[发明专利]一种webshell的检测方法和检测系统

摘要

本发明公开了一种webshell的检测方法，其包括步骤：对文件的特征进行检测，获得N种特征属性；构建特征属性集合X＝{a₁,a₂,a₃,……a_n}；构建类别集合C＝{y₁,y₂}；分别计算P(y₁|X)和P(y₂|X)，并根据计算结果进行判断：如果P(y₁|X)>P(y₂|X)，则判断文件不是webshell，反之则判断文件是webshell。此外，本发明公开了一种应用上述检测方法的检测系统。本发明公开的方法和系统采用朴素贝叶斯分类算法综合文件的多个特征属性进行判断，从而具有更高的准确度，有效降低了webshell的误报率和漏报率，提升了web应用服务器的安全性。

主权项

一种webshell的检测方法，其特征在于，包括步骤：遍历web应用服务器上的web目录中的文件，对文件的特征进行检测，获得N种特征属性；构建特征属性集合X＝{a₁,a₂,a₃,……a_n}，其中a₁,a₂,a₃,……a_n分别对应表示N种特征属性；构建类别集合C＝{y₁,y₂}，其中y₁表示文件不是webshell，y₂表示文件是webshell；分别计算P(y₁|X)和P(y₂|X)，并根据计算结果进行判断：如果P(y₁|X)>P(y₂|X)，则判断文件不是webshell，反之则判断文件是webshell；其中，计算P(y₁|X)和P(y₂|X)的步骤为：(1)获取足够的webshell样本以及正常文件样本，训练统计出文件分别为y₁和y₂时，其特征属性分别是a₁,a₂,a₃,……a_n的概率P(a₁|y₁),P(a₁|y₂),P(a₂|y₁),P(a₂|y₂)，……，P(a_n|y₁)，P(a_n|y₂)；(2)根据下述模型公式计算出P(y₁|X)和P(y₂|X)：$P\left(y_i\right|X)=\frac{P\left(X\right|y_i)P\left(y_i\right)}{P\left(X\right)},$$P\left(X\right|y_i)P\left(y_i\right)=P\left(a_1\right|y_i)P\left(a_2\right|y_i)...P\left(a_n\right|y_i)P\left(y_i\right)=P\left(y_i\right){\mathrm{\Π}}_{j=1}^{n}P\left(a_j\right|y_i),$其中，i为1或2。