[发明专利]一种Webshell文件检测方法及装置

权利要求书

1.一种Webshell文件检测方法，其特征在于，所述方法包括：

获取待检测文件；

计算所述待检测文件的哈希值，作为目标哈希值；

检测预设哈希值库中是否存储有所述目标哈希值，所述预设哈希值库中存储有Webshell文件的哈希值；

若未存储所述目标哈希值，则按照预设检测方式，检测所述待检测文件是否为Webshell文件；

若存储有所述目标哈希值，则确定所述待检测文件为Webshell文件；

所述按照预设检测方式，检测所述待检测文件是否为Webshell文件的步骤，包括：

抽取所述待检测文件的中间代码；所述中间代码是一种由解释器对脚本代码进行分析后生成的被脚本执行器直接运行的代码；

利用所述中间代码和预先训练好的机器学习模型，得到所述待检测文件为Webshell文件的可靠度，其中，所述机器学习模型为根据带有标签的多个样本文件训练得到的模型，所述标签包括指示文件为Webshell文件的第一标签和指示文件不是Webshell文件的第二标签；

若所述可靠度大于等于预设可靠度阈值，则确定所述待检测文件为Webshell文件，并将所述目标哈希值存储至所述预设哈希值库。

2.根据权利要求1所述的方法，其特征在于，所述计算所述待检测文件的哈希值，作为目标哈希值的步骤，包括：

移除所述待检测文件中的无效字符；

计算移除无效字符后的待检测文件的哈希值，作为目标哈希值。

3.根据权利要求1所述的方法，其特征在于，所述按照预设检测方式，检测所述待检测文件是否为Webshell文件的步骤，包括：

提取所述待检测文件中至少一种预设种类参数的待检测参数值；

根据提取的待检测参数值和每一种预设种类参数的权重，确定所述待检测文件的判定参数值；

检测所述判定参数值是否大于预设判定阈值；

若大于所述预设判定阈值，则确定所述待检测文件为Webshell文件，并将所述目标哈希值存储至所述预设哈希值库。

4.根据权利要求3所述的方法，其特征在于，所述至少一种预设种类参数包括：信息熵、重合指数、压缩率和最长单词长度中的一种或多种。

5.根据权利要求1所述的方法，其特征在于，所述按照预设检测方式，检测所述待检测文件是否为Webshell文件的步骤，包括：

运行所述待检测文件，检测是否向预设敏感函数传入预设参数，所述预设参数为运行Webshell文件时向所述预设敏感函数传入的参数；

若检测到向所述预设敏感函数传入所述预设参数，则确定所述待检测文件为Webshell文件，并将所述目标哈希值存储至所述预设哈希值库。

6.一种Webshell文件检测装置，其特征在于，所述装置包括：

获取单元，用于获取待检测文件；

检测单元，用于计算所述待检测文件的哈希值，作为目标哈希值；检测预设哈希值库中是否存储有所述目标哈希值，所述预设哈希值库中存储有Webshell文件的哈希值；

处理单元，用于若未存储所述目标哈希值，则按照预设检测方式，检测所述待检测文件是否为Webshell文件；若存储有所述目标哈希值，则确定所述待检测文件为Webshell文件；

所述处理单元具体用于：

抽取所述待检测文件的中间代码；所述中间代码是一种由解释器对脚本代码进行分析后生成的被脚本执行器直接运行的代码；

利用所述中间代码和预先训练好的机器学习模型，得到所述待检测文件为Webshell文件的可靠度，其中，所述机器学习模型为根据带有标签的多个样本文件训练得到的模型，所述标签包括指示文件为Webshell文件的第一标签和指示文件不是Webshell文件的第二标签；

若所述可靠度大于等于预设可靠度阈值，则确定所述待检测文件为Webshell文件，并将所述目标哈希值存储至所述预设哈希值库。