[发明专利]一种webshell识别方法、装置及计算机可读存储介质

说明书

本发明涉及一种webshell识别方法、装置及计算机可读存储介质，所述方法包括以下步骤：获取站点入口流量信息，根据所述站点入口流量信息对站点资源属性进行统计，获取资源属性数据；将所述资源属性数据展开，形成多维向量数据，对多维向量数据进行数据归一化及正规化处理，得到处理后的多维向量数据；对所述处理后的多维向量数据进行降维，得到降维后的特征向量，对所述特征向量进行聚类，并根据聚类结果获取webshell识别结果。本发明提供的webshell识别方法，在webshell流量被加密的情况下，仍然可以实现对webshell的识别。

技术领域

本发明涉及Web应用安全技术领域，尤其涉及一种webshell识别方法、装置及计算机可读存储介质。

背景技术

攻击者入侵Web应用程序时，通常会尝试寻找并利用目标Web服务器中的漏洞。而为了保护站点，站点管理员通常对站点进行例行扫描并对发现的漏洞进行修补，当攻击者再次利用漏洞并发现漏洞已被修复后，只能再尝试寻找新漏洞。对于攻击者而言，这将耗费大量时间和精力。因此，攻击者通常会在漏洞利用成功后，在站点上部署webshell后门，以保持对该服务器的控制。留好后门后，攻击者可以随时通过后门从服务器中窃取信息。

从检测场景来划分，现有的webshell检测方案主要分为两类，即对于webshell文件的检测和基于wenshell连接流量的检测，文件检测的方法是最主流的方法，主要原理为对站点的文件或上传的文件逐个进行静态或动态的分析，通过已有特征匹配、分析文件的代码逻辑或分析文件执行时的调用栈对文件进行检测。

无论是动态还是静态的文件检测需要获取到站点文件才能进行检测，部分厂商处于对源码的保护并不愿意将全部文件交给第三方进行扫描。而已有的基于流量的检测方案中，特征匹配本质为对流量内容的检测，当webshell流量被加密时（如被冰蝎、蚁剑加密），则无法对webshell进行识别。

发明内容

有鉴于此，有必要提供一种webshell识别方法、装置及计算机可读存储介质，用以解决现有技术中webshell流量被加密时，无法对webshell进行识别的问题。

本发明提供一种webshell识别方法，包括以下步骤：

获取站点入口流量信息，根据所述站点入口流量信息对站点资源属性进行统计，获取资源属性数据；

将所述资源属性数据展开，形成多维向量数据，对多维向量数据进行数据归一化及正规化处理，得到处理后的多维向量数据；

对所述处理后的多维向量数据进行降维，得到降维后的特征向量，对所述特征向量进行聚类，并根据聚类结果获取webshell识别结果。

进一步地，根据所述站点入口流量信息对站点资源属性进行统计，获取资源属性数据，具体包括：以一个HTTP请求响应为单位，对站点入口流量信息中站点资源属性进行逐条统计，获取资源属性数据。

进一步地，根据站点入口流量信息对站点资源属性进行逐条统计，具体包括：根据站点入口流量信息对响应为200的站点资源的属性进行逐条统计。

进一步地，所述资源属性数据包括：访问该资源的IP数量、资源访问频率、资源访问总量、关联资源、请求头部类型数量、响应头部类型数量、Cookie参数统计、User-Agent数量、请求方法统计、请求负载类型、响应负载类型、请求负载内容熵值、响应负载内容熵值及负载内容是否存在高危代码函数。

进一步地，将所述资源属性数据展开，形成多维向量数据，具体包括：将所述资源属性数据展开，以所述资源属性数据的总类型数为多维向量的维度，以请求数量作为对应向量的值，形成多维向量数据。

进一步地，对多维向量数据进行数据归一化及正规化处理，得到处理后的多维向量数据，具体包括：对多维向量数据进行数据归一化及正规化处理，并将每个URL的各类属性向量进行拼接，得到处理后的多维向量数据。