[发明专利]一种WebShell的检测方法及系统

权利要求书

1.一种WebShell的检测方法，其特征在于，包括以下步骤:

A，收集服务器访问日志，分析出可疑访问行为的URL；

B，将分析出可疑访问行为的URL结合WebShell特征库进行本地检测；

C，将分析出可疑访问行为的URL结合WebShell特征库进行远程检测；

D，根据检测判断如发现WebShell，则执行步骤E；

E，上报WebShell路径，同时将识别为WebShell的路径补充到WebShell路径库；

其中，步骤B所述的本地检测，包括配置目标服务器信息并远程登录到目标服务器进行源码级WebShell检查；

步骤C所述的远程检测，包括远程检测配置和网页爬虫及远程检测网页代码。

2.如权利要求1所述的方法，其特征在于，所述的源码级WebShell检查是结合来源于WebShell特征库的本地检测指纹库通过指纹比对的方式对Web服务器根目录文件及可疑访问行为的URL文件中获得的各种语言的源代码进行WebShell检查。

3.如权利要求1所述的方法，其特征在于，所述的网页爬虫是依据来源于WebShell特征库的WebShell路径库及可疑访问行为的URL为远程检测路径并获取该远程检测路径中的应答数据。

4.如权利要求1所述的方法，其特征在于，所述的远程检测网页代码是结合来源于WebShell特征库的远程检测指纹库通过指纹比对的方式对远程检测路径中获得的应答数据进行WebShell检测。

5.如权利要求1所述的方法，其特征在于，步骤A所述的可疑访问行为的URL为按URL访问的频度及参数来分析的URL，所有出现过的URL，给定一个可疑级别为低；访问频度最少的URL，给定一个可疑级别为中；出现恶意内容的URL，给定一个可疑级别为高。

6.一种WebShell检测系统，其特征在于，该系统包括：

日志审计模块：用于收集服务器访问日志，分析出可疑访问行为的URL；

本地检测模块：用于将分析出可疑访问行为的URL结合WebShell特征库进行；

远程检测模块：用于将分析出可疑访问行为的URL结合WebShell特征库进行；

结果输出模块：用于根据检测判断如发现WebShell，则上报WebShell路径，同时将识别为WebShell的路径补充到WebShell路径库；

其中，所述的本地检测模块，具体用于配置目标服务器信息并远程登录到目标服务器进行源码级WebShell检查；

所述的远程检测模块，具体用于远程检测配置和网页爬虫及远程检测网页代码。

7.如权利要求6所述的系统，其特征在于，所述的源码级WebShell检查是结合来源于WebShell特征库的本地检测指纹库通过指纹比对的方式对Web服务器根目录文件及可疑访问行为的URL文件中获得的各种语言的源代码进行WebShell检查。

8.如权利要求6所述的系统，其特征在于，所述的网页爬虫是依据来源于WebShell特征库的WebShell路径库及可疑访问行为的URL为远程检测路径并获取该远程检测路径中的应答数据。

9.如权利要求6所述的系统，其特征在于，所述的远程检测网页代码是结合来源于WebShell特征库的远程检测指纹库通过指纹比对的方式对远程检测路径中获得的应答数据进行WebShell检测。

10.如权利要求6所述的系统，其特征在于，所述的可疑访问行为的URL为按URL访问的频度及参数来分析的URL，所有出现过的URL，给定一个可疑级别为低；访问频度最少的URL，给定一个可疑级别为中；出现恶意内容的URL，给定一个可疑级别为高。