[发明专利]基于云WAF的深度学习WebShell防护方法

说明书

本发明涉及基于云WAF的深度学习WebShell防护方法，收集等量的正常文本和WebShell文本分别作为正样本和负样本，预处理后提取特征，采用深度学习的算法对特征进行训练得到稳定的算法模板，以算法模板对特征进行预测，若预测为WebShell文本则通过Redis模块通知WAF模块进行实时阻断，否则放行。本发明通过深度学习训练在正样本和负样本中分别提取的特征，获取精准度高的算法模板，预测时利用算法模板识别恶意上传文件的行为，并且对恶意上传文件的行为进行实时阻断，不仅检测成本低、实时性强、准确率高且误报率低，还能有效阻止黑客蓄意发起的攻击行为，避免一些不必要的数据包在网络中占用流量。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种基于云WAF的深度学习WebShell防护方法。

背景技术

随着互联网技术的发展，Web应用系统已经广泛应用于政府门户网站、电子商务、互联网等行业，方便生活和工作的同时也带来网络安全隐患。

攻击者在入侵目标网站时，通常要通过各种方式获取文件，从而获得企业网站的控制权，然后方便进行之后的入侵行为，常见攻击方式包括直接上传获取WebShell、SQL注入、远程文件包含RFI、FTP，甚至使用跨站点脚本（XSS）作为攻击的一部分，还有一些比较老旧的方法，如利用后台数据库备份及恢复获取WebShell、数据库压缩等。这其中，上传文件获取WebShell是黑客的常用技术手段。

WebShell是ASP、PHP、Python木马后门，黑客在入侵了一个网站后，将WebShell文件放置在网站服务器的WEB目录中，然后就可以用WEB的方式，通过WebShell控制网站服务器，包括上传及下载文件、查看数据库、执行任意程序命令等，这种攻击方式具有技术门槛低、实施容易、危害大的特点，目前业界主要通过规则防护和高级安全专家人工识别，识别效率低，漏报率非常高。

专利申请号为201611250018.2的中国专利“webshell检测方法和装置”，提供一种webshell检测方法和装置，应用于服务器，从网页代码中提取出有效代码；基于所述有效代码生成对应的抽象语法树；基于所述抽象语法树对所述有效代码进行归一化计算，并根据归一化计算结果修改所述抽象语法树；基于修改后的抽象语法树生成归一化后的有效代码；调用检测模块对所述归一化后的有效代码进行webshell检测。专利号为201310423483.1的中国专利公开了“一种WebShell的检测方法及系统”，该系统包括日志审计模块，本地检测模块，远程检测模块，结果输出模块，所述系统执行如下处理流程：A，收集服务器访问日志，分析出可疑访问行为的URL；B，将分析出可疑访问行为的URL结合webshell特征库进行本地检测和远程检测；C，根据检测判断如发现webshell则上报webshell路径，同时将识别为webshell的路径补充到webshell路径库。这两种方式都应用了通过规则防护和高级web安全人员凭借经验识别恶意文件上传行为的技术手段，存在性能低、漏报率高的问题。

发明内容

本发明解决了现有技术中，应用通过规则防护和高级web安全人员凭借经验识别恶意文件上传行为的技术手段，而导致的对于WebShell的防护存在性能低、漏报率高的问题，提供了一种优化的基于深度学习的WebShell防护方法。

本发明所采用的技术方案是，一种基于云WAF的深度学习WebShell防护方法，所述方法包括以下步骤：

步骤1：收集等量的正常文本和WebShell文本分别作为正样本和负样本；

步骤2：对正样本和负样本进行预处理，提取特征；

步骤3：采用深度学习的算法对特征进行训练，直至得到稳定的算法模板；

步骤4：获取客户端的上传文本，缓存到本地，以与步骤2相同的方式进行预处理并提取特征；

步骤5：使用算法模板对步骤4提取的特征进行实时预测；