[发明专利]一种WebShell文件检测方法、装置及电子设备

说明书

本发明实施例提供了一种WebShell文件检测方法、装置及电子设备，方法包括：获取网站服务器当前时刻的网页Web进程标识信息；根据Web进程标识信息，获取与Web进程对应的Web应用程序的Web根目录中的待检测Web文件；将待检测Web文件与预设字符串进行匹配，得到第一匹配结果；当第一匹配结果为匹配成功时，确定待检测Web文件为WebShell文件。本发明实施例中，无需人工指定待检测Web目录，而是通过当前时刻的实时网页Web进程标识信息动态确定待检测Web目录，并进行WebShell文件检测，因此，实现了WebShell文件的自动检测。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种WebShell文件检测方法、装置及电子设备。

背景技术

WebShell文件是以网页文件形式存在的一种恶意网页后门文件。黑客在入侵一个网站服务器后，将网页后门文件与网站服务器Web目录下正常的网页文件混在一起，以达到对网站服务器进行数据删除或者修改等恶意操作。

目前，进行WebShell文件检测的方法为：在网站服务器中人工根据经验预先将可能存在WebShell文件的Web目录作为待检测Web目录，然后通过正则匹配的方法，将上述待检测Web目录中的各个网页文件中的内容与预先根据经验设定的字符串进行匹配，得到匹配结果，当匹配结果为匹配成功时，确定该网页文件为WebShell文件，当匹配结果为匹配失败时，确定该网页文件不是WebShell文件。

由此可见，现有技术中，对WebShell文件的检测方法，主要依靠人工确定待检测Web目录，无法实现自动检测。

发明内容

本发明实施例的目的在于提供一种WebShell文件检测方法、装置及电子设备，以实现WebShell文件的自动检测。具体技术方案如下：

第一方面，本发明实施例提供了一种WebShell文件检测方法，包括：

获取网站服务器当前时刻的网页Web进程标识信息；

根据所述Web进程标识信息，获取与所述Web进程对应的Web应用程序的Web根目录中的待检测Web文件；

将所述待检测Web文件与预设字符串进行匹配，得到第一匹配结果，所述预设字符串为表征WebShell文件特征的字符串；

当所述第一匹配结果为匹配成功时，确定所述待检测Web文件为WebShell文件。

进一步的，所述根据所述Web进程标识信息，获取与所述Web进程对应的Web应用程序的Web根目录中的待检测Web文件的步骤，包括：

根据所述Web进程标识信息确定所述Web进程对应的Web应用程序的类型；

根据所述Web应用程序的类型，从与所述类型对应的配置文件存储路径信息数据库中获取所述Web应用程序的配置文件的存储路径信息；

根据所述Web应用程序的配置文件的存储路径信息，获取所述Web应用程序的配置文件；

从所述Web应用程序的配置文件中获取所述Web应用程序的Web根目录存储路径信息；

根据所述Web根目录存储路径信息，获取所述Web应用程序的Web根目录中的待检测Web文件。

进一步的，所述将所述待检测Web文件与预设字符串进行匹配，得到第一匹配结果的步骤，包括：

将所述待检测Web文件与预设字符串进行正则匹配，得到第一匹配结果，所述第一匹配结果包括正则匹配结果或者所述字符串匹配结果。

进一步的，所述当所述第一匹配结果为匹配成功时，确定所述待检测Web文件为WebShell文件的步骤，包括：