[发明专利]一种Webshell的检测方法及装置

权利要求书

1.一种网页后门Webshell的检测方法，其特征在于，包括：

基于系统访问日志，提取出每一个页面的访问路径和来源页面信息referer，以及提取出所有源IP，其中，一个页面的referer表征访问所述一个页面之前访问的上一个页面的访问路径；

基于各个页面的访问路径以及referer，筛选出与其他页面之间不存在访问链接的第一类可疑页面，获得第一类可疑页面集合；

基于各个页面的访问路径以及所有源IP，绘制表征各个源IP和各个页面之间访问关系的二部图，基于所述二部图，确定任意一页面关联的源IP的总数目小于第一预设门限，且关联的源IP归属的网段的总数目小于第二预设门限时，确定所述任意一页面为异常页面，并将所有异常页面作为第二类可疑页面；

将第一类可疑页面集合和第二类可疑页面集合的交集中包含的所有页面，直接确定为包含Webshell的页面。

2.如权利要求1所述的方法，其特征在于，基于系统访问日志，提取出每一个页面的访问路径和referer，包括：

获得系统访问日志中记录的各个页面；

从获得的各个页面中去除静态页面；

针对去除静态页面后的每一个页面的统一资源定位URL地址，进行参数去除，提取出每一个页面的访问路径；

基于系统访问日志中记录的各个页面的访问链接顺序，分别确定每一个页面的referer。

3.如权利要求1所述的方法，其特征在于，基于各个页面的访问路径以及referer，筛选出与其他页面不存在访问链接的第一类可疑页面，包括：

基于各个页面的访问路径以及referer，绘制表征各个页面之间访问链接关系的有向图，基于所述有向图筛选出与其他页面之间不存在访问链接的孤立页面，将所有孤立页面作为所述第一类可疑页面。

4.如权利要求3所述的方法，其特征在于，基于所述有向图筛选出与其他页面之间不存在访问链接的孤立页面，包括：

基于所述有向图，确定任意一页面对应的referer为空时，判定所述任意一页面为孤立页面；以及，

基于所述有向图，确定任意一页面对应的referer所指向的访问路径，在访问所述任意一页面之前未曾访问时，判定所述任意一页面为孤立页面。

5.如权利要求1－4任一项所述的方法，其特征在于，将所有异常页面作为第二类可疑页面之后，进一步包括：

依次计算第一类可疑页面集合和第二类可疑页面集合的交集中包含的每一个页面，与预设的Webshell样本集合的相似度，并将相似度达到设定阈值的页面确定为包含Webshell的页面。

6.一种网页后门Webshell的检测装置，其特征在于，包括：

提取单元，用于基于系统访问日志，提取出每一个页面的访问路径和来源页面信息referer，以及提取出所有源IP，其中，一个页面的referer表征访问所述一个页面之前访问的上一个页面的访问路径；

第一筛选单元，用于基于各个页面的访问路径以及referer，筛选出与其他页面之间不存在访问链接的第一类可疑页面，获得第一类可疑页面集合；

第二筛选单元，用于基于各个页面的访问路径以及所有源IP，绘制表征各个源IP和各个页面之间访问关系的二部图，基于所述二部图，确定任意一页面关联的源IP的总数目小于第一预设门限，且关联的源IP归属的网段的总数目小于第二预设门限时，确定所述任意一页面为异常页面，并将所有异常页面作为第二类可疑页面；

处理单元，用于将基于第一类可疑页面集合和第二类可疑页面集合的交集中包含的所有页面，直接确定为包含Webshell的页面。

7.如权利要求6所述的装置，其特征在于，基于系统访问日志，提取出每一个页面的访问路径和referer时，所述提取单元用于：

获得系统访问日志中记录的各个页面；

从获得的各个页面中去除静态页面；

针对去除静态页面后的每一个页面的统一资源定位URL地址，进行参数去除，提取出每一个页面的访问路径；

基于系统访问日志中记录的各个页面的访问链接顺序，分别确定每一个页面的referer。