CN109933977A - 一种检测webshell数据的方法及装置 - Google Patents
一种检测webshell数据的方法及装置 Download PDFInfo
- Publication number
- CN109933977A CN109933977A CN201910183958.1A CN201910183958A CN109933977A CN 109933977 A CN109933977 A CN 109933977A CN 201910183958 A CN201910183958 A CN 201910183958A CN 109933977 A CN109933977 A CN 109933977A
- Authority
- CN
- China
- Prior art keywords
- data
- function
- tested
- detected value
- webshell
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例公开了一种webshell检测方法及装置,其中方法包括:将待检测数据与预设数据库中存储的webshell数据进行比较,得到第一检测值;运行待检测数据,并模拟执行网页包括的多个特征项,根据多个特征项对应的敏感函数信息,得到第二检测值;根据第一检测值和第二检测值得到目标检测值,若目标检测值大于预设阈值,则确定待检测数据为webshell数据。本发明实施例采用经过编解码处理得到的函数确定第二检测值,可以识别对程序代码进行文字性修改的webshell数据,从而能够实现对待检测数据的准确检测;且,通过使用第一检测值和第二检测值对待检测数据进行检测,相比于现有技术仅采用第一检测值对待检测数据进行检测来说,可以提高检测的准确性。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种检测webshell数据的方法及装置。
背景技术
随着网络技术的发展,用户逐渐倾向于通过网络传递信息以及保存隐私数据,比如,用户可以通过服务器访问全球局域网(world wide web,web)网页,并可以在web网页上执行下载或上传等操作;相应地,web网页所属的源网站可以根据用户的操作为用户提供服务。然而,由于web所提供的功能日益增多与复杂,安全隐患也由此增多,比如黑客可以在入侵源网站后,将webshell数据(比如asp、php木马后门文件)放置在源网站对应的web目录中,与正常的web后台程序混合在一起,通过访问上传的webshell后门路径,从而可以通过源网站运行webshell数据形成webshell网页,并能够通过webshell网页实现上传或下载文件、查看数据库、执行任意程序命令等操作,窃取用户的隐私数据或信息,攻击服务器资源。由此可知,实现对webshell数据的准确检测,可以有效保证用户的隐私。
为了实现对webshell数据的准确检测,现有技术通常设置包括webshell数据的预设数据库,预设数据库中可以包括与正常web数据不同的一项或多项程序代码,比如,具有不同定义的函数代码(即敏感函数)、可疑行为序列、可疑特征字符等。在对待检测数据进行检测时,一种可能的实现方式为:将待检测数据的程序代码与预设数据库中的webshell数据的程序代码进行对比,确定待检测数据是否为webshell数据。然而,在实际操作中,程序代码通常具有不同的编码风格和语言类型,黑客可以通过对webshell数据的程序代码作文字性的修改,以避免被预设数据库中包括的webshell数据的程序代码识别。比如,已确定为webshell数据的一个可疑函数为system函数,黑客可以通过将待检测数据中的system函数拆分为sys字符串和tem字符串,使得待检测数据被检测为正常web数据;相应地,在确定攻击服务器时,黑客可以使用sys字符串和tem字符串重新组成system函数,以窃取用户的隐私数据。由此可知,使用预设数据库对待检测数据进行检测,可能会使得检测的准确性不高。
综上,目前亟需一种检测webshell数据的方法,用以提高对websell数据检测的准确性。
发明内容
本发明实施例提供一种检测webshell数据的方法,用以提高对websell数据检测的准确性。
本发明实施例提供的一种检测webshell数据的方法,所述方法包括:
获取待检测数据;
将所述待检测数据与预设数据库中存储的webshell数据进行比较,并根据比较结果得到第一检测值;
通过所述待检测数据对应的沙箱运行所述待检测数据,得到所述待检测数据对应的网页;针对于所述网页所包括的多个特征项中的每个特征项,模拟执行所述特征项,并对执行所述特征项时所调用的M个函数进行编解码处理得到N个函数,进而根据所述N个函数中所包括的敏感函数的种类和个数,得到所述特征项对应的敏感函数信息;所述多个特征项包括链接特征项、点击特征项、表单特征项、提交特征项中的至少两项;根据所述多个特征项对应的敏感函数信息,得到第二检测值;其中,M、N为正整数;
至少根据所述第一检测值和所述第二检测值得到目标检测值,若所述目标检测值大于预设阈值,则确定所述待检测数据为webshell数据。
可选地,所述预设数据库中存储的webshell数据包括敏感函数,所述根据所述N个函数中所包括的敏感函数的种类和个数,得到所述特征项对应的敏感函数信息,包括:
针对于所述N个函数中的每个函数,将所述函数与预设数据库中存储的webshell数据中的敏感函数进行比较;若确定所述函数为敏感函数,则记录所述函数对应的敏感函数信息;所述函数对应的敏感函数信息包括根据比较结果得到的所述函数对应的检测分值;
根据所述N个函数所包括的敏感函数对应的敏感函数信息,确定所述特征项对应的敏感函数信息。
可选地,所述通过所述待检测数据对应的沙箱运行所述待检测数据之前,还包括:
根据所述待检测数据所使用的脚本语言的类型,确定所述待检测数据对应的沙箱;所述待检测数据对应的沙箱包括超文本预处理器php沙箱、动态服务器页面asp沙箱或java沙箱。
可选地,所述方法还包括:
使用预测模型对所述待检测数据进行预测,得到第三检测值;所述预测模型是通过对多个样本数据中的每个样本数据对应的特征向量进行训练得到的,所述每个样本数据对应的特征向量包括运行所述每个样本数据得到的操作码序列;
至少根据所述第一检测值和所述第二检测值得到目标检测值,包括:
对所述第一检测值、所述第二检测值和所述第三检测值进行加权求和,得到所述目标检测值。
可选地,所述每个样本数据对应的特征向量还包括以下至少一项:注释占比、字符操作编解码函数占比、赋值符号占比、不可显示字符占比、字符串连接字符占比、大写字符占比。
本发明实施例提供的一种检测webshell数据的装置,所述装置包括:
获取模块,用于获取待检测数据;
处理模块,用于将所述待检测数据与预设数据库中存储的webshell数据进行比较,并根据比较结果得到第一检测值;以及,通过所述待检测数据对应的沙箱运行所述待检测数据,得到所述待检测数据对应的网页;针对于所述网页所包括的多个特征项中的每个特征项,模拟执行所述特征项,并对执行所述特征项时所调用的M个函数进行编解码处理得到N个函数,进而根据所述N个函数中所包括的敏感函数的种类和个数,得到所述特征项对应的敏感函数信息;所述多个特征项包括链接特征项、点击特征项、表单特征项、提交特征项中的至少两项;根据所述多个特征项对应的敏感函数信息,得到第二检测值;其中,M、N为正整数;
检测模块,用于至少根据所述第一检测值和所述第二检测值得到目标检测值,若所述目标检测值大于预设阈值,则确定所述待检测数据为webshell数据。
可选地,所述预设数据库中存储的webshell数据包括敏感函数,所述处理模块用于:
针对于所述N个函数中的每个函数,将所述函数与预设数据库中存储的webshell数据中的敏感函数进行比较;若确定所述函数为敏感函数,则记录所述函数对应的敏感函数信息;所述函数对应的敏感函数信息包括根据比较结果得到的所述函数对应的检测分值;
根据所述N个函数所包括的敏感函数对应的敏感函数信息,确定所述特征项对应的敏感函数信息。
可选地,在所述处理模块通过所述待检测数据对应的沙箱运行所述待检测数据之前,所述处理模块还用于:
根据所述待检测数据所使用的脚本语言的类型,确定所述待检测数据对应的沙箱;所述待检测数据对应的沙箱包括超文本预处理器php沙箱、动态服务器页面asp沙箱或java沙箱。
可选地,所述装置还包括预测模块,所述预测模块用于:
使用预测模型对所述待检测数据进行预测,得到第三检测值;所述预测模型是通过对多个样本数据中的每个样本数据对应的特征向量进行训练得到的,所述每个样本数据对应的特征向量包括运行所述每个样本数据得到的操作码序列;
至少根据所述第一检测值和所述第二检测值得到所述待检测数据对应的目标检测值,包括:
对所述第一检测值、所述第二检测值和所述第三检测值进行加权求和,得到目标检测值。
可选地,所述每个样本数据对应的特征向量还包括以下至少一项:注释占比、字符操作编解码函数占比、赋值符号占比、不可显示字符占比、字符串连接字符占比、大写字符占比。
本发明的上述实施例中,获取待检测数据后,可以将待检测数据与预设数据库中存储的webshell数据进行比较,得到第一检测值;且通过待检测数据对应的沙箱运行待检测数据,得到待检测数据对应的网页,并模拟执行网页包括的多个特征项中的每个特征项,对执行每个特征项时所调用的M个函数进行编解码处理得到N个函数,进而根据N个函数中所包括的敏感函数的种类和个数,得到每个特征项对应的敏感函数信息,根据多个特征项对应的敏感函数信息,得到第二检测值;其中,M、N为正整数;进一步地,至少根据第一检测值和第二检测值得到目标检测值,若目标检测值大于预设阈值,则确定待检测数据为webshell数据。本发明实施例中的第二检测值为通过模拟执行待检测数据对应的网页上的多个特征项得到的,针对于任一个特征项来说,在该特征项所对应的功能不发生变化的情况下,即使对该特征项对应的程序代码进行文字性修改(比如隐藏部分程序代码、加密程序代码、拆分或组合敏感函数等),执行该特征项所调用的函数进行编解码处理得到的函数也不会发生变化,本发明实施例采用经过编解码处理得到的函数确定第二检测值,可以识别对程序代码进行文字性修改的webshell数据,从而能够实现对待检测数据的准确检测;且,本发明实施例使用第一检测值和第二检测值对待检测数据进行检测,相比于现有技术仅采用第一检测值对待检测数据进行检测来说,可以提高检测的准确性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种检测webshell数据的方法对应的流程示意图;
图2为本发明实施例提供的一种检测webshell数据的方法对应的架构示意图;
图3为本发明实施例提供的一种检测webshell数据的装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种检测webshell数据的方法对应的流程示意图,该方法包括:
步骤101,获取待检测数据。
本发明实施例中,待检测数据可以为待检测的脚本文件,待检测数据中可以仅包括一个待检测的脚本文件,或者也可以包括多个待检测的脚本文件,每个脚本文件均可以由该脚本文件对应的脚本语言编写得到的。若待检测数据包括多个待检测的脚本文件,则多个待检测的脚本文件对应的脚本语言的类型可以相同,或者也可以不同,具体不作限定。
具体地说,脚本文件对应的脚本语言的类型可以为超文本预处理器(hypertextpreprocessor,php)类型,或者可以为动态服务器页面(active server pages,asp)类型,或者也可以为java服务器页面(java server pages,jsp)类型,或者还可以为其它类型,比如通用网关接口(common gateway interface,cgi)类型,具体不作限定。
步骤102,将待检测数据与预设数据库中存储的webshell数据进行比较,并根据比较结果得到第一检测值。
本发明实施例中,可以预先设置预设数据库,预设数据库中可以存储有webshell数据,webshell数据是指区别于正常web数据的包括敏感函数、可疑程序代码的数据。在一个示例中,预设数据库中存储的webshell数据可以包括多种类型,比如可以包括webshell脚本文件、webshell数据的完整程序代码、与正常web数据不同的程序块、可疑函数、可疑变量等。
具体实施中,将待检测数据与预设数据库中存储的webshell数据进行比较的方式可以有多种,在一个示例中,可以采用哈希对比的方式确定待检测数据是否为webshell数据。具体地说,可以采用预设哈希规则分别对待检测数据和预设数据库中存储的webshell数据进行检测,若待检测数据对应的哈希值与webshell数据对应的一个或多个哈希值中的任一哈希值相同,则可以确定待检测数据为webshell数据,并可以根据该对比结果得到第一子检测值。在另一个示例中,可以采用静态文件匹配的方式确定待检测数据是否为webshell数据。具体地说,预设数据库中可以存储有与正常web数据的特征项不同的webshell特征项,比如程序块、可疑函数或可疑变量等;将待检测数据的特征项和预设数据库中存储的webshell特征项进行对比,若待检测数据的特征项与一个或多个webshell特征项匹配成功,则可以确定待检测数据为webshell数据,并可以根据该对比结果得到第二子检测值。在又一个示例中,可以根据webshell数据的完整程序代码,确定待检测数据与webshell数据的代码重合度,若代码重合度高于第一预设阈值,则可以确定待检测数据为webshell数据,并可以根据该对比结果得到第三子检测值。其中,第一预设阈值可以由本领域技术人员根据实际需要进行设置,或者也可以根据实验进行确定,具体不作限定。
本发明实施例中,第一检测值可以根据第一子检测值、第二子检测值和第三子检测值中的至少一个来确定。举例来说明,第一子检测值为1(即采用哈希对比确定待检测数据为webshell数据),第二子检测值为0(即采用静态文件匹配确定待检测数据为正常web数据),第三子检测值为1(即代码重合度大于第一预设阈值),若第一检测值为根据第一子检测值来确定的,则第一检测值可以与第一子检测值相同(即为1);若第一检测值为根据第一子检测值、第二子检测值和第三子检测值来确定的,则第一检测值可以为第一子检测值、第二子检测值和第三子检测值的平均值(即为2/3)。
需要说明的是,本发明实施例中在确定第一检测值后,还可以设置第一检测值对应的权重,第一检测值对应的权重可以标识待检测数据与预设数据库中存储的webshell数据的匹配程度。本发明实施例中,以第一检测值对应的权重为60为例描述确定待检测数据是否为webshell数据的具体实现过程。
步骤103,通过待检测数据对应的沙箱运行待检测数据,并得到第二检测值。
此处,在运行待检测数据之前,可以对待检测数据进行预处理。在一个示例中,可以对待检测数据进行分析,若发现待检测数据中设置有与密码相关的操作(比如加解密操作、输入输出密码等),则可以对与密码相关的操作进行修改。以输入密码为例,用户输入的密码若与待检测数据中设置的密码相同,则可以继续执行操作,若不同,则无法继续执行操作;此时,可以将待检测数据中设置的密码统一修改为预设密码(比如000000),或者也可以将待检测数据中设置的密码进行删除。如此,后续通过待检测数据对应的沙箱运行待检测数据时,可以采用预设密码或者无需输入密码即可运行待检测数据,从而方便可行,并能够提高检测效率。
本发明实施例中,待检测数据对应的沙箱可以为根据待检测数据所使用的脚本语言的类型确定的。待检测数据对应的沙箱可以为php沙箱、asp沙箱或java沙箱,或者也可以为其它沙箱,比如cgi沙箱。举例来说明,待检测数据包括脚本文件1和脚本文件2,脚本文件1对应的脚本语言的类型为php类型,脚本语言2对应的脚本语言的类型为asp类型,则脚本文件1对应的沙箱可以为php沙箱,脚本文件2对应的沙箱可以为asp沙箱,即待检测数据对应的沙箱可以包括php沙箱和asp沙箱。通过待检测数据对应的沙箱运行待检测数据,具体可以为通过php沙箱运行脚本文件1,并通过asp沙箱运行脚本文件2。
具体实施中,待检测数据对应的沙箱中可以设置有运行待检测数据包括的一个或多个脚本文件的环境,通过运行待检测数据,可以得到待检测数据对应的网页。待检测数据对应的网页上可以包括多个特征项,比如链接特征项、点击特征项、表单特征项、提交特征项等。其中,链接特征项可以用于标识待检测数据对应的链接属性,比如待检测数据对应的网页上存在链接A,用户可以通过触发链接A跳转至链接A所对应的链接地址,该链接地址可能为正常web链接地址或者也可以为webshell链接地址。点击特征项和提交特征项可以用于标识待检测数据对应的连接属性,比如待检测数据对应的网页上存在按钮B,用户可以通过触发按钮B实现下载功能、上传功能等,下载或上传的地址可能为正常web链接地址或者也可以为webshell链接地址。表单特征项可以用于标识待检测数据对应的选择属性,比如待检测数据对应的网页上存在表单C,用户可以通过查看表单C获取网页功能,网页功能可能为正常web网页功能或者也可以为webshell网页功能。
本发明实施例中,可以预先设置爬虫模块和敏感函数收集分析模块,爬虫模块可以在检测到待检测数据对应的沙箱运行待检测数据后,爬取待检测数据对应的网页上所包括的多个特征项,且,敏感函数收集分析模块可以收集多个特征项中的每个特征项对应的敏感函数信息。以按钮特征项B为例,在一种可能的实现方式中,爬虫模块可以通过爬取按钮特征项B模拟执行按钮特征项B,执行按钮特征项B时可能会调用待检测数据中包括的M个函数,此时,敏感函数收集分析模块可以记录M个函数,并对M个函数进行编解码处理得到N个函数。举例来说明,模拟执行按钮特征项B时,依次调用待检测数据中的sys_函数、_tem函数、tm_yu函数和jc函数,敏感函数收集分析模块通过对这四个函数进行编解码处理,确定sys_函数和_tem函数可以组合得到system函数,tm_yu函数可以拆分得到tm_函数和yu_函数;也就是说,通过对模拟执行按钮特征项B所调用的四个函数(sys_函数、_tem函数、tm_yu函数和jc函数)进行编解码处理得到了四个函数(system函数、tm_函数、yu_函数和jc函数)。需要说明的是,M和N可以相同,或者也可以不同,具体不作限定。
进一步地,针对于N个函数中的每个函数,可以采用静态文件匹配的方式对该函数进行检测,得到该函数对应的第二子检测值,并可以根据N个函数对应的第二子检测值,得到按钮特征项B对应的检测值。具体地说,可以将该函数与预设数据库中存储的webshell数据中的敏感函数进行比较,若确定该函数为敏感函数,则可以记录该函数对应的敏感函数信息,进而可以根据敏感函数信息确定第二子检测值。比如,system函数、tm_函数和yu_函数均为敏感函数,jc函数不为敏感函数,则system函数、tm_函数和yu_函数对应的第二子检测值可以均为1,jc函数对应的第二子检测值可以为0,进一步地,可以确定按钮特征项B对应的检测值为3/4。
黑客执行攻击操作的一种可能的方式为:预先将敏感函数system函数拆分为sys_函数和_tem函数,并在待检测数据中分别设置sys_函数和_tem函数,待需要攻击服务器时,可以将sys_函数和_tem函数重新组合,生成敏感函数system函数。比如,system函数为:system($_POST[cmd]),黑客对该函数进行拆分后,得到字符串$a=“sys”和字符串$b=“tem”;相应地,黑客可以在程序中添加处理步骤$c=$a.$b,通过该处理步骤后,可以得到函数$c($_POST[cmd])。其中,函数$c($_POST[cmd])即为敏感函数system($_POST[cmd])。
若使用现有的检测方式对待检测数据进行检测,则可以分别对sys_函数和_tem函数的程序代码进行检测,由于拆分后的sys_函数和_tem函数不是完整的system函数,因此,待检测数据可能会被检测为正常web数据。相应地,若使用本发明实施例中的方式对待检测数据进行检测,则可以通过敏感函数收集模块得到sys_函数和_tem函数组合形成的system函数,进而对system函数进行检测后,可以确定待检测数据为webshell数据。
本发明实施例中,敏感函数信息可以包括敏感函数的种类和个数,根据多个特征项分别对应的敏感函数信息,可以得到第二检测值。具体地说,可以统计多个特征项对应的敏感函数信息中包括的敏感函数的总个数,并记录每个敏感函数的种类;若敏感函数的种类越多、总个数越多,则第二检测值越高;相应地,若敏感函数的种类越少、总个数越少,则第二检测值越低。本发明实施例中,还可以设置第二检测值对应的权重,第二检测值对应的权重可以小于第一检测值对应的权重。本发明实施例中,以第二检测值对应的权重为40为例描述确定待检测数据是否为webshell数据的具体实现过程。
通过上述分析可知,本发明实施例从对待检测数据的前端网页入手,通过模拟执行网页上的多个特征项,确定每个特征项对应的功能,并采用编解码的方式获取每个特征项对应的敏感函数信息,从而可以将修改了编码风格的敏感函数检测出来,进而采用静态检测的方式确定待检测数据是否为webshell数据,避免通过修改编码风格而使得webshell数据逃避静态检测。也就是说,本发明实施例采用静态检测和动态检测结合的方式,提高了检测的准确性。
本发明实施例中提供了两种检测webshell数据的可能的实现方式,在第一种可能的实现方式中,可以在执行步骤103后执行步骤105,即根据第一检测值和第二检测值确定待检测数据是否为webshell数据;在第二种可能的实现方式中,可以在执行步骤103后执行步骤104,再执行步骤105,即根据第一检测值、第二检测值和第三检测值确定待检测数据是否为webshell数据。具体实施中,可以根据实际需要确定采用何种实现方式,具体不作限定。
步骤104,使用预测模型对待检测数据进行预测,得到待检测数据对应的第三检测值。
此处,预测模型可以为通过对多个样本数据中的每个样本数据对应的特征向量进行训练得到的。其中,样本数据中可以包括P个黑样本数据和Q个白样本数据,P个黑样本数据可以为预设数据库中包括的webshell数据,Q个白样本数据可以为已确定的正常web数据。下面具体描述得到预测模型的实现过程。
具体实施中,可以确定多个样本数据中每个样本数据对应的特征向量。确定每个样本数据对应的特征向量的方式可以有多种,在一个示例中,每个样本数据对应的特征向量可以包括多个分量,其中一个分量为运行每个样本数据得到的操作码序列。每个样本数据得到的操作码序列可以为通过如下方式确定的:针对于每个样本数据(比如样本数据U),可以解析样本数据U得到样本数据U对应的语法树,进而根据样本数据U对应的语法树得到操作码,通过去重处理得到操作码序列。
可选地,每个样本数据对应的特征向量还可以包括以下至少一项分量:注释占比、字符操作编解码函数占比、赋值符号占比、不可显示字符占比、字符串连接字符占比、大写字符占比。其中,注释占比可以是指样本数据中包括的注释的数量与代码的数量的比值;字符操作编解码函数占比,可以用于标识通过编解码操作来加密可执行函数的webshell数据,举个例子,样本数据Y为通过php脚本语言编写的得到的,根据样本数据Y中包括的字符编解码函数(比如str函数、base64_encode函数、substr函数等),可以确定样本数据Y中包括的字符编解码函数与所有函数的比值,即为字符操作编解码函数与所有函数占比。赋值符号占比可以是指样本数据中包括的赋值符号(比如“=”)的数量与所有符号的数量的比值;不可显示字符占比、字符串连接字符占比、大写字符占比可以分别是指样本数据中包括的不可显示字符、字符串连接字符和大写字符的数量与所有字符的数量的比值。
优选地,每个样本数据对应的特征向量可以包括15个分量,15个分量分别为:最大行差、行差异系数、平均每行语句数、最长字符长、字符差异系数、单字节占检测样本字符比、符号占比、注释占比、字符操作编解码函数占比、赋值符号占比、不可显示字符占比、字符串连接字符占比、大写字符占比、信息熵和操作码序列。其中,行差异系数可以是指样本数据中包括的代码行的字符数的标准差与均值的百分比;字符差异系数可以是指样本数据中包括的变量中的字符数量的标准差与均值的百分比。
本发明实施例中,可以获取每个样本数据对应的上述15个分量,从而得到每个样本数据对应的特征向量;进一步地,可以采用支持向量机的模型训练系统,将P个黑样本数据对应的特征向量和Q个白样本数据对应的特征向量分别输入模型训练系统,此时,模型训练系统可以将黑样本数据和白样本数据映射到五维特征空间,得到超平面。进一步地,模型训练系统可以通过调整得到的超平面的参数,使得模型训练出的超平面最为准确。其中,超平面可以将黑样本数据和白样本数据区分开,又称为预测模型。举例来说,超平面的一侧可以为白样本空间,白样本数据位于白样本空间内;相应地,超平面的另一侧可以为黑样本空间,黑样本数据位于黑样本空间内。
上面具体描述了训练得到预测模型的实现过程,下面对使用预测模型对待检测数据进行检测的实现过程进行描述。
具体实施中,可以在获取到待检测数据后,确定待检测数据对应的特征向量。此处,确定待检测数据对应的特征向量的方式可以参照上述步骤中确定样本数据对应的特征向量的方式进行实现,不再赘述。
进一步地,可以将待检测数据的特征向量输入模型训练系统中,此时,模型训练系统可以将待检测数据映射在训练得到的预测模型中。若待检测数据位于超平面的一侧,即待检测数据位于白样本空间中,则确定待检测数据为正常web数据,此时,第三检测值可以为0;若待检测数据位于超平面的另一侧,即待检测数据位于黑样本空间中,则确定待检测数据为webshell数据,此时,第三检测值可以为1。
步骤105,根据待检测数据对应的多个检测值,确定待检测数据是否为webshell数据。
具体实施中,可以根据待检测数据对应的多个检测值,确定目标检测值。其中,确定目标检测值的方式可以有多种,比如,目标检测值可以为待检测数据对应的多个检测值的加权平均,或者也可以为待检测数据对应的多个检测值的平均值或中位值,具体不作限定。
针对于本发明实施例中提供的两种可能的实现方式,若为第一种可能的实现方式中(即在执行步骤103后执行步骤105),则可以根据第一检测值和第二检测值确定目标检测值;相应地,若为第二种可能的实现方式中(即在执行步骤103后执行步骤104,再执行步骤105),则可以根据第一检测值、第二检测值和第三检测值确定目标检测值。举例来说明,第一检测值为2/3,第一检测值的权重为60,第一检测值为4/5,第二检测值的权重为40,则目标检测值可以为4/5。
进一步地,若目标检测值大于第二预设阈值,则可以确定待检测数据为webshell数据,若目标检测值小于第二预设阈值,则可以确定待检测数据为正常web数据。其中,第二预设阈值可以由本领域技术人员根据经验进行设置,或者也可以根据实验确定,具体不作限定。比如,若第二预设阈值为0.5,则可以确定目标检测值可以为4/5时,待检测数据为webshell数据。
本发明的上述实施例中,获取待检测数据后,可以将待检测数据与预设数据库中存储的webshell数据进行比较,得到第一检测值;且通过待检测数据对应的沙箱运行待检测数据,得到待检测数据对应的网页,并模拟执行网页包括的多个特征项中的每个特征项,对执行每个特征项时所调用的M个函数进行编解码处理得到N个函数,进而根据N个函数中所包括的敏感函数的种类和个数,得到每个特征项对应的敏感函数信息,根据多个特征项对应的敏感函数信息,得到第二检测值;其中,M、N为正整数;进一步地,至少根据第一检测值和第二检测值得到目标检测值,若目标检测值大于预设阈值,则确定待检测数据为webshell数据。本发明实施例中的第二检测值为通过模拟执行待检测数据对应的网页上的多个特征项得到的,针对于任一个特征项来说,在该特征项所对应的功能不发生变化的情况下,即使对该特征项对应的程序代码进行文字性修改(比如隐藏部分程序代码、加密程序代码、拆分或组合敏感函数等),执行该特征项所调用的函数进行编解码处理得到的函数也不会发生变化,本发明实施例采用经过编解码处理得到的函数确定第二检测值,可以识别对程序代码进行文字性修改的webshell数据,从而能够实现对待检测数据的准确检测;且,本发明实施例使用第一检测值和第二检测值对待检测数据进行检测,相比于现有技术仅采用第一检测值对待检测数据进行检测来说,可以提高检测的准确性。
需要说明的是,上述步骤编号仅为执行流程的一种示例,并不构成对各个步骤的执行先后顺序的限定。
图2为本发明实施例提供的一种检测webshell数据的框架示意图,图2从另外一个角度描述了本发明实施例中检测webshell数据的方法。如图2所示,在获取待检测数据后,待检测数据可以分别进入静态检测阶段210、动态检测阶段220和机器学习阶段230进行检测,其中,静态检测阶段210、动态检测阶段220和机器学习阶段230中的任一阶段对待检测设备进行检测时,均可以获取预设数据库240中存储的webshell数据,并基于获取到的webshell数据对待检测数据进行检测。
具体实施中,静态检测阶段210可以从程序代码层面对待检测数据进行检测,比如,确定待检测数据中是否包括与预设数据库240中存储的webshell数据相匹配的程序代码或函数。具体地说,静态检测阶段210可以包括哈希对比、静态文件匹配和代码重合度检测。动态检测阶段220可以从前端网页层面分析待检测数据,确定待检测数据中包括的区别于前端网页的执行程序代码,并将执行程序代码与预设数据库240中存储的webshell数据进行匹配。具体地说,可以通过沙箱运行待检测数据,并采用爬虫爬取网页上的特征项,并分析每个特征项对应的特征,比如,流量特征、静态文件匹配特征、敏感函数特征等。机器学习阶段230可以基于正常web数据与webshell数据的区别特征对待检测数据进行预测,在此过程中,机器学习阶段230可以获取预设数据库240中存储的webshell数据作为机器学习的样本数据。具体地说,可以通过超文本标记语言(Hyper Text Mark-up Language,HTML)引擎检测网页特征项,并可以通过语法树引擎确定样本数据的统计学特征和操作码序列,进而根据统计学特征和操作码序列构建特征向量。
在一个示例中,可以通过静态检测阶段210和动态检测阶段220对待检测数据进行检测,并通过两个阶段的检测结果确定待检测数据是否为webshell数据;在另一个示例中,可以通过静态检测阶段210、动态检测阶段220和机器学习阶段230对待检测数据进行检测,根据三个阶段的检测结果综合确定待检测数据是否为webshell数据。具体实施中,还可以通过其它阶段对待检测数据进行检测,具体不作限定。
本发明实施例中,静态检测阶段210对待检测数据进行检测的过程可以按照步骤102中的方法进行实现;动态检测阶段220对待检测数据进行检测的过程可以按照步骤103中的方法进行实现;机器学习阶段230对待检测数据进行检测的过程可以按照步骤104中的方法进行实现。
针对图1所示的方法流程,本发明实施例还提供一种检测webshell数据的装置,该装置的具体内容可以参照图1所示的方法实施。
图3为本发明实施例提供的一种检测webshell数据的装置的结构示意图,包括:
获取模块301,用于获取待检测数据;
处理模块302,用于将所述待检测数据与预设数据库中存储的webshell数据进行比较,并根据比较结果得到第一检测值;以及,通过所述待检测数据对应的沙箱运行所述待检测数据,得到所述待检测数据对应的网页;针对于所述网页所包括的多个特征项中的每个特征项,模拟执行所述特征项,并对执行所述特征项时所调用的M个函数进行编解码处理得到N个函数,进而根据所述N个函数中所包括的敏感函数的种类和个数,得到所述特征项对应的敏感函数信息;所述多个特征项包括以下至少一项:链接特征项、点击特征项、表单特征项、提交特征项;根据所述多个特征项对应的敏感函数信息,得到第二检测值;其中,M、N为正整数;
检测模块303,用于至少根据所述第一检测值和所述第二检测值得到目标检测值,若所述目标检测值大于预设阈值,则确定所述待检测数据为webshell数据。
可选地,所述预设数据库中存储的webshell数据包括敏感函数,所述处理模块302用于:
针对于所述N个函数中的每个函数,将所述函数与预设数据库中存储的webshell数据中的敏感函数进行比较;若确定所述函数为敏感函数,则记录所述函数对应的敏感函数信息;所述函数对应的敏感函数信息包括根据比较结果得到的所述函数对应的检测分值;
根据所述N个函数所包括的敏感函数对应的敏感函数信息,确定所述特征项对应的敏感函数信息。
可选地,在所述处理模块302通过所述待检测数据对应的沙箱运行所述待检测数据之前,所述处理模块302还用于:
根据所述待检测数据所使用的脚本语言的类型,确定所述待检测数据对应的沙箱。
可选地,所述装置还包括预测模块304,所述预测模块304用于:
使用预测模型对所述待检测数据进行预测,得到所述待检测数据对应的第三检测值;所述预测模型是通过对多个样本数据中的每个样本数据对应的特征向量进行训练得到的,所述每个样本数据对应的特征向量包括运行所述每个样本数据得到的操作码序列;
至少根据所述第一检测值和所述第二检测值得到目标检测值,包括:
对所述第一检测值、所述第二检测值和所述第三检测值进行加权求和,得到目标检测值。
可选地,所述每个样本数据对应的特征向量还包括以下至少一项:注释占比、字符操作编解码函数占比、赋值符号占比、不可显示字符占比、字符串连接字符占比、大写字符占比。
本发明的上述实施例中,获取待检测数据后,可以将待检测数据与预设数据库中存储的webshell数据进行比较,得到第一检测值;且通过待检测数据对应的沙箱运行待检测数据,得到待检测数据对应的网页,并模拟执行网页包括的多个特征项中的每个特征项,对执行每个特征项时所调用的M个函数进行编解码处理得到N个函数,进而根据N个函数中所包括的敏感函数的种类和个数,得到每个特征项对应的敏感函数信息,根据多个特征项对应的敏感函数信息,得到第二检测值;其中,M、N为正整数;进一步地,至少根据第一检测值和第二检测值得到目标检测值,若目标检测值大于预设阈值,则确定待检测数据为webshell数据。本发明实施例中的第二检测值为通过模拟执行待检测数据对应的网页上的多个特征项得到的,针对于任一个特征项来说,在该特征项所对应的功能不发生变化的情况下,即使对该特征项对应的程序代码进行文字性修改(比如隐藏部分程序代码、加密程序代码、拆分或组合敏感函数等),执行该特征项所调用的函数进行编解码处理得到的函数也不会发生变化,本发明实施例采用经过编解码处理得到的函数确定第二检测值,可以识别对程序代码进行文字性修改的webshell数据,从而能够实现对待检测数据的准确检测;且,本发明实施例使用第一检测值和第二检测值对待检测数据进行检测,相比于现有技术仅采用第一检测值对待检测数据进行检测来说,可以提高检测的准确性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种检测webshell数据的方法,其特征在于,所述方法包括:
获取待检测数据;
将所述待检测数据与预设数据库中存储的webshell数据进行比较,并根据比较结果得到第一检测值;
通过所述待检测数据对应的沙箱运行所述待检测数据,得到所述待检测数据对应的网页;针对于所述网页所包括的多个特征项中的每个特征项,模拟执行所述特征项,并对执行所述特征项时所调用的M个函数进行编解码处理得到N个函数,进而根据所述N个函数中所包括的敏感函数的种类和个数,得到所述特征项对应的敏感函数信息;所述多个特征项包括链接特征项、点击特征项、表单特征项、提交特征项中的至少两项;根据所述多个特征项对应的敏感函数信息,得到第二检测值;其中,M、N为正整数;其中,M、N为正整数;
至少根据所述第一检测值和所述第二检测值得到目标检测值,若所述目标检测值大于预设阈值,则确定所述待检测数据为webshell数据。
2.根据权利要求1所述的方法,其特征在于,所述预设数据库中存储的webshell数据包括敏感函数,所述根据所述N个函数中所包括的敏感函数的种类和个数,得到所述特征项对应的敏感函数信息,包括:
针对于所述N个函数中的每个函数,将所述函数与预设数据库中存储的webshell数据中的敏感函数进行比较;若确定所述函数为敏感函数,则记录所述函数对应的敏感函数信息;所述函数对应的敏感函数信息包括根据比较结果得到的所述函数对应的检测分值;
根据所述N个函数所包括的敏感函数对应的敏感函数信息,确定所述特征项对应的敏感函数信息。
3.根据权利要求1所述的方法,其特征在于,所述通过所述待检测数据对应的沙箱运行所述待检测数据之前,还包括:
根据所述待检测数据所使用的脚本语言的类型,确定所述待检测数据对应的沙箱;所述待检测数据对应的沙箱包括超文本预处理器php沙箱、动态服务器页面asp沙箱或java沙箱。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:
使用预测模型对所述待检测数据进行预测,得到第三检测值;所述预测模型是通过对多个样本数据中的每个样本数据对应的特征向量进行训练得到的,所述每个样本数据对应的特征向量包括运行所述每个样本数据得到的操作码序列;
至少根据所述第一检测值和所述第二检测值得到目标检测值,包括:
对所述第一检测值、所述第二检测值和所述第三检测值进行加权求和,得到所述目标检测值。
5.根据权利要求4所述的方法,其特征在于,所述每个样本数据对应的特征向量还包括以下至少一项:注释占比、字符操作编解码函数占比、赋值符号占比、不可显示字符占比、字符串连接字符占比、大写字符占比。
6.一种检测webshell数据的装置,其特征在于,所述装置包括:
获取模块,用于获取待检测数据;
处理模块,用于将所述待检测数据与预设数据库中存储的webshell数据进行比较,并根据比较结果得到第一检测值;以及,通过所述待检测数据对应的沙箱运行所述待检测数据,得到所述待检测数据对应的网页;针对于所述网页所包括的多个特征项中的每个特征项,模拟执行所述特征项,并对执行所述特征项时所调用的M个函数进行编解码处理得到N个函数,进而根据所述N个函数中所包括的敏感函数的种类和个数,得到所述特征项对应的敏感函数信息;所述多个特征项包括链接特征项、点击特征项、表单特征项、提交特征项中的至少两项;根据所述多个特征项对应的敏感函数信息,得到第二检测值;其中,M、N为正整数;
检测模块,用于至少根据所述第一检测值和所述第二检测值得到目标检测值,若所述目标检测值大于预设阈值,则确定所述待检测数据为webshell数据。
7.根据权利要6所述的装置,其特征在于,所述预设数据库中存储的webshell数据包括敏感函数,所述处理模块用于:
针对于所述N个函数中的每个函数,将所述函数与预设数据库中存储的webshell数据中的敏感函数进行比较;若确定所述函数为敏感函数,则记录所述函数对应的敏感函数信息;所述函数对应的敏感函数信息包括根据比较结果得到的所述函数对应的检测分值;
根据所述N个函数所包括的敏感函数对应的敏感函数信息,确定所述特征项对应的敏感函数信息。
8.根据权利要求6所述的装置,其特征在于,在所述处理模块通过所述待检测数据对应的沙箱运行所述待检测数据之前,所述处理模块还用于:
根据所述待检测数据所使用的脚本语言的类型,确定所述待检测数据对应的沙箱;所述待检测数据对应的沙箱包括超文本预处理器php沙箱、动态服务器页面asp沙箱或java沙箱。
9.根据权利要求6至8中任一项所述的装置,其特征在于,所述装置还包括预测模块,所述预测模块用于:
使用预测模型对所述待检测数据进行预测,得到第三检测值;所述预测模型是通过对多个样本数据中的每个样本数据对应的特征向量进行训练得到的,所述每个样本数据对应的特征向量包括运行所述每个样本数据得到的操作码序列;
至少根据所述第一检测值和所述第二检测值得到所述待检测数据对应的目标检测值,包括:
对所述第一检测值、所述第二检测值和所述第三检测值进行加权求和,得到目标检测值。
10.根据权利要求9所述的装置,其特征在于,所述每个样本数据对应的特征向量还包括以下至少一项:注释占比、字符操作编解码函数占比、赋值符号占比、不可显示字符占比、字符串连接字符占比、大写字符占比。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910183958.1A CN109933977A (zh) | 2019-03-12 | 2019-03-12 | 一种检测webshell数据的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910183958.1A CN109933977A (zh) | 2019-03-12 | 2019-03-12 | 一种检测webshell数据的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109933977A true CN109933977A (zh) | 2019-06-25 |
Family
ID=66986989
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910183958.1A Pending CN109933977A (zh) | 2019-03-12 | 2019-03-12 | 一种检测webshell数据的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109933977A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112182561A (zh) * | 2020-09-24 | 2021-01-05 | 百度在线网络技术(北京)有限公司 | 一种后门的检测方法、装置、电子设备和介质 |
| CN112367336A (zh) * | 2020-11-26 | 2021-02-12 | 杭州安恒信息技术股份有限公司 | webshell拦截检测方法、装置、设备及可读存储介质 |
| CN113515750A (zh) * | 2021-07-22 | 2021-10-19 | 苏州知微安全科技有限公司 | 一种高速流量下的攻击检测方法及装置 |
| CN114143074A (zh) * | 2021-11-29 | 2022-03-04 | 杭州迪普科技股份有限公司 | webshell攻击识别装置及方法 |
| CN114422148A (zh) * | 2022-03-25 | 2022-04-29 | 北京长亭未来科技有限公司 | 一种Webshell的骨架刻画及检测方法、装置与设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110124918A (ko) * | 2010-05-12 | 2011-11-18 | (주)위너다임 | 패턴 분석기법을 이용한 웹사이트의 악성코드 은닉 여부에 대한 탐지 시스템 및 방법 |
| CN102955913A (zh) * | 2011-08-25 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种网页挂马检测方法及系统 |
| CN105046154A (zh) * | 2015-08-13 | 2015-11-11 | 浪潮电子信息产业股份有限公司 | 一种webshell检测方法及装置 |
| CN106850617A (zh) * | 2017-01-25 | 2017-06-13 | 余洋 | webshell检测方法及装置 |
| CN107659570A (zh) * | 2017-09-29 | 2018-02-02 | 杭州安恒信息技术有限公司 | 基于机器学习与动静态分析的Webshell检测方法及系统 |
-
2019
- 2019-03-12 CN CN201910183958.1A patent/CN109933977A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110124918A (ko) * | 2010-05-12 | 2011-11-18 | (주)위너다임 | 패턴 분석기법을 이용한 웹사이트의 악성코드 은닉 여부에 대한 탐지 시스템 및 방법 |
| CN102955913A (zh) * | 2011-08-25 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种网页挂马检测方法及系统 |
| CN105046154A (zh) * | 2015-08-13 | 2015-11-11 | 浪潮电子信息产业股份有限公司 | 一种webshell检测方法及装置 |
| CN106850617A (zh) * | 2017-01-25 | 2017-06-13 | 余洋 | webshell检测方法及装置 |
| CN107659570A (zh) * | 2017-09-29 | 2018-02-02 | 杭州安恒信息技术有限公司 | 基于机器学习与动静态分析的Webshell检测方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 默安科技_影武者实验室: "PHP WebShell变形技术总结", 《HTTPS://WWW.FREEBUF.COM/ARTICLES/WEB/155891.HTML》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112182561A (zh) * | 2020-09-24 | 2021-01-05 | 百度在线网络技术(北京)有限公司 | 一种后门的检测方法、装置、电子设备和介质 |
| CN112182561B (zh) * | 2020-09-24 | 2024-04-30 | 百度在线网络技术(北京)有限公司 | 一种后门的检测方法、装置、电子设备和介质 |
| CN112367336A (zh) * | 2020-11-26 | 2021-02-12 | 杭州安恒信息技术股份有限公司 | webshell拦截检测方法、装置、设备及可读存储介质 |
| CN113515750A (zh) * | 2021-07-22 | 2021-10-19 | 苏州知微安全科技有限公司 | 一种高速流量下的攻击检测方法及装置 |
| CN114143074A (zh) * | 2021-11-29 | 2022-03-04 | 杭州迪普科技股份有限公司 | webshell攻击识别装置及方法 |
| CN114143074B (zh) * | 2021-11-29 | 2023-09-22 | 杭州迪普科技股份有限公司 | webshell攻击识别装置及方法 |
| CN114422148A (zh) * | 2022-03-25 | 2022-04-29 | 北京长亭未来科技有限公司 | 一种Webshell的骨架刻画及检测方法、装置与设备 |
| CN114422148B (zh) * | 2022-03-25 | 2024-04-09 | 北京长亭未来科技有限公司 | 一种Webshell的骨架刻画及检测方法、装置与设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109933977A (zh) | 一种检测webshell数据的方法及装置 | |
| CN109922052B (zh) | 一种结合多重特征的恶意url检测方法 | |
| Gupta et al. | Enhancing the browser-side context-aware sanitization of suspicious HTML5 code for halting the DOM-based XSS vulnerabilities in cloud | |
| CN111639337B (zh) | 一种面向海量Windows软件的未知恶意代码检测方法及系统 | |
| CN114730339A (zh) | 检测计算机系统中未知的恶意内容 | |
| CN109598124A (zh) | 一种webshell检测方法以及装置 | |
| CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
| CN107944274A (zh) | 一种基于宽度学习的Android平台恶意应用离线检测方法 | |
| CN109271780A (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
| CN110502897A (zh) | 一种基于混合分析的网页恶意JavaScript代码识别和反混淆方法 | |
| CN108156131A (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| Gomes et al. | Cryptojacking detection with cpu usage metrics | |
| KR102058966B1 (ko) | 악성 어플리케이션 탐지 방법 및 그 장치 | |
| CN110765459A (zh) | 一种恶意脚本检测方法、装置和存储介质 | |
| CN106803039B (zh) | 一种恶意文件的同源判定方法及装置 | |
| CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
| CN106022132A (zh) | 一种基于动态内容分析的网页木马实时检测方法 | |
| CN103414758B (zh) | 日志处理方法及装置 | |
| CN107920062A (zh) | 一种业务逻辑攻击检测模型的构建方法和计算设备 | |
| CN109657459A (zh) | 网页后门检测方法、设备、存储介质及装置 | |
| Li et al. | LogicScope: Automatic discovery of logic vulnerabilities within web applications | |
| CN116340939A (zh) | webshell检测方法、装置、设备及存储介质 | |
| CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
| Karkallis et al. | Detecting video-game injectors exchanged in game cheating communities | |
| Zhao et al. | Suzzer: A vulnerability-guided fuzzer based on deep learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190625 |
|
| RJ01 | Rejection of invention patent application after publication |