[发明专利]webshell文件检测方法、装置及电子设备

说明书

本申请提供一种webshell文件检测方法、装置及电子设备，涉及安全技术领域。该方法通过获取初始文件的操作行为特征，然后根据操作行为特征判断初始文件是否为webshell文件，操作行为特征能反映攻击者的一些操作行为，所以通过分析操作行为特征可以准确检测出webshell文件，相比于特征匹配的检测方式，本方案对于混淆webshell文件的检测效果更好，检测精度更高。

技术领域

本申请涉及安全技术领域，具体而言，涉及一种webshell文件检测方法、装置及电子设备。

背景技术

webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。正因如此，也有小部分人将代码修改后当作后门程序使用，以达到控制网站服务器的目的。

随着webshell检测技术的发展，针对webshell的绕过、免杀方法也层出不穷，传统入侵检测系统主要是针对特定的网络特征规则匹配一些webshell流量特征，但是这种方式对于一些经过混淆后的Webshell通常无法检测，即检测精度较低。

发明内容

本申请实施例的目的在于提供一种webshell文件检测方法、装置及电子设备，用以改善现有方式中webshell文件的检测精度低的问题。

第一方面，本申请实施例提供了一种webshell文件检测方法，所述方法包括：

获取上传的初始文件；

获取对所述初始文件的操作行为特征；

根据所述操作行为特征判断所述初始文件是否为webshell文件。

在上述实现过程中，通过获取初始文件的操作行为特征，然后根据操作行为特征判断初始文件是否为webshell文件，操作行为特征能反映攻击者的一些操作行为，所以通过分析操作行为特征可以准确检测出webshell文件，相比于特征匹配的检测方式，本方案对于混淆webshell文件的检测效果更好，检测精度更高。

可选地，所述获取对所述初始文件的操作行为特征之前，还包括：

获取所述初始文件上传时的上传行为特征；

所述根据所述操作行为特征判断所述初始文件是否为webshell文件，包括：

根据所述上传行为特征和所述操作行为特征判断所述初始文件是否为webshell文件。

在上述实现过程中，结合上传行为特征和操作行为特征来综合检测webshell文件，可进一步提高检测精度。

可选地，所述上传行为特征包括以下至少一种：所述初始文件的名称、上传所述初始文件的时间、所述初始文件上传的路径、所述初始文件的IP地址。通过检测这些上传行为特征，可初步判断初始文件是否是可疑的webshell文件。

可选地，所述获取所述初始文件上传时的上传行为特征之前，还包括：

检测所述初始文件是否为可疑webshell文件；

若是，则执行步骤：获取所述初始文件上传时的上传行为特征。

在上述实现过程中，先检测初始文件是否为可疑webshell文件，如此先对初始文件进行初步检测，然后再结合上传行为特征和操作行为特征来检测，以增加后续检测的准确度。

可选地，所述检测所述初始文件是否为可疑webshell文件，包括：

获取上传所述初始文件时的网络流量的流量特征；