[发明专利]基于图相似度分析的webshell检测方法及系统有效
| 申请号: | 201810527915.6 | 申请日: | 2018-05-29 |
| 公开(公告)号: | CN109067696B | 公开(公告)日: | 2020-12-08 |
| 发明(设计)人: | 文伟平;叶晓亮;张汉;张涛 | 申请(专利权)人: | 湖南鼎源蓝剑信息科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 北京万象新悦知识产权代理有限公司 11360 | 代理人: | 黄凤茹 |
| 地址: | 410205 湖南省长沙市高新开*** | 国省代码: | 湖南;43 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公布了一种基于图相似度分析的webshell检测方法及系统,涉及信息安全技术领域。获取待检测的系统Web服务器的全部目录中的代码文件,通过获取第一权值、绘制第一页面关系访问图和第二页面关系访问图、生成第三~第五页面关系访问图、获取第二权值和第三权值、获得最终权值,由此实现检测代码文件是webshell的可能性。利用本发明提供的技术方案,可以有效地减少由于webshell变形导致的漏报率,而且可以作为辅助其他检测手段,减少检测范围的一种方法;另外,作为静态检测方法的一种,本发明可以减少动态检测性能方面的牺牲,检测性能更佳。 | ||
| 搜索关键词: | 基于 相似 分析 webshell 检测 方法 系统 | ||
【主权项】:
1.一种基于图相似度分析的webshell检测方法,获取待检测的系统Web服务器的全部目录中的代码文件,通过获取第一权值、绘制第一页面关系访问图和第二页面关系访问图、生成第三~第五页面关系访问图、获取第二权值和第三权值、获得最终权值,检测代码文件是webshell的可能性;包括如下步骤:步骤1、获取第一权值,包括:11)建立注释信息特征库;12)对代码文件进行处理,获取注释信息;13)将注释信息与注释信息特征库进行匹配,并根据匹配结果赋予权值,得到第一权值;步骤2、绘制第一页面关系访问图和第二页面关系访问图,具体执行如下操作:21)根据该待检测系统的相关信息,绘制第一页面关系访问图。第一页面关系访问图为有向图,图的节点为网站各个页面,节点间的有向边代表页面间的访问路径;22)根据相关日志信息绘制出第二页面关系访问图;第二页面关系访问图中的节点为根据相关日志信息获取的在特定时间段访问的页面;步骤3、生成第三页面关系访问图、第四页面关系访问图、第五页面关系访问图;执行如下操作:31)对第二页面关系访问图进行分层,第一层为待检测系统的主页面,将第二页面关系访问图中涉及数据库操作、文件操作、用户权限操作的页面分别作为第二层、第三层、第四层,其余页面作为第五层;页面间的访问关系即有向边不变,从而形成第三页面关系访问图;32)对第一页面关系访问图和第三页面关系访问图进行剪枝:将第三页面关系访问图中处于第五层的节点剪去,并剪去相应的有向边,从而形成第五页面关系访问图;同时对第一页面关系访问图采用上述剪枝方法,从而形成第四页面关系访问图;步骤4、获取第二权值和第三权值;根据图相似度算法,分别计算第一页面关系访问图与第二页面关系访问图的相似度、第四页面关系访问图与第五页面关系访问图的相似度,并根据相似度赋予相应的权值,得到第二权值和第三权值;步骤5、将第一权值、第二权值、第三权值按权重比例相加,获得最终权值;根据最终权值和第一权值,对代码文件进行检测,得到代码文件是webshell的可能性。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于湖南鼎源蓝剑信息科技有限公司,未经湖南鼎源蓝剑信息科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810527915.6/,转载请声明来源钻瓜专利网。
