[发明专利]一种基于流量的webshell的检测方法

说明书

本发明涉及一种基于流量的webshell的检测方法，所述检测方法是对同一网站产生的流量进行webshell检测，包括以下步骤：建立训练模型，按照url+参数的模式对训练流量进行分组，分析出每组url+参数的属性，以得到每组训练流量的url+参数实体及其模式画像；进行检测，检测已建立训练模型的网站，按照url+参数的模式对待检测流量进行分组，将所有待检测流量的url+参数与所有训练流量的url+参数进行比较，若有url相同参数不同的待检测流量，则分别判断该情况下各条待检测流量的统计分值、相似度分值和可疑度，以检测出含有webshell的异常流量，并对异常流量进行降低误报处理。本发明实现了建立基于流量的webshell训练模型，能根据训练模型进行检测，并准确有效的检测出误报较低的待移除流量。

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于流量的webshell的检测方法。

背景技术

随着因特网技术飞速发展和日益普及，服务器安全问题也日益严峻，甚至严重威胁到网络服务的正常运行。因此检测服务器的漏洞和后门以保证服务器安全至关重要。webshell常被入侵者用作对网站服务器操作的后门工具，webshell大多由网页脚本语言编写，和其他正常的网页运行环境相同，服务端口相同，因此很容易穿透防火墙和逃避杀毒软件的检测，相对于二进制编码的程序，webshell是纯文本文件，变形简单，脚本使用灵活，很容易将特征码进行混淆或者隐藏，使得基于特征匹配的检测方法很难快速准确的检测到webshell并移除。

目前，现有检测webshell大多数是基于规则匹配，这样会导致大量的误报和漏报，且对于未知类型的webshell完全无能为力。在现有产品中，基于流量的webshell检测，由于涉及到正常样本的提取以及特征的选择，且单条流量又无法反映webshell本质的特征，因此现有产品中还没有比较好的模型。另外，现有的机器模型训练严重依赖样本的好坏，但是往往好的正负样本都是很难采集到的，例如正样本，正样本之间相互的差距非常大，各有各的特点，很难找到正常样本之间的共性特征用来作为训练特征；再例如负样本，一方面稀有很难采集，另一方面，安全研究室自己造的数据和真实的攻击数据流量有些差异。因此，模型特征的难以设计和提取，样本的难以采集，导致现有的机器学习或者统计模型很难做到准确有效。另外现有技术很难做到误报与漏报之间的双重降低，比如为了降低漏报，多添加的规则会产生更多误报，而为了降低误报，则少添加一些规则，那么随之而来就会产生更多漏报，因此现有技术很难做到对误报和漏报的双重控制。

因此有必要提供一种基于流量的webshell的检测方法，以实现建立基于流量的webshell训练模型，能根据训练模型进行检测，并准确有效的检测出漏报和误报较低的需要移除的流量。

发明内容

本发明的目的在于提供一种基于流量的webshell的检测方法，以实现建立基于流量的webshell训练模型，能根据训练模型进行检测，并准确有效的检测出漏报和误报较低的需要移除的流量。

为了解决现有技术中存在的问题，本发明提供了一种基于流量的webshell的检测方法，所述检测方法是对同一网站产生的流量进行webshell检测，包括以下步骤：

建立训练模型，按照url+参数的模式对训练流量进行分组，所述参数为所述训练流量的访问key值，分析出每组url+参数的属性，以得到每组训练流量的url+参数实体，并根据每组训练流量的url+参数实体得到每组训练流量的模式画像，以得到训练模型；由各条训练流量之间的跳转关系得到各组url+参数之间的跳转关系，从而得到各组url+参数的图模型，所有的图模型构成跳转模型图；