确定文件风险的方法和装置与流程

本技术涉及计算机安全，尤其涉及一种确定文件风险的方法和装置。

背景技术：

1、webshell(网站后门)也称为木马，是一种可以在网页(web)服务器运行的脚本。黑客通过将webshell文件上传到web服务器，来获得web服务器的执行操作权限，以实现对web服务器的攻击，如，窃取web服务器中的用户数据或者修改web页面等。

2、为了防御webshell文件对web服务器的攻击，可以通过防火墙设备中的检测程序对向服务器传输的数据文件的文件内容进行检测，如，基于webshell文件对应的不同类型语言的脚本特征，结合语法语义对数据文件进行风险检测，以识别出存在攻击风险的webshell文件。但是，在向服务器传输的数据文件普遍采用流形式进行分段传输的情况下，防火墙设备中的检测程序需要获得并缓存完整的数据文件后才能够进行文件风险检测，这样会导致风险文件检测的延迟。

技术实现思路

1、本技术提供了一种确定文件风险的方法和装置，可以减少防火墙设备检测风险文件的延迟。

2、一方面，本技术提供了一种确定文件风险的方法，包括：

3、获得来自数据文件的分段报文，所述数据文件采用数据流形式向服务器传输，所述分段报文包括至少一个字符；

4、按照所述分段报文中各字符的先后顺序，确定当前时刻所述分段报文中待分析的目标字符并输入第一状态机；

5、如果基于所述第一状态机当前的第一当前状态以及所述第一当前状态对应的字符识别规则，确定出所述目标字符属于网站后门文件中的有效代码字符，将所述目标字符输入第二状态机；

6、如果基于所述第二状态机当前的第二当前状态以及所述第二当前状态对应的分词处理规则确定出所述目标字符属于待分词的分词字符，确定当前所需分词出的分词类别信息；

7、基于所述分词类别信息，确定所述数据文件属于存在攻击风险的网站后门文件的风险程度。

8、在一种可能的实现方式中，所述获得来自数据文件的分段报文之后，还包括：

9、检测所述分段报文中是否存在表征所述数据文件属于网站后门文件的风险字符；

10、在从所述分段报文中检测到风险字符后，将所述分段报文以及所述分段报文之后获得的其他分段报文确定为待分析的分段报文；

11、所述按照所述分段报文中各字符的先后顺序，确定当前时刻所述分段报文中待分析的目标字符并输入第一状态机，包括：

12、对于待分析的分段报文，按照所述分段报文中各字符的先后顺序，确定当前时刻所述分段报文中待分析的目标字符并输入第一状态机。

13、在又一种可能的实现方式中，所述如果基于所述第一状态机当前的第一当前状态以及所述第一当前状态对应的字符识别规则，确定出所述目标字符属于网站后门文件中的有效代码字符，将所述目标字符输入第二状态机，包括：

14、如果所述第一状态机当前处于第一设定状态，且所述目标字符不属于网站后门文件对应的脚本语言中的结束标识字符，将所述目标字符确定为所述脚本语言中的有效代码字符并输入第二状态机，所述第一设定状态表明所述第一状态机基于所述目标字符之前的字符确定出待输入所述第一状态机的字符属于所述脚本语言中的代码字符；

15、如果所述第一状态机当前处于第二设定状态，且所述目标字符属于所述第二设定状态对应的用于触发进入所述第一设定状态的触发字符，将所述目标字符确定为所述脚本语言中的有效代码字符并输入第二状态机，所述第二设定状态为所述第一状态机中能够转换为所述第一设定状态的状态。

16、在又一种可能的实现方式中，还包括：

17、如果所述第一状态机当前处于第二设定状态，且所述目标字符属于所述第二设定状态对应的用于触发进入所述第一设定状态的触发字符，将所述第一状态机的状态切换为所述第一设定状态。

18、在又一种可能的实现方式中，还包括：

19、如果基于所述第一状态机当前的第一当前状态以及所述第一当前状态对应的字符识别规则，确定出所述目标字符不属于网站后门文件中的有效代码字符且确定出所述第一状态机满足状态切换条件，确定所述第一状态机所需切换到的第一目标状态；

20、将所述第一状态机的第一当前状态切换为所述第一目标状态。

21、在又一种可能的实现方式中，所述如果基于所述第二状态机当前的第二当前状态以及所述第二当前状态对应的分词处理规则确定出所述目标字符属于待分词的分词字符，确定所需分词出的分词类别信息，包括：

22、如果所述第二状态机当前处于第三设定状态，且基于所述目标设定状态对应的分词处理规则确定出所述目标字符属于待分词的分词字符，确定与所述第三设定状态对应的分词类别信息，所述第三设定状态为所述第二状态机设定的初始状态或者是所述第二状态机基于所述目标字符之前的字符确定出的能够触发确定非关键词分词的状态；

23、如果所述第二状态机当前处于第四设定状态，且基于所述目标设定状态对应的分词处理规则确定出所述目标字符属于触发分词的分词字符，缓存所述第二状态机在所述目标字符之后接收到的字符，基于缓存的字符进行关键字匹配，根据关键词匹配结果确定分词类别信息，所述第四设定状态为第二状态机基于所述目标字符之前的字符确定出的能够触发确定关键词分词的状态。

24、在又一种可能的实现方式中，在确定出分词类别信息之后，还包括：

25、将所述第二状态机的状态切换为设定的初始状态。

26、在又一种可能的实现方式中，还包括：

27、如果基于所述第二状态机当前的第二当前状态以及所述第二当前状态对应的分词处理规则确定出所述目标字符不属于待分词的分词字符，确定所述第二状态机所需切换到的第二目标状态，控制所述第二状态机的状态处于所述第二目标状态。

28、又一方面，本技术还提供了一种确定文件风险的装置，包括：

29、报文获得单元，用于获得来自数据文件的分段报文，所述数据文件采用数据流形式向服务器传输，所述分段报文包括至少一个字符；

30、字符确定单元，用于按照所述分段报文中各字符的先后顺序，确定当前时刻所述分段报文中待分析的目标字符并输入第一状态机；

31、有效字符识别单元，用于如果基于所述第一状态机当前的第一当前状态以及所述第一当前状态对应的字符识别规则，确定出所述目标字符属于网站后门文件中的有效代码字符，将所述目标字符输入第二状态机；

32、分词处理单元，用于如果基于所述第二状态机当前的第二当前状态以及所述第二当前状态对应的分词处理规则确定出所述目标字符属于待分词的分词字符，确定当前所需分词出的分词类别信息；

33、风险确定单元，用于基于所述分词类别信息，确定所述数据文件属于存在攻击风险的网站后门文件的风险程度。

34、在一种可能的实现方式中，还包括：

35、预检测单元，用于在报文获得单元获得来自数据文件的分段报文之后，检测所述分段报文中是否存在表征所述数据文件属于网站后门文件的风险字符；

36、报文确定单元，用于在从所述分段报文中检测到风险字符后，将所述分段报文以及所述分段报文之后获得的其他分段报文确定为待分析的分段报文；

37、所述字符确定单元，具体为，用于对于待分析的分段报文，按照所述分段报文中各字符的先后顺序，确定当前时刻所述分段报文中待分析的目标字符并输入第一状态机。

38、由以上可知，在本技术实施例中，在每次获得来自数据文件的分段报文后，本技术便可以按照分段报文中各字符的先后顺序，将待处理的目标字符输入到第一状态机。第一状态机结合当前所处的第一当前状态以及第一当前状态对应的字符识别规则，如果确定出该目标字符属于存在攻击风险的网站后门文件中的有效代码字符，就会将该目标字符输入到第二状态机，而第二状态机根据自身当前所处的第二当前状态以及相应的分词处理规则，在确定出目标字符是否属于待分词的分词字符的情况下，可以确定所需分词出的分词类别信息，从而实现了在数据文件传输过程中，基于已获得的分段报文确定用于木马文件风险检测所需的分词类别信息，自然也就无需在获得并缓存完整的数据文件后再进行木马文件的风险检测，进而减少了风险文件检测的延迟。