[发明专利]Webshell检测方法、电子设备和计算机存储介质

说明书

本申请提供了一种Webshell检测方法、电子设备和计算机存储介质，属于计算机信息安全技术领域。所述方法包括：根据规约模型，删除path中的无效字符串，得到标准化的path；根据标准化的path，抽取Web应用日志的页面特征，进而对Web应用日志进行Webshell检测。本申请根据规约模型删除path中的无效字符串，得到标准化的path；根据标准化的path，抽取页面特征，进而进行Webshell检测，实现了根据规约模型选择标准字符串，将涉及同一页面的path标准化为相同的path，进而基于path的不同抽取页面特征，进行Webshell检测，不仅具有通用性，而且降低误报率和漏报率。

技术领域

本申请涉及计算机信息安全技术领域，尤其涉及Webshell检测方法、电子设备和计算机存储介质。

背景技术

Webshell是一种网站应用后门程序，是网站应用比较严重的安全威胁，黑客可以利用Webshell长期获得网站应用的访问权限，并且可以利用存在Webshell的应用服务器作为跳板机进一步渗透内网。因此，防护Webshell攻击对于网站应用安全以及内网安全十分重要。

Webshell传统检测方法主要分为两种：

1.静态检测：静态特征检测是指针对Webshell中可能使用的关键词、高危函数、文件修改的时间、文件之间的关联关系等静态属性维度进行规则匹配。检测过程需要建立一个包含各种规则的Webshell特征库，如：“关键字：大马|小马|木马|webshell”，“高危函数：eval()、excute()、run()、exec()、phpinfo()”，“WEB文件修改时间”，“文件与文件之间的关联关系”等特征。通过将文件自身的关键字、高危函数、修改时间、文件与文件之间是否有关联等特征与webshell特征库中的规则进行匹配，若命中特征则视为该文件为Webshell。

2.动态检测：黑客为了避免Webshell被静态检测方法直接识别到，开发了采用加密方式绕过部分静态特征检测的变种Webshell。为了弥补静态检测方法对此类Webshell检测能力的不足，便有了Webshell动态检测方法。动态检测首先提取镜像流量，然后解析出流量中的Web应用脚本文件(jsp、php、asp、cgi、jspx、aspx等)，最后检测Web应用请求访问的Web应用脚本文件是否采用了加密混淆技术、Web应用请求是否命中Webshell请求特征库等规则，从而判断该Web脚本文件是否为Webshell。

现有的静态检测、动态检测对Webshell检测都具有一定的效果，但由于技术原因又存在了诸多不足之处。例如：静态检测过于依赖规则，容易出现误报的情况，且无法检测出加密或伪装过的Webshell，会出现漏报的情况。动态检测也过多的依赖于规则，存在误报率高的问题，同时动态检测时需要获取网络镜像流量及解析出流量中的Web请求，这就需要服务器具有较高的运算性能，同时Web请求解析也需要准确，所以动态检测虽然相对于静态检测在漏报率上效果会好一些，但检测成本会成倍提高。

发明内容

为解决上述问题，本申请实施例提出了一种Webshell检测方法、电子设备和计算机存储介质。

第一方面，本申请实施例提供了Webshell检测方法，所述方法包括：

获取Web应用日志中的第一路径path，所述第一path由至少一个第一字符串组成；

根据预先由字符串聚类得到的规约模型，删除所述第一path中的无效第一字符串，得到标准化的第一path；

根据所述标准化的第一path，抽取所述Web应用日志的页面特征；

根据所述页面特征，对所述Web应用日志进行Webshell检测。

可选地，所述根据预先训练的规约模型删除所述第一path中的无效字符串，得到标准化的第一path之前，还包括：