[发明专利]基于RASP提取webshell软件基因进行webshell检测的方法有效
| 申请号: | 201811002803.5 | 申请日: | 2018-08-30 |
| 公开(公告)号: | CN109240922B | 公开(公告)日: | 2021-07-09 |
| 发明(设计)人: | 文伟平;叶晓亮 | 申请(专利权)人: | 北京大学 |
| 主分类号: | G06F11/36 | 分类号: | G06F11/36 |
| 代理公司: | 北京万象新悦知识产权代理有限公司 11360 | 代理人: | 黄凤茹 |
| 地址: | 100871*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公布了一种基于RASP技术提取webshell软件基因的方法,通过部署标记探针和部署检测探针提取webshell软件基因,可用于webshell检测;包括:对现有的webshell提取webshell具有共性的软件基因;确定待检测系统代码的参数输入点,提取输入参数,提取其软件基因并进行完善,作为待检测系统代码的静态基因;部署RASP:确定待检测系统代码的参数输入点,通过插入标记探针标记参数输入;确定待检测系统的函数插入点,部署检测探针;获取被插入检测探针的待检测代码的上下文,同时根据检测探针检测结果,形成待检测代码的行为基因;软件基因可与webshell基因库、病毒木马基因库进行比对,判断是否是webshell。本发明能够提高检测webshell的准确率和效率,可广泛应用。 | ||
| 搜索关键词: | 基于 rasp 提取 webshell 软件 基因 进行 检测 方法 | ||
【主权项】:
1.一种基于RASP技术提取webshell软件基因的方法,通过部署标记探针和部署检测探针提取webshell软件基因,包括静态软件基因和行为软件基因,可用于webshell检测;包括如下步骤:1)对现有的webshell进行分析,采用现有的软件基因提取方法,提取webshell具有共性的软件基因;2)确定待检测系统代码的参数输入点,提取用户的输入参数,采用现有的软件基因提取方法提取其软件基因;依据步骤1)提取得到的webshell具有共性的软件基因进行完善、补充,得到的软件基因作为待检测系统代码的静态基因;3)部署RASP:确定待检测系统代码的参数输入点,插入标记探针,通过标记探针标记参数输入;具体执行如下操作:31)标记探针标记参数的方法是:分析参数结构,挑选参数中的软件基因及软件基因段,对有控制软件流程功能和有具体函数功能的软件基因段进行标记,对这些基因的每个字符进行标记;32)参数传递过程中,标记发生改变:被标记的字符在参数传递过程中发生改变,生成的新的字符仍被标记;4)部署RASP:确定待检测系统的函数插入点,部署检测探针;部署好的检测探针检测过程为:当被标记的参数的字符出现后,不立即进行记录,而是进行判断;如果当前位置出现被标记参数的所有字符组成了步骤2)中的基因片段,则进行记录;如果未组成基因片段,则对其进行功能性和控制流性分析,如果具有功能性和控制流性,则予以记录;其他情况不进行记录;5)获取被插入检测探针的待检测代码的上下文,同时根据检测探针检测的结果,形成软件基因,该基因为待检测代码的行为基因;检测探针记录被标记参数的运行轨迹,形成行为序列,同时根据被标记参数的运行轨迹画出逻辑跳转图,对逻辑跳转图根据步骤2)提取出的软件基因进行调整,形成基因调用关系图;行为序列、逻辑跳转图、基因调用关系图共同组成待检测代码的行为基因;6)静态软件基因和行为软件基因共同组成了软件基因;可将步骤6)得到的软件基因与webshell基因库、病毒木马基因库进行比对,从而判断是否是webshell。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京大学,未经北京大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811002803.5/,转载请声明来源钻瓜专利网。
