[发明专利]一种webshell脚本检测方法及装置

说明书

本申请提供了一种webshell脚本检测方法及装置，该方法通过对多个不同设定类型的特征的提取，保证对SVM模型进行训练所用特征的多样性，并基于费舍尔评分算法对提取的多个不同设定类型的特征进行筛选，利用筛选后的特征对SVM模型进行训练，可以进一步提高SVM模型分类的准确性。在此基础上，对待检测脚本进行多个不同设定类型的特征的提取，并利用费舍尔评分算法对提取的多个不同设定类型的特征进行筛选，将筛选出的特征输入SVM模型，可以提高SVM模型输出的分类结果的准确性。

技术领域

本申请涉及信息安全技术领域，特别涉及一种webshell脚本检测方法及装置。

背景技术

webshell脚本是安装到被成功入侵的计算机的后门程序，攻击者可以利用webshell脚本对遭到入侵的计算机进行持久访问并进行一系列的恶意利用，如执行系统命令，窃取并篡改用户数据，修改网站主页等。因此，非常有必要对webshell脚本进行检测。

但是，目前的webshell脚本检测方式的准确性仍有待提高。

发明内容

为解决上述技术问题，本申请实施例提供一种webshell脚本检测方法及装置，以达到提高webshell脚本检测的准确性的目的，技术方案如下：

一种webshell脚本检测方法，该方法包括：

按照预先设定的特征提取模板，从待检测脚本中提取特征；

从所述特征中筛选出符合设定规则的特征，将筛选出的特征作为待使用特征；

将所述待使用特征输入到预先训练好的SVM模型，得到所述SVM模型输出的分类结果，所述预先训练好的SVM模型为利用webshell训练特征和正常web训练特征训练得到的；

所述webshell训练特征和所述正常web训练特征的获得过程，包括：

获取webshell脚本集和正常web脚本集；

分别按照所述预先设定的特征提取模板，从所述webshell脚本集中的webshell脚本和所述正常web脚本集中的正常web脚本中提取特征，得到待处理webshell特征和待处理正常web特征；

分别从所述待处理webshell特征和所述待处理正常web特征中筛选出符合所述设定规则的特征，将筛选得到的特征分别作为webshell训练特征和正常web训练特征。

优选的，所述特征提取模板，包括：

提取多个不同设定类型的特征的模板；

所述按照预先设定的特征提取模板，从待检测脚本中提取特征，包括：

按照提取多个不同设定类型的特征的模板，从所述待检测脚本中提取多个不同所述设定类型的特征；

所述分别按照所述预先设定的特征提取模板，从所述webshell脚本集中的webshell脚本和所述正常web脚本集中的正常web脚本中提取特征，包括：

分别按照提取多个不同设定类型的特征的模板，从所述webshell脚本集中的webshell脚本和所述正常web脚本集中的正常web脚本中提取所述多个不同设定类型的特征。

优选的，所述设定规则，包括：

特征排名高于设定排名阈值的规则；

所述特征排名为基于费舍尔评分算法，对特征进行评分，按照评分从低到高进行排序得到的排名。

优选的，所述分别按照所述预先设定的特征提取模板，从所述webshell脚本集中的webshell脚本和所述正常web脚本集中的正常web脚本中提取特征，包括：