[发明专利]一种用于Webshell的检测方法

权利要求书

1.一种用于Webshell的综合检测方法，其特征在于，所述方法包括如下步骤：

步骤一：初始化

配置监控代理程序；

编译并运行一份监控代理实例；

监控代理程序完成自身初始化并同云管理中心建立安全的连接；

发送监控代理程序基础信息至云管理中心；

从云管理中心同步最新的扫描策略和特征库；

步骤二：扫描和检测

扫描网站根目录下所有的文件并提取指纹信息，同本地存储的文件指纹库中的信息进行

比对检索出指纹信息不匹配的文件；

调用检测引擎对指纹信息不配的文件执行重新扫描；

读取本地存储的网站访问日志摘要信息，查找网站访问日志并根据摘要信息提取增量日志；

重置“扫描空闲计时器”和“日志同步计时器”；

步骤三：发送结果

监控代理程序将检测结果发送到云管理中心；

更新本地文件指纹库和网站访问日志摘要信息；

运行“忙等待”任务直到上述计时器过期；

步骤四：云管理中心初始化

云管理中心启动主进程、基础服务和通信接口等；

读取数据库查找监控代理程序基础信息并联系监控代理程序；

步骤五：风险值分析

云管理中心分析进程从数据库中读取监控代理程序发送的原始数据；

云管理中心分析进程根据监控代理程序发送的检测结果结合日志分析结果决策文件风险值；

步骤六：保存结果

将分析结果存入公共数据库；

云管理中心前台处理程序读取公共数据库，向最终用户展示检测结果。

2.根据权利1所述的检测方法，其特征在于所述步骤一的具体流程如下：

①监控代理程序在部署到服务器之前必须由管理员在云管理中心使用“监控代理程序生成器”的工具生成监控代理程序，云管理中心还会保存一份该监控代理程序文件的校验数据；

②监控代理程序启动自身相关服务、守护进程以及监听程序等；

③在服务器上运行监控代理程序之后，程序根据配置开始查找云管理中心并使用安全的方式连接到云管理中心；

④连接到云管理中心之后向云管理中心的专用数据接收接口发送监控代理程序基础信息；

⑤从云管理中心同步最新的扫描策略和特征库。

3.根据权利1所述的检测方法，其特征在于，所述步骤二的具体流程如下：

①监控代理程序扫描所有被监控网站的WEB文件，提取文件指纹信息并与本地存储的文件指纹库进行对比检索出指纹信息不匹配的文件、新增加的文件和缺少的文件，并调用检测引擎检测指纹信息不匹配和新增加的文件；

②文件检测，监控代理程序包含一套完整的文件检测引擎，检测引擎可以利用静态文件特征检测、运行状态检测、基于统计学方法的检测等多种手段进行检测，能准确检测文件的特征。检测结果包含文件的常规属性、静态特征、运行特征、统计学特征、朴素贝叶斯决策结果和缺少的文件列表；

③静态特征检测结果、运行特征检测结果、统计学特征检测结果和朴素贝叶斯决策结果等，能够准确检测出文件包含特定的关键词、包含的高危函数、是否进行了危险动作、文件是否是加密文件、是否是混淆代码文件等，缺少的文件列表为上次文件扫描过程中存在但是在本次扫描中却不存在的文件列表，该列表取自上次扫描之后的文件指纹库；

④监控代理程序查找访问日志摘要信息，根据配置查找网站访问日志文件并根据保存的日志文件偏移位置提取增量日志；

⑤上述步骤完成之后重置“扫描空闲计时器”和“日志同步计时器”。

4.根据权利1所述的管控方法，其特征在于，所述步骤三的具体流程如下：

①监控代理程序将文件检测结果，增量日志原文发送到云管理中心。文件检测结果包含：文件常规属性、文件检测结果、新增的文件列表，缺失文件列表等；

②监控代理程序更新本地文件指纹库和日志摘要信息；

③运行“忙等待”任务。

5.根据权利1所述的管控方法，其特征在于，所述步骤四的具体流程如下：

①云管理中心在启动时会同时启动数据库实例、通信服务、管理引擎、分析引擎、WEB容器等；

②管理引擎读数据库中监控代理程序基础信息，并尝试和监控代理程序进行通信以确定监控代理程序是否存活。