[发明专利]一种检测webshell数据的方法及装置

说明书

本发明实施例公开了一种webshell检测方法及装置，其中方法包括：将待检测数据与预设数据库中存储的webshell数据进行比较，得到第一检测值；运行待检测数据，并模拟执行网页包括的多个特征项，根据多个特征项对应的敏感函数信息，得到第二检测值；根据第一检测值和第二检测值得到目标检测值，若目标检测值大于预设阈值，则确定待检测数据为webshell数据。本发明实施例采用经过编解码处理得到的函数确定第二检测值，可以识别对程序代码进行文字性修改的webshell数据，从而能够实现对待检测数据的准确检测；且，通过使用第一检测值和第二检测值对待检测数据进行检测，相比于现有技术仅采用第一检测值对待检测数据进行检测来说，可以提高检测的准确性。

技术领域

本发明涉及数据处理技术领域，尤其涉及一种检测webshell数据的方法及装置。

背景技术

随着网络技术的发展，用户逐渐倾向于通过网络传递信息以及保存隐私数据，比如，用户可以通过服务器访问全球局域网(world wide web，web)网页，并可以在web网页上执行下载或上传等操作；相应地，web网页所属的源网站可以根据用户的操作为用户提供服务。然而，由于web所提供的功能日益增多与复杂，安全隐患也由此增多，比如黑客可以在入侵源网站后，将webshell数据(比如asp、php木马后门文件)放置在源网站对应的web目录中，与正常的web后台程序混合在一起，通过访问上传的webshell后门路径，从而可以通过源网站运行webshell数据形成webshell网页，并能够通过webshell网页实现上传或下载文件、查看数据库、执行任意程序命令等操作，窃取用户的隐私数据或信息，攻击服务器资源。由此可知，实现对webshell数据的准确检测，可以有效保证用户的隐私。

为了实现对webshell数据的准确检测，现有技术通常设置包括webshell数据的预设数据库，预设数据库中可以包括与正常web数据不同的一项或多项程序代码，比如，具有不同定义的函数代码(即敏感函数)、可疑行为序列、可疑特征字符等。在对待检测数据进行检测时，一种可能的实现方式为：将待检测数据的程序代码与预设数据库中的webshell数据的程序代码进行对比，确定待检测数据是否为webshell数据。然而，在实际操作中，程序代码通常具有不同的编码风格和语言类型，黑客可以通过对webshell数据的程序代码作文字性的修改，以避免被预设数据库中包括的webshell数据的程序代码识别。比如，已确定为webshell数据的一个可疑函数为system函数，黑客可以通过将待检测数据中的system函数拆分为sys字符串和tem字符串，使得待检测数据被检测为正常web数据；相应地，在确定攻击服务器时，黑客可以使用sys字符串和tem字符串重新组成system函数，以窃取用户的隐私数据。由此可知，使用预设数据库对待检测数据进行检测，可能会使得检测的准确性不高。

综上，目前亟需一种检测webshell数据的方法，用以提高对websell数据检测的准确性。

发明内容

本发明实施例提供一种检测webshell数据的方法，用以提高对websell数据检测的准确性。

本发明实施例提供的一种检测webshell数据的方法，所述方法包括：

获取待检测数据；

将所述待检测数据与预设数据库中存储的webshell数据进行比较，并根据比较结果得到第一检测值；

通过所述待检测数据对应的沙箱运行所述待检测数据，得到所述待检测数据对应的网页；针对于所述网页所包括的多个特征项中的每个特征项，模拟执行所述特征项，并对执行所述特征项时所调用的M个函数进行编解码处理得到N个函数，进而根据所述N个函数中所包括的敏感函数的种类和个数，得到所述特征项对应的敏感函数信息；所述多个特征项包括链接特征项、点击特征项、表单特征项、提交特征项中的至少两项；根据所述多个特征项对应的敏感函数信息，得到第二检测值；其中，M、N为正整数；