[发明专利]一种WebShell文件的检测方法和装置有效
| 申请号: | 201610995538.X | 申请日: | 2016-11-11 |
| 公开(公告)号: | CN106572117B | 公开(公告)日: | 2019-10-18 |
| 发明(设计)人: | 张涛;宁戈;高申 | 申请(专利权)人: | 北京安普诺信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京万象新悦知识产权代理有限公司 11360 | 代理人: | 黄凤茹 |
| 地址: | 100085 北京市*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公布了一种WebShell检测方法和装置,所述检测方法基于变量回溯和抽象语法树,针对目录中的多个文件进行WebShell检测,包括可疑文件筛选过程、特征匹配检测过程、抽象语法树分析检测过程、无关代码剔除过程和数学公式检测过程,输出确定的WebShell文件。检测装置包括:可疑文件筛选单元、特征匹配单元、抽象语法树检测分析单元、剔除无关代码单元和数学公式检测单元;通过这些单元实现对WebShell文件的检测。利用本发明技术方案,能够很全面、系统地、快速、精确地对WebShell进行检测,检测效率高、误报率低,从而保证Web服务的安全。 | ||
| 搜索关键词: | 一种 webshell 文件 检测 方法 装置 | ||
【主权项】:
1.一种WebShell检测方法,所述检测方法基于变量回溯和抽象语法树,针对目录中的多个文件进行WebShell检测,包括可疑文件筛选过程、特征匹配检测过程、抽象语法树分析检测过程、无关代码剔除过程和数学公式检测过程,输出确定的WebShell文件;依次包括如下步骤:A.可疑文件筛选过程:读取网站目录中文件,通过筛选过滤出可疑文件,得到可疑文件集T:B.特征匹配检测过程:对筛选出的可疑文件集T,将T中的可疑文件与常见WebShell特征库H进行特征匹配检测,将匹配成功的文件识别为WebShell文件;将匹配不成功的剩余文件记为可疑文件集Q,再进行抽象语法树分析检测过程;C.抽象语法树分析检测过程包括如下步骤:C1.对于可疑文件集Q中加密、变形的可疑文件进行变量回源、函数回源或解码操作;C2.利用抽象语法树分析所述疑文件集Q中的可疑文件;C3.将所述疑文件集Q中的可疑文件与特征库I进行匹配;所述特征库I是通过对WebShell文件经常利用的函数进行抽取形成的特征库;将匹配成功的文件识别为WebShell文件;将匹配不成功的剩余文件记为可疑文件集S,再进行无关代码剔除过程;D.无关代码剔除过程:读取可疑文件集S中的可疑文件,剔除出无关代码;将所述剔除出无关代码之后的文件,再与特征库K进行匹配;所述特征库K具体是对已知的WebShell文件进行源码分析,剔除出无关代码后而形成;将匹配成功的文件识别为WebShell文件;将匹配不成功的剩余文件记为可疑文件集R,再进行数学公式检测过程;E.数学公式检测过程,具体包括以下步骤:E1.根据信息熵ie、最长单词数lw和重合指数ic,计算得到可疑文件集R中的文件的代码混淆程度值;E2.设定混淆程度阈值,当文件的代码混淆程度值大于所述设定的混淆程度阈值时,将该文件识别为WebShell文件;反之,将该文件识别为不是WebShell文件;至此完成检测,输出确定的WebShell文件。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安普诺信息技术有限公司,未经北京安普诺信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610995538.X/,转载请声明来源钻瓜专利网。
