[发明专利]一种基于流量的webshell的检测方法

权利要求书

1.一种基于流量的webshell的检测方法，其特征在于，所述检测方法是对同一网站产生的流量进行webshell检测，包括以下步骤：

建立训练模型，按照url+参数的模式对训练流量进行分组，所述参数为所述训练流量的访问key值，分析出每组url+参数的属性，以得到每组训练流量的url+参数实体，并根据每组训练流量的url+参数实体得到每组训练流量的模式画像，以得到训练模型；由各条训练流量之间的跳转关系得到各组url+参数之间的跳转关系，从而得到各组url+参数的图模型，所有的图模型构成跳转模型图；

进行检测，检测已建立训练模型的网站，按照url+参数的模式对待检测流量进行分组，所述参数为所述待检测流量的访问key值，分析出每组url+参数的属性，以得到每组待检测流量的url+参数实体，将所有待检测流量的url+参数与所有训练流量的url+参数进行比较，若有url相同但是参数不同的待检测流量，则分别计算该情况下各条待检测流量的统计分值和相似度分值，分别预设统计分值的阈值和相似度分值的阈值，将同一相同url+不同参数所对应的各条待检测流量的统计分值和相似度分值与预设的各阈值进行比较判断，若其统计分值低于统计分值的阈值，且相似度分值低于相似度分值的阈值，则统计分值和相似度分值都不合格，接着进行可疑度判断，检测出含有webshell的异常流量，否则不进行可疑度计算，确认该条待检测流量为正常的流量，将异常流量进行降低误报处理，得到待移除的流量和正常的流量。

2.如权利要求1所述的基于流量的webshell的检测方法，其特征在于，与训练流量相比，待检测流量具有相同url和不同参数时，计算统计分值包括以下步骤：

抽取同一相同url+不同参数所对应的该组待检测流量及其统计特征，所述统计特征包括出度、入度、访问IP多样性以及useragent多样性，统计分值的计算公式为：

其中T为抽取的该组待检测流量中各条待检测流量的统计分值，T₁，T₂…T₄为各统计特征的特征值。

3.如权利要求2所述的基于流量的webshell的检测方法，其特征在于，T₁，T₂…T₄为各统计特征的特征值，各特征值的计算公式为：

T_a＝1-e^(-x)，

其中，T_a为各统计特征中任一统计特征的特征值，a为特征值的序号1、2、3、 4，e为常数，x为抽取的该组待检测流量的出度的个数、入度的个数、访问IP多样性的个数或useragent多样性的个数。

4.如权利要求3所述的基于流量的webshell的检测方法，其特征在于，

在抽取的该组待检测流量中，若从待检测流量跳转向训练流量，则记录该条待检测流量具有一个出度；

在抽取的该组待检测流量中，若从训练流量跳转向待检测流量，则记录该条待检测流量具有一个入度；

统计抽取的该组待检测流量中所有待检测流量的出度的个数和入度的个数。

5.如权利要求1所述的基于流量的webshell的检测方法，其特征在于，与训练流量相比，待检测流量具有相同url和不同参数时，计算相似度分值包括以下步骤：

抽取同一相同url+不同参数所对应的该组待检测流量，获取训练模型中和该组待检测流量的url相同的至少一组训练流量；

相似度分值的计算公式为：其中D为抽取的该组待检测流量中各条待检测流量的相似度分值，S₁，S₂…S_z为抽取的该组待检测流量分别与获取的各组训练流量之间的相似值，z为获取的训练流量的组数。