[发明专利]WebShell检测装置、WebShell检测方法及计算机可读存储介质

说明书

本公开涉及WebShell检测装置、WebShell检测方法及计算机可读存储介质。WebShell检测装置包括处理电路，处理电路被配置为：收集Web服务器的访问日志，对新增的访问日志进行数据预处理；从预处理后的访问日志中提取预定字段信息，并对提取出的字段信息进行存储；将提取出的预定字段信息与预先确定的阈值进行比较，判定可疑访问日志；对可疑访问日志中的可疑URL进行重放过滤，将结果存储为已检URL信息；以及将已检URL信息发送到核查装置，接收核查装置反馈的核查结果，根据核查结果更新已检URL信息。根据本公开，能够以较少的检测工作量高精度地检测Webshell文件。

技术领域

本公开涉及WebShell检测装置、WebShell检测方法及计算机可读存储介质。更具体地，涉及基于日志分析而进行WebShell检测的技术。

背景技术

Webshell是一种利用ASP(Active Server Pages：动态服务器页面)和PHP(Hypertext Preprocessor：超文本预处理器)等服务端编程语言开发的脚本程序，这种脚本文件具备一定的管理功能，能够用于对服务器上的文件进行一定权限范围内的操作，同时还具备执行一些操作系统指令、执行自定义的脚本代码等功能。另一方面，因为Webshell是通过HTTP协议进行访问的，相关的访问不会受到传统防火墙软件的拦截，因此，黑客在尝试入侵一个Web站点时，都会将对该网站植入Webshell作为渗透测试的关键目标。

发明内容

在现有的技术方案中，针对Webshell的检测主要包括基于文件内容的检测方式和基于全量日志分析的检测方式。其中，基于文件内容的检测方法是指通过对文件的源代码进行分析来判断文件是否为Webshell。但是，这种检测方式的局限性之一在于需要对网站的所有文件进行检测，检测工作量大；局限性之二是这种检测需要对Webshell的代码特征有足够的了解，所以无法对新型的未知的Webshell代码进行有效的检测；局限性之三在于这种检测需要首先获得相关脚本的源代码，但在很多安全审核较为严格的应用场景下，通常很难获取网站项目源代码。另外，目前基于全量日志分析的Webshell检测方法，由于通常网站的日志量巨大，所以该检测方法的检测工作量大，检测效率较低。

本公开的一个目的在于提供给一种能够以较少的检测工作量高精度地检测Webshell文件的WebShell检测装置、WebShell检测方法及计算机可读存储介质。

在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。

根据本公开的一个方面，提供一种WebShell检测装置，其中，上述WebShell检测装置包括处理电路，上述处理电路被配置为：收集Web服务器的访问日志，对新增的访问日志进行数据预处理；从预处理后的上述访问日志中提取预定字段信息，并对提取出的字段信息进行存储；将提取出的上述预定字段信息与预先确定的阈值进行比较，判定可疑访问日志；对上述可疑访问日志中的可疑URL(Uniform Resource Locator，统一资源定位符)进行重放过滤，将结果存储为已检URL信息；以及将上述已检URL信息发送到核查装置，接收核查装置反馈的核查结果，根据核查结果更新上述已检URL信息。

根据本公开的另一方面，提供一种WebShell检测方法，其中，上述WebShell检测方法包括：收集Web服务器的访问日志，对新增的访问日志进行数据预处理；从预处理后的上述访问日志中提取预定字段信息，并对提取出的字段信息进行存储；将提取出的上述预定字段信息与预先确定的阈值进行比较，判定可疑访问日志；对上述可疑访问日志中的可疑URL进行重放过滤，将结果存储为已检URL信息；以及将上述已检URL信息发送到核查装置，接收核查装置反馈的核查结果，根据核查结果更新上述已检URL信息。