一种WebShell检测方法、装置及存储介质与流程

本申请涉及网络安全领域，尤其涉及一种webshell检测方法、装置及存储介质。

背景技术：

webshell是黑客所使用的攻击脚本，黑客控制服务器留下后门之后，常借助webshell对服务器进行持续的访问和升级，webshell的功能不仅包括执行shell命令以及代码，也包括对数据库及文件进行操作。而如何检测webshell是网络安全中的重要问题。

黑客在控制webshell的过程中会产生流量数据，流量中会含有webshell有关的痕迹，因此可以基于流量的方式对webshell进行检测。现有基于流量的webshell检测方法主要有两种：一种是利用webshell的特点建立专家系统，基于规则的方式对流量数据进行检测，主要是通过在流量中匹配是否存在文件操作、命令行执行以及数据库操作等webshell的特征；另一种是基于机器学习的方法结合webshell特征构建特征工程，从而对流量数据进行检测。

虽然这两种常见的方法都具备一定的webshell检测能力，但是都存在一定的局限性。第一种方法利用webshell特点建立专家系统，基于规则的方式进行webshell检测的检测能力有限，检测效果不够好，对于复杂的webshell绕过技术(例如加密变形)的检测能力较弱。第二种方法基于机器学习的方法结合webshell特征构建特征工程进行webshell检测，检测能力很大程度上依赖于特征工程的构建，而特征工程构建的过程往往比较复杂，因为在特征工程过程中需要考虑各种可能出现的webshell特征，webshell的变形多因此特征很难覆盖全面，因此对于没存储在特征工程中的webshell特征，想要达到好的检测效果不容易。因此，现有的基于流量的webshell检测方法在专家知识不足或样本覆盖不全面的情况下存在检测能力不足的问题。

技术实现要素：

本申请实施例提供一种webshell检测方法、装置及存储介质。用以解决现有技术中基于流量的webshell检测方法在专家知识不足或样本覆盖不全面的情况下存在检测能力不足的问题。通过将机器学习模型与深度神经网络模型组合，实现了在专家知识不足或样本覆盖不全面的情况下，提高了webshell检测的检测能力。

第一方面，本申请实施例提供了一种webshell检测方法，所述方法包括：

对待检测的流量数据进行解码，得到解码后的流量数据；

对所述解码后的流量数据进行特征提取，得到流量特征向量；

调用预先训练好的深度神经网络模型与机器学习模型分别对所述流量特征向量进行检测，得到各模型是否检测到webshell痕迹的检测结果；

通过对各检测结果进行评估，确定所述流量数据中是否含有webshell痕迹的最终检测结果。

第二方面，本申请实施例提供了一种webshell检测装置，所述装置包括：

解码模块，用于对待检测的流量数据进行解码，得到解码后的流量数据；

提取模块，用于对所述解码后的流量数据进行特征提取，得到流量特征向量；

检测模块，用于调用预先训练好的深度神经网络模型与机器学习模型分别对所述流量特征向量进行检测，得到各模型是否检测到webshell痕迹的检测结果；

确定模块，用于通过对各检测结果进行评估，确定所述流量数据中是否含有webshell痕迹的最终检测结果。

第三方面，本申请另一实施例还提供了一种计算装置，包括至少一个处理器；以及；

与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本申请实施例提供的一种webshell检测方法。

第四方面，本申请另一实施例还提供了一种计算机存储介质，其中，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行本申请实施例中的一种webshell检测方法。

本申请实施例提供的一种webshell检测方法、装置及存储介质，通过对流量数据的特征提取，得到流量特征向量，并调用预先训练好的深度神经网络模型与机器学习模型分别对流量特征向量进行检测，得到各模型是否检测到webshell痕迹的检测结果，最终根据各模型的检测结果，确定最终的检测结果。这样，通过将机器学习模型与深度神经网络模型组合，实现了在专家知识不足或样本覆盖不全面的情况下，提高了webshell检测的检测能力。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例中webshell检测的流程示意图；

图2为本申请实施例中预处理的流程示意图；

图3为本申请实施例中lstm的流程示意图；

图4为本申请实施例中webshell检测结构示意图；

图5为根据本申请实施方式的计算装置的结构示意图。

具体实施方式

为了实现在专家知识不足或样本覆盖不全面的情况下，提高了webshell检测的检测能力，本申请实施例中提供一种webshell检测的方法、装置及存储介质。为了更好的理解本申请实施例提供的技术方案，这里对该方案的基本原理做一下简单说明：

从客户端向服务器发送的流量数据中，获取待检测的流量数据。对获取的待检测的流量数据进行预处理后得到流量特征向量。将流量特征向量分别进行机器学习模型与深度神经网络模型的检测，得到各模型对于待检测的流量数据的检测结果，并对得到的检测结果进行评估，确定待检测的流量数据中是否含有webshell痕迹。这样，通过将机器学习模型与深度神经网络模型组合，实现了在专家知识不足或样本覆盖不全面的情况下，提高了webshell检测的检测能力。

下面结合参照附图对本申请实施例提供的webshell检测的方法作进一步说明。图1为webshell检测的流程示意图，包括以下步骤：

步骤101：对待检测的流量数据进行解码，得到解码后的流量数据。

其中，对待检测的流量数据首先通过url(uniformresourcelocator，统一资源定位符)解码，然后再进行base64解码，最终得到解码后的流量数据。

步骤102：对所述解码后的流量数据进行特征提取，得到流量特征向量。

其中，根据流量特征数据中的符号对所述流量特征数据进行分词，并将分词后的每一个词作为流量特征向量中的一个元素；其中，符号也作为一个元素。

步骤103：调用预先训练好的深度神经网络模型与机器学习模型分别对所述流量特征向量进行检测，得到各模型是否检测到webshell痕迹的检测结果。

步骤104：通过对各检测结果进行评估，确定所述流量数据中是否含有webshell痕迹的最终检测结果。

这样，通过将机器学习模型与深度神经网络模型组合，实现了在专家知识不足或样本覆盖不全面的情况下，提高了webshell检测的检测能力。

为了使获得的流量特征向量质量更高，需要对解码后的流量数据进行数据过滤，具体可实施为：通过停词表对所述解码后的流量数据进行数据过滤，得到流量特征数据。这样，通过对流量数据进行过滤，可以使获得的流量特征向量质量更高，使得检测效果更好。

在本申请实施例中，通过查找解码后的流量数据中是否有停词表中的内容，来过滤掉流量数据中的一些空行、空格等无效字符串。其中，停词表为需要过滤的字符组成的表。

在本申请实施例中，数据解码、数据过滤、特征提取等操作为流量数据的预处理，如图2所示。将待检测的流量数据通过数据解码、数据过滤、特征提取后，得到流量特征向量。

上面介绍了流量数据的预处理过程，下面对如何根据深度神经网络模型与机器学习模型得到检测结果作进一步说明。在本申请实施例中，深度神经网络模型包括用于文本分类的卷积神经网络模型(textcnn)以及长短时记忆神经网络模型(lstm，longshort-termmemory)，具体可实施为步骤a1-a3：

步骤a1：调用预先训练好的用于文本分类的卷积神经网络模型对所述流量特征向量进行检测，得到第一检测结果。

步骤a2：调用预先训练好的长短时记忆神经网络模型对所述流量特征向量进行检测，得到第二检测结果。

步骤a3：调用预先训练好的机器学习模型对所述流量特征向量进行检测，得到第三检测结果。

需要说明的是，步骤a1-a3执行顺序不受限。这样，通过将流量特征向量分别进行深度神经网络模型与机器学习模型的检测，可以使得检测结果多维化，使检测结果更全面。

在本申请实施例中，步骤a1具体可实施为步骤b1-b4：

步骤b1：将所述流量特征向量转换为向量矩阵。

步骤b2：将所述向量矩阵与预设的卷积核进行计算，得到关于流量特征向量的多个特征图。

步骤b3：对各特征图进行下采样，并对采样后的各特征图进行拼接，得到第一特征向量。

步骤b4：将第一特征向量与预设的第一激活函数进行计算，根据计算结果，确定第一检测结果。

其中，第一特征向量与预设的第一激活函数的计算结果为0-1之间的一个数值，根据计算得到的数值偏向0还是偏向1，确定流量数据中是否含有webshell痕迹。这样，通过调用textcnn对流量特征向量进行训练，可以得到关于textcnn对于待检测流量数据的检测结果。

上面介绍了本申请实施例中的一种深度神经网络模型，下面对另一种深度神经网络模型进行进一步的说明。步骤a2具体可实施为步骤c1-c4：

步骤c1：在遗忘门层中根据所述流量特征向量确定激活函数的状态；并根据激活函数的状态对模型中的预先存在的流量特征向量进行选择性舍弃，得到重要元素。

步骤c2：在输入门层中根据门控函数和所述流量特征向量对所述重要元素进行更新。

步骤c3：在输出门层中根据门控函数和激活函数将更新后的元素作为第二特征向量进行输出。

步骤c4：将第二特征向量与预设的第二激活函数进行计算，根据计算结果，确定第二检测结果。

其中，第二特征向量与预设的第二激活函数的计算结果为0-1之间的一个数值，根据计算得到的数值偏向0还是偏向1，确定流量数据中是否含有webshell痕迹。这样，通过调用lstm对流量特征向量进行训练，可以得到关于lstm对于待检测流量数据的检测结果。其中，图3为lstm的流程图。其中，σ为激活函数，tanh为门控函数。

在本申请实施例中，预先存在的流量特征向量为构建lstm时保存的具有webshell特征的流量特征向量。该流量特征向量会根据每次训练而发生变化。

上面介绍了本申请实施例中关于深度神经网络模型的检测过程，下面对机器学习模型进行检测的过程进行进一步的说明。步骤a3具体可实施为步骤d1-d3：

步骤d1：根据所述流量特征向量中的参数，确定用于机器学习的特征向量；其中，所述参数包括：特征关键词出现的次数、正文长度、特殊字符长度、词频以及关键字取值数量。

其中，特征关键词出现的次数为webshell特征词出现的次数；

词频为流量数据中所有的词的出现次数的归一化结果，这里的词并包括webshell特征词以及webshell特征词之外的词。针对每个词，该词的词频的计算方法是将该词在待检测的流量特征向量中出现的次数除以该词在机器学习模型中所处理的所有流量特征向量中出现的次数总和。

步骤d2：将所述特征向量通过梯度提升决策树(gbdt，gradientboostingdecisiontree)算法进行训练。

步骤d3：根据训练的结果，确定第三检测结果。

这样，通过使用gbdt算法对流量特征向量进行分类，确定机器学习中检测结果。

上面介绍了根据深度神经网络模型与机器学习模型得到检测结果的过程，下面对如何确定最终检测结果做进一步说明。在本申请实施例中，可根据各模型的检测结果来判断最终检测结果，具体可实施为步骤e1-e2：

步骤e1：统计第一检测结果、第二检测结果和第三检测结果中含有webshell痕迹的检测结果的数量与所述流量数据中不含有webshell痕迹的检测结果的数量。

步骤e2：将数量多的检测结果作为最终检测结果。

这样，获取各模型的检测结果使得检测结果更全面，并且根据数量多的检测结果作为最终检测结果保证了检测结果的准确。

在本申请实施例中，若某一模型所占比重较大，可对各模型分配不同的权重，具体可实施为步骤f1-f3：

步骤f1：获取各个模型的权重。

步骤f2：将第一检测结果、第二检测结果和第三检测结果中相同检测结果的权重相加得到权重和。

步骤f3：将权重和最大的检测结果作为最终检测结果。

这样，根据权重和最大的检测结果作为最终检测结果可以保证检测结果的准确。

基于相同的发明构思，本申请实施例还提供了一种webshell检测装置。如图4所示，该装置包括：

解码模块401，用于对待检测的流量数据进行解码，得到解码后的流量数据；

提取模块402，用于对所述解码后的流量数据进行特征提取，得到流量特征向量；

检测模块403，用于调用预先训练好的深度神经网络模型与机器学习模型分别对所述流量特征向量进行检测，得到各模型是否检测到webshell痕迹的检测结果；

确定模块404，用于通过对各检测结果进行评估，确定所述流量数据中是否含有webshell痕迹的最终检测结果。

进一步的，所述装置好包括：

过滤模块，用于提取模块402对所述解码后的流量数据进行特征提取，得到流量特征向量之前，通过停词表对所述解码后的流量数据进行数据过滤，得到流量特征数据；

提取模块402包括：

分词模块，用于根据流量特征数据中的符号对所述流量特征数据进行分词，并将分词后的每一个词作为流量特征向量中的一个元素。

进一步的，检测模块403包括：

第一检测单元，用于调用预先训练好的用于文本分类的卷积神经网络模型对所述流量特征向量进行检测，得到第一检测结果；以及，

第二检测单元，用于调用预先训练好的长短时记忆神经网络模型对所述流量特征向量进行检测，得到第二检测结果；以及，

第三检测单元，用于调用预先训练好的机器学习模型对所述流量特征向量进行检测，得到第三检测结果。

进一步的，第一检测单元包括：

转换子单元，用于将所述流量特征向量转换为向量矩阵；

获取特征图子单元，用于将所述向量矩阵与预设的卷积核进行计算，得到关于流量特征向量的多个特征图；

获取第一特征向量子单元，用于对各特征图进行下采样，并对采样后的各特征图进行拼接，得到第一特征向量；

确定第一检测结果子单元，用于将第一特征向量与预设的第一激活函数进行计算，根据计算结果，确定第一检测结果。

进一步的，第二检测单元包括：

遗忘子单元，用于在遗忘门层中根据所述流量特征向量确定激活函数的状态；并根据激活函数的状态对模型中的预先存在的流量特征向量进行选择性舍弃，得到重要元素；

更新子单元，用于在输入门层中根据门控函数和所述流量特征向量对所述重要元素进行更新；

输出子单元，用于在输出门层中根据门控函数和激活函数将更新后的元素作为第二特征向量进行输出；

确定第二检测结果子单元，用于将第二特征向量与预设的第二激活函数进行计算，根据计算结果，确定第二检测结果。

进一步的，第三检测单元包括：

确定特征向量子单元，用于根据所述流量特征向量中的参数，确定用于机器学习的特征向量；其中，所述参数包括：特征关键词出现的次数、正文长度、特殊字符长度、词频以及关键字取值数量；

训练子单元，用于将所述特征向量通过梯度提升决策树算法进行训练；

确定第三检测结果子单元，用于根据训练的结果，确定第三检测结果。

进一步的，确定模块404包括：

统计单元，用于统计第一检测结果、第二检测结果和第三检测结果中含有webshell痕迹的检测结果的数量与所述流量数据中不含有webshell痕迹的检测结果的数量；

第一确定结果单元，用于将数量多的检测结果作为最终检测结果。

进一步的，确定模块404包括：

获取单元，用于获取各个模型的权重；

加权单元，用于将第一检测结果、第二检测结果和第三检测结果中相同检测结果的权重相加得到权重和；

第二确定单元，用于将权重和最大的检测结果作为最终检测结果。

在介绍了本申请示例性实施方式的webshell检测的方法及装置之后，接下来，介绍根据本申请的另一示例性实施方式的计算装置。

所属技术领域的技术人员能够理解，本申请的各个方面可以实现为系统、方法或程序产品。因此，本申请的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

在一些可能的实施方式中，根据本申请的实施例，计算装置可以至少包括至少一个处理器、以及至少一个存储器。其中，存储器存储有程序代码，当程序代码被处理器执行时，使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的webshell检测中的步骤101-104。

下面参照图5来描述根据本申请的这种实施方式的计算装置50。图5显示的计算装置50仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。该计算装置例如可以是手机、平板电脑等。

如图5所示，计算装置50以通用计算装置的形式表现。计算装置50的组件可以包括但不限于：上述至少一个处理器51、上述至少一个存储器52、连接不同系统组件(包括存储器52和处理器51)的总线53。

总线53表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。

存储器52可以包括易失性存储器形式的可读介质，例如随机存取存储器(ram)521和/或高速缓存存储器522，还可以进一步包括只读存储器(rom)523。

存储器52还可以包括具有一组(至少一个)程序模块524的程序/实用工具525，这样的程序模块524包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

计算装置50也可以与一个或多个外部设备54(例如指向设备等)通信，还可与一个或者多个使得用户能与计算装置50交互的设备通信，和/或与使得该计算装置50能与一个或多个其它计算装置进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口55进行。并且，计算装置50还可以通过网络适配器56与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器56通过总线53与用于计算装置50的其它模块通信。应当理解，尽管图中未示出，可以结合计算装置50使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

在一些可能的实施方式中，本申请提供的webshell检测的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在计算机设备上运行时，程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的webshell检测的方法中的步骤，执行如图1中所示的步骤101-104。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

本申请实施方式的webshell检测可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在计算装置上运行。然而，本申请的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。在涉及远程计算装置的情形中，远程计算装置可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算装置，或者，可以连接到外部计算装置(例如利用因特网服务提供商来通过因特网连接)。

应当注意，尽管在上文详细描述中提及了装置的若干单元或子单元，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之，上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。

此外，尽管在附图中以顺序描述了本申请方法的操作，但是，这并非要求或者暗示必须按照该顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。