[发明专利]一种Webshell检测方法、装置、存储介质和设备

说明书

本发明涉及一种Webshell检测方法、装置、存储介质和设备，包括将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后，并根据带有外部输入标记的变量和函数，将编译待检测PHP代码得到的对应的操作码Opcode执行所得到的结果标识为外部输入标记；执行Opcode代码，并根据当前执行过程将外部输入标记进行传递，得到处理结果；若处理结果中的变量的值和/或函数的返回值带有外部输入标记，从处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时，则待检测PHP代码是Webshell。本发明针对检测混淆变形以及较复杂的Webshell具有显著的效果，同时检测方法简便，可提高检测效率。

技术领域

本发明涉及网络安全领域，尤其涉及一种Webshell检测方法、装置、存储介质和设备。

背景技术

Webshell以asp、php、jsp或者cgi等网页文件形式存在，是一种网页后门文件，其通常可以提供命令执行环境，网站管理员可以通过Webshell方便的对网站服务器进行管理。但是，由于Webshell所具有的这种命令执行能力，它也成为黑客们入侵网站的强大利器。在这其中尤以php的Webshell样式最为丰富。由于php语言本身的强大灵活性，导致phpWebshell的变形种类，混淆方式，检测难度都远远高于其他语言的Webshell。

目前常见的php Webshell检测方式为静态检测、动态检测、web日志检测、统计学特征检测和语法语义检测等。但是这些常见的检测方式针对复杂或者混淆过的Webshell无能为力或是检测过程复杂，对检测工具的处理能力和效率要求比较高。

发明内容

本发明所要解决的技术问题是针对现有技术的不足，提供一种Webshell检测方法、装置、存储介质和设备。

本发明解决上述技术问题的技术方案如下：

一种Webshell检测方法，所述方法包括：

将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后，并根据带有所述外部输入标记的所述变量和所述函数，将编译所述待检测PHP代码得到的对应的操作码Opcode得到的结果标识为所述外部输入标记；

执行所述Opcode代码，并根据当前执行过程将所述外部输入标记进行传递，得到处理结果，所述处理结果包括带有所述外部输入标记的变量的值和/或函数的返回值；

若所述处理结果中的所述变量的值和/或所述函数的返回值带有所述外部输入标记，从所述处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时，则判定所述待检测PHP代码是Webshell。

本发明的有益效果是：通过将待检测的PHP代码中的匹配预设威胁输入库中的变量和函数标识为外部输入标记，并将待检测的PHP代码编译所得到的Opcode代码中的相关信息标识为外部输入标记，根据当前执行过程将外部输入标记进行传递，得到处理结果，若处理结果中的变量的值和/或函数的返回值带有外部输入标记，从处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时，则判定待检测PHP代码是Webshell。本发明通过对PHP文件的动态执行获取到真实的执行信息，因此针对检测混淆变形以及较复杂的Webshell具有显著的效果，同时检测方法简便，可提高检测效率。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步地，所述根据带有所述外部输入标记的所述变量和所述函数，将编译所述待检测PHP代码得到的对应的操作码Opcode得到的结果标识为所述外部输入标记，具体包括：

当所述Opcode执行字符串拼接处理时，若进行字符串拼接的其中一个字符串带有所述外部输入标记时，则将所述字符串拼接处理后得到的结果标识为外部输入标记；