[发明专利]异常文件的检测方法、装置、设备、存储介质及程序产品

说明书

本申请公开了一种异常文件的检测方法、装置、设备、存储介质及程序产品，涉及网络安全技术领域。包括：获取文件生成日志，文件生成日志中包含至少一个生成文件的生成记录；基于生成记录指示的机器标识以及文件生成路径，确定生成文件的文件活跃特征，机器标识是生成文件所属机器的标识，文件活跃特征用于指示生成文件在不同机器以及不同路径上生成的活跃性；基于生成记录指示的内容修改次数，确定生成文件的文件修改特征，内容修改次数根据生成文件在相同生成位置下的内容变化次数确定；基于文件活跃特征以及文件修改特征，对至少一个生成文件过滤，得到异常文件。本申请实施例提供的方法，可降低文件检测过程中异常文件的漏报率。

技术领域

本申请实施例涉及网络安全技术领域，特别涉及一种异常文件的检测方法、装置、设备、存储介质及程序产品。

背景技术

Webshell文件是一种以网页文件形式存在的一种命令执行环境。攻击者可通过Webshell文件入侵网站服务器，达到控制网站服务器的目的。

目前，在检测Webshell文件时，基于文件内容特征进行检测，比如，将文件的特征码、特征值以及危险函数名等与已知的Webshell文件特征进行匹配，从而检测文件是否为Webshell文件。

相关技术中方法依赖于Webshell的传统特征，仅可检测出已知的Webshell文件，漏报率较高。

发明内容

本申请实施例提供了一种异常文件的检测方法、装置、设备、存储介质及程序产品，可检测未知型的异常文件，降低异常文件漏报率。所述技术方案如下：

一方面，本申请实施例提供了一种异常文件的检测方法，所述方法包括：

获取文件生成日志，所述文件生成日志中包含至少一个生成文件的生成记录；

基于所述生成记录指示的机器标识以及文件生成路径，确定所述生成文件的文件活跃特征，所述机器标识是所述生成文件所属机器的标识，所述文件活跃特征用于指示所述生成文件在不同机器以及不同路径上生成的活跃性；

基于所述生成记录指示的内容修改次数，确定所述生成文件的文件修改特征，所述内容修改次数根据所述生成文件在相同生成位置下的内容变化次数确定；

基于所述文件活跃特征以及所述文件修改特征，对至少一个所述生成文件过滤，得到异常文件。

另一方面，本申请实施例提供了一种异常文件的检测装置，所述装置包括：

日志获取模块，用于获取文件生成日志，所述文件生成日志中包含至少一个生成文件的生成记录；

特征确定模块，用于基于所述生成记录指示的机器标识以及文件生成路径，确定所述生成文件的文件活跃特征，所述机器标识是所述生成文件所属机器的标识，所述文件活跃特征用于指示所述生成文件在不同机器以及不同路径上生成的活跃性；

所述特征确定模块，还用于基于所述生成记录指示的内容修改次数，确定所述生成文件的文件修改特征，所述内容修改次数根据所述生成文件在相同生成位置下的内容变化次数确定；

文件过滤模块，用于基于所述文件活跃特征以及所述文件修改特征，对至少一个所述生成文件过滤，得到异常文件。

另一方面，本申请实施例提供了一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述方面所述的异常文件的检测方法。

另一方面，提供了一种计算机可读存储介质，所述可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上述方面所述的异常文件的检测方法。