[发明专利]一种Webshell检测方法以及装置、计算机装置、可读存储介质

说明书

本发明实施例公开了一种Webshell检测方法以及装置、计算机装置、可读存储介质，用于快速、有效地实现对Webshell的检测。本发明实施例方法包括：获取访问日志，访问日志包括浏览器向Web业务系统发起的Http请求信息、Web业务系统基于Http请求信息向数据库系统发起的数据请求信息、数据库系统基于数据请求信息向Web业务系统反馈的数据响应信息、Web业务系统基于数据响应信息向浏览器反馈的Http响应信息；从访问日志中提取Http响应信息；检测Http响应信息是否包括数据库系统的敏感信息；若包括，则确定Http请求信息指向Webshell。

技术领域

本发明涉及互联网安全技术领域，尤其涉及一种Webshell检测方法以及装置、计算机装置、可读存储介质。

背景技术

一般的数据入侵是先控制web系统，然后通过web系统去访问数据库进行数据窃取。由于借助web系统进行访问时，访问者的身份是合法的，防火墙无法识别这是异常访问，则无法防御不这类攻击。因此，数据库安全产品，具备识别webshell行为的能力，至关重要。

然而，webshell检测技术发展至今，较多侧重于web主机检测和网络检测：1、主机检测，需要在网站服务器上安装检测查杀工具或软件，主要使用的技术有静态特征库皮匹配、文件创建和修改时间监控、最长单词检测、重合指数检测、信息熵检测、文件压缩比检测、hook危险函数等，该检测方法相对比较成熟，但实时性不好；2、网络检测，即网络流量特征匹配，体现为webshell本身代码的传输流量特征匹和webshell在执行时通信流量特征匹配，网络流量特征匹配方法简单、检查迅速，但复杂的语义分析需要消耗的资源大，成本高，且对于已经上传webshell后的检测效果较差。

因此，有必要提供优于上述识别webshell行为的检测方法。

发明内容

本发明实施例提供了一种Webshell检测方法以及装置、计算机装置、可读存储介质，用于快速、有效地实现对Webshell的检测。

有鉴于此，本发明第一方面提供一种Webshell检测方法，可包括：

获取访问日志，访问日志包括浏览器向Web业务系统发起的Http请求信息、Web业务系统基于Http请求信息向数据库系统发起的数据请求信息、数据库系统基于数据请求信息向Web业务系统反馈的数据响应信息、Web业务系统基于数据响应信息向浏览器反馈的Http响应信息；

从访问日志中提取Http响应信息；

检测Http响应信息是否包括数据库系统的敏感信息；

若包括，则确定Http请求信息指向Webshell。

进一步的，该方法还包括：

从访问日志中提取数据响应信息；

检测Http响应信息是否包括数据库系统的敏感信息包括：

根据数据响应信息，检测Http响应信息是否包括数据库系统的敏感信息。

进一步的，根据数据响应信息，检测Http响应信息是否包括数据库系统的敏感信息包括：

检测数据响应信息是否包括数据库系统的敏感信息；

若包括，则从数据响应信息中提取敏感信息；

检测Http响应信息是否包括敏感信息。

进一步的，在从访问日志中提取Http响应信息之前，该方法还包括：

从访问日志中提取数据请求信息；

解析数据请求信息是否包括用于指示获取数据库系统的敏感信息的指令；