CN118174895A

CN118174895A - Webshell检测方法、装置、电子设备及存储介质

Info

Publication number: CN118174895A
Application number: CN202410185810.2A
Authority: CN
Inventors: 王钰翔; 杨明鑫; 刘小川; 李泽扬; 刘威
Original assignee: China Telecom Corp Ltd
Current assignee: China Telecom Corp Ltd
Priority date: 2024-02-19
Filing date: 2024-02-19
Publication date: 2024-06-11

Abstract

本申请实施例公开一种Webshell检测方法、装置、电子设备及存储介质，属于网络安全技术领域，该方法包括：获取待检测的第一业务系统的全流量数据，其中，所述全流量数据包括：进出所述第一业务系统的全部数据包；根据所述全流量数据，确定第一集合，其中，所述第一集合中包括：访客所访问的所述第一业务系统的各第一页面的统一资源定位系统URL、页面内容信息和特征信息，所述第一页面为无法向其他页面跳转的页面，所述特征信息包括：访客与所述第一页面的交互特征；基于所述第一集合，确定各个所述第一页面是否为Webshell页面。

Description

Webshell检测方法、装置、电子设备及存储介质

技术领域

本申请涉及网络安全技术领域，特别涉及一种Webshell检测方法、装置、电子设备及存储介质。

背景技术

Webshell是一种以动态服务器页面(Active Server Pages，ASP)、超文本预处理器(Hypertext Preprocessor，PHP)、Java服务器页面(Java Server Pages，JSP)或者公共网关接口(Common Gateway Interface，CGI)等网页文件形式存在的命令执行环境。攻击方在入侵了一个网站后，通常会将这些ASP或者PHP后门文件与网站服务器的web目录下正常的网页文件混在一起，然后使用浏览器来访问这些后门，得到一个命令执行环境，以达到控制网站服务器的目的。

相关技术中，主要是基于规则进行Webshell检测，但是，每当防守方新推出一套检测规则，攻击方就开始研究绕过该检测规则，然后防守方又开始根据绕过情况制定新的检测规则，使得防守方制定的检测规则始终落后于攻击方。可见，相关技术的Webshell检测方法容易被绕过，导致对Webshell攻击的防御能力较差。

发明内容

本申请实施例提供一种Webshell检测方法、装置、电子设备及存储介质，以提高对Webshell攻击的防御能力。

根据本申请的第一方面，公开了一种Webshell检测方法，所述方法包括：

获取待检测的第一业务系统的全流量数据，其中，所述全流量数据包括：进出所述第一业务系统的全部数据包；

根据所述全流量数据，确定第一集合，其中，所述第一集合中包括：访客所访问的所述第一业务系统的各第一页面的统一资源定位系统URL、页面内容信息和特征信息，所述第一页面为无法向其他页面跳转的页面，所述特征信息包括：访客与所述第一页面的交互特征；

基于所述第一集合，确定各个所述第一页面是否为Webshell页面。

可选地，作为一个实施例，所述基于所述第一集合，确定各个所述第一页面是否为Webshell页面，包括：

根据所述全流量数据，确定第二集合，其中，所述第二集合中包括：访客所访问的所述第一业务系统的各URL和各URL的被访问频次；

根据所述第二集合中各URL的被访问频次和第一规则，从所述第二集合中筛选可疑URL得到第三集合，其中，所述第三集合中包括：所述可疑URL，所述第一规则包括：被访问频次排在倒数第N位之后，或者被访问频次小于M，N和M均为大于1的整数；

根据所述第三集合中的可疑URL，从所述第一集合中筛选与所述可疑URL相同的URL所对应的信息得到第四集合，其中，所述第四集合中包括：所述相同的URL、所述相同的URL对应的第一页面的页面内容信息和特征信息；

分别将所述第四集合中的各个所述第一页面的URL、页面内容信息和特征信息输入基于机器学习的分类模型，通过所述分类模型对所述第一页面进行类别预测，得到各个所述第一页面的第一类别，其中，所述第一类别包括：可疑页面或者正常页面；

根据各个所述第一页面的第一类别，确定各个所述第一页面是否为Webshell页面。

可选地，作为一个实施例，所述根据各个所述第一页面的第一类别，确定各个所述第一页面是否为Webshell页面，包括：

在所述第一页面的第一类别为可疑页面的情况下，确定所述第一页面为Webshell页面。

在所述第一页面的第一类别为可疑页面的情况下，根据所述第一页面的URL的后缀信息，确定所述第一业务系统的第二类别，其中，所述第二类别包括传统网站或者现代网站；

在所述第二类别为传统网站的情况下，确定所述第一页面的URL是否为所述第一业务系统之前未出现过的URL类型，若是，则确定所述第一页面为Webshell页面；

在所述第二类别为现代网站的情况下，确定所述第一页面的路由特征是否存在于第一白名单中，若否，则确定所述第一页面为Webshell页面，其中，所述第一白名单中包括多个路由特征。

可选地，作为一个实施例，所述根据所述第一页面的URL的后缀信息，确定所述第一业务系统的第二类别之前，所述方法还包括：

将所述第一页面输出给安全管理员，由所述安全管理员判别所述第一页面是否为业务相关页面，若否，则根据所述第一页面的URL的后缀信息，确定所述第一业务系统的第二类别。

可选地，作为一个实施例，所述根据所述第二集合中各URL的被访问频次和第一规则，从所述第二集合中筛选可疑URL得到第三集合，包括：

根据所述第二集合中各URL的被访问频次，从所述第二集合中筛选符合第一规则的URL；

根据第二白名单，对符合第一规则的URL进行过滤得到第三集合，其中，所述第二白名单中包括多个URL。

可选地，作为一个实施例，所述分类模型是基于第二业务系统的历史页面的URL、页面内容信息、特征信息和类别信息对分类器进行模型训练得到的，所述第二业务系统包括：所述第一业务系统或者与所述第一业务系统的业务类型相似的系统。

可选地，作为一个实施例，所述基于所述第一集合，确定各个第一页面是否为Webshell页面，包括：

分别将所述第一集合中的各个所述第一页面的URL、页面内容信息和特征信息输入基于机器学习的分类模型，通过所述分类模型对所述第一页面进行类别预测，得到各个所述第一页面的第一类别；所述第一类别包括：可疑页面或者正常页面；

可选地，作为一个实施例，所述基于所述第一集合，确定各个所述第一页面是否为Webshell页面之后，所述方法还包括：

在确定所述第一页面为Webshell页面的情况下，输出告警信息，其中，所述告警信息包括：所述第一页面的URL和指示信息，所述指示信息用于指示所述第一页面为无法向其他页面跳转的页面。

根据本申请的第二方面，公开了一种Webshell检测装置，所述装置包括：

获取模块，用于获取待检测的第一业务系统的全流量数据，其中，所述全流量数据包括：进出所述第一业务系统的全部数据包；

第一确定模块，用于根据所述全流量数据，确定第一集合，其中，所述第一集合中包括：访客所访问的所述第一业务系统的各第一页面的统一资源定位系统URL、页面内容信息和特征信息，所述第一页面为无法向其他页面跳转的页面，所述特征信息包括：访客与所述第一页面的交互特征；

第二确定模块，用于基于所述第一集合，确定各个所述第一页面是否为Webshell页面。

可选地，作为一个实施例，所述第二确定模块包括：

第一确定子模块，用于根据所述全流量数据，确定第二集合，其中，所述第二集合中包括：访客所访问的所述第一业务系统的各URL和各URL的被访问频次；

第二确定子模块，用于根据所述第二集合中各URL的被访问频次和第一规则，从所述第二集合中筛选可疑URL得到第三集合，其中，所述第三集合中包括：所述可疑URL，所述第一规则包括：被访问频次排在倒数第N位之后，或者被访问频次小于M，N和M均为大于1的整数；

第三确定子模块，用于根据所述第三集合中的可疑URL，从所述第一集合中筛选与所述可疑URL相同的URL所对应的信息得到第四集合，其中，所述第四集合中包括：所述相同的URL、所述相同的URL对应的第一页面的页面内容信息和特征信息；

预测子模块，用于分别将所述第四集合中的各个所述第一页面的URL、页面内容信息和特征信息输入基于机器学习的分类模型，通过所述分类模型对所述第一页面进行类别预测，得到各个所述第一页面的第一类别，其中，所述第一类别包括：可疑页面或者正常页面；

第四确定子模块，用于根据各个所述第一页面的第一类别，确定各个所述第一页面是否为Webshell页面。

可选地，作为一个实施例，所述第四确定子模块包括：

第一确定单元，用于在所述第一页面的第一类别为可疑页面的情况下，确定所述第一页面为Webshell页面。

可选地，作为一个实施例，所述第四确定子模块包括：

第二确定单元，用于在所述第一页面的第一类别为可疑页面的情况下，根据所述第一页面的URL的后缀信息，确定所述第一业务系统的第二类别，其中，所述第二类别包括传统网站或者现代网站；

第三确定单元，用于在所述第二类别为传统网站的情况下，确定所述第一页面的URL是否为所述第一业务系统之前未出现过的URL类型，若是，则确定所述第一页面为Webshell页面；

第四确定单元，用于在所述第二类别为现代网站的情况下，确定所述第一页面的路由特征是否存在于第一白名单中，若否，则确定所述第一页面为Webshell页面，其中，所述第一白名单中包括多个路由特征。

可选地，作为一个实施例，所述装置还包括：

第一输出模块，用于将所述第一页面输出给安全管理员，由所述安全管理员判别所述第一页面是否为业务相关页面，若否，则根据所述第一页面的URL的后缀信息，确定所述第一业务系统的第二类别。

可选地，作为一个实施例，所述第二确定子模块包括：

第五确定单元，用于根据所述第二集合中各URL的被访问频次，从所述第二集合中筛选符合第一规则的URL；

第六确定单元，用于根据第二白名单，对符合第一规则的URL进行过滤得到第三集合，其中，所述第二白名单中包括多个URL。

可选地，作为一个实施例，所述第二确定模块包括：

第五确定子模块，用于分别将所述第一集合中的各个所述第一页面的URL、页面内容信息和特征信息输入基于机器学习的分类模型，通过所述分类模型对所述第一页面进行类别预测，得到各个所述第一页面的第一类别；所述第一类别包括：可疑页面或者正常页面；

第六确定子模块，用于根据各个所述第一页面的第一类别，确定各个所述第一页面是否为Webshell页面。

可选地，作为一个实施例，所述装置还包括：

第二输出模块，用于在确定所述第一页面为Webshell页面的情况下，输出告警信息，其中，所述告警信息包括：所述第一页面的URL和指示信息，所述指示信息用于指示所述第一页面为无法向其他页面跳转的页面。

根据本申请的第三方面，公开了一种电子设备，包括存储器、处理器及存储在存储器上的计算机程序，所述处理器执行所述计算机程序以实现如第一方面中的Webshell检测方法。

根据本申请的第四方面，公开了一种计算机可读存储介质，其上存储有计算机程序/指令，该计算机程序/指令被处理器执行时实现如第一方面中的Webshell检测方法。

根据本申请的第五方面，公开了一种计算机程序产品，包括计算机程序/指令，该计算机程序/指令被处理器执行时实现如第一方面中的Webshell检测方法。

本申请实施例中，获取待检测的第一业务系统的全流量数据，其中，全流量数据包括：进出第一业务系统的全部数据包；根据全流量数据，确定第一集合，其中，第一集合中包括：访客所访问的第一业务系统的各第一页面的URL、页面内容信息和特征信息，第一页面为无法向其他页面跳转的页面，特征信息包括：访客与第一页面的交互特征；基于第一集合，确定各个第一页面是否为Webshell页面。由于Webshell页面通常没有向其他页面的跳转，并且页面内容、访客的交互特征，与正常页面的页面内容和交互特征不同，因此基于页面的以上特性可以准确地确定出页面是否为Webshell页面，能够跳出Webshell检测对抗的循环，不容易被绕过，从而提高了对Webshell攻击的防御能力。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种Webshell检测方法的流程图；

图2是本申请实施例提供的Webshell检测方法的应用场景的示例图；

图3是本申请实施例提供的Webshell告警信息的示例图；

图4是本申请实施例提供的步骤103的一种实施方式的流程图；

图5是本申请实施例提供的一种Webshell检测方法的示例图；

图6是本申请实施例提供的一种Webshell检测装置的结构示意图；

图7是本申请实施例提供的一种电子设备的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面结合附图和具体实施方式对本申请作进一步的详细说明。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为了便于理解，下面首先对本申请实施例中涉及到的一些相关概念和应用场景进行介绍。

一、相关概念

统一资源标识符(Uniform Resource Identifier，URI)，是一个用于标识某一互联网资源名称的字符串，这种标识允许用户对任何(包括本地和互联网)的资源通过特定的协议进行交互操作。

统一资源定位系统(Uniform Resource Locator，URL)，是因特网的万维网服务程序上用于指定信息位置的表示方法，有时也被俗称为网页地址(网址)，简单来说它是互联网上标准资源的地址。

全流量，是指定时间段内通过网络传输的所有数据流量，不论其类型、来源、目的地或协议如何。全流量包括从所有设备(例如计算机、服务器、网络设备等)发出的数据、针对这些设备的数据，以及在网络内部传输的所有数据。分析全流量可以帮助识别潜在的安全威胁、性能问题或其他网络相关的情况。

URI孤岛(URI Island)，是指在一个网页中，用户点击了一个超链接后进入新页面，且在新页面上没有其他超链接可以跳转到其他网页，使得用户无法返回原页面或进入其他页面，形象地比喻成被困在一个孤立的“岛”上，也就是说，URI孤岛本质上是一个页面，从该页面无法跳转至其他页面。

Webshell，是一种通过Web服务器对远程服务器进行操作的恶意脚本程序，这些脚本通常被黑客上传到受攻击的服务器上，然后可以通过Web界面或者网络连接来执行系统命令、获取敏感信息、修改文件等操作。Webshell可以被用来获取未经授权的访问权限，窃取数据，传播恶意软件，以及对服务器实施其他攻击。

Getshell，指的是一般用于描述攻击者成功入侵并获取对目标系统控制权限的过程。在网络安全领域中，Getshell通常指的是攻击者成功利用漏洞、漏洞利用程序或其他技术手段，进而在受攻击的服务器或网站上部署恶意脚本或后门，从而获取对该系统的控制权限。获取了系统的控制权限后，攻击者可以进行各种恶意操作，如窃取敏感信息、传播恶意软件或者对系统进行破坏。

深度数据包检测(Data Packet Inspection，DPI)技术，是一种网络安全技术，用于检测和监视通过网络流量的内容。它可以深入分析数据包中的内容，以检测潜在的安全威胁、恶意软件和违规行为。DPI技术还可以用于网络管理和流量控制，以帮助组织监控和管理其网络的使用情况。

二、应用场景

随着网络攻防对抗激烈程度加剧，攻防双方在Webshell检测与反检测上的对抗技术上陷入了一种无休止的螺旋式的上升情况，每当防守方新推出一套规则，攻击方就开始研究绕过规则，然后防守方又开始根据绕过情况制定新的规则，使得防守方制定的检测规则始终落后于攻击方。可见，相关技术的Webshell检测方法容易被绕过，导致对Webshell攻击的防御能力较差。为了解决上述技术问题，本申请实施例提供了一种Webshell检测方法、装置、电子设备及存储介质。

接下来结合附图，对本申请实施例提供的一种Webshell检测方法进行介绍。

图1是本申请实施例提供的一种Webshell检测方法的流程图，如图1所示，该方法可以包括以下步骤：步骤101、步骤102和步骤103；

在步骤101中，获取待检测的第一业务系统的全流量数据，其中，全流量数据包括：进出第一业务系统的全部数据包。

本申请实施例中，第一业务系统可以为任意的业务系统，例如，运营商的话费办理系统、宽带办理系统等。

本申请实施例中，可以采用镜像或者分光等多种方式接入第一业务系统，以获取第一业务系统的全流量数据。

本申请实施例中，在采用镜像或者分光等方式接入第一业务系统时，可以结合深度数据包检测技术，将流量做双向汇聚后再进行接入，以避免数据包采集失败，进而导致后续无法识别出全部的第一页面。

在步骤102中，根据全流量数据，确定第一集合，其中，第一集合中包括：访客所访问的第一业务系统的各第一页面的URL、页面内容信息和特征信息，第一页面为无法向其他页面跳转的页面，特征信息包括：访客与第一页面的交互特征。

本申请实施例中，第一页面为URI孤岛。

本申请实施例中，页面内容信息可以包括：页面内容的具体内容、内容排版、内容类型等。

本申请实施例中，特征信息中的交互特征可以包括：访客IP地址、访问频次、访问时间等。

本申请实施例中，一方面考虑到第一业务系统中的正常页面是具有一定的业务功能的页面，因为业务关联性，正常页面之间通常有关联关系，例如几个正常页面之间可以相互跳转，而Webshell页面是攻击者植入的页面，其不具备业务功能，与正常页面之间没有关联关系，无法跳转至其他正常页面，基于Webshell页面的以上特性，可以根据第一业务系统的全流量数据，确定第一业务系统中无法向其他页面跳转的第一页面，缩小页面的筛选范围，从第一页面中筛选Webshell页面。另一方面考虑到Webshell页面的页面内容也通常与业务无关，Webshell页面与攻击者的交互特征例如频次、时间、访客IP地址等，跟其他正常访客与正常页面的交互特征也不同，因此可以基于各第一页面的URL、页面内容信息和特征信息，确定第一页面是否是Webshell页面。

本申请实施例中，可以采用页面链接检测的方式，对全流量数据中的各数据包进行检测处理，得到各个第一页面，在得到各个第一页面后，对第一页面的内容进行分析，获取各第一页面的URL、页面内容信息和特征信息。

在步骤103中，基于第一集合，确定各个第一页面是否为Webshell页面。

本申请实施例中，考虑到程序员在编写第一业务系统的代码时，可能会误遗留一些无法向其他页面跳转的页面，这部分页面通常不具备业务功能，但它也不属于Webshell页面，一方面，为了避免这类页面被误识别为Webshell页面，另一方面，为了降低识别的计算量，可以先将第一集合中的这类页面筛选出来，例如可以由安全管理人员设置一些筛选规则，通过设定的规则将这类页面筛选出来。之后再基于第一集合中剩余第一页面的URL、页面内容信息和特征信息，进行Webshell页面的识别。

在一些实施例中，可以通过特征匹配的方式，对第一页面的URL、页面内容信息和特征信息进行识别，以确定第一页面是否为Webshell页面。例如，第一页面的页面内容信息符合预先设置的风险内容规则，且特征信息符合预先设置的风险特征规则，此时确定第一页面是Webshell页面。

在一些实施例中，可以通过机器学习的方式，对第一页面的URL、页面内容信息和特征信息进行识别，以确定第一页面是否为Webshell页面。例如，将第一页面的URL、页面内容信息和特征信息，输入到预先训练的分类模型中，由该分类模型对第一页面进行类别预测，以预测第一页面是不是Webshell页面。

本申请实施例中，上述分类模型是基于第二业务系统的历史页面的URL、页面内容信息、特征信息和类别信息对分类器进行模型训练得到的，第二业务系统包括：第一业务系统或者与第一业务系统的业务类型相似的系统。

本申请实施例中，由于分类模型是基于第一业务系统的历史页面信息或者与第一业务系统类似的系统的历史页面信息训练得到的，因此使用分类模型能够准确地预测出Webshell页面。

在一些实施例中，在确定第一页面为Webshell页面的情况下，输出告警信息，其中，该告警信息可以包括：第一页面的URL和指示信息，指示信息用于指示第一页面为无法向其他页面跳转的页面。

示例性地，由于Webshell检测通常不是只针对一个业务系统的一个页面，而是针对多个业务系统的多个页面，因此对于检测出的属于Webshell页面的第一页面，可以将该第一页面的URL和指示信息转换为一个字符串，并对这个字符串应用json函数，生成json列表(实际应用中，也可以为其他数据类型的列表)，不同的第一页面的json列表通过消息队列进行传递，依次输出告警信息，例如，告警信息可以以PDF的方式输出。

本申请实施例中，告警信息中包含页面的URL，用以方便安全管理员定位Webshell攻击位置。

本申请实施例中，告警信息中包含指示信息，用以方便安全管理员了解Webshell攻击的类型，例如，指示信息为0时，代表第一页面无法向其他页面跳转，指示信息为1时，代表第一页面可以向其他页面跳转。

在一个例子中，如图2所示，第一业务系统部署在服务器10上，为了避免第一业务系统被攻击者攻击，采用全流量技术采集第一业务系统的全流量数据，并使用DPI设备11做双向流量汇聚，用户设备12借助于DPI设备11汇聚的全流量数据，对第一业务系统进行Webshell检测，对于检测出的Webshell页面，输出如图3所示的告警信息。

由上述实施例可见，该实施例中，获取待检测的第一业务系统的全流量数据，其中，全流量数据包括：进出第一业务系统的全部数据包；根据全流量数据，确定第一集合，其中，第一集合中包括：访客所访问的第一业务系统的各第一页面的URL、页面内容信息和特征信息，第一页面为无法向其他页面跳转的页面，特征信息包括：访客与第一页面的交互特征；基于第一集合，确定各个第一页面是否为Webshell页面。由于Webshell页面通常没有向其他页面的跳转，并且页面内容、访客的交互特征，与正常页面的页面内容、交互特征不同，因此基于页面的以上特性可以准确地确定出页面是否为Webshell页面，能够跳出Webshell检测对抗的循环，不容易被绕过，从而提高了对Webshell攻击的防御能力。

在本申请提供的另一些实施例中，为了降低从第一集合中筛选Webshell页面的计算量，如图4所示，上述步骤103可以包括以下步骤：步骤401、步骤402、步骤403、步骤404和步骤405；

在步骤401中，根据全流量数据，确定第二集合，其中，第二集合中包括：访客所访问的第一业务系统的各URL和各URL的被访问频次。

本申请实施例中，可以对全流量数据中的各数据包进行URL检测，对于检测出的所有URL，对所有URL的访问次数均进行统计，得到第二集合。

在步骤402中，根据第二集合中各URL的被访问频次和第一规则，从第二集合中筛选可疑URL得到第三集合，其中，第三集合中包括：可疑URL，第一规则包括：被访问频次排在倒数第N位之后，或者被访问频次小于M，N和M均为大于1的整数。

本申请实施例中，第三集合中的可疑URL，指的是可能存在风险的URL，即该URL很可能是Webshell的URL。

在一些实施例中，可以按照URL的访问频次，对第二集合中的所有URL进行降序排序，由于正常页面的访客流量比较大，被访问的频次通常也比较多，因此一个URL被访问的频次越高，其风险越低，属于Webshell的概率也越低，此时，将被访问频次排在倒数第N位之后的URL确定为可疑URL。

在一些实施例中，为了降低计算量，可以通过阈值的方式，从第二集合中的所有URL中筛选可疑URL，此时，将被访问频次小于阈值M的URL确定为可疑URL。

在一些实施例中，为了避免误识别，还可以设置白名单，通过白名单进行筛选，相应地，根据第二集合中各URL的被访问频次，从第二集合中筛选符合第一规则的URL；根据第二白名单，对符合第一规则的URL进行过滤得到第三集合，其中，第二白名单中包括多个URL。

本申请实施例中，第二白名单可以是用户预先设置的，也可以是随着检测的不断进行而动态生成的。

在步骤403中，根据第三集合中的可疑URL，从第一集合中筛选与可疑URL相同的URL所对应的信息得到第四集合，其中，第四集合中包括：上述两个集合中相同的URL、相同的URL对应的第一页面的页面内容信息和特征信息。

考虑到由于第一集合中数据量比较大，如果直接对第一集合进行识别，计算量可能比较大，本申请实施例中，可以通过第三集合中的URL，对第一集合进行二次筛选，只对筛选后的第四集合进行识别，以降低后续识别的计算量，由于第三集合中的URL是初步分析出的可能存在风险的URL，第一集合中的URL是无法跳转至其他页面的页面的URL，也存在风险，因此两者取交集即为风险更高的URL，交集的URL即为第四集合中的URL。

在步骤404中，分别将第四集合中的各个第一页面的URL、页面内容信息和特征信息输入基于机器学习的分类模型，通过分类模型对第一页面进行类别预测，得到各个第一页面的第一类别，其中，第一类别包括：可疑页面或者正常页面。

本申请实施例中，可疑页面指的是可能存在风险的页面，即该页面很可能是Webshell页面。

本申请实施例中，分类模型是基于第二业务系统的历史页面的URL、页面内容信息、特征信息和类别信息对分类器进行模型训练得到的，第二业务系统包括：第一业务系统或者与第一业务系统的业务类型相似的系统。

在步骤405中，根据各个第一页面的第一类别，确定各个第一页面是否为Webshell页面。

在一些实施例中，上述步骤405可以包括以下步骤：步骤4051；

在第一页面的第一类别为可疑页面的情况下，确定第一页面为Webshell页面。

在一些实施例中，为了确保识别结果的准确度，可以在分类模型的预测结果的基础上，进行更进一步地识别，相应地，上述步骤405可以包括以下步骤：步骤4052、步骤4053和步骤4054；

在步骤4052中，在第一页面的第一类别为可疑页面的情况下，根据第一页面的URL的后缀信息，确定第一业务系统的第二类别，其中，第二类别包括传统网站或者现代网站。

本申请实施例中，可以在第一页面的第一类别为可疑页面的情况下，直接根据第一页面的URL的后缀信息，确定第一业务系统的第二类别。

本申请实施例中，为了确保识别结果的准确度，也可以将第一页面输出给安全管理员，由安全管理员判别第一页面是否为业务相关页面，若否，则根据第一页面的URL的后缀信息，确定第一业务系统的第二类别。

在步骤4053中，在第二类别为传统网站的情况下，确定第一页面的URL是否为第一业务系统之前未出现过的URL类型，若是，则确定第一页面为Webshell页面。

在步骤4054中，在第二类别为现代网站的情况下，确定第一页面的路由特征是否存在于第一白名单中，若否，则确定第一页面为Webshell页面，其中，第一白名单中包括多个路由特征。

本申请实施例中，针对传统网站与现代网站，可以分为两种情况处理，传统网站重点检查URL后缀，若为从未出现过的脚本语言URL，如JSP、PHP、ASP、ASPX等，则判断为出现异常。如果为现代网站，由于Spring、Go系列的网址不再带有后缀，为路由模式进行业务逻辑处理，Getshell的手段会发生变化，攻击者通过各种手段注入内存马添加新的路由处理恶意逻辑，这时不能再依靠后缀名判断是否为Webshell，而是要结合URL访问列表，排除业务所用逻辑，同时添加白名单，排除业务逻辑需要的上传各类文件的URL，例如查看上传文件的逻辑为路由(route)/uploadfile/*，以正则方式过滤该路径下所有信息，来自动归并一个路径下的大量零散URL为该类业务，自动添加白名单防止过多的误报。

在本申请提供的另一些实施例中，为了确保每个第一页面都能被实际检测，也可以不借助于其他辅助集合或者白名单，而直接对第一集合进行识别，相应地，上述步骤103可以包括以下步骤：步骤1031；

在步骤1031中，分别将第一集合中的各个第一页面的URL、页面内容信息和特征信息输入基于机器学习的分类模型，通过分类模型对第一页面进行类别预测，得到各个第一页面的第一类别；第一类别包括：可疑页面或者正常页面；根据各个第一页面的第一类别，确定各个第一页面是否为Webshell页面。

本申请实施例中，步骤1031中的检测模型可以参考上述图1所示实施例中的检测模型，基于根据第一页面的第一类别确定各个第一页面是否为Webshell页面，可以参考图4所示实施例中的基于检测模型的预测结果确定各个第一页面是否为Webshell页面的方案，本申请实施例对此不再赘述。

在本申请提供的另一些实施例中，如图5所示，对第一业务系统进行Webshell检测的过程，可以包括以下步骤：步骤501、步骤502、步骤503、步骤504、步骤505、步骤506、步骤507、步骤508和步骤509；

在步骤501中，获取第一业务系统的全流量数据；

在步骤502中，根据全流量数据确定第一集合；

在步骤503中，根据全流量数据确定第二集合；

在步骤504中，根据第二集合、第一规则和白名单确定第三集合；

在步骤505中，根据第三集合和第一集合确定第四集合；

在步骤506中，将第四集合中的数据输入检测模型，得到类别预测结果；

在步骤507中，将类别预测结果提供给安全管理员进行人工判断；

在步骤508中，根据第一业务系统的网址类型，对人工判断为异常的页面进行再次判断，得到最终检测结果；

在步骤509中，对于最终检测结果中的Webshell页面，输出告警信息。

可见，本申请实施例中，提供了一种新的跳脱出攻防双方基于规则检测技术对抗的新型检测思路，该思路主要以机器学习为主，自主学习识别业务URL与非业务URL，通过URI孤岛分析，识别高疑似的Webshell路径，再通过人工进行检查核对，将全流量检测技术结合机器学习技术，通过人工加自主学习的方式，可以降低Webshell误报率。

相应于上面的方法实施例，本申请实施例还提供了一种Webshell检测装置，下文描述的Webshell检测装置与上文描述的Webshell检测方法可相互对应参照。

图6是本申请实施例提供的一种Webshell检测装置的结构示意图，如图6所示，所述Webshell检测装置600，可以包括：获取模块601、第一确定模块602和第二确定模块603；

获取模块601，用于获取待检测的第一业务系统的全流量数据，其中，所述全流量数据包括：进出所述第一业务系统的全部数据包；

第一确定模块602，用于根据所述全流量数据，确定第一集合，其中，所述第一集合中包括：访客所访问的所述第一业务系统的各第一页面的统一资源定位系统URL、页面内容信息和特征信息，所述第一页面为无法向其他页面跳转的页面，所述特征信息包括：访客与所述第一页面的交互特征；

第二确定模块603，用于基于所述第一集合，确定各个所述第一页面是否为Webshell页面。

由上述实施例可见，该实施例中，获取待检测的第一业务系统的全流量数据，其中，全流量数据包括：进出第一业务系统的全部数据包；根据全流量数据，确定第一集合，其中，第一集合中包括：访客所访问的第一业务系统的各第一页面的URL、页面内容信息和特征信息，第一页面为无法向其他页面跳转的页面，特征信息包括：访客与第一页面的交互特征；基于第一集合，确定各个第一页面是否为Webshell页面。由于Webshell页面通常没有向其他页面的跳转，并且页面内容、访客的交互特征，与正常页面的页面内容和交互特征不同，因此基于页面的以上特性可以准确地确定出页面是否为Webshell页面，能够跳出Webshell检测对抗的循环，不容易被绕过，从而提高了对Webshell攻击的防御能力。

可选地，作为一个实施例，所述第二确定模块603，可以包括：

可选地，作为一个实施例，所述第四确定子模块，可以包括：

可选地，作为一个实施例，所述Webshell检测装置600，还可以包括：

可选地，作为一个实施例，所述第二确定子模块，可以包括：

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

相应于上面的方法实施例，本申请实施例还提供了一种电子设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现上述Webshell检测方法的步骤。

如图7所示，为电子设备的组成结构示意图，电子设备可以包括：处理器710、存储器720、通信接口730和通信总线740。处理器710、存储器720、通信接口730均通过通信总线740完成相互间的通信。

在本申请实施例中，处理器710可以为中央处理器(Central Processing Unit，CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。处理器710可以调用存储器720中存储的程序，具体的，处理器710可以执行Webshell检测方法的实施例中的操作。存储器720中用于存放一个或者一个以上程序，程序可以包括程序代码，程序代码包括计算机操作指令，在本申请实施例中，存储器720中至少存储有用于实现以下功能的程序：

可见，本申请实施例中，由于Webshell页面通常没有向其他页面的跳转，并且页面内容、访客的交互特征，与正常页面的页面内容、交互特征不同，因此基于页面的以上特性可以准确地确定出页面是否为Webshell页面，能够跳出Webshell检测对抗的循环，不容易被绕过，从而提高了对Webshell攻击的防御能力。

在一种可能的实现方式中，存储器720可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统，以及至少一个功能所需的应用程序等；存储数据区可存储使用过程中所创建的数据。此外，存储器720可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件或其他易失性固态存储器件。通信接口730可以为通信模块的接口，用于与其他设备或者系统连接。当然，需要说明的是，图7所示的结构并不构成对本申请实施例中电子设备的限定，在实际应用中电子设备可以包括比图7所示的更多或更少的部件，或者组合某些部件。

相应于上面的方法实施例，本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述Webshell检测方法的步骤。

此外，需要说明的是：本申请实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或者计算机程序可以包括计算机指令，该计算机指令可以存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器可以执行该计算机指令，使得该计算机设备执行前文所对应实施例中Webshell检测方法的描述，因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本申请所涉及的计算机程序产品或者计算机程序实施例中未披露的技术细节，请参照本申请方法实施例的描述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

Claims

1.一种Webshell检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述基于所述第一集合，确定各个所述第一页面是否为Webshell页面，包括：

3.根据权利要求2所述的方法，其特征在于，所述根据各个所述第一页面的第一类别，确定各个所述第一页面是否为Webshell页面，包括：

4.根据权利要求2所述的方法，其特征在于，所述根据各个所述第一页面的第一类别，确定各个所述第一页面是否为Webshell页面，包括：

5.根据权利要求4所述的方法，其特征在于，所述根据所述第一页面的URL的后缀信息，确定所述第一业务系统的第二类别之前，所述方法还包括：

6.根据权利要求2所述的方法，其特征在于，所述根据所述第二集合中各URL的被访问频次和第一规则，从所述第二集合中筛选可疑URL得到第三集合，包括：

7.根据权利要求2所述的方法，其特征在于，所述分类模型是基于第二业务系统的历史页面的URL、页面内容信息、特征信息和类别信息对分类器进行模型训练得到的，所述第二业务系统包括：所述第一业务系统或者与所述第一业务系统的业务类型相似的系统。

8.根据权利要求1所述的方法，其特征在于，所述基于所述第一集合，确定各个第一页面是否为Webshell页面，包括：

9.根据权利要求1所述的方法，其特征在于，所述基于所述第一集合，确定各个所述第一页面是否为Webshell页面之后，所述方法还包括：

10.一种Webshell检测装置，其特征在于，所述装置包括：

11.一种电子设备，包括存储器、处理器及存储在存储器上的计算机程序，其特征在于，所述处理器执行所述计算机程序以实现权利要求1-9任一项所述的Webshell检测方法。

12.一种计算机可读存储介质，其上存储有计算机程序/指令，其特征在于，该计算机程序/指令被处理器执行时实现权利要求1-9任一项所述的Webshell检测方法。