站后門。

在Web攻擊和高級持續性威脅手段中，Webshell可以實現外部人員對于系統部分權限的掌控。Webshell是基于現有的Web服務實現遠程對服務器操作的一段程序代碼，用戶可以通過瀏覽器或客戶端軟件遠程訪問該頁面。在網絡攻擊生命周期中，Webshell常被看作是一種在被攻擊Web服務器上運行的遠程訪問木馬程序，可以突破系統的內部邊界，完成對網站的持續性控制。由于它是一段由服務端動態腳本語言編寫的命令執行環境，較為容易穿過防火墻等從外部和流量層面檢測入侵的安全產品。因此，能夠深入服務器內部，以最準確、最及時的手段和方法異步分析網站源碼側的Webshell后門，獲知網站服務器的安全狀態，成為當前亟待解決的問題。

發明內容

針對上述問題，本發明提出了一種Webshell檢測方法及系統，通過獲取網站文件，分析并檢測網站源碼中存在的Webshell。

為達到上述目的，本發明采取的具體技術方案是：

一種Webshell檢測方法，其步驟包括：

1)利用云端Webshell特征庫，更新客戶端Webshell特征庫，其中云端Webshell特征庫包括：若干Webshell樣本文件及相應的模糊哈希值、數據流語法特征、統計學特征和語法結構特征；

2)收集若干正常樣本，獲取正常樣本的統計學特征，并利用Webshell樣本文件與正常樣本的統計學特征進行機器學習訓練，得到統計學文件特征檢測模型，利用Webshell樣本文件與正常樣本的語法結構特征進行深度學習訓練，得到語法結構特征檢測模型；

3)對待檢測網站文件進行源碼獲取，得到源碼文件，并獲取源碼文件的模糊哈希值、數據流語法特征、統計學特征和語法結構特征，并對統計學特征向量化，得到統計學特征表示；

4)分別將源碼文件的模糊哈希值及數據流語法特征，與本地Webshell特征庫中各Webshell樣本文件的模糊哈希值及數據流語法特征進行對比，得到同源相似度檢測結果及數據流語法特征檢測結果；

5)分別將統計學特征表示及語法結構特征，輸入統計學文件特征檢測模型及語法結構特征檢測模型，得到統計學文件特征檢測結果及語法結構特征檢測結果；

6)根據同源相似度檢測結果、數據流語法特征檢測結果、統計學文件特征檢測結果及語法結構特征檢測結果，得到待檢測網站文件的Webshell檢測結果。