[发明专利]一种WebShell脚本文件的检测方法及系统

权利要求书

1.一种WebShell脚本文件的检测方法，其特征在于，包括：

针对训练样本中网页文件的命令执行程序，构建程序控制流和程序数据流；

分别提取所述程序控制流和程序数据流中，对应的控制流特征和数据流特征，其中，所述控制流特征和数据流特征准确地描述了所述命令执行程序的脚本行为；

利用机器学习算法对所述控制流特征和数据流特征执行训练，生成机器学习模型；

利用所述机器学习模型对待检测网页文件命令执行程序中的WebShell进行检测。

2.根据权利要求1所述的方法，其特征在于，在所述利用所述机器学习模型对待检测网页文件命令执行程序中的WebShell进行检测之前，所述方法还包括：

构建黑白名单过滤机制，以滤除所述命令执行程序中的正常执行程序和WebShell，得到所述命令执行程序中的不确定性执行程序；

所述利用所述机器学习模型对待检测网页文件命令执行程序中的WebShell进行检测，包括：

利用所述机器学习模型对所述命令执行程序中的不确定性执行程序执行WebShell检测。

3.根据权利要求2所述的方法，其特征在于，所述构建黑白名单过滤机制，包括：

通过规则匹配、哈希算法和词向量匹配算法中的至少一种，构建所述黑白名单过滤机制，所述哈希算法包括强哈希算法和/或弱哈希算法。

4.根据权利要求1所述的方法，其特征在于，所述针对所述命令执行程序，构建程序控制流和程序数据流，包括：

用节点表示所述命令执行程序中的基本代码块，节点间的有向边表示程序控制流的路径，节点间的反向边表示可能存在的循坏，以构建所述程序控制流；

遍历所述程序控制流，记录变量的初始化点和引用点，保存所述初始化点和引用点对应的参数信息和数据信息，以构建所述程序数据流。

5.根据权利要求4所述的方法，其特征在于，所述提取所述程序控制流中对应的控制流特征，包括：

提取所述程序控制流中的循环条件、判断条件、判断条件中的外界输入值或与外界输入值相关的变量、判断条件中的比较对象及判断结果中的至少一种特征，作为所述控制流特征，其中，所述比较对象用于与所述外界输入值或与外界输入值相关的变量进行比较。

6.根据权利要求4所述的方法，其特征在于，所述提取所述程序数据流中对应的数据流特征，包括：

提取出所述程序数据流中的危险函数；

利用污点传播对所述危险函数执行分析，以判断所述危险函数中的参数是否可以接收外部输入；

利用达到定值分析所述外部输入，是否可以传递到所述危险函数。

7.根据权利要求6所述的方法，其特征在于，所述利用污点传播对所述危险函数执行分析，以判断所述危险函数中的参数是否可以接收外部输入，包括：

通过判断路径条件，和/或函数调用关系是否生效，来判断所述危险函数中的参数是否可以接收外部输入。

8.一种WebShell脚本文件的检测系统，其特征在于，包括：

构建单元，用于针对训练样本中网页文件的命令执行程序，构建程序控制流和程序数据流；

提取单元，用于分别提取所述程序控制流和程序数据流中，对应的控制流特征和数据流特征，其中，所述控制流特征和数据流特征准确地描述了所述命令执行程序的脚本行为；

训练单元，用于利用机器学习算法对所述控制流特征和数据流特征执行训练，生成机器学习模型；

检测单元，用于利用所述机器学习模型对待检测网页文件命令执行程序中的WebShell进行检测。

9.根据权利要求8所述的系统，其特征在于，所述构建单元，具体用于：

用节点表示所述命令执行程序中的基本代码块，节点间的有向边表示程序控制流的路径，节点间的反向边表示可能存在的循坏，以构建所述程序控制流；

遍历所述程序控制流，记录变量的初始化点和引用点，保存所述初始化点和引用点对应的参数信息和数据信息，以构建所述程序数据流。