[发明专利]WEBSHELL后门识别方法、装置、设备及存储介质

权利要求书

1.一种WEBSHELL后门识别方法，其特征在于，包括：

获取待检测网站的请求数据；

对所述请求数据进行孤链特征识别分析，得到异常孤链；其中，所述孤链特征包括：人群访问特征、参数变化特征以及跳转特征中至少一种；

对所述异常孤链进行可执行特征分析，并将可执行的异常孤链判定为WEBSHELL后门。

2.如权利要求1所述的WEBSHELL后门识别方法，其特征在于，若所述孤链特征包括：人群访问特征；则相应地，对所述待检测数据进行孤链特征识别分析，包括：

从所述待检测数据中提取出访问目标URL的用户数量；

判断所述用户数量是否达到预设访问数量；

若未达到，判定所述目标URL为用户异常孤链。

3.如权利要求2所述的WEBSHELL后门识别方法，其特征在于，判断所述用户数量是否达到预设访问数量，包括：

确定所述目标URL的服务类型；

获取所述目标URL的服务类型对应的访问数量，并将得到的访问数量作为目标数量；

判断所述用户数量是否达到所述目标数量；

若达到，判定所述用户数量达到预设访问数量；

若未达到，判定所述用户数量未达到预设访问数量。

4.如权利要求1所述的WEBSHELL后门识别方法，其特征在于，若所述孤链特征包括：参数变化特征；则相应地，对所述待检测数据进行孤链特征识别分析，包括：

筛选出所述待检测数据中目标URL的多次访问请求信息；

提取出各所述访问请求信息中访问请求附带参数；

判断各所述参数是否均相同；

若否，判定所述目标URL为参数异常孤链。

5.如权利要求1所述的WEBSHELL后门识别方法，其特征在于，若所述孤链特征包括：跳转特征；则相应地，对所述待检测数据进行孤链特征识别分析，包括：

筛选出所述待检测数据中基于目标URL的页面跳转次数；

判断所述页面跳转次数是否达到预设次数；

若未达到，判定所述目标URL为跳转异常孤链。

6.如权利要求1所述的WEBSHELL后门识别方法，其特征在于，所述孤链特征中还包括：时间序列特征；则相应地，对所述待检测数据进行孤链特征识别分析，包括：

提取出所述待检测数据中目标URL的访问时间；

判断所述访问时间是否属于预设正常访问时间范围；

若不属于，判定所述目标URL为时间异常孤链。

7.如权利要求1至6任一项所述的WEBSHELL后门识别方法，其特征在于，对所述请求数据进行孤链特征识别分析，包括：

调用预训练的iforest孤立森林识别模型对所述请求数据进行孤链特征识别分析。

8.如权利要求1所述的WEBSHELL后门识别方法，其特征在于，将可执行的异常孤链判定为WEBSHELL后门之后，还包括：

对所述WEBSHELL后门进行访问拦截，并输出拦截提示信息。

9.如权利要求1所述的WEBSHELL后门识别方法，其特征在于，对所述异常孤链进行可执行特征分析之后，还包括：对非可执行的异常孤链进行安全分析。

10.如权利要求1所述的WEBSHELL后门识别方法，其特征在于，对所述请求数据进行孤链特征识别分析之前，还包括：

提取所述请求数据中的预设数据条目，得到待检测数据；其中，所述预设数据条目的类型根据所述孤链特征识别分析的类型确定；

相应地，对所述请求数据进行孤链特征识别分析具体为：对所述待检测数据进行孤链特征识别分析。