[发明专利]一种Webshell的骨架刻画及检测方法、装置与设备

说明书

本发明实施例提供了一种Webshell的骨架刻画及检测方法、装置与设备，通过对已知Webshell进行词法解析，并对其进行合理泛化，刻画出已知Webshell的骨架，据此构建Webshell骨架数据库；以相同的方式刻画待检测代码的骨架，在已构建的Webshell骨架数据库中查询是否存在匹配的骨架，从而判断待检测代码是否为Webshell。本发明实施例使Webshell检测高效且准确，同时具有极强的适应性和扩展性，可以对多种语言编写的代码进行检测，且在真实的检测环境能够达到较为理想的检测效果。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种Webshell的骨架刻画及检测方法、装置与设备。

背景技术

现有的基于正则表达式的Webshell检测方式，由于正则语言的泛化能力有限，容易被混淆的Webshell绕过，而且需要人为手动的添加规则，规则的指定过程繁琐易错。另一些基于机器学习和神经网络的Webshell检测方式，可解释性不足，不利于运营，且需要长时间的训练过程，便利性不足。

发明内容

为此，本发明实施例提供一种Webshell的骨架刻画及检测方法、装置与设备，以解决如何提高Webshell检测的扩展性、便利性、强泛化能力和准确性的技术问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例的第一方面，本申请实施例提供了一种Webshell的骨架刻画及检测方法，所述方法包括：

将已知的Webshell文件解析为第一Token序列；

将所述第一Token序列进行骨架刻画得到第二Token序列；

将所述第二Token序列进行泛化得到第三Token序列；

根据所述第三Token序列签名的第一摘要值，构建Webshell骨架数据库；

提取待检测代码的骨架并基于所述Webshell骨架数据库判断待检测代码是否为Webshell。

进一步地，将已知的Webshell文件解析为对应的第一Token序列，包括：

定义BaseToken结构体，所述BaseToken结构体包括：string类型的Name和Text、int类型的Type；

定义BaseToken类型的tokens数组，所述tokens数组用于保存解析完成的Token序列；

根据已知的Webshell文件，创建一个输入字符流，将对应的词法分析器指定给该输入字符流；

创建一个词法符号流，并将所述词法符号流指定给对应的词法分析器；

通过词法分析器将字符流分解成若干词法符号对象；

获取词法符号流中所有的Token到先前定义的tokens数组中，形成第一Token序列。

进一步地，将所述第一Token序列进行骨架刻画得到第二Token序列，包括：

从所述第一Token序列中对Webshell意义无实质性影响的第一Token进行过滤；

抽取所述第一Token序列中的关键函数作为第一Webshell骨架关键节点；

从所述第一Token序列中抽取具有关键意义的符号作为第二Webshell骨架关键节点；

由过滤后的所述第一Token序列，利用所述第一Webshell骨架关键节点和第二Webshell骨架关键节点形成所述第二Token序列。

进一步地，将所述第二Token序列进行泛化得到第三Token序列，包括：

对未被抽取的非骨架节点的第二Token对应泛化为IDENTIFIER、STRINGLITERAL、INTEGERLITERAL；

其中，所述第二Token包括：所述第二Token序列中的非骨架节点的变量、类名、函数、字符串、数字。