[发明专利]一种Webshell检测方法、装置、存储介质和设备

权利要求书

1.一种Webshell检测方法，其特征在于，所述方法包括：

将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后，并根据带有所述外部输入标记的所述变量和所述函数，将编译所述待检测PHP代码得到的对应的操作码Opcode执行所得到的结果标识为所述外部输入标记；

执行所述Opcode代码，并根据当前执行过程将所述外部输入标记进行传递，得到处理结果，所述处理结果包括带有所述外部输入标记的变量的值和/或函数的返回值；

若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记，从所述处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时，则判定所述待检测PHP代码是Webshell，其中，所述威胁函数包括命令执行函数、回调函数、文件操作函数和数据库操作函数，所述威胁参数包括用户输入参数、文件操作参数和数据库操作参数；

若所述处理结果中的所述变量的值和/或所述函数的返回值不带有所述外部输入标记，但所提取出的函数匹配预设威胁函数库中的威胁函数且不包含威胁参数时，则判定所述待检测PHP代码不是Webshell；

若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记，但所提取出的函数不匹配预设威胁函数库中的威胁函数且不包含威胁参数时，则判定所述待检测PHP代码不是Webshell 。

2.根据权利要求1所述的Webshell检测方法，其特征在于，所述根据带有所述外部输入标记的所述变量和所述函数，将编译所述待检测PHP代码得到的对应的操作码Opcode得到的结果标识为所述外部输入标记，具体包括：

当所述Opcode执行字符串拼接处理时，若进行字符串拼接的其中一个字符串带有所述外部输入标记时，则将所述字符串拼接处理后得到的结果标识为外部输入标记；

或，当所述Opcode执行直接调用函数处理时，若所述被调用的函数带有所述外部输入标记时，则将被调用的函数的返回值标识为所述外部输入标记；

或，当所述Opcode执行动态调用变量处理时，若所述变量带有所述外部输入标记时，则将所述变量的返回值标识为所述外部输入标记；

或，当所述Opcode执行取出数组中值的处理时，若所述数组带有所述外部输入标记时，则将从所述数组中取出的值标识为所述外部输入标记。

3.根据权利要求1所述的Webshell检测方法，其特征在于，所述根据当前执行过程将所述外部输入标记进行传递，得到处理结果，具体包括：

判断当前所执行的Opcode中的字符串、变量或被调用的函数是否带有所述外部输入标记；

若是，则将所述外部输入标记在执行过程中进行传递，得到带有所述外部输入标记的所述变量的值和/或所述函数的返回值。

4.一种Webshell检测装置，其特征在于，所述装置包括：

标记模块，用于将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后，并根据带有所述外部输入标记的所述变量和所述函数，将编译所述待检测PHP代码得到的对应的操作码Opcode得到的结果标识为所述外部输入标记；

传递模块，用于执行所述Opcode代码，并根据当前执行过程将所述外部输入标记进行传递，得到处理结果，所述处理结果包括带有所述外部输入标记的变量的值和/或函数的返回值；

判断模块，用于若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记，从所述处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时，则判定所述待检测PHP代码是Webshell；若所述处理结果中的所述变量的值和/或所述函数的返回值不带有所述外部输入标记，但所提取出的函数匹配预设威胁函数库中的威胁函数且不包含威胁参数时，则判定所述待检测PHP代码不是Webshell；若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记，但所提取出的函数不匹配预设威胁函数库中的威胁函数且不包含威胁参数时，则判定所述待检测PHP代码不是Webshell 。