[发明专利]webshell的检测方法以及web服务器

说明书

技术领域

本发明涉及信息安全领域，特别是涉及一种web shell的检测方法以及web服务器。

背景技术

随着互联网技术的高速发展，互联网信息安全成为人们日益关注的焦点。web shell是web入侵的脚本攻击工具。简单的说来，web shell就是一个动态服务器页面(Active Server Page，asp)或超级文本预处理语言(Hypertext Preprocessor,php)木马后门，黑客在入侵了一个网站后，常常在将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。然后黑客就可以用web的方式，通过asp或php木马后门控制网站服务器，包括上传下载文件、查看数据库、执行任意程序命令等。

目前，我们常常通过静态检测的方式检测是否存在web shell。该静态检测方式是通过将web服务器端的脚本与恶意特征码进行二进制匹配，若匹配成功，则确定该脚本为web shell。该种检测方法不能快速、精确地检测出web服务器中的web shell，增加了对web服务器端web shell的误判率，从而使web服务器的安全受到威胁。

发明内容

有鉴于此，本发明实施例提供一种web shell的检测方法以及web服务器，主要目的在于快速、精确地检测出web服务器中的web shell，从而能够保护web服务器的安全。

依据本发明一个方面，提供了一种web shell检测方法，包括：

构造运行web服务器脚本的web脚本虚拟机；

根据测试目的的不同获取不同的web脚本运行的web脚本参数；

将所述web脚本参数和检测的web服务器脚本在所述web脚本虚拟机上运行，记录所述web服务器脚本运行过程中的过程行为；

将所述过程行为与预定恶意脚本规则库进行匹配，所述恶意脚本规则库中包含了已知恶意脚本的判断规则；

若匹配成功，则确定所述web服务器脚本为web shell。

根据本发明的另一个方面，提供了一种web服务器，包括：

构造单元，用于构造运行web服务器脚本的web脚本虚拟机；

获取单元，用于根据测试目的的不同获取不同的web脚本运行的web脚本参数；

操作单元，用于将所述获取单元获取的web脚本参数和检测的web服务器脚本在所述构造单元构造的web脚本虚拟机上运行，记录所述web服务器脚本运行过程中的过程行为；

匹配单元，用于将所述操作单元记录的过程行为与预定恶意脚本规则库进行匹配，所述恶意脚本规则库中包含了已知恶意脚本的判断规则；

确定单元，用于当所述匹配单元匹配成功时，确定所述web服务器脚本为web shell。

借由上述技术方案，本发明提供的web shell的检测方法以及web服务器，当对web shell进行检测的时候，先构造能运行web服务器脚本的web脚本虚拟机，web shell的检测是基于该web脚本虚拟机实现的；再将获取的web脚本参数和检测的web服务器脚本在该web脚本虚拟机上运行，并且记录web服务器脚本在运行过程中的过程行为，将记录下来的过程行为与预定恶意脚本规则库进行匹配，若能够匹配成功，那么该web服务器脚本为web shell，整个过程按照规则流程自动执行，与现有技术中通过静态检测的方式检测是否存在web shell相比快速、准确。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种web shell检测方法的流程图；

图2示出了本发明实施例提供的构建web脚本虚拟机的方法流程图；

图3示出了本发明实施例提供的根据测试目的的不同获取不同的web脚本运行的web脚本参数的流程图；

图4示出了本发明实施例提供的一种操作web脚本虚拟机的方法流程图；

图5示出了本发明实施例提供的另一种web shell检测方法的流程图；