[发明专利]一种基于图像分析的Webshell检测方法、终端设备及存储介质

说明书

本发明涉及一种基于图像分析的Webshell检测方法、终端设备及存储介质，该方法中包括：S1：采集正常和异常两种不同类型的多个Webshell样本；S2：根据采集的各Webshell样本和待测Webshell的Opcode序列和Opcode频率，生成对应的RGB图像；S3：计算待测Webshell的RGB图像与各Webshell样本的RGB图像之间的距离，并按照距离从小到大的顺序将各Webshell样本进行排序，从排序结果中选择前N个Webshell样本并判断类型，将对应数量最多的类型最为待测Webshell的类型。本发明使Opcode特征来表示Webshell的恶意行为，并用Opcode序列生成二维灰度图像，之后结合Opcode频率所生成的灰度图像合成RGB图像，能够更加完整的表征Webshell的恶意行为，提升检测性能。

技术领域

本发明涉及Webshell检测领域，尤其涉及一种基于图像分析的Webshell检测方法、终端设备及存储介质。

背景技术

Web应用系统现广泛应用于社交、购物、银行和邮件等重要业务线上，在网络资产中占有非常重要的地位。系统的受攻击面广和攻击技术多导致系统易被入侵。Webshell是一种动态脚本形式存在的入侵者对服务器进行控制的后门程序，对网站后门程序进行有效的检测和了解应用程序的安全状况至关重要。受限于检测技术，仍有大量的网站木马无法检出。Webshell变体层出不穷，现有的检测方法很难与其进行有效对抗，形势十分严峻。

现使用Webshell检测方法主要分为静态分析、动态分析以及通过文件属性、内容信息熵、日志文件等其他手段。动态分析方法是根据恶意文件执行时的动态特征进行检测，该方案的优势是恶意行为检出率高，但对于特定用途的后门较难检测，且动态执行需要在系统里面建立虚拟机，对系统资源消耗较大。而且在检测未启动的静默文件时存在漏报和危险感知延迟的现象。静态检测主要使用规则对文件的静态属性进行匹配，市面上某Webshell扫描器使用这种方法进行检测。该检测方法可以快速找到危险的文件，缺点是误报率和漏报率降低空间有限，对抗混淆能力较弱，容易出现绕过手段。规则的性能依赖开发人员的经验，无未知风险对抗能力。其他检测手段如Scott和Ben使用的NeoPI检测方法对信息熵、重合指数、最长单词、压缩比等其他特征对Webshell进行检测。该检测方法可以完成一些变体的标记，但没有从恶意代码的根本特征上解决Webshell检测问题，局限性很大，很容易产生漏报。近年，研究人员更多使用多种方法结合进行检测，如基于决策树的Webshell检测方法，该方法使用SVM算法对动静态检测的结果进行了优化，但是并没有对检测方法进行优化。以上检测方法通常使用基于规则的方式，通过提取出文件或日志的内容及属性与预编写的规则进行匹配，将触发规则的文件标记为Webshell，一般使用正则表达式来描述Webshell的特征。正则表达式本质为限状态自动机，无法良好地定义行为特征和完整覆盖风险模型，因此在检测漏报率和误报率上存在无法跨域的瓶颈。爱荷华大学Hansen在2005年的论文中从理论上证明基于正则的匹配方式一定存在漏报和误报。

发明内容

为了解决上述问题，本发明提出了一种基于图像分析的Webshell检测方法、终端设备及存储介质。

具体方案如下：

一种基于图像分析的Webshell检测方法，包括以下步骤：

S1：采集正常和异常两种不同类型的多个Webshell样本；

S2：根据采集的各Webshell样本和待测Webshell的Opcode序列和Opcode频率，生成对应的RGB图像；

S3：计算待测Webshell的RGB图像与各Webshell样本的RGB图像之间的距离，并按照距离从小到大的顺序将各Webshell样本进行排序，从排序结果中选择前N个Webshell样本并判断类型，将对应数量最多的类型最为待测Webshell的类型。

进一步的，RGB图像的生成过程包括以下步骤：