[发明专利]Webshell报文的检测方法及装置

说明书

本发明实施例公开了一种Webshell报文的检测方法及装置，其中该方法包括：根据待测HTTP报文的类型从所述待测HTTP报文中提取所述类型对应的预设报文头字段；对提取的所述类型对应的报文头字段进行特征构造，生成所述类型对应的报文头特征；根据生成的所述类型对应的报文头特征，以及所述类型对应的预先训练好的决策树模型，确定所述待测HTTP报文的Webshell检测结果。如此，基于HTTP报文的报文头特征来检测Webshell，使得Webshell检测不受代码混淆与报文加密等的影响。

技术领域

本发明实施例涉及信息安全技术，尤指一种Webshell报文的检测方法及装置。

背景技术

Webshell是攻击者用于对目标服务器进行持久性访问控制的恶意脚本，也称作网页后门。攻击者利用SQL(结构化查询语言，Structured Query Language)注入漏洞、远程文件包含漏洞等漏洞来上传Webshell。利用Webshell，攻击者在目标服务器上进行命令执行、进程管理、文件及数据库读写以及内网主机探测等恶意操作，为后续的内网渗透、商业机密窃取、组建僵尸网络以及进行APT(高级持续性威胁，Advanced Persistent Threat)攻击等恶意目的做好前期准备。因此，保护网站安全，尤其是内网安全的关键是Webshell检测。

现有的Webshell的检测技术主要包括Webshell文件检测和Webshell通信流量检测，其检测对象都是对Webshell内容进行检测，例如对Webshell文件内容和Webshell的HTTP POST(HyperText Transfer Protocol，超文本传输协议)报文的Body内容检测是否存在敏感函数。但是随着Webshell代码的变形、混淆和加密技术的不断演进，网络加密流量所占比例持续增长，基于Webshell内容来检测Webshell的方案不再凑效。

发明内容

有鉴于此，本发明实施例提供了一种Webshell报文的检测方法，包括：

根据待测HTTP报文的类型从所述待测HTTP报文中提取所述类型对应的预设报文头字段；

对提取的所述类型对应的报文头字段进行特征构造生成所述类型对应的报文头特征；

根据生成的所述类型对应的报文头特征，以及所述类型对应的预先训练好的决策树模型，确定所述待测HTTP报文的Webshell检测结果；

其中，一个类型对应一个决策树模型，一个类型对应的决策树模型是基于决策树算法对该类型的报文训练集进行训练得到的决策树二分类模型或者多分类模型；当决策树模型为二分类模型时，一个类型的报文训练集包括已标记为Webshell报文或正常报文的该类型的多个报文头特征，当决策树模型为多分类模型时，一个类型的报文训练集包括已标记为Webshell类别或正常报文的该类型的多个报文头特征。

本发明实施例还提供了一种电子装置，包括：

提取单元，设置为根据待测HTTP报文的类型从所述待测HTTP报文中提取所述类型对应的预设报文头字段，

生成单元，设置为对提取的报文头字段进行特征构造生成所述类型对应的报文头特征；

确定单元，设置为根据生成的所述类型对应的报文头特征，以及所述类型对应的预先训练好的决策树模型，确定所述待测HTTP报文的Webshell检测结果；

其中，一个类型对应一个决策树模型，一个类型对应的决策树模型是基于决策树算法对该类型的报文训练集进行训练得到的决策树二分类模型或者多分类模型；当决策树模型为二分类模型时，一个类型的报文训练集包括已标记为Webshell报文或正常报文的该类型的多个报文头特征，当决策树模型为多分类模型时，一个类型的报文训练集包括已标记为Webshell类别或正常报文的该类型的多个报文头特征。