[发明专利]一种Webshell文件检测方法及装置

说明书

本申请实施例提供了一种Webshell文件检测方法及装置，包括：获取待检测文件；计算待检测文件的哈希值，作为目标哈希值；检测预设哈希值库中是否存储有目标哈希值，预设哈希值库中存储有Webshell文件的哈希值；若未存储目标哈希值，则按照预设检测方式，检测待检测文件是否为Webshell文件；若存储有目标哈希值，则确定待检测文件为Webshell文件。应用本申请实施例提供的技术方案，降低了WebShell文件检测中耗费的人工成本。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种Webshell文件检测方法及装置。

背景技术

随着计算机与网络的普及，各种Web(网络)应用层出不穷，Web安全漏洞也与日俱增，攻击者通过Web漏洞上传WebShell文件对网站服务器进行攻击的形势也日益严峻。为了提高网络安全性，这就要求网站管理员能及时、快速、准确的检测网站服务器是否被上传了WebShell文件。

目前，主要采用特征库的方式识别WebShell文件。具体的，检测设备获取大量的WebShell文件，从WebShell文件中提取特征码，将提取到的大量WebShell文件的特征码添加至特征库中。当一个文件的特征码与特征库中的特征码，检测设备可确定该文件为WebShell文件。

针对已知的海量的WebShell文件，为识别出每一WebShell文件，特征库中包括的特征码将非常多，维护困难，人工成本高。

发明内容

本申请实施例的目的在于提供一种Webshell文件检测方法及装置，以降低WebShell文件检测中耗费的人工成本。具体技术方案如下：

第一方面，本申请实施例提供了一种Webshell文件检测方法，所述方法包括：

获取待检测文件；

计算所述待检测文件的哈希值，作为目标哈希值；

检测预设哈希值库中是否存储有所述目标哈希值，所述预设哈希值库中存储有Webshell文件的哈希值；

若未存储所述目标哈希值，则按照预设检测方式，检测所述待检测文件是否为Webshell文件；

若存储有所述目标哈希值，则确定所述待检测文件为Webshell文件。

第二方面，本申请实施例提供了一种Webshell文件检测装置，所述方法包括：

获取单元，用于获取待检测文件；

检测单元，用于计算所述待检测文件的哈希值，作为目标哈希值；检测预设哈希值库中是否存储有所述目标哈希值，所述预设哈希值库中存储有Webshell文件的哈希值；

处理单元，用于若未存储所述目标哈希值，则按照预设检测方式，检测所述待检测文件是否为Webshell文件；若存储有所述目标哈希值，则确定所述待检测文件为Webshell文件。

第三方面，本申请实施例提供了一种网络设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述Webshell文件检测方法的任一步骤。

第四方面，本申请实施例提供了一种机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现上述Webshell文件检测方法的任一步骤。

本申请实施例提供的一种Webshell文件检测方法及装置，可基于待检测文件的哈希值和预设哈希值库，判断待检测文件是否为Webshell文件。可见，本申请实施例提供的技术方案中，只需要维护预设哈希值库中存储的Webshell文件的哈希值，哈希值作为静态指标，相对于动态指标的特征码，维持简单，降低了WebShell文件检测中耗费的人工成本。