[发明专利]基于文件来源快速检测WebShell的方法及装置有效
| 申请号: | 201910799909.0 | 申请日: | 2019-08-27 |
| 公开(公告)号: | CN110519270B | 公开(公告)日: | 2022-01-28 |
| 发明(设计)人: | 郑云超;范渊 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 北京超凡宏宇专利代理事务所(特殊普通合伙) 11463 | 代理人: | 安卫静 |
| 地址: | 310000 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种基于文件来源快速检测WebShell的方法及装置,包括:监听网页文件的变更行为,并获取变更网页文件的变更文件进程信息;将进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被进程信息所对应的进程变更的网页文件是否为威胁文件;将剩余文件信息与预设WebShell特征规则进行匹配,确定剩余文件信息所对应的网页文件是否为WebShell文件。本发明的快速检测WebShell的方法中,先监听变更文件进程信息,进而通过进程信息与预设进程黑白名单匹配的方式来对网页文件进行过滤,大大缩减了需要进行WebShell文件检测的网页文件数量,加快了检测WebShell文件的速度。 | ||
| 搜索关键词: | 基于 文件 来源 快速 检测 webshell 方法 装置 | ||
【主权项】:
1.一种基于文件来源快速检测WebShell的方法,其特征在于,应用于检测终端,包括:/n监听网页文件的变更行为,并获取变更所述网页文件的变更文件进程信息,其中,所述变更文件进程信息包括:文件信息和进程信息;/n将所述进程信息与预设进程黑白名单进行匹配,根据匹配结果确定被所述进程信息所对应的进程变更的网页文件是否为威胁文件,其中,所述预设进程黑白名单为用户通过中心端配置的,所述中心端与所述检测终端通信连接;/n将剩余文件信息与预设WebShell特征规则进行匹配,确定所述剩余文件信息所对应的网页文件是否为WebShell文件,其中,所述剩余文件信息为所述变更文件进程信息中,与所述预设进程黑白名单不匹配的进程信息所对应的文件信息,所述预设WebShell特征规则为用户通过中心端配置的。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910799909.0/,转载请声明来源钻瓜专利网。
