[发明专利]一种适应性webshell检测方法及系统

权利要求书

1.一种适应性webshell检测系统，其特征在于，其检测系统包括静态间隔扫描、实时扫描和旁路检测三大模块，其中静态间隔扫描的实施步骤和方式为：

(1)分析服务器是否运行了web 服务器，如果没有运行web服务直接结束；

(2)对有web服务的进行清点，来读取web服务器配置文件，获取web服务器相关信息；所述相关信息包括：站点个数、站点路径、域名或者端口号；

(3)对服务器上所配置的所有站点路径下的全部脚本文件进行扫描，针对相关的策略进行扫描；

(4)为了增强扫描的有效性以及效率，会记录每次扫描的时间，在下一次扫描的时候，只会扫描新增的部分文件以及之前判定为是webshell的文件；

实时扫描的实施步骤和方式为：(1)分析服务器是否运行了web 服务器，如果没有运行web服务直接结束；

(2)对有web服务的进行清点，来读取web服务器配置文件，获取web服务器相关信息；所述相关信息包括：站点个数、站点路径、域名或者端口号；

(3)对所有web站点的目录进行实时监控，如果发现新增的文件或者目录直接触发扫描动作；

(4)对新增的脚本文件进行扫描，针对相关策略进行扫描，扫描策略和静态间隔扫描相同；

旁路检测的主要方式就是检测请求文件的文件名以及路径以及文件本身的来实现的，以及服务器的响应信息也是参考。

2.根据权利要求1所述的适应性webshell检测系统，其特征在于，所述的静态间隔扫描和实时扫描还包括：特征值匹配、正则匹配、沙箱检测、相似度检测、威胁情报检测和机器学习检测模块；

静态间隔扫描、实时扫描的扫描策略为：首先判断是否匹配严格正则，是则上报为webshell，否则继续检测是否匹配宽泛正则，如果不匹配宽泛正则，则判断是否沙箱检测为webshell，如果沙箱检测为webshell，则上报为webshell，如果不是则结束扫描；如果匹配宽泛正则，判断是否匹配MD5病毒库，如果匹配MD5病毒库则上报为webshell，如果不匹配，则检测是否达到模糊度匹配阙值，若达到模糊度匹配阙值，则上报为webshell，如果没有达到则继续检测是否匹配威胁情报，如果匹配，则上报为webshell，如果不匹配，继续检测机器学习结果是否为负，机器学习结果为负，则上报为webshell并结束扫描，否则直接结束扫描。