一種webshell檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域����,特別涉及一種webshell檢測方法及裝置���。
【背景技術(shù)】
[0002]Webshell是一種在web服務(wù)器中以網(wǎng)頁腳本文件形式存在的木馬文件�,入侵者可通過瀏覽器直接訪問webshel I以得到命令執(zhí)行環(huán)境���,進(jìn)而通過該webshel I在被入侵的web服務(wù)器中上傳或下載文件�����、修改文件內(nèi)容����、查看數(shù)據(jù)庫���、執(zhí)行任意程序命令等��。
[0003]Webshel I在web入侵中充當(dāng)著腳本攻擊工具的作用�����,入侵者可以通過webshel I達(dá)到控制網(wǎng)站或web服務(wù)器的目的�����;由于webshell與被控制的web服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過HTTP協(xié)議默認(rèn)端口傳遞的���,因此,webshell會被認(rèn)為是正常的網(wǎng)站訪問��,不會被防火墻攔截��,同時����,由于webshell與web服務(wù)器網(wǎng)站目錄下正常的網(wǎng)頁腳本文件混在一起,具有極強(qiáng)的隱蔽性��,不易被發(fā)現(xiàn)�。
【發(fā)明內(nèi)容】
[0004]有鑒于此,本發(fā)明提供了一種webshell檢測方法及裝置����,可檢測出web服務(wù)器中的 webshellο
[0005]第一方面��,本發(fā)明提供了一種webshell檢測方法����,包括:
[0006]SO:根據(jù)webshell樣本庫確定待檢測的兩個以上的目標(biāo)異常信息����、確定每一個目標(biāo)異常信息對應(yīng)的第一權(quán)重值、以及確定標(biāo)準(zhǔn)值��,還包括:
[0007]S1:獲取web服務(wù)器網(wǎng)站目錄下的全部腳本文件�����;
[0008]S2:檢測每一個腳本文件中所包括的目標(biāo)異常信息����;
[0009]S3:根據(jù)每一個所述腳本文件包括的每一個目標(biāo)異常信息和所述每一個目標(biāo)異常信息對應(yīng)的第一權(quán)重值計算每一個所述腳本文件對應(yīng)的第三權(quán)重值;
[0010]S4:判斷每一個所述腳本文件的第三權(quán)重值是否大于或等于所述標(biāo)準(zhǔn)值�����,如果是,則確定大于或等于所述標(biāo)準(zhǔn)值的第三權(quán)重值對應(yīng)的腳本文件包括webshel I��。
[0011]進(jìn)一步的�,所述步驟S4之后還包括:
[0012]設(shè)置隔離區(qū);
[0013]當(dāng)確定大于或等于所述標(biāo)準(zhǔn)值的第三權(quán)重值對應(yīng)的腳本文件包括webshell時�,將所述webshell轉(zhuǎn)移至所述隔離區(qū)。
[0014]進(jìn)一步的����,在將所述webshell轉(zhuǎn)移至隔離區(qū)之后����,還包括:
[0015]檢測所述webshell對應(yīng)的網(wǎng)站是否報錯,如果是���,則根據(jù)報錯信息從所述隔離區(qū)恢復(fù)對應(yīng)的webshell���。
[0016]進(jìn)一步的,所述確定待檢測的兩個以上的目標(biāo)異常信息包括:將以下異常信息中的至少兩種確定為待檢測的兩個以上的目標(biāo)異常信息:
[0017]文件提供上傳或下載功能��、通過文件獲取信息系統(tǒng)信息��、文件具有修改其它文件的功能���、通過文件執(zhí)行shell��、cmd等命令控制信息系統(tǒng)�、通過文件對信息系統(tǒng)進(jìn)行查詢或修改、文件大于10k或文件小于10k�。
[0018]進(jìn)一步的,
[0019]所述確定每一個目標(biāo)異常信息對應(yīng)的第一權(quán)重值��,包括:統(tǒng)計每一個目標(biāo)異常信息在所述webshell樣本庫中出現(xiàn)的次數(shù)和所述webshell樣本庫中出現(xiàn)所述兩個以上的目標(biāo)異常信息的總次數(shù)�����,針對每一個目標(biāo)異常信息����,將當(dāng)前的目標(biāo)異常信息在所述webshe 11樣本庫中出現(xiàn)的次數(shù)與所述webshell樣本庫中出現(xiàn)所述兩個以上的目標(biāo)異常信息的總次數(shù)的商作為當(dāng)前的目標(biāo)異常信息對應(yīng)的第一權(quán)重值;
[0020]所述確定標(biāo)準(zhǔn)值�����,包括:根據(jù)所述webshell樣本庫中的每一個webshell包括的全部目標(biāo)異常信息�����,將當(dāng)前webshell包括的每一個目標(biāo)異常信息對應(yīng)的第一權(quán)重值的和作為當(dāng)前webshell對應(yīng)的第二權(quán)重值�;對比每一個所述webshell樣本庫中的webshell對應(yīng)的第二權(quán)重值�����,確定其中最小的一個第二權(quán)重值包括標(biāo)準(zhǔn)值���。
[0021]第二方面,本發(fā)明提供了一種webshell檢測裝置��,包括:
[0022]確定單元����,用于根據(jù)webshell樣本庫確定待檢測的兩個以上的目標(biāo)異常信息、確定每一個目標(biāo)異常信息對應(yīng)的第一權(quán)重值��、以及確定標(biāo)準(zhǔn)值����;
[0023]獲取單元��,用于獲取web服務(wù)器網(wǎng)站目錄下的全部腳本文件���;
[0024]第一檢測單元����,用于檢測每一個腳本文件中所包括的目標(biāo)異常信息;
[0025]計算單元�,用于根據(jù)每一個所述腳本文件包括的每一個目標(biāo)異常信息和所述每一個目標(biāo)異常信息對應(yīng)的第一權(quán)重值計算每一個所述腳本文件對應(yīng)的第三權(quán)重值;
[0026]判斷單元����,判斷每一個所述腳本文件的第三權(quán)重值是否大于或等于所述標(biāo)準(zhǔn)值,如果是�����,則確定大于或等于所述標(biāo)準(zhǔn)值的第三權(quán)重值對應(yīng)的腳本文件包括webshell�����。
[0027]進(jìn)一步的����,還包括:
[0028]設(shè)置單元,用于設(shè)置隔離區(qū)����;
[0029]處理單元,用于當(dāng)確定大于或等于所述標(biāo)準(zhǔn)值的第三權(quán)重值對應(yīng)的腳本文件包括webshell時���,將所述webshell轉(zhuǎn)移至所述隔離區(qū)��。
[0030]進(jìn)一步的��,還包括:
[0031]第二檢測單元�����,用于檢測所述webshell對應(yīng)的網(wǎng)站是否報錯��;
[0032]恢復(fù)單元����,用于當(dāng)所述檢測單元的檢測結(jié)果為是時,從所述第一設(shè)置單元設(shè)置的隔離區(qū)恢復(fù)對應(yīng)的webshell��。
[0033]進(jìn)一步的���,
[0034]所述確定單元,用于將以下異常信息中的至少兩種確定為待檢測的兩個以上的目標(biāo)異常息:
[0035]文件提供上傳或下載功能����、通過文件獲取信息系統(tǒng)信息、文件具有修改其它文件的功能�����、通過文件執(zhí)行shell、cmd等命令控制信息系統(tǒng)�、通過文件對信息系統(tǒng)進(jìn)行查詢或修改、文件大于10k或文件小于10k�����。
[0036]進(jìn)一步的�����,
[0037]所述確定單元���,還用于統(tǒng)計每一個目標(biāo)異常信息在所述webshell樣本庫中出現(xiàn)的次數(shù)和所述webshell樣本庫中出現(xiàn)所述兩個以上的目標(biāo)異常信息的總次數(shù)��,針對每一個目標(biāo)異常信息�,將當(dāng)前的目標(biāo)異常信息在所述webshell樣本庫中出現(xiàn)的次數(shù)與所述webshell樣本庫中出現(xiàn)所述兩個以上的目標(biāo)異常信息的總次數(shù)的商作為當(dāng)前的目標(biāo)異常信息對應(yīng)的第一權(quán)重值���;
[0038]所述確定單元��,還用于根據(jù)所述webshell樣本庫中的每一個webshell包括的全部目標(biāo)異常信息�����,將當(dāng)前webshell包括的每一個目標(biāo)異常信息對應(yīng)的第一權(quán)重值的和作為當(dāng)前webshell對應(yīng)的第二權(quán)重值���;對比每一個所述樣本webshell對應(yīng)的第二權(quán)重值�,確定其中最小的一個第二權(quán)重值包括標(biāo)準(zhǔn)值��。
[0039]本發(fā)明提供的一種webshell檢測方法及裝置�,通過獲取web服務(wù)器網(wǎng)站目錄下的全部腳本文件,根據(jù)通過webshell樣本庫預(yù)先確定的需要檢測的異常信息獲取每一個腳本文件的全部異常信息���,并根據(jù)通過該webshell樣本庫預(yù)先確定的異常信息對應(yīng)的第一權(quán)重值計算每一個腳本文件的第三權(quán)重值�,如果有第三權(quán)重值大于通過該webshell樣本庫確定的標(biāo)準(zhǔn)值�����,則確定該第三權(quán)重值對應(yīng)的腳本文件為webshell���,從而檢測出web服務(wù)器中的web she 11����,進(jìn)而提高了檢測效率�。
【附圖說明】
[0040]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地����,下面描述中的附圖是本發(fā)明的一些實(shí)施例�,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。
[0041]圖1是本發(fā)明一實(shí)施例提供的一種webshell檢測方法的流程圖�����;
[0042]圖2是本發(fā)明一實(shí)施例提供的另一種webshell檢測方法的流程圖��;
[0043]圖3是本發(fā)明一實(shí)施例提供