[发明专利]webshell检测方法、装置、介质和设备

说明书

本发明示例性实施例提供一种webshell检测方法、装置、介质和设备，其中的方法包括：识别待检测文件的动态特性，包括：对待检测文件进行语法分析和词法分析后，生成待检测文件的抽象语法树；记录所述抽象语法树中具有动态特性的节点，通过木马分析检测各所述具有动态特性的节点是否存在污点变量；响应于所述具有动态特性的节点存在污点变量时，确定所述待检测文件存在风险；响应于所述具有动态特性的节点不存在污点变量时，确定所述待检测文件安全。本发明以待检测文件的动态特性为核心特征，配合动静态分析技术，提高webshell的检测准确性和响应效率。

技术领域

本发明示例性实施例涉及互联网技术领域，尤其涉及一种webshell检测方法、装置、介质和设备。

背景技术

根据国家互联网应急中心(National Internet Emergency Center，CNCERT)发布的《2020 年上半年公共互联网网络安全态势及威胁监测处置报告》中指出，CNCERT监测到我国境内外有1.8万个IP地址对境内3.9万个网站植入恶意后门，近7.4万个网站被篡改。与2019年相比，在中国植入后门的网站数量增加了2.59倍以上。根据深信服发布的《2019年网络安全态势感知报告》中提到，web扫描和网站后门（即webshell）已成为攻击人员最常用的web 攻击方法，共占比52%。同时统计显示，由于一句话webshell（小马）编写灵活、功能强大、嵌入方式多样，隐蔽性好，不易被发现等特点，成为了攻击者上传webshell类型的首选。

目前国内外在webshell检测领域做了大量的研究，提出了一些可行的检测方法，并且形成了相应的软件安全性分析方法，但是这些方法在准确率和响应速度方面均存在各自的不足，目前还没有能够解决上述问题的方法和装置出现。

发明内容

有鉴于此，本发明示例性实施例的目的在于提出一种webshell检测方法、装置、介质和设备，以解决目前的webshell检测准确率低和响应速度不足的问题。

基于上述目的，本发明示例性实施例提供了一种webshell检测方法，包括：

识别待检测文件的动态特性，包括：对待检测文件进行语法分析和词法分析后，生成待检测文件的抽象语法树；其中，所述动态特性被定义为：待检测文件中某段代码的改变会导致或可能导致代码功能的变化；

记录所述抽象语法树中具有动态特性的节点，通过木马分析检测各所述具有动态特性的节点是否存在污点变量；

响应于所述具有动态特性的节点存在污点变量时，确定所述待检测文件存在风险；响应于所述具有动态特性的节点不存在污点变量时，确定所述待检测文件安全。

结合上述说明，在本发明实施例另一种可能的实施方式中，所述记录所述抽象语法树中具有动态特性的节点，通过木马分析检测各所述具有动态特性的节点是否存在污点变量，包括：

遍历所述抽象语法树上的每个节点，查找符合待检测文件动态特性定义的函数调用或方法调用节点，至少记录对应的行号、函数名和参数名中的一种具体信息；

根据得到的具体信息进行静态污点分析，确定所述具体信息所属的节点使用了污点变量。

结合上述说明，在本发明实施例另一种可能的实施方式中，所述方法还包括：

根据所述抽象语法树生成待检测文件的控制流图；

基于所述控制流图的数据输入源和所述具有动态特性的节点之间的路径进行分析，当存在污点传递时，确定所述具有动态特性的节点存在风险。

结合上述说明，在本发明实施例另一种可能的实施方式中，所述方法还包括：

判断所述待检测文件是否处于数据加密或混淆状态；

响应于确定所述待检测文件处于数据加密或混淆状态，通过模拟程序对所述待检测文件中的函数进行还原后，结合所述木马分析检测各所述具有动态特性的节点是否存在污点变量，以进行静态分析。