[发明专利]Webshell检测方法、电子设备和计算机存储介质

权利要求书

1.一种Webshell检测方法，其特征在于，所述方法包括：

获取Web应用日志中的第一path，所述第一path由至少一个第一字符串组成；

根据预先由字符串聚类得到的规约模型，删除所述第一path中的无效第一字符串，得到标准化的第一path；

根据所述标准化的第一path，抽取所述Web应用日志的页面特征；

根据所述页面特征，对所述Web应用日志进行Webshell检测，其中，

所述根据预先由字符串聚类得到的规约模型，删除所述第一path中的无效第一字符串，得到标准化的第一path之前，还包括：

获取多个第二path，所述第二path由至少一个第二字符串组成；

获取各第二path中的第二字符串；

将各第二字符串的各字符转换成ASCII值，形成各第二字符串对应的数组；

确定各数组的长度、平均值和标准差；

根据各数组的长度、平均值和标准差对所有第二path的所有第二字符串进行聚类；

根据预先设定的分类规则，确认聚类结果中的有效聚类；

将有效聚类涉及的第二字符串形成白名单，并将所述白名单确定为训练的规约模型。

2.根据权利要求1所述的方法，其特征在于，所述分类规则包括至少一个第三字符串，所述第三字符串为有效聚类的示例字符串；

所述根据预先设定的分类规则，确认聚类结果中的有效聚类，包括：

计算所述第三字符串的中心点；

计算聚类结果中各聚类中心点距所述第三字符串的中心点的第一距离；

将所述第一距离小于预设第一阈值的聚类确定为有效聚类。

3.根据权利要求1所述的方法，其特征在于，所述分类规则包括至少一个第四字符串，所述第四字符串为无效聚类的示例字符串；

所述根据预先设定的分类规则，确认聚类结果中的有效聚类，包括：

计算所述第四字符串的中心点；

计算聚类结果中各聚类中心点距所述第四字符串的中心点的第二距离；

将所述第二距离大于预设第二阈值的聚类确定为有效聚类。

4.根据权利要求2或3所述的方法，其特征在于，所述根据所述标准化的第一path，抽取所述Web应用日志的页面特征之前，还包括：

选择请求的响应状态为200和500的Web应用日志；

所述根据所述标准化的第一path，抽取所述Web应用日志的页面特征，包括：

根据所述标准化的第一path，抽取选择的Web应用日志的页面特征。

5.根据权利要求4所述的方法，其特征在于，所述根据所述标准化的第一path，抽取选择的Web应用日志的页面特征，包括：

按标准化的第一path的不同，将选择的Web应用日志分类，其中，每类中各选择的Web应用日志对应相同的标准化的第一path；

基于每类中选择的Web应用日志分类，抽取每类的页面特征。

6.根据权利要求5所述的方法，其特征在于，所述页面特征包括：入度、出度、初次访问时间、最新访问时间、页面曝光天数、页面出现过天数、页面get请求次数、页面post请求次数、页面500次数、页面响应返回最大值、页面响应返回最小值、页面响应返回平均值、来访网络之间互连的协议IP数量、来访IP的C段数量、来访用户代理UA数量、统一资源标识符URI访问有参数访问次数、URI访问无参数访问次数、页面访问量曝光天数比、页面访问量出现过天数比、页面出现不同的时间、访问量与页面出现不同的时间的商、Refer总数、Refer等于path数量、Refer等于path占比、页面对应Session标识ID数量、页面访问量、页面500次数占比、页面200次数、POST请求占比、页面响应值不同数、页面响应值不同占比、UA异常数、Session ID异常数、Session ID异常占比、页面响应最大值与页面响应平均值的商。