CN116781284A - webshell检测方法、装置、设备和存储介质 - Google Patents

Abstract

本发明实施例提供一种webshell检测方法、装置、设备和存储介质，该方法包括：提取待检测的网络数据的特征信息；根据网络数据的特征信息，确定网络数据是否为异常webshell；若确定网络数据不是异常webshell，则利用检测模型确定网络数据是否为异常webshell；检测模型用于检测网络数据是否为异常webshell。本发明实施例的方法准确地实现了webshell的检测。

Description

webshell检测方法、装置、设备和存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种webshell检测方法、装置、设备和存储介质。

背景技术

网络后台管理脚本(webshell)是以网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。由于webshell的便利性和其强大的功能，被修改后的webshell也被当作网站后门工具使用，以达到控制网站服务器的目的，严重威胁到网络服务的正常运行。

相关技术中，当webshell被当作网站后门工具使用时，容易被识别成正常的代码程序而威胁到网络安全；因此，如何准确地进行webshell的检测，以提高网络服务的安全性，是本领域技术人员亟需解决的问题。

发明内容

针对现有技术中的问题，本发明实施例提供一种webshell检测方法、装置、设备和存储介质。

具体地，本发明实施例提供了以下技术方案：

第一方面，本发明实施例提供了一种webshell检测方法，包括：

提取待检测的网络数据的特征信息；

根据所述网络数据的特征信息，确定所述网络数据是否为异常webshell；

若确定所述网络数据不是异常webshell，则利用检测模型确定所述网络数据是否为异常webshell；所述检测模型用于检测所述网络数据是否为异常webshell。

进一步地，所述特征信息包括以下至少一项：恶意函数信息、通信状态、请求方式或统一资源定位符URL；所述根据所述网络数据的特征信息，确定所述网络数据是否为异常webshell，包括：

将所述网络数据的特征信息与异常webshell规则库中的特征进行匹配，获取匹配结果；

若所述匹配结果为匹配成功，则确定所述网络数据是异常webshell。

进一步地，所述提取待检测的网络数据的特征信息，包括：

生成所述网络数据所对应的语法树；

根据所述网络数据所对应的语法树，提取所述网络数据的语法特征；所述语法特征包括以下至少一项：自定义类型、函数调用信息；

所述根据所述网络数据的特征信息，确定所述网络数据是否为异常webshell，包括：

基于所述网络数据的语法特征和预设的语法特征库，确定所述网络数据是否为异常webshell。

进一步地，所述基于所述网络数据的语法特征和预设的语法特征库，确定所述网络数据是否为异常webshell，包括：

根据所述语法特征和所述语法特征库，确定所述语法特征的权重值；

若所述语法特征的权重值大于或等于预设阈值，则确定所述网络数据是异常webshell。

进一步地，所述利用检测模型确定所述网络数据是否为异常webshell之前，还包括：

将所述网络数据与历史攻击者的攻击信息进行匹配，获取匹配结果；

若所述匹配结果为匹配成功，则执行利用检测模型确定所述网络数据是否为异常webshell的步骤。

进一步地，所述利用检测模型确定所述网络数据是否为异常webshell，包括：

根据所述网络数据的特征信息，确定所述特征信息对应的词向量；

将所述特征信息对应的词向量输入所述检测模型，获取检测结果，所述检测结果用于表示所述网络数据是否为异常webshell。

进一步地，所述利用检测模型确定所述网络数据是否为异常webshell之前，还包括：

根据贝叶斯算法构建第一模型；

利用训练数据对所述第一模型进行训练，得到所述检测模型；所述训练数据包括：网络数据以及网络数据对应的词向量。

进一步地，若确定所述网络数据是异常webshell，则根据预设的语法特征库，确定所述网络数据中的异常函数；

根据所述网络数据中的异常函数，更新所述异常webshell规则库。

进一步地，所述提取待检测的网络数据的特征信息之前，还包括：

将所述待检测的网络数据输入训练得到的数据识别模型；所述数据识别模型用于过滤异常的网络数据。

进一步地，所述数据识别模型是通过以下步骤训练得到的：

根据随机森林算法构建第二模型；

利用训练数据对所述第二模型进行训练，得到所述数据识别模型；所述训练数据包括：多个网络数据以及各个所述网络数据是否为异常网络数据的标签。

进一步地，所述提取待检测的网络数据的特征信息之前，还包括：

确定所述网络数据中是否调用解码函数；

若是，则确定所述网络数据为经过编码的网络数据，则对所述网络数据进行解码。

第二方面，本发明实施例还提供了一种webshell检测装置，包括：

提取模块，用于提取待检测的网络数据的特征信息；

确定模块，用于根据所述网络数据的特征信息，确定所述网络数据是否为异常webshell；

检测模块，用于若确定所述网络数据不是异常webshell，利用检测模型确定所述网络数据是否为异常webshell；所述检测模型用于检测所述网络数据是否为异常webshell。

第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述webshell检测方法。

第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面所述webshell检测方法。

第五方面，本发明实施例还提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如第一方面所述webshell检测方法。

本发明实施例提供的webshell检测方法、装置、设备和存储介质，通过提取待检测的网络数据的特征信息，也就获得了网络数据的结构信息和用户行为信息，通过对网络数据特征信息的分析，就可以准确地确定网络数据是否为异常webshell；进一步地，对于新型及变形的webshell，若通过对网络数据特征信息的分析无法检测出来，还可以通过机器学习的方式，基于训练后的检测模型，对待检测的网络数据进行检测，从而完成webshell的智能自动化检测，获取网络数据的检测结果；根据检测结果，就可以准确地确定网络数据是否为异常webshell。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的webshell检测方法的流程示意图；

图2是本发明实施例提供的webshell检测方法的另一流程示意图；

图3是本发明实施例提供的webshell检测装置的结构示意图；

图4是本发明实施例提供的电子设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例的方法可以应用于网络安全场景中，实现webshell的准确检测。

相关技术中，网络后台管理脚本(webshell)是以网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。由于webshell的便利性和其强大的功能，被修改后的webshell也被当作网站后门工具使用，以达到控制网站服务器的目的，严重威胁到网络服务的正常运行。

当webshell被当作网站后门工具使用时，容易被识别成正常的代码程序而威胁到网络安全；因此，如何准确地进行webshell的检测，以提高网络服务的安全性，是本领域技术人员亟需解决的问题。

本发明实施例的webshell检测方法，通过提取待检测的网络数据的特征信息，也就获得了网络数据的结构信息和用户行为信息，通过对网络数据特征信息的分析，就可以准确地确定网络数据是否为异常webshell；进一步地，对于新型及变形的webshell，若通过对网络数据特征信息的分析无法检测出来，还可以通过机器学习的方式，基于训练后的检测模型，对待检测的网络数据进行检测，从而完成webshell的智能自动化检测，获取网络数据的检测结果；根据检测结果，就可以准确地确定网络数据是否为异常webshell。

下面结合图1-图4以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图1是本发明实施例提供的webshell检测方法一实施例的流程示意图。如图1所示，本实施例提供的方法，包括：

步骤101、提取待检测的网络数据的特征信息；

具体的，随着信息化的发展，互联网网站以及业务系统面临着被入侵的风险，攻击者为了达到长期控制服务器的目的，大多数都会利用漏洞植入webshell；其中，webshell是以网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。当webshell被当作网站后门工具使用时，容易被识别成正常的代码程序，严重威胁到网络服务的正常运行。因此需要对影响网络安全的webshell进行检测。

通过获取待检测的网络数据，并提取待检测的网络数据的特征信息，就可以根据网络数据的特征信息进一步判断其是否为异常webshell。可选地，待检测的网络数据可以是运营商关键网络节点抓取的普通互联网用户的超文本传输协议HTTP访问信息，网络数据的特征信息可以包括请求方式、统一资源定位符URL及函数等网络数据结构信息和用户行为信息，本实施例不做限定，即通过对获取到的用户的网络数据进行分析，提取出网络数据中能够表示网络数据结构和用户行为的特征信息，为webshell的进一步检测提供了详细和丰富的信息。

例如，待检测的网络数据中存在统一资源定位符URL信息，则可以将URL信息作为网络数据特征信息的一部分提取出来，以进行后续的检测。

步骤102、根据网络数据的特征信息，确定网络数据是否为异常webshell；

具体的，正常网络的通信行为和webshell的通信行为有一定的区别，如正常网络通信行为结构及格式固定，请求的次数多，URL基本固定等；而webshell的通信行为请求的URL次数总体偏少，响应的数据量大，结构及格式会发生改变，有的webshell会采取双向加密进行通信等。由于网络数据的特征信息中包括了网络数据结构信息和用户行为信息，因此通过对网络数据的特征信息的进一步分析和处理，就可以确定网络数据是否为异常webshell。

例如，网络数据的特征信息A中包括统一资源定位符URL的网站a,通过对网络数据的特征信息A的分析，发现网络数据可以对网站进行篡改，使得正常用户的网页浏览行为被篡改跳转到恶意的违法网站a，则确定网络数据A为异常webshell。

步骤103、若确定网络数据不是异常webshell，则利用检测模型确定网络数据是否为异常webshell；检测模型用于检测网络数据是否为异常webshell。

具体的，若根据网络数据的特征信息，确定网络数据不是异常webshell；则利用检测模型确定网络数据是否为异常webshell；检测模型用于检测网络数据是否为异常webshell；即对于新型及变形的webshell，可以通过机器学习的方式，即可以基于训练后的检测模型，对待检测的网络数据进行检测，从而完成异常webshell的智能自动化检测，获取网络数据的检测结果，检测结果用于表示网络数据是否为异常webshell；进一步地根据检测结果，就可以准确地确定网络数据是否为异常webshell。需要说明的是，为了实现异常webshell的检测，上述的检测模型可以是基于机器学习算法建立的模型，例如卷积神经网络模型、决策树模型等，本发明实施例对此并不限定。

上述实施例的方法，通过提取待检测的网络数据的特征信息，也就获得了网络数据的结构信息和用户行为信息，通过对网络数据特征信息的分析，就可以准确地确定网络数据是否为异常webshell；进一步地，对于新型及变形的webshell，若通过对网络数据特征信息的分析无法检测出来，还可以通过机器学习的方式，基于训练后的检测模型，对待检测的网络数据进行检测，从而完成webshell的智能自动化检测，获取网络数据的检测结果；根据检测结果，就可以准确地确定网络数据是否为异常webshell。

在一实施例中，特征信息包括以下至少一项：恶意函数信息、通信状态、请求方式或统一资源定位符URL；根据网络数据的特征信息，确定网络数据是否为异常webshell，包括：

将网络数据的特征信息与异常webshell规则库中的特征进行匹配，获取匹配结果；

若匹配结果为匹配成功，则确定网络数据是异常webshell。

具体的，由于由于正常网络的通信行为和webshell的通信行为有一定的区别，如正常网络通信行为结构及格式固定，请求的次数多，URL基本固定等；而webshell的通信行为请求的URL次数总体偏少，响应的数据量大，结构及格式会发生改变，有的webshell会采取双向加密进行通信等；而网络数据的特征信息中包括了网络数据结构信息和用户行为信息，因此通过对网络数据的特征信息的进一步分析和处理，就可以确定网络数据是否为异常webshell。可选地，可以通过将网络数据的特征信息与异常异常webshell规则库中的特征进行匹配，获取匹配结果；其中，异常webshell规则库中包括了大量实践积累形成的异常webshell的特征和规则，如恶意函数、通过过程产生的结果、通信状态、请求方式、URL等信息，通过采用自动机匹配模式，将网络数据的特征信息与异常webshell规则库中的特征进行快速匹配，命中异常webshell规则库中的一条或多条规则就认为匹配成功。可选地，如果匹配成功，则直接生成异常webshell的告警，以便于及时对检测出的异常的webshell进行处理。

例如，异常webshell规则库中包括异常函数A、异常函数B、异常函数C，若网络数据a的特征信息包括函数A、函数D、函数E，则将异常webshell规则库与网络数据进行匹配，可以确定出网络数据a中存在异常函数A，也就可以确定网络数据a为异常webshell。

上述实施例的方法，通过将网络数据的特征信息与异常webshell规则库中的特征进行匹配，获取匹配结果；其中，异常webshell规则库中包括了大量实践积累形成的异常webshell的特征和规则，即通过将网络数据的特征信息与异常webshell规则库中的特征进行匹配，就可以准确地确定出网络数据中是否存在异常特征；若网络数据中存在异常特征，则确定网络数据是异常webshell，也就准确地实现了异常webshell的检测。

在一实施例中，提取待检测的网络数据的特征信息，包括：

生成网络数据所对应的语法树；

根据网络数据所对应的语法树，提取网络数据的语法特征；语法特征包括以下至少一项：自定义类型、函数调用信息；

根据网络数据的特征信息，确定网络数据是否为异常webshell，包括：

基于网络数据的语法特征和预设的语法特征库，确定网络数据是否为异常webshell。

具体的，由于webshell编写有很大的可变性,因此后门工具会采用多种方式对代码进行混淆以达到逃逸检测的目的，因此,通过对webshell进行语法分析,可以实现从语法角度获取代码行为意图,对各类逃逸技术进行降维打击,从而准确地进行异常webshell的检测。可选地，可根据获取的待检测的网络数据，生成网络数据所对应的语法树，通过遍历语法树节点以提取网络数据的语法特征；其中，语法特征包括自定义类型、函数调用信息，即通过将待检测的网络数据抽象为语法树并遍历解析语法树的节点，获取网络数据中所对应的自定义类型、函数调用信息；进一步地，根据网络数据的语法特征和预设的语法特征库，确定网络数据是否为异常webshell，其中，预设的语法特征库的来源是通过分析大量正常通信行为提取出的数据，即通过将网络数据的语法特征和预设的语法特征库中大量正常特征信息进行匹配，就可以确定出网络数据中是否存在异常的特征信息，也就可以确定网络数据是否为异常webshell。

例如，根据网络数据所对应的语法树，确定网络数据中调用函数A、函数B和函数C，预设的语法特征库包括正常的函数B-Y，则通过将网络数据语法特征中的调用函数A、函数B和函数C的特征信息，和预设的语法特征库中大量正常特征信息函数B-Y进行匹配，可以确定出网络数据中存在异常的正常函数A的调用信息，就可以确定网络数据是否为异常webshell。

上述实施例的方法，通过生成网络数据对应的语法树，提取网络数据的语法特征，基于网络数据的语法特征和预设的语法特征库，确定网络数据是否为异常webshell；即实现了从语法角度获取代码行为意图,也就是可以从网络数据的本质内容上去分析网络数据是否为异常webshell，使得网络数据的分析、检测更加地深入和准确，实现了异常webshell的准确检测。

在一实施例中，基于网络数据的语法特征和预设的语法特征库，确定网络数据是否为异常webshell，包括：

根据语法特征和语法特征库，确定语法特征的权重值；

若语法特征的权重值大于或等于预设阈值，则确定网络数据是异常webshell。

具体的，根据语法特征和语法特征库，确定语法特征的权重值；若语法特征的权重值大于或等于预设阈值，则确定网络数据是异常webshell；即通过对网络数据所对应的语法树中解析出来的函数调用集合进行权值计算，确定网络数据是否为异常webshell；可选地，给定预设的语法特征库L，预设的语法特征库的来源是通过分析大量正常通信行为提取出的数据，例如，对于网络数据x_i的函数调用集为W_i，集合W_i中1到i位置的值在L中不存在时，权值加1，存在则略过，最后的计算总和除以集合W_i的大小，得到权重值，当权重值大于某个设定的阈值时，则判断该代码为webshell恶意代码；即通过抽象语法树的生成和遍历解析,可以得到该脚本文件内的函数调用集合，再对函数调用集合进行加权处理确定语法特征的权重值，就可以准确地确定出网络数据是否为异常webshell。

由于webshell可以对语言内置类和方法进行重新封装和重载,为了获取实际调用类和方法,在语法树遍历节点时对内部或外部引用的自定义类型和方法的调用进行递归追溯,最大程度上保证函数调用特征提取的完整性和一致性。由于webshell编写和逃逸技术应用不尽相同,安全函数调用和危险函数调用的次数和顺序与webshell实际行为没有必然联系,因此本发明在语法树遍历时,认为同一类方法的调用次数不影响该函数调用的权重；不同类方法的调用顺序与其实际语义无关，各类注释对分析webshell没有联系，此外,类名、变量名等应解析为对应的全限定名,以获取其明确唯一的类型表示。通过抽象语法树的生成和遍历解析,可以得到该脚本文件内的函数调用的无序不重复的函数调用集合，通过无序不重复的函数调用集合进行加权处理确定语法特征的权重值，使得计算出来的权重值能够更加准确的反映出用户行为特征和行为目的，避免信息重复叠加和无效信息的统计，使得检测结果更加地准确。

上述实施例的方法，根据语法特征和语法特征库，确定语法特征的权重值；若语法特征的权重值大于或等于预设阈值，则确定网络数据是异常webshell；即通过将网络数据所对应的语法树进行遍历解析，提取网络数据对应的语法特征，并根据预设的语法特征库确定出语法特征的权重值，其中权重值反映了异常语法特征在语法特征集合中的权重，利用确定出的语法特征的权重值可以更加有效地评价异常特征相对于语法特征集合的贡献大小和重要程度，进一步地，通过判断语法特征的权重值是否大于或等于预设阈值，就可以准确地检测网络数据是否为异常webshell。

在一实施例中，利用检测模型确定网络数据是否为异常webshell之前，还包括：

将网络数据与历史攻击者的攻击信息进行匹配，获取匹配结果；

若匹配结果为匹配成功，则执行利用检测模型确定网络数据是否为异常webshell的步骤。

具体的，由于网络安全的攻击者所使用的攻击服务器是存在一定的使用时间的，当攻击者利用攻击服务器进行过攻击之后，攻击者的信息将收录在威胁情报库中；因此，将网络数据与历史攻击者的攻击信息进行匹配，就可以确定网络数据中是否与历史攻击者相关联；可选地，历史攻击者的攻击信息包括以往攻击者的指纹信息，包括但不限于：攻击者的网际互连协议IP、请求方式、URL、主机host、攻击方式、攻击内容、响应状态、信息摘要算法MD5值等。

例如，历史攻击者的所对应的主机信息分别为主机A、主机B和主机C，当网络数据a中包括主机A的信息时，则可以将网络数据a作为可疑数据，输入至检测模型进一步确定是否为异常webshell。

上述实施例的方法，通过将网络数据与历史攻击者的攻击信息进行匹配，获取匹配结果；即通过检查网络数据中是否与历史攻击者相关联，来确定是否需要将其输入网络模型进一步检测；也就是通过检查网络数据中是否与历史攻击者相关联，就可以准确有效地筛选出可疑的网络数据，进一步地，对与攻击者相关联的可疑网络数据进行检测，可以有效降低检测样本的数量，使得检测的数据更加有针对性，也就能更快速准确地检测出异常webshell，提高了检测的效率和准确率。

在一实施例中，利用检测模型确定网络数据是否为异常webshell，包括：

根据网络数据的特征信息，确定特征信息对应的词向量；

将特征信息对应的词向量输入检测模型，获取检测结果，检测结果用于表示网络数据是否为异常webshell。

具体的，根据网络数据的特征信息，确定特征信息对应的词向量；将特征信息对应的词向量输入检测模型，获取检测结果，检测结果用于表示网络数据是否为异常webshell；即通过对网络数据进行词法与语法分析，通过建立抽象语法树，分析变量、函数、调用关系、引用方法、符号、注解等内容，将调用及被调用的过程、词频、关联函数、关联变量等信息作为该网络数据的表现方式，形成词向量表达式；即词向量包含了数据网络中系统的、完整的、详细的和全面的信息，通过确定特征信息对应的词向量，也就确定出了网络数据的所有内涵信息与外在信息，使得在此基础上的检测更加地准确。

可选地，利用检测模型确定网络数据是否为异常webshell之前，还包括：

根据贝叶斯算法构建第一模型；

利用训练数据对第一模型进行训练，得到检测模型；训练数据包括：网络数据以及网络数据对应的词向量。

具体的，根据贝叶斯算法构建第一模型；利用训练数据对第一模型进行训练，得到检测模型；训练数据包括：网络数据以及网络数据对应的词向量；其中，贝叶斯算法是以贝叶斯定理为基础并且假设特征条件之间相互独立的方法。贝叶斯算法使用非常广泛，有着坚实的数学基础，以及稳定的分类效率，具有较高的准确率。利用训练数据对第一模型进行训练，得到检测模型，即通过已给定的网络数据对应的词向量，以网络数据的特征词之间独立作为前提假设，学习从输入到输出的联合概率分布；再基于学习得到的检测模型，输入待检测网络数据的词向量，求出使得后验概率最大的输出，进行概率概率计算，就可以判断待检测的网络数据是否为异常webshell。

例如，网络数据的检测模型对应的训练样本数据集D＝{d₁,d₂,…,d_n}，网络数据检测模型的训练样本数据的特征信息集合为X＝{x₁,x₂,…,x_d}，网络数据检测结果类变量为Y＝{y₁,y₂,…,y_m}，即D可以分为y_m类别。其中网络数据检测模型的训练样本数据的特征信息x₁,x₂,…,x_d相互独立且随机，则网络数据为异常webshell的先验概率P1＝P(Y)，输入的待检测的网络数据为异常webshell的后验概率P2＝P(Y|X)，由朴素贝叶斯算法可得，输入的待检测的网络数据为异常webshell的后验概率P2可以由先验概率P1、网络数据特征信息P(X)、网络数据检测结果类条件概率P(X|Y)计算出：

基于网络数据检测模型的训练样本数据的特征信息相互独立且随机，在给定网络数据检测结果类变量为y的情况下，上式可以进一步表示为下式：

由以上两式可以计算出输入的待检测的网络数据为异常webshell的后验概率后验概率为：

由于网络数据特征信息P(X)的大小是固定不变的，因此在比较后验概率时，只比较上式的分子部分即可。因此可以得到一个样本数据属于类别y_i的朴素贝叶斯计算:

也就是通过机器学习的方式，基于根据贝叶斯算法构建第一模型；利用网络数据以及网络数据对应的词向量对第一模型进行训练以得到检测模型；进一步地，根据得到的检测模型就可以准确地进行异常webshell的检测，实现了webshell的智能自动化检测，提高了检测效率和准确性。

上述实施例的方法，根据贝叶斯算法构建第一模型；利用训练数据对第一模型进行训练，得到检测模型；训练数据包括：网络数据以及网络数据对应的词向量；即通过机器学习的方式，基于根据贝叶斯算法构建第一模型；利用网络数据以及网络数据对应的词向量对第一模型进行训练以得到检测模型，充分利用机器学习的特性，生成基于训练数据特有的运营商流量模型；进一步地，根据得到的检测模型就能够自学习webshell通信行为的恶意特征，高精度、实时判断通信行为是否为webshell，可以更好的应对新型和变种webshell攻击，实现了webshell的智能自动化检测，提高了异常webshell的检测效率和准确性。另外基于特征匹配、抽象语法树和机器学习组合的方式进行检测，不仅提高了检测的准确性，进一步降低了漏报率和误报率。

在一实施例中，若确定网络数据是异常webshell，则根据预设的语法特征库，确定网络数据中的异常函数；

根据网络数据中的异常函数，更新异常webshell规则库。

具体的，将待检测的网络数据输入检测模型完成异常webshell的检测后，若确定网络数据是异常webshell，就从网络数据中提取出异常函数；其中，提取网络数据中的异常函数，就是在网络数据中提取出在预设的语法特征库中不存在的函数名称，可选地，还可以将异常函数建立词向量表达式，动态更新到规则库中，实现了规则库的动态更新和学习；基于实时更新的规则库，也就使得检测的结果更加的准确和全面。

上述实施例的方法，在检测模型完成异常webshell的检测后，若确定网络数据是异常webshell，就从网络数据中提取出在预设的语法特征库中不存在的函数，并建立对应的词向量表达式并更新至规则库中，实现了规则库的动态更新和学习；基于实时更新的规则库，可以更好的应对新型和变种webshell攻击，也就使得检测的结果更加的准确和全面。

在一实施例中，提取待检测的网络数据的特征信息之前，还包括：

将待检测的网络数据输入训练得到的数据识别模型；数据识别模型用于过滤异常的网络数据。

具体的，提取待检测的网络数据的特征信息之前，将待检测的网络数据输入训练得到的数据识别模型；数据识别模型用于过滤异常的网络数据；即通过将待检测的网络数据输入训练得到的数据识别模型，就可以过滤掉异常的网络数据，使得待检测的网络数据样本降低，提高了检测的针对性，提高了检测的效率。

可选地，数据识别模型是通过以下步骤训练得到的：

根据随机森林算法构建第二模型；

利用训练数据对第二模型进行训练，得到数据识别模型；训练数据包括：多个网络数据以及各个网络数据是否为异常网络数据的标签。

具体的，根据随机森林算法构建第二模型；利用训练数据对第二模型进行训练，得到数据识别模型；其中，随机森林算法是通过集成学习的思想将多棵树集成的一种算法，它的基本单元是决策树，而它的本质属于机器学习的一大分支集成学习方法。随机森林属于分类器的一种实现方式，在生成过程中，能够获取到内部生成误差的一种无偏估计，可以处理具有高维特征的输入样本，而且不需要降维，对于缺省值问题也能够获得很好得结果，具有优异的抗噪能力。数据识别模型的训练数据可以是来自于运营商关键网络节点抓取的普通互联网用户的HTTP访问信息，网络数据中包括是否为异常网络数据的标签，进而利用随机森林算法，训练生成一个二分类器，用来过滤异常的网络数据，即通过数据识别模型实现了异常网络数据的过滤，只保留真正需要检测的网络数据。

上述实施例的方法，通过将待检测的网络数据输入训练得到的数据识别模型，实现了异常网络数据的过滤，只保留需要检测的网络数据，使得待检测的网络数据样本降低，提高了检测的针对性，提高了检测的效率。

在一实施例中，提取待检测的网络数据的特征信息之前，还包括：

确定网络数据中是否调用解码函数；

若是，则确定网络数据为经过编码的网络数据，则对网络数据进行解码。

具体的，相关技术中，后门工具利用包装后的命令进行webshell传输，以达到绕过安全设备检测的目的。如利用URL编码或者编码函数对webshell的通信行为进行编码，以达到绕过安全设备的检测。如将“@”利用URL编码为％40，“*”编码为％2A等。利用基于64个可打印字符来表示二进制数据BASE64编码、十六进制、美国信息交换标准代码ASCII将一些敏感函数编码，代码在运行时会调用对应的函数，对编码的数据进行解码之后再运行，这给安全检测与防护设备带来了很大的挑战。本发明实施例通过判断webshell通信数据中是否调用解码函数来识别出webshell通信的包装命令，将识别的已编码内容调用对应的函数进行解码并输出明文数据，传送到webshell识别模块进行匹配，如对URL编码、BASE64编码、十六进制编码、ASCII编码等内容解码，解码完成后再进行数据的检测。

上述实施例的方法，通过确定网络数据中是否调用解码函数，准确地确定网络数据是否为经过编码的网络数据，并调用对应的解码函数进行解码并输出明文数据，也就是通过对经过编码的网络数据进行识别和解码，使得可以全面完整的对网络数据进行检测，提高了检测的全面性和准确性。

示例性一，如图2所示，提供了webshell检测方法一实施例的流程示意图。具体如下：

将待检测的网络数据输入训练得到的数据识别模型；数据识别模型用于过滤异常的网络数据；

完成网络数据的过滤后，确定网络数据是否为经过编码的网络数据，对编码过的网络数据进行解码；

完成网络数据的解码后，将网络数据与预设异常webshell规则库中的特征进行匹配，获取匹配结果；若匹配成功，则直接产生告警；

若匹配失败，则继续基于网络数据的语法特征和预设的语法特征库，确定网络数据是否为异常webshell；

若判断不是异常webshell，则继续将网络数据与历史攻击者的攻击信息进行匹配，获取匹配结果；

若匹配结果为匹配成功，根据检测模型确定网络数据是异常webshell；若检测是异常webshell，则根据预设的语法特征库，确定网络数据中的异常函数；根据网络数据中的异常函数，更新异常webshell规则库。

示例性二，检测webshell示例如下，输入待检测的网络数据为：

my？Z＝％40eval％2F％2A％2A％2F％01％28％24％5FPOST％5Bz9％5D％2F％2A％2A％2F％01％28％24％5FPOST％5Bz0％5D％29％29％3B&z0＝NTAwNTU2O0Bpbmlfc2V0KCJkaXNwbGF5X2Vycm9ycyIsIjAiKTtAc2V0X3RpbWVfbGltaXQoMCk7QHNldF9tYWdpY19xdW90ZXNfcnVudGltZSgwKTtlY2hvKCJAKmx4bCpAIik7O2VjaG8oIkxYTCIpO2VjaG8oIipAbHhsQCoiKTtkaWUoKTs％3D&z9＝BaSE64％5FdEcOdE；

该网络数据中包含％40eval、％24％5FPOST等函数，％2F％2A％2A％2F表明该websehll进行了URL编码，z0参数后面的数值表明了又对部分内容进行了BASE64编码，解码如下：

my？Z＝@eval/**/($_POST[z9]/**/($_POST[z0]))；&z0＝500556；@ini_set("display_errors","0")；@set_time_limit(0)；@set_magic_quotes_runtime(0)；echo("@*lxl*@")；；echo("LXL")；echo("*@lxl@*")；die()；&z9＝BaSE64_dEcOdE；

将解码之后的网络数据与异常webshell规则库中的特征进行匹配，该网络数据中包含了@eval、$_POST、@ini_set、@set_time_limit等特征信息，经过匹配该网络数据是异常webshell。

示例性3，如下所示，输入的待检测数据如下：

<？php

$a＝"as"."sert"；

$a($_POST[‘abc’])；

？>

网络数据经过数据识别模型过滤，解码，与异常webshell规则库中的特征进行匹配后，并未能识别出该网络数据是异常webshell。通过将assert函数进行变形，利用php的特性，采取字符串拼接的方式进行函数的调用，可能成功绕过一些安全设备。但是该攻击IP曾经发起过攻击行为，已将信息收录在历史攻击者信息中，将该网络数据输入到检测模型中。具体的，将传入的网络数据建立抽象语法树，其网络数据语法树的左子节点表示一个名为$k的变量，网络数据语法树的右子节点表示一个字符串拼接运算，网络数据的第二条语句是函数调用语句，网络数据语法树的该节点的两个子节点分别表示调用的函数名以及参数列表。利用网络数据语的抽象语法树可以提取待检测网络数据中的语法特征和函数关键字。提取的网络数据的词向量表达式为(assert,$_POST)，需要分别计算网络数据的词语包含正常代码语料库中的概率和不包含在正常代码语料库中的概率，再利用朴素贝叶斯公式，得出其总体概率值，就可以确定出输入的网络数据是否为异常webshell。

可选地，基于特征匹配、抽象语法树和机器学习组合的方式进行检测，可以通过实时分析网络数据的方式对异常webshell进行长期有效的检测，通过软部署或者软硬一体的方式，将流量镜像到检测设备进行webshell分析，处理速度更快，效率更高，有效弥补了对新型及变种webshell检测的不足，支持实时大批量分析流量数据，实现了对webshell的长期有效的检测机制采用多线程并发分析机制，并且支持分布式部署，对网络数据进行全方位的检测分析，并将告警数据推送到态势感知、日志系统等第三方平台，实现异常webshell的及时准确的检测。

下面对本发明提供的webshell检测装置进行描述，下文描述的webshell检测装置与上文描述的webshell检测方法可相互对应参照。

图3是本发明提供的webshell检测装置的结构示意图。本实施例提供的webshell检测装置，包括：

提取模块710，用于提取待检测的网络数据的特征信息；

确定模块720，用于根据网络数据的特征信息，确定网络数据是否为异常webshell；

检测模块730，用于若确定网络数据不是异常webshell，利用检测模型确定网络数据是否为异常webshell；检测模型用于检测网络数据是否为异常webshell。

可选地，特征信息包括以下至少一项：恶意函数信息、通信状态、请求方式或统一资源定位符URL；

可选地，所述确定模块720，具体用于：将网络数据的特征信息与异常webshell规则库中的特征进行匹配，获取匹配结果；

若匹配结果为匹配成功，则确定网络数据是异常webshell。

可选地，所述提取模块710，具体用于：生成网络数据所对应的语法树；根据网络数据所对应的语法树，提取网络数据的语法特征；语法特征包括以下至少一项：自定义类型、函数调用信息；

可选地，所述确定模块720，具体用于：基于网络数据的语法特征和预设的语法特征库，确定网络数据是否为异常webshell。

可选地，所述确定模块720，具体用于：根据语法特征和语法特征库，确定语法特征的权重值；

若语法特征的权重值大于或等于预设阈值，则确定网络数据是异常webshell。

可选地，所述检测模块730，还用于：将网络数据与历史攻击者的攻击信息进行匹配，获取匹配结果；

若匹配结果为匹配成功，则执行利用检测模型确定网络数据是否为异常webshell的步骤。

可选地，所述检测模块730，具体用于：根据网络数据的特征信息，确定特征信息对应的词向量；

将特征信息对应的词向量输入检测模型，获取检测结果，检测结果用于表示网络数据是否为异常webshell。

可选地，所述检测模块730，还用于：根据贝叶斯算法构建第一模型；

利用训练数据对第一模型进行训练，得到检测模型；训练数据包括：网络数据以及网络数据对应的词向量。

可选地，装置还包括更新模块，具体用于：若确定网络数据是异常webshell，则根据预设的语法特征库，确定网络数据中的异常函数；

根据网络数据中的异常函数，更新异常webshell规则库。

可选地，装置还包括识别模块，具体用于：将待检测的网络数据输入训练得到的数据识别模型；数据识别模型用于过滤异常的网络数据。

可选地，所述检测模块730，具体用于：根据随机森林算法构建第二模型；

利用训练数据对第二模型进行训练，得到数据识别模型；训练数据包括：多个网络数据以及各个网络数据是否为异常网络数据的标签。

可选地，装置还包括解码模块，具体用于：确定网络数据中是否调用解码函数；

若是，则确定网络数据为经过编码的网络数据，则对网络数据进行解码。

本发明实施例的装置，其用于执行前述任一方法实施例中的方法，其实现原理和技术效果类似，此次不再赘述。

图4示例了一种电子设备的实体结构示意图，该电子设备可以包括：处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令，以执行webshell检测方法，该方法包括：提取待检测的网络数据的特征信息；根据网络数据的特征信息，确定网络数据是否为异常webshell；若确定网络数据不是异常webshell，则利用检测模型确定网络数据是否为异常webshell；检测模型用于检测网络数据是否为异常webshell。

此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的webshell检测方法，该方法包括：提取待检测的网络数据的特征信息；根据网络数据的特征信息，确定网络数据是否为异常webshell；若确定网络数据不是异常webshell，则利用检测模型确定网络数据是否为异常webshell；检测模型用于检测网络数据是否为异常webshell。

又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的webshell检测方法，该方法包括：提取待检测的网络数据的特征信息；根据网络数据的特征信息，确定网络数据是否为异常webshell；若确定网络数据不是异常webshell，则利用检测模型确定网络数据是否为异常webshell；检测模型用于检测网络数据是否为异常webshell。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (15)

1.一种网络后台管理脚本webshell检测方法，其特征在于，包括：

提取待检测的网络数据的特征信息；

根据所述网络数据的特征信息，确定所述网络数据是否为异常webshell；

若确定所述网络数据不是异常webshell，则利用检测模型确定所述网络数据是否为异常webshell；所述检测模型用于检测所述网络数据是否为异常webshell。

2.根据权利要求1所述的webshell检测方法，其特征在于，所述特征信息包括以下至少一项：恶意函数信息、通信状态、请求方式或统一资源定位符URL；所述根据所述网络数据的特征信息，确定所述网络数据是否为异常webshell，包括：

将所述网络数据的特征信息与异常webshell规则库中的特征进行匹配，获取匹配结果；

若所述匹配结果为匹配成功，则确定所述网络数据是异常webshell。

3.根据权利要求1或2所述的webshell检测方法，其特征在于，所述提取待检测的网络数据的特征信息，包括：

生成所述网络数据所对应的语法树；

根据所述网络数据所对应的语法树，提取所述网络数据的语法特征；所述语法特征包括以下至少一项：自定义类型、函数调用信息；

所述根据所述网络数据的特征信息，确定所述网络数据是否为异常webshell，包括：

基于所述网络数据的语法特征和预设的语法特征库，确定所述网络数据是否为异常webshell。

4.根据权利要求3所述的webshell检测方法，其特征在于，所述基于所述网络数据的语法特征和预设的语法特征库，确定所述网络数据是否为异常webshell，包括：

根据所述语法特征和所述语法特征库，确定所述语法特征的权重值；

若所述语法特征的权重值大于或等于预设阈值，则确定所述网络数据是异常webshell。

5.根据权利要求1或2所述的webshell检测方法，其特征在于，所述利用检测模型确定所述网络数据是否为异常webshell之前，还包括：

将所述网络数据与历史攻击者的攻击信息进行匹配，获取匹配结果；

若所述匹配结果为匹配成功，则执行利用检测模型确定所述网络数据是否为异常webshell的步骤。

6.根据权利要求1或2所述的webshell检测方法，其特征在于，所述利用检测模型确定所述网络数据是否为异常webshell，包括：

根据所述网络数据的特征信息，确定所述特征信息对应的词向量；

将所述特征信息对应的词向量输入所述检测模型，获取检测结果，所述检测结果用于表示所述网络数据是否为异常webshell。

7.根据权利要求1或2所述的webshell检测方法，其特征在于，所述利用检测模型确定所述网络数据是否为异常webshell之前，还包括：

根据贝叶斯算法构建第一模型；

利用训练数据对所述第一模型进行训练，得到所述检测模型；所述训练数据包括：网络数据以及网络数据对应的词向量。

8.根据权利要求1或2所述的webshell检测方法，其特征在于，所述方法还包括：

若确定所述网络数据是异常webshell，则根据预设的语法特征库，确定所述网络数据中的异常函数；

根据所述网络数据中的异常函数，更新所述异常webshell规则库。

9.根据权利要求1或2所述的webshell检测方法，其特征在于，所述提取待检测的网络数据的特征信息之前，还包括：

将所述待检测的网络数据输入训练得到的数据识别模型；所述数据识别模型用于过滤异常的网络数据。

10.根据权利要求9所述的webshell检测方法，其特征在于，所述数据识别模型是通过以下步骤训练得到的：

根据随机森林算法构建第二模型；

利用训练数据对所述第二模型进行训练，得到所述数据识别模型；所述训练数据包括：多个网络数据以及各个所述网络数据是否为异常网络数据的标签。

11.根据权利要求1或2所述的webshell检测方法，其特征在于，所述提取待检测的网络数据的特征信息之前，还包括：

确定所述网络数据中是否调用解码函数；

若是，则确定所述网络数据为经过编码的网络数据，则对所述网络数据进行解码。

12.一种webshell检测装置，其特征在于，包括：

提取模块，用于提取待检测的网络数据的特征信息；

确定模块，用于根据所述网络数据的特征信息，确定所述网络数据是否为异常webshell；

检测模块，用于若确定所述网络数据不是异常webshell，利用检测模型确定所述网络数据是否为异常webshell；所述检测模型用于检测所述网络数据是否为异常webshell。

13.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至11任一项所述的webshell检测方法。

14.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至11任一项所述的webshell检测方法。

15.一种计算机程序产品，其上存储有可执行指令，其特征在于，该指令被处理器执行时使处理器实现如权利要求1至11中任一项所述的webshell检测方法。