CN112367336B - webshell拦截检测方法、装置、设备及可读存储介质 - Google Patents

webshell拦截检测方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN112367336B
CN112367336B CN202011352702.8A CN202011352702A CN112367336B CN 112367336 B CN112367336 B CN 112367336B CN 202011352702 A CN202011352702 A CN 202011352702A CN 112367336 B CN112367336 B CN 112367336B
Authority
CN
China
Prior art keywords
file
webshell
plaintext
ciphertext
confusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011352702.8A
Other languages
English (en)
Other versions
CN112367336A (zh
Inventor
楼文霞
范渊
黄进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202011352702.8A priority Critical patent/CN112367336B/zh
Publication of CN112367336A publication Critical patent/CN112367336A/zh
Application granted granted Critical
Publication of CN112367336B publication Critical patent/CN112367336B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种webshell拦截检测方法、装置、设备及可读存储介质,该方法包括:Web应用防火墙从网络流量中,筛选出密文文件、混淆文件和明文文件;对明文文件进行检测,并利用检测结果从明文文件中筛选出webshell文件;对密文文件、混淆文件和webshell文件进行动态调度测试,得到可执行的恶意文件;对恶意文件进行拦截。该方法中Web应用防火墙对网络流量中的文件进行层层筛选,最终进行动态调度测试的文件仅是网络流量中的可疑文件,能够有效提升webshell文件的检测效率。

Description

webshell拦截检测方法、装置、设备及可读存储介质
技术领域
本发明涉及网络安全技术领域,特别是涉及一种webshell拦截检测方法、装置、设备及可读存储介质。
背景技术
WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。大部分WEB服务器厂商都会选择部署网站应用级入侵防御系统(Web ApplicationFirewall,waf),即WAF应用防火墙。WAF应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为web服务提供保护。
Webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称作为网页后门,黑客在入侵了网站后,通常会将asp或者php等后门文件与网站服务器WEB目录下正常的网页混合在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
WAF产品拦截Webshell以保障安全的同时,要兼顾高性能才能不影响WEB服务器正常的工作。而传统保障安全的方式,主要以判断文件是否可执行,如果可执行则判定该文件为webshell并进行拦截。判定是否可执行要使用动态调试功能,在流量大的情况下,会导致正常网页功能的响应时间被延长。
综上所述,如何有效地提高webshell检测效率等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种webshell拦截检测方法、装置、设备及可读存储介质,通过对网络流量进行静态筛选,然后再对筛选出的可疑文件进行动态调试,可大大减少进行动态调试的文件量,能够有效提高检测效率。
为解决上述技术问题,本发明提供如下技术方案:
一种webshell检测方法,包括:
Web应用防火墙从网络流量中,筛选出密文文件、混淆文件和明文文件;
对所述明文文件进行检测,并利用检测结果从所述明文文件中筛选出webshell文件;
对所述密文文件、所述混淆文件和所述webshell文件进行动态调度测试,得到可执行的恶意文件;
对所述恶意文件进行拦截。
优选地,所述从网络流量中,筛选出密文文件、混淆文件和明文文件,包括:
利用训练好的加密混淆识别模型对所述网络流量进行检测,得到所述密文文件、所述混淆文件和所述明文文件。
优选地,训练所述加密混淆识别模型的过程,包括:
对具有标签的正常PHP文件、混淆PHP文件和加密PHP文件进行划分,得到训练集和测试集;
将所述训练集输入至fasttext模型架构对模型进行训练;
训练完成后,利用所述测试集测试所述模型,并利用测试结果调整模型参数,得到所述加密混淆识别模型。
优选地,对所述明文文件进行检测,并利用检测结果从所述明文文件中筛选出webshell文件,包括:
将所述明文文件输入至训练好的webshell识别模型进行检测,得到所述检测结果;
利用所述检测结果,从所述明文文件中筛选出所述webshell文件。
优选地,训练所述webshell识别模型的过程,包括:
对具有标签的正常PHP文件和webshell文件进行划分,得到训练集和测试集;
将所述训练集输入至fasttext模型架构对模型进行训练;
训练完成后,利用所述测试集测试所述模型,并利用测试结果调整模型参数,得到所述webshell识别模型。
优选地,对所述密文文件、所述混淆文件和所述webshell文件进行动态调度测试,得到可执行的恶意文件,包括:
对所述密文文件、所述混淆文件和所述webshell文件进行动态调度测试,得到各个测试结果;
利用所述测试结果,从所述密文文件、所述混淆文件和所述webshell文件中筛选出可执行文件;
将所述可执行文件确定为所述恶意文件。
优选地,在所述从网络流量中,筛选出密文文件、混淆文件和明文文件之前,还包括:
判断所述网络流量是否大于预设阈值;
如果是,则执行所述从网络流量中,筛选出密文文件、混淆文件和明文文件的步骤;
如果否,则对所述网络流量中的全部文件进行动态调度测试,得到所述恶意文件。
一种webshell拦截检测装置,应用于Web应用防火墙,包括:
文件首次过滤模块,用于从网络流量中,筛选出密文文件、混淆文件和明文文件;
文件二次过滤模块,用于对所述明文文件进行检测,并利用检测结果从所述明文文件中筛选出webshell文件;
动态调度测试模块,用于对所述密文文件、所述混淆文件和所述webshell文件进行动态调度测试,得到可执行的恶意文件;
文件拦截模块,用于对所述恶意文件进行拦截。
一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述webshell拦截检测方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述webshell拦截检测方法的步骤。
应用本发明实施例所提供的方法,Web应用防火墙从网络流量中,筛选出密文文件、混淆文件和明文文件;对明文文件进行检测,并利用检测结果从明文文件中筛选出webshell文件;对密文文件、混淆文件和webshell文件进行动态调度测试,得到可执行的恶意文件;对恶意文件进行拦截。
在本方法中,为了通过减少动态调度测量的文件量来提升webshell的检测效率,以避免对正常网页功能造成影响。具体的,考虑到恶意文件可能会被加密或混淆,因此在本方法中Web应用防火墙首先从网络流量中筛选出密文文件、混淆文件和明文文件,然后再从明文文件中筛选出webshell文件。再对筛选出的密文文件、混淆文件和webshell文件进行动态调度测试,便可得到可执行恶意文件并进行拦截。可见,进行动态调度测试的文件仅是网络流量中的可疑文件,且通过是否混淆,是否加密,是否为webshell文件,并加之是否可执行进行确定,还可降低误判概率。
相应地,本发明实施例还提供了与上述webshell拦截检测方法相对应的webshell拦截检测装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种webshell拦截检测方法的实施流程图;
图2为一种fasttext模型架构的示意图;
图3为本发明实施例中一种webshell拦截检测装置的结构示意图;
图4为本发明实施例中一种电子设备的结构示意图;
图5为本发明实施例中一种电子设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例中一种webshell拦截检测方法的流程图,该方法包括以下步骤:
S101、Web应用防火墙从网络流量中,筛选出密文文件、混淆文件和明文文件。
其中,Web应用防火墙可具体部署在需要进行安全保障的任意web服务器中。网络流量可具体为客户端与服务器之间的流量。
密文文件具体为被加密后的文件,混淆文件具体为采用混淆技术对文件内容进行混淆后的文件,明文文件具体为既没有加密也没有混淆的文件。
具体的,可预先设置密文文件、混淆文件和明文文件的判别标准(特征),然后针对网络流量中的各个文件进行特征提取,并与对应的判别标准(特征)进行比对,从而确定文件的具体类型。
在本发明的一种具体实施方式中,步骤S101从网络流量中,筛选出密文文件、混淆文件和明文文件,具体包括:利用训练好的加密混淆识别模型对网络流量进行检测,得到密文文件、混淆文件和webshell文件。即,在可预先训练出加密混淆识别模型,然后便可基于该加密混淆识别模型对网络流量进行检查,得到密文文件、混淆文件和明文文件。
其中,训练加密混淆识别模型的过程,包括:
步骤一、对具有标签的正常PHP文件、混淆PHP文件和加密PHP文件进行划分,得到训练集和测试集;
步骤二、将训练集输入至fasttext模型架构对模型进行训练;
步骤三、训练完成后,利用测试集测试模型,并利用测试结果调整模型参数,得到加密混淆识别模型。
为便于说明,下面将上述三个步骤结合起来进行说明。
其中,fasttext模型架构可具体参考图2,图2为一种fasttext模型架构的示意图。
可收集一批混淆PHP文件、加密PHP文件,一批正常的PHP文件,并添加对应的标签。然后,将具有标签的正常PHP文件、混淆文件和加密PHP文件均匀地分为训练集和测试集。
采用fasttext模型架构(下文件简称为fasttext)进行训练。具体的,在数据处理时,可过滤掉加密和非加密所有明显的共同特征,比如<、=、>等符号,以避免混淆模型字典。
训练时,采用fasttext的文本分类。即,fasttext使用一个分层分类器,即而非扁平式架构;不同类别被整合进树形结构中(如二叉树)。fasttext主要包括三个部分:模型架构、词内N-gram和层次化Softmax。将输入层中的词和词组组成特征向量,再将特征向量通过线性变换映射到hidden层,hidden层通过求解最大相似函数,然后根据每个类别的百分比权重和模型参数构建哈弗曼树,将哈弗曼树作为输出,即加密混淆识别模型。
在该模型的逻辑回归过程中,设置m个被标注的样本:{(x(1),y(1)),…,(x(m),y(m))},其中x(i)∈Rn。因为类标是二元的,所以有y(i)∈{0,1}。假设(hypothesis)有如下形式:
Figure BDA0002801791250000061
代价函数如下:
Figure BDA0002801791250000062
在Softmax回归中,类标是大于2的,因此在训练集{(x(1),y(1)),…,(x(m),y(m))}中,y(i)∈{0,1,3...,K}。给定一个测试输入x,假设应该输出一个K维的向量,向量内每个元素的值表示x属于当前类别的概率。具体地,假设hθ(x)形式如下:
Figure BDA0002801791250000063
代价函数如下:
Figure BDA0002801791250000064
其中1{·}是指示函数,即1{true}=1,1{false}=0
Softmax回归是逻辑回归的推广,在代价函数上可推导出二者的一致性:
Figure BDA0002801791250000071
可以看到,逻辑回归是softmax回归在K=2时的特例。
训练后,采用测试集对模型进行测试调优,最终得到加密混淆识别模型。
从网络流量中筛选出密文文件、混淆文件以及明文文件后,考虑到密文文件和混淆文件有加高的可能性为恶意文件,因此可直接将密文文件和混淆文件视为可疑文件。而对于明文文件还需进一步进行筛选甄别,以找出明文形式的webshell文件。
S102、对明文文件进行检测,并利用检测结果从明文文件中筛选出webshell文件。
从网络流量中筛选出明文文件之后,便可对明文文件进行检测,然后基于检测结果从明文文件中筛选出webshell文件。
具体的,可预先对webshell文件的特征进行归纳和总结,然后对应提取明文文件中是否有对应特征,进而确定各个明文文件是否为webshell文件。检测结果可以具体为特征提取情况,也可以为标明各个明文文件是否为webshell文件的结果信息。即,无论是特征提取情况,还是结果信息,均可基于该检测结果将webshell文件从明文文件中筛选出来。
在本发明的一种具体实施例方式中,步骤S102对明文文件进行检测,并利用检测结果从明文文件中筛选出webshell文件,具体包括:将明文文件输入至训练好的webshell识别模型进行检测,得到检测结果;利用检测结果,从明文文件中筛选出webshell文件。
也就是说,可预先训练出一个能够有效识别webshell的识别模型,然后将明文文件输入其中进行检测,便可得到检测结果。
其中,训练webshell识别模型的过程,包括:
步骤一、对具有标签的正常PHP文件和webshell文件进行划分,得到训练集和测试集;
步骤二、将训练集输入至fasttext模型架构对模型进行训练;
步骤三、训练完成后,利用测试集测试模型,并利用测试结果调整模型参数,得到webshell识别模型。
为便于描述,下面将上述训练步骤结合起来进行说明。
收集一批明文的正常PHP文件和webshell文件,并为正常文件和webshell标记标签。然后均匀地分配到训练集和测试集。训练过程可采用fasttext分类模型基于训练集对模型进行训练,再用测试集测试模型,并不断调整参数,如将模型准确率调到90%左右,得到webshell识别模型。训练webshell识别模型的过程可参见训练加密混淆识别模型的过程,在此不再一一赘述。
S103、对密文文件、混淆文件和webshell文件进行动态调度测试,得到可执行的恶意文件。
得到密文文件、混淆文件和webshell文件之后,便可对筛选出的这些可疑文件进行动态调度测试,最终得到可执行的恶意文件。
在本发明的一种具体实施方式中,步骤S103对密文文件、混淆文件和webshell文件进行动态调度测试,得到可执行的恶意文件,可具体包括:
步骤一、对密文文件、混淆文件和webshell文件进行动态调度测试,得到各个测试结果;
步骤二、利用测试结果,从密文文件、混淆文件和webshell文件中筛选出可执行文件;
步骤三、将可执行文件确定为恶意文件。
也就是说,动态调度测试,主要测试密文文件、混淆文件和webshell文件是否为可执行文件,如果是可执行文件,则将其确定为恶意文件。
具体的,对于动态调度测试如何确定文件是否可执行,可参照动态调度测试的相关定义和具体实现,在此不再一一赘述。
S104、对恶意文件进行拦截。
检测出恶意文件之后,便可直接对恶意文件进行拦截,以保障web服务器的安全。
在本发明的一种具体实施例方式,在执行步骤S101从网络流量中,筛选出密文文件、混淆文件和明文文件之前,还可以判断网络流量是否大于预设阈值;如果是,则执行从网络流量中,筛选出密文文件、混淆文件和明文文件的步骤;如果否,则对网络流量中的全部文件进行动态调度测试,得到恶意文件。也就是说,在网络流量小于预设阈值的情况下,对网络流量中的全部文件都进行动态调度测试,而在网络流量不小于预设阈值的情况下,则对网络流量中的文件进行层层筛选后,再对可疑的文件进行动态调度调试。如此,便可在网络流量小的情况下,进行高精度的webshell文件检测;在网络流量大的情况下,又可提高webshell文件的检测效率,避免对正常网页功能造成影响。
应用本发明实施例所提供的方法,Web应用防火墙从网络流量中,筛选出密文文件、混淆文件和明文文件;对明文文件进行检测,并利用检测结果从明文文件中筛选出webshell文件;对密文文件、混淆文件和webshell文件进行动态调度测试,得到可执行的恶意文件;对恶意文件进行拦截。
在本方法中,为了通过减少动态调度测量的文件量来提升webshell的检测效率,以避免对正常网页功能造成影响。具体的,考虑到恶意文件可能会被加密或混淆,因此在本方法中Web应用防火墙首先从网络流量中筛选出密文文件、混淆文件和明文文件,然后再从明文文件中筛选出webshell文件。再对筛选出的密文文件、混淆文件和webshell文件进行动态调度测试,便可得到可执行恶意文件并进行拦截。可见,进行动态调度测试的文件仅是网络流量中的可疑文件,且通过是否混淆,是否加密,是否为webshell文件,并加之是否可执行进行确定,还可降低误判概率。
相应于上面的方法实施例,本发明实施例还提供了一种应用于Web应用防火墙的webshell拦截检测装置,下文描述的webshell拦截检测装置与上文描述的webshell拦截检测方法可相互对应参照。
参见图3所示,该装置包括以下模块:
文件首次过滤模块101,用于从网络流量中,筛选出密文文件、混淆文件和明文文件;
文件二次过滤模块102,用于对明文文件进行检测,并利用检测结果从明文文件中筛选出webshell文件;
动态调度测试模块103,用于对密文文件、混淆文件和webshell文件进行动态调度测试,得到可执行的恶意文件;
文件拦截模块104,用于对恶意文件进行拦截。
应用本发明实施例所提供的装置,Web应用防火墙从网络流量中,筛选出密文文件、混淆文件和明文文件;对明文文件进行检测,并利用检测结果从明文文件中筛选出webshell文件;对密文文件、混淆文件和webshell文件进行动态调度测试,得到可执行的恶意文件;对恶意文件进行拦截。
在本装置中,为了通过减少动态调度测量的文件量来提升webshell的检测效率,以避免对正常网页功能造成影响。具体的,考虑到恶意文件可能会被加密或混淆,因此在本装置中Web应用防火墙首先从网络流量中筛选出密文文件、混淆文件和明文文件,然后再从明文文件中筛选出webshell文件。再对筛选出的密文文件、混淆文件和webshell文件进行动态调度测试,便可得到可执行恶意文件并进行拦截。可见,进行动态调度测试的文件仅是网络流量中的可疑文件,且通过是否混淆,是否加密,是否为webshell文件,并加之是否可执行进行确定,还可降低误判概率。
在本发明的一种具体实施方式中,文件首次过滤模块101,具体用于利用训练好的加密混淆识别模型对网络流量进行检测,得到密文文件、混淆文件和明文文件。
在本发明的一种具体实施方式中,训练模块,用于训练加密混淆识别模型,具体训练过程包括:对具有标签的正常PHP文件、混淆PHP文件和加密PHP文件进行划分,得到训练集和测试集;将训练集输入至fasttext模型架构对模型进行训练;训练完成后,利用测试集测试模型,并利用测试结果调整模型参数,得到加密混淆识别模型。
在本发明的一种具体实施方式中,文件二次过滤模块102,具体用于将明文文件输入至训练好的webshell识别模型进行检测,得到检测结果;利用检测结果,从明文文件中筛选出webshell文件。
在本发明的一种具体实施方式中,训练模块,用于训练webshell识别模型,具体训练过程,包括:对具有标签的正常PHP文件和webshell文件进行划分,得到训练集和测试集;将训练集输入至fasttext模型架构对模型进行训练;训练完成后,利用测试集测试模型,并利用测试结果调整模型参数,得到webshell识别模型。
在本发明的一种具体实施方式中,动态调度测试模块103,具体用于对密文文件、混淆文件和webshell文件进行动态调度测试,得到各个测试结果;利用测试结果,从密文文件、混淆文件和webshell文件中筛选出可执行文件;将可执行文件确定为恶意文件。
在本发明的一种具体实施方式中,还包括:
模式调整模块,用于在从网络流量中,筛选出密文文件、混淆文件和明文文件之前,判断网络流量是否大于预设阈值;如果是,则触发文件首次过滤模块101;如果否,则触发文件拦截模块104。
相应于上面的方法实施例,本发明实施例还提供了一种电子设备,下文描述的一种电子设备与上文描述的一种webshell拦截检测方法可相互对应参照。
参见图4所示,该电子设备包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的webshell拦截检测方法的步骤。
具体的,请参考图5,图5为本实施例提供的一种电子设备的具体结构示意图,该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中,存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储器332通信,在电子设备301上执行存储器332中的一系列指令操作。
电子设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。
上文所描述的webshell拦截检测方法中的步骤可以由电子设备的结构实现。
相应于上面的方法实施例,本发明实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种webshell拦截检测方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的webshell拦截检测方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。

Claims (6)

1.一种webshell拦截检测方法,其特征在于,包括:
Web应用防火墙从网络流量中,筛选出密文文件、混淆文件和明文文件;
在所述从网络流量中,筛选出密文文件、混淆文件和明文文件之前,还包括:
判断所述网络流量是否大于预设阈值;
如果是,则执行所述从网络流量中,筛选出密文文件、混淆文件和明文文件的步骤;
如果否,则对所述网络流量中的全部文件进行动态调度测试,得到恶意文件;
所述从网络流量中,筛选出密文文件、混淆文件和明文文件,包括:
利用训练好的加密混淆识别模型对所述网络流量进行检测,得到所述密文文件、所述混淆文件和所述明文文件;
训练所述加密混淆识别模型的过程,包括:
对具有标签的正常PHP文件、混淆PHP文件和加密PHP文件进行划分,得到训练集和测试集;
将所述训练集输入至fasttext模型架构对模型进行训练;
训练完成后,利用所述测试集测试所述模型,并利用测试结果调整模型参数,得到所述加密混淆识别模型;
对所述明文文件进行检测,并利用检测结果从所述明文文件中筛选出webshell文件;
对所述密文文件、所述混淆文件和所述webshell文件进行动态调度测试,得到可执行的恶意文件;
对所述恶意文件进行拦截。
2.根据权利要求1所述的webshell拦截检测方法,其特征在于,对所述明文文件进行检测,并利用检测结果从所述明文文件中筛选出webshell文件,包括:
将所述明文文件输入至训练好的webshell识别模型进行检测,得到所述检测结果;
利用所述检测结果,从所述明文文件中筛选出所述webshell文件。
3.根据权利要求2所述的webshell拦截检测方法,其特征在于,训练所述webshell识别模型的过程,包括:
对具有标签的正常PHP文件和webshell文件进行划分,得到训练集和测试集;
将所述训练集输入至fasttext模型架构对模型进行训练;
训练完成后,利用所述测试集测试所述模型,并利用测试结果调整模型参数,得到所述webshell识别模型。
4.根据权利要求1所述的webshell拦截检测方法,其特征在于,对所述密文文件、所述混淆文件和所述webshell文件进行动态调度测试,得到可执行的恶意文件,包括:
对所述密文文件、所述混淆文件和所述webshell文件进行动态调度测试,得到各个测试结果;
利用所述测试结果,从所述密文文件、所述混淆文件和所述webshell文件中筛选出可执行文件;
将所述可执行文件确定为所述恶意文件。
5.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述webshell拦截检测方法的步骤。
6.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述webshell拦截检测方法的步骤。
CN202011352702.8A 2020-11-26 2020-11-26 webshell拦截检测方法、装置、设备及可读存储介质 Active CN112367336B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011352702.8A CN112367336B (zh) 2020-11-26 2020-11-26 webshell拦截检测方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011352702.8A CN112367336B (zh) 2020-11-26 2020-11-26 webshell拦截检测方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN112367336A CN112367336A (zh) 2021-02-12
CN112367336B true CN112367336B (zh) 2022-09-02

Family

ID=74535360

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011352702.8A Active CN112367336B (zh) 2020-11-26 2020-11-26 webshell拦截检测方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN112367336B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113761522A (zh) * 2021-09-02 2021-12-07 恒安嘉新(北京)科技股份公司 一种webshell流量的检测方法、装置、设备和存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9049221B1 (en) * 2013-11-12 2015-06-02 Emc Corporation Detecting suspicious web traffic from an enterprise network
CN105809034A (zh) * 2016-03-07 2016-07-27 成都驭奔科技有限公司 一种恶意软件识别方法
CA3130844C (en) * 2016-12-22 2023-11-28 Nicira, Inc. Collecting and processing context attributes on a host
CN109753798A (zh) * 2018-12-11 2019-05-14 四川大学 一种基于随机森林与FastText的Webshell检测模型
CN109800574A (zh) * 2018-12-12 2019-05-24 中国人民公安大学 基于密码算法分析的计算机病毒检测方法及系统
CN109933977A (zh) * 2019-03-12 2019-06-25 北京神州绿盟信息安全科技股份有限公司 一种检测webshell数据的方法及装置

Also Published As

Publication number Publication date
CN112367336A (zh) 2021-02-12

Similar Documents

Publication Publication Date Title
Deshpande et al. HIDS: A host based intrusion detection system for cloud computing environment
US10904286B1 (en) Detection of phishing attacks using similarity analysis
Sabhadiya et al. Android malware detection using deep learning
US20100192222A1 (en) Malware detection using multiple classifiers
US11580222B2 (en) Automated malware analysis that automatically clusters sandbox reports of similar malware samples
EP3051767A1 (en) Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation
CN105335655A (zh) 一种基于敏感行为识别的安卓应用安全性分析方法
Huang et al. Deep android malware classification with API-based feature graph
US11797668B2 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
CN109145592A (zh) 检测异常事件的系统和方法
CN116015703A (zh) 模型训练方法、攻击检测方法及相关装置
CN112367336B (zh) webshell拦截检测方法、装置、设备及可读存储介质
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
Peng et al. Micro-architectural features for malware detection
Gantikow et al. Container anomaly detection using neural networks analyzing system calls
Kadiyala et al. LAMBDA: Lightweight assessment of malware for emBeddeD architectures
Shi et al. SFCGDroid: android malware detection based on sensitive function call graph
CN108509796B (zh) 一种风险性的检测方法及服务器
Gao et al. Quorum chain-based malware detection in android smart devices
US20220237289A1 (en) Automated malware classification with human-readable explanations
JP7140268B2 (ja) 警告装置、制御方法、及びプログラム
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
Ju et al. Detection of malicious code using the direct hashing and pruning and support vector machine
Gautam et al. Multivariate linear regression model for host based intrusion detection
Roopak et al. Android malware detection mechanism based on bayesian model averaging

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant