[发明专利]基于云平台的网页后门检测方法、系统、设备及存储介质

说明书

技术领域

本发明涉及网络安全领域，具体地说，涉及基于云平台的网页后门检测方法、系统、设备及存储介质。

背景技术

webshell是一种以asp(active server pages，动态服务器页面)、php(hypertext preprocessor，超文本预处理器)、jsp(java server pages，java服务器页面)或者cgi(common gateway interface，公共网关接口)等网页文件形式存在的命令执行环境。由于webshell是一种网页后门，所以就成为黑客入侵网站服务器的脚本攻击工具。在实际应用中，黑客在入侵了一个网站后，通常会将这些asp或php等后门文件与网站服务器web目录下正常的网页文件混在一起，然后通过浏览器来访问这些asp或php等后门文件，从而控制网站服务器。

因此，防护webshell攻击对于网站安全十分重要。在现有的webshell攻击检测技术中，网关在获得外部发送给网站服务器的脚本文件后，通过检测脚本文件中是否存在基本攻击特征来确定是否有webshell攻击。然而，黑客们为了避免webshell攻击被检测出来，编写出许多特征变形的webshell攻击方法。例如，在一些特征字符串中添加“％”、“*”等其他非字母符号，以使得该特征字符串变成一个新的自定义的字符串。在这种情况下，由于webshell攻击的基本攻击特征已被打乱，所以很难根据基本攻击特征将其检测出来，从而webshell攻击的检测成为如今一大难题。

因此，本发明提供了一种基于云平台的webshell检测方法、系统、设备及存储介质。

发明内容

针对现有技术中的问题，本发明的目的在于提供基于云平台的网页后门检测方法、系统、设备及存储介质，通过关键词判断来得到白名单，并且结合预计机器学习的预测结果以及人工判断的结果来修正白名单，实现特征规则匹配、机器学习预测双引擎来有效的防护已知以及未知的网页后门威胁，同时优化了运营人员的管理成本和减低了维护保障成本。

本发明的实施例提供一种基于云平台的网页后门检测方法，包括以下步骤：

S101、在云平台建立规则检测模块和机器学习检测模块，所述规则检测模块包含多条恶意关键字特征，所述规则检测模块的恶意关键字特征被下发到终端，所述机器学习检测模块包括通过网页后门预测样本训练后的预测模型；

S102、根据终端内置的web应用目录和自定义的待检测目录对所述终端进行遍历，将待检测目录中的文件加入到待检测队列；

S103、所述规则检测模块判断所述文件是否没有命中任一所述恶意关键字特征，若是，则执行步骤S104；若否，则执行步骤S111；

S104、将所述文件加入白名单；

S105、将所述文件上传到所述机器学习检测模块，通过多个维度进行特征提取和预测，预测所述文件是否为网页后门攻击文件，若是，则执行步骤S106，若否，则执行步骤S109；

S106、进行人工确认，判断所述文件是否为网页后门攻击文件，若是，则执行步骤S107，若否，则执行步骤S108

S107、将所述文件从白名单中去除，进行报警，执行步骤S116；

S108、得到误报样本，将误报样本加入所述机器学习检测模块的网页后门预测样本中，执行步骤S116；

S109、提高所述文件在白名单中的权限，执行步骤S116；

S111、将所述文件上传到所述机器学习检测模块，通过多个维度进行特征提取和预测，预测所述文件是否为网页后门攻击文件，若是，则执行步骤S112，若否，则执行步骤S116；

S112、进行人工确认，判断所述文件是否为网页后门攻击文件，若是，则执行步骤S113，若否，则执行步骤S114；

S113、进行报警，执行步骤S116；以及

S114、得到误报样本，将误报样本加入所述机器学习检测模块的网页后门预测样本中，执行步骤S116；

S116、结束。

优选地，在所述步骤S103与步骤S111之间还包括S110、将所述文件加入黑名单。

优选地，所述步骤S113还包括降低所述文件在黑名单中的权限。

优选地，在所述步骤S111与步骤S116之间还包括S115、将所述文件从黑名单中去除。

优选地，所述步骤S114与步骤S116之间还包括S115、将所述文件从黑名单中去除。