[发明专利]一种WebShell检测方法及其系统

说明书

本发明实施例公开了一种WebShell检测方法及其系统。方法包括：部署加密工具和解密工具；提取Web应用程序的相关信息；对所述相关信息内的所有文件目录判断是否存在新增动态脚本文件；若存在，则判断是否存在调用链信息；若存在，则将所述新增动态脚本文件进行隔离，且进行恶意Webshell告警；若不存在，则进行动态脚本文件的加密，以得到加密结果；判断是否是加密成功；若加密成功，则对加密后的动态脚本文件进行解密，以得到解密结果；判断是否是解密成功；若不是，则将解密失败的动态脚本文件进行隔离；生成恶意WebShell告警。通过实施本发明实施例的方法可实现有效识别多变的WebShell后门。

技术领域

本发明涉及网页安全分析技术领域，更具体地说是指一种WebShell检测方法及其系统。

背景技术

传统的WebShell检测识别是基于已知WebShell代码特征和WebShell流量特征，通过对WebShell代码进行检测，检测WebShell代码是否匹配已有常用WebShell代码特征库，同时对代码中使用的函数进行检测，得出判断；对WebShell流量特征进行检测，一种是基于WebShell执行的命令以及payload特征进行检测，另一种是基于常用WebShell管理工具流量特征进行检测，如菜刀、冰蝎等。由于其依赖于自有的相关匹配规则或策略，导致在安全问题上往往出现大量误报、漏报，并在情报更新和威胁嗅探上往往囿于劣势；同时，由于其安全判定基于规则，而规则往往又是已知威胁的整理集合，导致存在WebShell可以绕过检测进行攻击。因此，当前的WebShell检测识别方法无法有效识别多变的WebShell后门。

因此，有必要设计一种新的方法，实现有效识别多变的WebShell后门。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种WebShell检测方法及其系统。

为实现上述目的，本发明采用以下技术方案：一种WebShell检测方法，包括：

将加密工具和解密工具部署在与Web应用程序相同目录下；

提取所述Web应用程序的相关信息；

对所述相关信息内的所有文件目录判断是否存在新增动态脚本文件；

若存在新增动态脚本文件，则判断是否存在调用链信息；

若存在调用链信息，则将所述新增动态脚本文件进行隔离，且进行恶意Webshell告警；

若不存在调用链信息，则将所述相关信息内的动态脚本文件合集进行动态脚本文件的加密，以得到加密结果；

判断所述加密结果是否是加密成功；

若所述加密结果是加密成功，则对加密后的动态脚本文件进行解密，以得到解密结果；

判断所述解密结果是否是解密成功；

若所述解密结果不是解密成功，则将解密失败的动态脚本文件进行隔离；

根据隔离的动态脚本文件生成恶意WebShell告警。

其进一步技术方案为：所述相关信息包括：动态脚本文件类型、中间件类型、Web应用程序的所有文件目录、Web应用程序的所有文件、Web应用程序的所有动态脚本文件以及动态脚本文件的调用链信息。

其进一步技术方案为：所述提取所述Web应用程序的相关信息，包括：

利用所述加密工具检索所述Web应用程序所在目录下的所有Web应用文件夹，并依序提取Web应用程序的所有文件目录、每个文件目录下的所有文件以及动态脚本文件类型；

对每个文件目录计算单个文件目录下的所有动态脚本文件，生成所有动态脚本文件合集；