webshell文件检测方法、装置及电子设备与流程

本申请涉及安全，具体而言，涉及一种webshell文件检测方法、装置及电子设备。

背景技术：

1、webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作，极大地方便了使用者对网站和服务器的管理。正因如此，也有小部分人将代码修改后当作后门程序使用，以达到控制网站服务器的目的。

2、随着webshell检测技术的发展，针对webshell的绕过、免杀方法也层出不穷，传统入侵检测系统主要是针对特定的网络特征规则匹配一些webshell流量特征，但是这种方式对于一些经过混淆后的webshell通常无法检测，即检测精度较低。

技术实现思路

1、本申请实施例的目的在于提供一种webshell文件检测方法、装置及电子设备，用以改善现有方式中webshell文件的检测精度低的问题。

2、第一方面，本申请实施例提供了一种webshell文件检测方法，所述方法包括：

3、获取上传的初始文件；

4、获取对所述初始文件的操作行为特征；

5、根据所述操作行为特征判断所述初始文件是否为webshell文件。

6、在上述实现过程中，通过获取初始文件的操作行为特征，然后根据操作行为特征判断初始文件是否为webshell文件，操作行为特征能反映攻击者的一些操作行为，所以通过分析操作行为特征可以准确检测出webshell文件，相比于特征匹配的检测方式，本方案对于混淆webshell文件的检测效果更好，检测精度更高。

7、可选地，所述获取对所述初始文件的操作行为特征之前，还包括：

8、获取所述初始文件上传时的上传行为特征；

9、所述根据所述操作行为特征判断所述初始文件是否为webshell文件，包括：

10、根据所述上传行为特征和所述操作行为特征判断所述初始文件是否为webshell文件。

11、在上述实现过程中，结合上传行为特征和操作行为特征来综合检测webshell文件，可进一步提高检测精度。

12、可选地，所述上传行为特征包括以下至少一种：所述初始文件的名称、上传所述初始文件的时间、所述初始文件上传的路径、所述初始文件的ip地址。通过检测这些上传行为特征，可初步判断初始文件是否是可疑的webshell文件。

13、可选地，所述获取所述初始文件上传时的上传行为特征之前，还包括：

14、检测所述初始文件是否为可疑webshell文件；

15、若是，则执行步骤：获取所述初始文件上传时的上传行为特征。

16、在上述实现过程中，先检测初始文件是否为可疑webshell文件，如此先对初始文件进行初步检测，然后再结合上传行为特征和操作行为特征来检测，以增加后续检测的准确度。

17、可选地，所述检测所述初始文件是否为可疑webshell文件，包括：

18、获取上传所述初始文件时的网络流量的流量特征；

19、根据所述流量特征检测所述初始文件是否为可疑webshell文件。

20、在上述实现过程中，通过流量特征来初步检测初始文件是否为可疑webshell文件，从而可对初步文件进行初步筛选，以提高检测效率。

21、可选地，所述流量特征包括以下至少一种：关键字段、请求特征、文件后缀、服务器的响应特征。

22、可选地，所述操作行为特征包括以下至少一种：会话特征、操作指令、数据库操作行为特征、文件操作行为特征、访问行为特征。

23、第二方面，本申请实施例提供了一种webshell文件检测装置，所述装置包括：

24、文件获取模块，用于获取上传的初始文件；

25、特征获取模块，用于获取对所述初始文件的操作行为特征；

26、文件检测模块，用于根据所述操作行为特征判断所述初始文件是否为webshell文件。

27、第三方面，本申请实施例提供一种电子设备，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如上述第一方面提供的所述方法中的步骤。

28、第四方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。

29、本申请的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

技术特征：

1.一种webshell文件检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述获取对所述初始文件的操作行为特征之前，还包括：

3.根据权利要求2所述的方法，其特征在于，所述上传行为特征包括以下至少一种：所述初始文件的名称、上传所述初始文件的时间、所述初始文件上传的路径、所述初始文件的ip地址。

4.根据权利要求2所述的方法，其特征在于，所述获取所述初始文件上传时的上传行为特征之前，还包括：

5.根据权利要求4所述的方法，其特征在于，所述检测所述初始文件是否为可疑webshell文件，包括：

6.根据权利要求5所述的方法，其特征在于，所述流量特征包括以下至少一种：关键字段、请求特征、文件后缀、服务器的响应特征。

7.根据权利要求1-6任一所述的方法，其特征在于，所述操作行为特征包括以下至少一种：会话特征、操作指令、数据库操作行为特征、文件操作行为特征、访问行为特征。

8.一种webshell文件检测装置，其特征在于，所述装置包括：

9.一种电子设备，其特征在于，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如权利要求1-7任一所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时运行如权利要求1-7任一所述的方法。

技术总结
本申请提供一种webshell文件检测方法、装置及电子设备，涉及安全技术领域。该方法通过获取初始文件的操作行为特征，然后根据操作行为特征判断初始文件是否为webshell文件，操作行为特征能反映攻击者的一些操作行为，所以通过分析操作行为特征可以准确检测出webshell文件，相比于特征匹配的检测方式，本方案对于混淆webshell文件的检测效果更好，检测精度更高。

技术研发人员：马环环
受保护的技术使用者：北京天融信网络安全技术有限公司
技术研发日：
技术公布日：2024/1/13