[发明专利]基于带权模糊hash的webshell检测方法

说明书

本发明属于网络空间安全技术领域，公开了一种基于带权模糊hash算法的webshell检测方法及系统，通过将待检测文件分片；每片求hash及权值，给每一个分片赋予权值，有危险函数的核心分片给予较大的权值，同时考虑每一个分片的信息熵，信息熵值越大，给予的权值越小；把每个分片的hash拼接成模糊hash串并计算总权值得到带权模糊hash值；将待检测文件的带权模糊hash值与预先存储在指纹库中每个webshell带权模糊hash值依次比较。本发明与传统的模糊哈希算法相比，能有效适应检测对象大小变化很大的情况，具有较好的适应性，极大提高变种样本的检测准确率，并提高了抗干扰性。

技术领域

本发明属于网络空间安全技术领域，尤其涉及一种基于带权模糊hash的webshell检测方法及系统。

背景技术

目前，最接近的现有技术：

webshell是一种用脚本语言如jsp、asp、php等编写的恶意后门，攻击者利用诸如sql注入、文件上传等网站漏洞上传webshell后门获取权限之后，可以通过远程执行命令修改删除或添加服务器文件，还可以直接查看服务器数据库中的用户数据。

由于webshell操作不会在系统安全日志中留下记录，并且与正常网页文件混在一起，一般管理员很难看出入侵痕迹，高级的webshell后门还会使用各种技术来逃避检测，所以研究高效而准确的webshell检测方法的需求越来越迫切。

目前对于webshell的检测主要分为动态检测和静态检测。动态检测根据恶意代码执行时的动态特征，包括恶意行为和API调用行为等。

静态检测主要是分析webshell的语义特征，静态检测速度快、检测特征明显，针对webshell检测方法的研究多集中在基于静态检测方法上。静态检测方法依赖于webshell静态特征，由于webshell大多由脚本语言编写，易修改变形，当webshell进行简单变种或将其特征码故意混淆时，传统方法即会漏报此类webshell，故目前基于特征匹配的webshell检测方法很难快速检测和识别webshell的变种。

因此，如何克服传统基于特征码匹配的webshell检测方式的单一性和滞后性，应对webshell的文本混淆手段，实现快速检测webshell及其变种，一直以来都是本领域技术人员关注的重点。2006年，Jesse Kornblum提出了模糊hash算法，与传统hash不同的是，文件的部分内容改变只会改变对应模糊hash值的部分内容，所以该算法主要应用于文件相似度比较。而攻击者使用的webshell逃避手段从本质上来说也是在原有恶意脚本上加入冗余扰乱，隐藏静态特征或降低静态特征在恶意脚本中的比例，故而加入冗余扰乱后的恶意脚本和原脚本具有一定的相似性，基于此，有学者将模糊hash应用于恶意代码检测。

最新版的ModSecurity就增加了传统模糊hash算法ssdeep的webshell检测接口。

专利CN201110375166设计一种利用模糊哈希算法检测恶意代码的系统及方法，客户端用于计算待检测对象的模糊哈希值，并传输给云端服务器；云端服务器将接收的模糊哈希值与存储黑名单的模糊哈希值进行比较，将比较得到的模糊哈希值的相似度依照判定策略形成判定结果发送给客户端。

专利201710078106.7中采用模糊哈希算法计算出脚本文件的模糊哈希值，并将计算的所述模糊哈希值与指纹库中预存脚本文件的模糊哈希值进行比对，以筛选出与预存脚本文件不匹配的脚本文件。