[发明专利]Webshell脚本检测方法、装置、电子设备及存储介质

说明书

本发明属于网络安全领域，涉及一种Webshell脚本检测方法、装置、电子设备及存储介质；所述方法包括采集脚本数据，所述脚本数据包括不同脚本编程语言类型的Webshell脚本和其他网页脚本；对所述脚本数据按照其对应的脚本编程语言进行预处理；将预处理后的脚本数据进行语义分析，按照其对应的脚本编程语言抽取出抽象语法树序列；将抽象语法树序列输入到词向量嵌入模型中获取词嵌入和样本特征词向量；将所述词嵌入和样本特征词向量输入到预先训练好的Text‑CNN神经网络中，检测出Webshell脚本；本发明在减少软硬件消耗的同时，将提高了Webshell检测的准确率，能够及时有效的发现混淆变形Webshell。

技术领域

本发明属于网络安全领域，特别地涉及一种Webshell脚本检测方法、装置、电子设备及存储介质。

背景技术

Webshell是一种由php，jsp，asp等脚本语言编写的功能性网页脚本，它们被广泛地用于网络攻击中。随着信息技术的发展，针对Web应用的网络攻击也在不断地增加。据网信办统计，2020年上半年，境内外约1.8万个IP地址对我国境内约3.59万个网站植入后门，较2019年上半年增长36.9％。由此可见针对Web应用攻击的猖獗。

抽象语法树，是针对编程语言进行语义分析后生成的树状语义结构表示，树中的每一个节点都代表源码的结构。这种结构不依赖特定语言的实现细节，因此能够有效地反映样本代码的实际执行流程。抽象语法树的节点包含丰富的语义信息，这些信息包括样本的表达式，变量，调用函数，类型等信息，因此抽象语法树节点序列能够清晰高效地表达样本的运行特征。

随着传统Webshell检测技术的普及，攻击者也开始通过各种手段试图规避检测。较为常见的技术有拆分关键词，编码Webshell，加密Webshell通讯流量等。但传统Webshell检测技术有漏报率高，识别变形混淆Webshell能力弱的缺点，已经无法适应当前复杂的攻防场景。因此业界急需一种能够有效针对混淆变形Webshell的检测系统。

发明内容

基于现有技术存在的问题，本发明发现混淆变形前后Webshell的语义结构具有一定相似度，而卷积神经网络又能够较好地提取文本的局部特征。因此两者有效地结合能够有效地提升Webshell检测的能力，从而提出了一种Webshell脚本检测方法、装置、电子设备及存储介质。

在本发明的第一方面，本发明提供了一种Webshell脚本检测方法，包括：

采集脚本数据，所述脚本数据包括不同脚本编程语言类型的Webshell脚本和其他网页脚本；

对所述脚本数据按照其对应的脚本编程语言进行预处理；

将预处理后的脚本数据进行语义分析，按照其对应的脚本编程语言抽取出抽象语法树序列；

将抽象语法树序列输入到词向量嵌入模型中获取词嵌入和样本特征词向量；

将所述词嵌入和样本特征词向量输入到预先训练好的Text-CNN神经网络中，检测出Webshell脚本。

在本发明的第二方面，本发明还提供了一种Webshell脚本检测装置，包括：

脚本数据采集模块，用于采集不同脚本编程语言类型的Webshell脚本和其他网页脚本；

数据预处理模块，用于对所述脚本数据按照其对应的脚本编程语言进行预处理；

语义分析模块，用于将预处理后的脚本数据进行语义分析，按照其对应的脚本编程语言抽取出抽象语法树序列；

词向量生成模块，用于将抽象语法树序列输入到词向量嵌入模型中获取词嵌入和样本特征词向量；

检测模块，用于将所述词嵌入和样本特征词向量输入到预先训练好的Text-CNN神经网络中，检测出Webshell脚本。