CN111523118A - 一种Webshell检测方法、装置、存储介质和设备 - Google Patents

一种Webshell检测方法、装置、存储介质和设备 Download PDF

Info

Publication number
CN111523118A
CN111523118A CN202010296810.1A CN202010296810A CN111523118A CN 111523118 A CN111523118 A CN 111523118A CN 202010296810 A CN202010296810 A CN 202010296810A CN 111523118 A CN111523118 A CN 111523118A
Authority
CN
China
Prior art keywords
external input
function
input mark
threat
variable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010296810.1A
Other languages
English (en)
Other versions
CN111523118B (zh
Inventor
陈浩
何树果
朱震
程度
张福
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Shengxin Network Technology Co ltd
Original Assignee
Beijing Shengxin Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Shengxin Network Technology Co ltd filed Critical Beijing Shengxin Network Technology Co ltd
Priority to CN202010296810.1A priority Critical patent/CN111523118B/zh
Publication of CN111523118A publication Critical patent/CN111523118A/zh
Application granted granted Critical
Publication of CN111523118B publication Critical patent/CN111523118B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及一种Webshell检测方法、装置、存储介质和设备,包括将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后,并根据带有外部输入标记的变量和函数,将编译待检测PHP代码得到的对应的操作码Opcode执行所得到的结果标识为外部输入标记;执行Opcode代码,并根据当前执行过程将外部输入标记进行传递,得到处理结果;若处理结果中的变量的值和/或函数的返回值带有外部输入标记,从处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时,则待检测PHP代码是Webshell。本发明针对检测混淆变形以及较复杂的Webshell具有显著的效果,同时检测方法简便,可提高检测效率。

Description

一种Webshell检测方法、装置、存储介质和设备
技术领域
本发明涉及网络安全领域,尤其涉及一种Webshell检测方法、装置、存储介质和设备。
背景技术
Webshell以asp、php、jsp或者cgi等网页文件形式存在,是一种网页后门文件,其通常可以提供命令执行环境,网站管理员可以通过Webshell方便的对网站服务器进行管理。但是,由于Webshell所具有的这种命令执行能力,它也成为黑客们入侵网站的强大利器。在这其中尤以php的Webshell样式最为丰富。由于php语言本身的强大灵活性,导致phpWebshell的变形种类,混淆方式,检测难度都远远高于其他语言的Webshell。
目前常见的php Webshell检测方式为静态检测、动态检测、web日志检测、统计学特征检测和语法语义检测等。但是这些常见的检测方式针对复杂或者混淆过的Webshell无能为力或是检测过程复杂,对检测工具的处理能力和效率要求比较高。
发明内容
本发明所要解决的技术问题是针对现有技术的不足,提供一种Webshell检测方法、装置、存储介质和设备。
本发明解决上述技术问题的技术方案如下:
一种Webshell检测方法,所述方法包括:
将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后,并根据带有所述外部输入标记的所述变量和所述函数,将编译所述待检测PHP代码得到的对应的操作码Opcode得到的结果标识为所述外部输入标记;
执行所述Opcode代码,并根据当前执行过程将所述外部输入标记进行传递,得到处理结果,所述处理结果包括带有所述外部输入标记的变量的值和/或函数的返回值;
若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记,从所述处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时,则判定所述待检测PHP代码是Webshell。
本发明的有益效果是:通过将待检测的PHP代码中的匹配预设威胁输入库中的变量和函数标识为外部输入标记,并将待检测的PHP代码编译所得到的Opcode代码中的相关信息标识为外部输入标记,根据当前执行过程将外部输入标记进行传递,得到处理结果,若处理结果中的变量的值和/或函数的返回值带有外部输入标记,从处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时,则判定待检测PHP代码是Webshell。本发明通过对PHP文件的动态执行获取到真实的执行信息,因此针对检测混淆变形以及较复杂的Webshell具有显著的效果,同时检测方法简便,可提高检测效率。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步地,所述根据带有所述外部输入标记的所述变量和所述函数,将编译所述待检测PHP代码得到的对应的操作码Opcode得到的结果标识为所述外部输入标记,具体包括:
当所述Opcode执行字符串拼接处理时,若进行字符串拼接的其中一个字符串带有所述外部输入标记时,则将所述字符串拼接处理后得到的结果标识为外部输入标记;
或,当所述Opcode执行直接调用函数处理时,若所述被调用的函数带有所述外部输入标记时,则将所述被调用的函数的返回值标识为所述外部输入标记;
或,当所述Opcode执行动态调用变量时,若所述变量带有所述外部输入标记时,则将所述变量的返回值标识为所述外部输入标记;
或,当所述Opcode执行取出数组中值的处理时,若所述数组带有所述外部输入标记时,则将从所述数组中取出的值标识为所述外部输入标记。
采用上述进一步方案的有益效果是:根据带有外部输入标记的变量和函数,根据Opcode执行不同,将执行Opcode所得到的结果标识为外部输入标记,可提高检测混淆变形或混淆过的webshell的能力。
进一步地,所述根据当前执行过程将所述外部输入标记进行传递,得到处理结果,具体包括:
判断当前所执行的Opcode中的字符串、变量或被调用的函数是否带有所述外部输入标记;
若是,则将所述外部输入标记在执行过程中进行传递,得到带有所述外部输入标记的所述变量的值和/或所述函数的返回值。
采用上述进一步方案的有益效果是:通过将外部输入标记在执行过程中进行传递,得到带有外部输入标记的变量的值和/或函数的返回值,简化了Webshell的判定过程,且提高了对于混淆变形的Webshell的检测能力。
进一步地,还包括:
若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记,但所提取出的函数不匹配预设威胁函数库中的威胁函数且不包含威胁参数时,则判定所述待检测PHP代码不是Webshell;
或,若所述处理结果中的所述变量的值和/或所述函数的返回值不带有所述外部输入标记,但所提取出的函数匹配预设威胁函数库中的威胁函数且不包含威胁参数时,则判定所述待检测PHP代码不是Webshell。
本发明解决上述技术问题的另一种技术方案如下:
一种Webshell检测装置,所述装置包括:
标记模块,用于将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后,并根据带有所述外部输入标记的所述变量和所述函数,将编译所述待检测PHP代码得到的对应的操作码Opcode得到的结果标识为所述外部输入标记;
传递模块,用于执行所述Opcode代码,并根据当前执行过程将所述外部输入标记进行传递,得到处理结果,所述处理结果包括带有所述外部输入标记的变量的值和/或函数的返回值;
判断模块,用于若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记,从所述处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时,则判定所述待检测PHP代码是Webshell,其中,所述威胁函数包括命令执行函数、文件操作函数、数据库操作函数和回调函数,所述威胁参数包括用户输入参数、文件操作参数和数据库操作参数。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步地,所述标记模块,具体用于:
当所述Opcode执行字符串拼接处理时,若进行字符串拼接的其中一个字符串带有所述外部输入标记时,则将所述字符串拼接处理后得到的结果标识为外部输入标记;
或,当所述Opcode执行直接调用函数处理时,若所述被调用的函数带有所述外部输入标记时,则将所述被调用的函数的返回值标识为所述外部输入标记;
或,当所述Opcode执行动态调用变量时,若所述变量带有所述外部输入标记时,则将所述变量的返回值标识为所述外部输入标记;
或,当所述Opcode执行取出数组中值的处理时,若所述数组带有所述外部输入标记时,则将从所述数组中取出的值标识为所述外部输入标记。
进一步地,所述传递模块,具体用于:
判断当前所执行的Opcode中的字符串、变量或被调用的函数是否带有所述外部输入标记;
若是,则将所述外部输入标记在执行过程中进行传递,得到带有所述外部输入标记的所述变量的值和/或所述函数的返回值。
此外,本发明还提供一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述各技术方案中的Webshell检测方法的步骤。
本发明还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述各技术方案中的Webshell检测方法的步骤。
本发明附加的方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的Webshell检测方法的流程示意图;
图2为本发明另一实施例提供的Webshell检测装置的模块示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
如图1本发明实施例提供的Webshell检测方法的流程示意图所示,包括以下步骤:
110、将匹配预设威胁输入库的待检测的PHP代码中的变量和函数标识为外部输入标记后,并根据带有外部输入标记的变量和函数,将编译待检测的PHP代码得到的对应的操作码Opcode代码执行所得到的结果标识为外部输入标记。
120、执行Opcode代码,并根据当前执行过程将外部输入标记进行传递,得到处理结果,处理结果包括带有外部输入标记的变量的值和/或函数的返回值。
130、若处理结果中的变量的值和/或函数的返回值带有外部输入标记,从处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时,则判定待检测PHP代码是Webshell。
应理解,预设威胁输入库中包括变量和函数,而这些变量和函数都可通过借助于外部工具来改变输入的值,例如用于存储用户会话的信息session变量、$_GET、$_POST和$_FILES等,及可获取当前请求的所有请求头信息系统函数getallheaders。
其中,预设威胁函数库中包括具有命令执行、文件操作和数据库操作等能对服务器数据和安全造成影响的系统函数,并将这些函数定义为威胁函数。例如系统函数system、shell_exec可以执行任意系统命令,eval函数可以执行任意php代码,这些函数都是威胁函数,当然威胁函数还包括一些其它函数如fread,fgets,fgetc等,而威胁参数包括用户输入参数、文件操作参数和数据库操作参数等,其中用户输入参数包括_GET、_POST、COOKIE、REQUEST、FILES、SERVER和ENV等,文件操作参数包括fopen,fread,fgets,fgetss等,数据库操作参数包括mysql_fetch_array,pg_fetch_array,sqlite_fetch_array等,当然还包括一些其它函数的输入参数如getenv,getallheaders等。
基于本实施例提供的一种Webshell检测方法,通过将待检测的PHP代码中的匹配预设威胁输入库中的变量和函数标识为外部输入标记,并将待检测的PHP代码编译所得到的Opcode代码中的相关信息标识为外部输入标记,根据当前执行过程将外部输入标记进行传递,得到处理结果,若处理结果中的变量的值和/或函数的返回值带有外部输入标记,从处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时,则判定待检测PHP代码是Webshell。本发明通过对PHP文件的动态执行获取到真实的执行信息,因此针对检测混淆变形以及较复杂的Webshell具有显著的效果,同时检测方法简便,可提高检测效率。
进一步地,步骤110中具体包括:
当Opcode执行字符串拼接处理时,若进行字符串拼接的其中一个字符串带有外部输入标记时,则将字符串拼接处理后得到的结果标识为外部输入标记;
或,当Opcode执行直接调用函数处理时,若被调用的函数带有外部输入标记时,则将被调用的函数的返回值标识为外部输入标记;
或,当Opcode执行动态调用变量时,若变量带有外部输入标记时,则将变量的返回值标识为外部输入标记;
或,当Opcode执行取出数组中值的处理时,若数组带有外部输入标记时,则将从数组中取出的值标识为外部输入标记。
应理解,例如,当Opcode执行字符串拼接处理时,判断左右操作数是否带有外部输入标记,若其中有一个操作数带有外部输入标记,将字符串拼接处理后得到的结果标识外部输入标记,若两个操作数中都没有外部输入标记,则不需要标记字符串拼接处理后得到的结果为外部输入标记;而当Opcode执行赋值处理时,若右操作数带有外部输入标记,则将被赋值的变量标识为外部输入标记,若右操作数不带有外部输入标记,则无需标记被赋值变量为外部输入标记。
进一步地,步骤120中具体包括:
判断当前所执行的Opcode中的字符串、变量或被调用的函数是否带有外部输入标记;
若是,则将外部输入标记在执行过程中进行传递,得到带有外部输入标记的变量的值和/或函数的返回值。
应理解,例如代码:
$var=$_POST[“sz”].“t”;
$c=$_GET[“cv”];
$d=$c;
$var($d);
由于$_POST[“sz”]和$_GET[“cv”]匹配预设威胁输入库,将$var和$c标记为外部输入标记,通过在执行过程中将外部输入标记进行传递,
$var=“可控输入---$_POST”;
$c=“可控输入---$_GET”;
$d=“可控输入---$_GET”;
“可控输入---$var”(“可控输入---$c”)。
进一步地,步骤130中还包括:
若处理结果中的变量的值和/或函数的返回值带有外部输入标记,但所提取出的函数不匹配预设威胁函数库中的威胁函数且不包含威胁参数时,则判定所述待检测PHP代码不是Webshell;
或,若处理结果中的变量的值和/或函数的返回值不带有外部输入标记,但所提取出的函数匹配预设威胁函数库中的威胁函数且不包含威胁参数时,则判定所述待检测PHP代码不是Webshell。
如图2为本发明另一实施例提供的Webshell检测装置的模块示意图所示,装置具体包括:
标记模块,用于将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后,并根据带有外部输入标记的变量和函数,将编译待检测PHP代码得到的对应的操作码Opcode得到的结果标识为外部输入标记;
传递模块,用于执行所述Opcode代码,并根据当前执行过程将所述外部输入标记进行传递,得到处理结果,所述处理结果包括带有所述外部输入标记的变量的值和/或函数的返回值;
判断模块,用于若处理结果中的变量的值和/或函数的返回值带有外部输入标记,从处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时,则判定待检测PHP代码是Webshell,其中,威胁函数包括命令执行函数、文件操作函数、数据库操作函数和回调函数,威胁参数包括用户输入参数、文件操作参数和数据库操作参数。
进一步地,标记模块,具体用于:
当Opcode执行字符串拼接处理时,若进行字符串拼接的其中一个字符串带有外部输入标记时,则将字符串拼接处理后得到的结果标识为外部输入标记;
或,当Opcode执行直接调用函数处理时,若被调用的函数带有外部输入标记时,则将被调用的函数的返回值标识为外部输入标记;
或,当Opcode执行动态调用变量时,若变量带有外部输入标记时,则将变量的返回值标识为外部输入标记;
或,当Opcode执行取出数组中值的处理时,若数组带有外部输入标记时,则将从数组中取出的值标识为外部输入标记。
进一步地,传递模块,具体用于:
判断当前所执行的Opcode中的字符串、变量或被调用的函数是否带有外部输入标记;
若是,则将外部输入标记在执行过程中进行传递,得到带有外部输入标记的变量的值和/或函数的返回值。
此外,本发明还提供一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述各技术方案中的Webshell检测方法的步骤。
本发明还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述各技术方案中的Webshell检测方法的步骤。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种Webshell检测方法,其特征在于,所述方法包括:
将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后,并根据带有所述外部输入标记的所述变量和所述函数,将编译所述待检测PHP代码得到的对应的操作码Opcode执行所得到的结果标识为所述外部输入标记;
执行所述Opcode代码,并根据当前执行过程将所述外部输入标记进行传递,得到处理结果,所述处理结果包括带有所述外部输入标记的变量的值和/或函数的返回值;
若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记,从所述处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时,则判定所述待检测PHP代码是Webshell,其中,所述威胁函数包括命令执行函数、回调函数、文件操作函数和数据库操作函数,所述威胁参数包括用户输入参数、文件操作参数和数据库操作参数。
2.根据权利要求1所述的Webshell检测方法,其特征在于,所述根据带有所述外部输入标记的所述变量和所述函数,将编译所述待检测PHP代码得到的对应的操作码Opcode得到的结果标识为所述外部输入标记,具体包括:
当所述Opcode执行字符串拼接处理时,若进行字符串拼接的其中一个字符串带有所述外部输入标记时,则将所述字符串拼接处理后得到的结果标识为外部输入标记;
或,当所述Opcode执行直接调用函数处理时,若所述被调用的函数带有所述外部输入标记时,则将被调用的函数的返回值标识为所述外部输入标记;
或,当所述Opcode执行动态调用变量处理时,若所述变量带有所述外部输入标记时,则将所述变量的返回值标识为所述外部输入标记;
或,当所述Opcode执行取出数组中值的处理时,若所述数组带有所述外部输入标记时,则将从所述数组中取出的值标识为所述外部输入标记。
3.根据权利要求1所述的Webshell检测方法,其特征在于,所述根据当前执行过程将所述外部输入标记进行传递,得到处理结果,具体包括:
判断当前所执行的Opcode中的字符串、变量或被调用的函数是否带有所述外部输入标记;
若是,则将所述外部输入标记在执行过程中进行传递,得到带有所述外部输入标记的所述变量的值和/或所述函数的返回值。
4.根据权利要求1所述的Webshell检测方法,其特征在于,还包括:
若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记,但所提取出的函数不匹配预设威胁函数库中的威胁函数且不包含威胁参数时,则判定所述待检测PHP代码不是Webshell。
5.根据权利要求1所述的Webshell检测方法,其特征在于,还包括:
若所述处理结果中的所述变量的值和/或所述函数的返回值不带有所述外部输入标记,但所提取出的函数匹配预设威胁函数库中的威胁函数且不包含威胁参数执行所述处理结果的函数匹配预设威胁函数库中的威胁函数时,则判定所述待检测PHP代码不是Webshell。
6.一种Webshell检测装置,其特征在于,所述装置包括:
标记模块,用于将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后,并根据带有所述外部输入标记的所述变量和所述函数,将编译所述待检测PHP代码得到的对应的操作码Opcode得到的结果标识为所述外部输入标记;
传递模块,用于执行所述Opcode代码,并根据当前执行过程将所述外部输入标记进行传递,得到处理结果,所述处理结果包括带有所述外部输入标记的变量的值和/或函数的返回值;
判断模块,用于若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记,从所述处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时,则判定所述待检测PHP代码是Webshell。
7.根据权利要求6所述的Webshell检测装置,其特征在于,所述标记模块,具体用于:
当所述Opcode执行字符串拼接处理时,若进行字符串拼接的其中一个字符串带有所述外部输入标记时,则将所述字符串拼接处理后得到的结果标识为外部输入标记;
或,当所述Opcode执行直接调用函数处理时,若所述被调用的函数带有所述外部输入标记时,则将被调用的函数的返回值标识为所述外部输入标记;
或,当所述Opcode执行动态调用变量时,若所述变量带有所述外部输入标记时,则将所述变量的返回值标识为所述外部输入标记;
或,当所述Opcode执行取出数组中值的处理时,若所述数组带有所述外部输入标记时,则将从所述数组中取出的值标识为所述外部输入标记。
8.根据权利要求6所述的Webshell检测装置,其特征在于,所述传递模块,具体用于:
判断当前所执行的Opcode中的字符串、变量或被调用的函数是否带有所述外部输入标记;
若是,则将所述外部输入标记在执行过程中进行传递,得到带有所述外部输入标记的所述变量的值和/或所述函数的返回值。
9.一种计算机可读存储介质,包括指令,其特征在于,当所述指令在计算机上运行时,使所述计算机执行根据权利要求1-5中任一项所述的Webshell检测方法的步骤。
10.一种计算机设备,包括存储器、处理器及存储在所述存储器上的并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-5中任一项所述Webshell检测方法的步骤。
CN202010296810.1A 2020-04-15 2020-04-15 一种Webshell检测方法、装置、存储介质和设备 Active CN111523118B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010296810.1A CN111523118B (zh) 2020-04-15 2020-04-15 一种Webshell检测方法、装置、存储介质和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010296810.1A CN111523118B (zh) 2020-04-15 2020-04-15 一种Webshell检测方法、装置、存储介质和设备

Publications (2)

Publication Number Publication Date
CN111523118A true CN111523118A (zh) 2020-08-11
CN111523118B CN111523118B (zh) 2021-04-06

Family

ID=71903101

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010296810.1A Active CN111523118B (zh) 2020-04-15 2020-04-15 一种Webshell检测方法、装置、存储介质和设备

Country Status (1)

Country Link
CN (1) CN111523118B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113239357B (zh) * 2021-07-13 2021-09-10 中国人民解放军国防科技大学 一种Webshell检测方法、存储介质及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103294952A (zh) * 2012-11-29 2013-09-11 北京安天电子设备有限公司 一种基于页面关系检测webshell的方法及系统
CN109598124A (zh) * 2018-12-11 2019-04-09 厦门服云信息科技有限公司 一种webshell检测方法以及装置
CN109657467A (zh) * 2018-11-26 2019-04-19 北京兰云科技有限公司 一种网页后门检测方法和装置、计算机可读存储介质
CN110610088A (zh) * 2019-09-12 2019-12-24 北京升鑫网络科技有限公司 一种基于php的webshell检测方法
CN110909350A (zh) * 2019-11-16 2020-03-24 杭州安恒信息技术股份有限公司 一种远程精准识别WebShell后门的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103294952A (zh) * 2012-11-29 2013-09-11 北京安天电子设备有限公司 一种基于页面关系检测webshell的方法及系统
CN109657467A (zh) * 2018-11-26 2019-04-19 北京兰云科技有限公司 一种网页后门检测方法和装置、计算机可读存储介质
CN109598124A (zh) * 2018-12-11 2019-04-09 厦门服云信息科技有限公司 一种webshell检测方法以及装置
CN110610088A (zh) * 2019-09-12 2019-12-24 北京升鑫网络科技有限公司 一种基于php的webshell检测方法
CN110909350A (zh) * 2019-11-16 2020-03-24 杭州安恒信息技术股份有限公司 一种远程精准识别WebShell后门的方法

Also Published As

Publication number Publication date
CN111523118B (zh) 2021-04-06

Similar Documents

Publication Publication Date Title
CN108614960B (zh) 一种基于前端字节码技术的JavaScript虚拟化保护方法
CN112866412B (zh) 一种部署智能合约的方法、区块链节点和存储介质
CN106815524B (zh) 恶意脚本文件的检测方法及装置
US20120030516A1 (en) Method and system for information processing and test care generation
CN109947624B (zh) 状态监控方法及装置
CN111753302B (zh) 检测代码漏洞的方法、装置、计算机可读介质及电子设备
WO2021175053A1 (zh) 一种在虚拟机中执行功能模块的方法和装置
US20090144528A1 (en) Method for running native code across single or multi-core hybrid processor achitecture
CN111523097A (zh) 基于安卓系统的app刷子用户识别方法、设备及存储介质
CN116324773A (zh) 用于保护智能合约免受攻击的方法和装置
CN111523118B (zh) 一种Webshell检测方法、装置、存储介质和设备
CN115659333A (zh) 一种基于二进制插桩的沙箱、内存隔离方法及存储介质
KR101996358B1 (ko) 웹 애플리케이션의 동적 분석을 위한 api 호출 정보 제공 방법 및 장치
CN114154153A (zh) 恶意代码检测方法及装置、电子设备、存储介质
CN116167057B (zh) 基于关键代码语义检测的代码动态安全加载方法及装置
CN114626061A (zh) 网页木马检测的方法、装置、电子设备及介质
CN111240728A (zh) 应用程序更新方法、装置、设备和存储介质
CN116361793A (zh) 代码检测方法、装置、电子设备及存储介质
CN106911686B (zh) WebShell检测方法及装置
CN113064601B (zh) 动态加载文件的确定方法、装置、终端及存储介质
CN107291617A (zh) 一种基于隐式污点传播的漏洞分析方法
CN114201376A (zh) 基于人工智能的日志解析方法、装置、终端设备及介质
CN113438273A (zh) 一种物联网设备中应用程序的用户级仿真方法及装置
CN114372265A (zh) 一种恶意程序检测方法、装置、电子设备及存储介质
US9092723B2 (en) Using a heuristically-generated policy to dynamically select string analysis algorithms for client queries

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant