本發(fā)明涉及網(wǎng)絡(luò)安全檢測技術(shù)，尤其涉及一種webshell的檢測方法和檢測系統(tǒng)。
背景技術(shù)：
：webshell是以asp，php，jsp，python或者cgi等網(wǎng)頁腳本文件存在的一種命令執(zhí)行環(huán)境，也可以稱作為一種網(wǎng)頁后門。黑客在入侵了網(wǎng)站服務(wù)器后，通常會將webshell后門文件與網(wǎng)站服務(wù)器web目錄下正常的網(wǎng)頁文件混在一起，然后就可以使用瀏覽器來訪問webshell后門文件，得到webshell命令執(zhí)行環(huán)境，從而取得對網(wǎng)站服務(wù)器的某種程度上的操作權(quán)限，以達(dá)到控制網(wǎng)站服務(wù)器的目的。因此，為了維護(hù)網(wǎng)站服務(wù)器的安全性，需要對webshell進(jìn)行檢測。webshell具有很強(qiáng)的隱蔽性，一般和正常的文件混在一起，甚至隱藏在正常的文件以及圖片中，因此檢測難度很大。常見的webshell的檢測方式有多種，有的基于HTTP訪問日志分析，有的對web腳本文件進(jìn)行特征庫匹配進(jìn)行分析等，但是由于webshell實(shí)現(xiàn)方式多樣，使用單一的方式進(jìn)行檢測很容易出現(xiàn)誤報(bào)和漏報(bào)，且黑客很容易繞過檢測機(jī)制實(shí)現(xiàn)免殺。技術(shù)實(shí)現(xiàn)要素：本發(fā)明的目的之一是提供一種webshell的檢測方法，其能夠基于被檢測文件的多個特征屬性篩選出web應(yīng)用服務(wù)器上的web目錄中的文件中為webshell的文件，從而防止web應(yīng)用服務(wù)器被黑客控制，提升web應(yīng)用服務(wù)器的安全性。根據(jù)上述目的，本發(fā)明提出了一種webshell的檢測方法，其包括步驟：遍歷web應(yīng)用服務(wù)器上的web目錄中的文件，對文件的特征進(jìn)行檢測，獲得N種特征屬性；構(gòu)建特征屬性集合X＝{a1,a2,a3,……an}，其中a1,a2,a3,……an分別對應(yīng)表示N種特征屬性；構(gòu)建類別集合C＝{y1,y2}，其中y1表示文件不是webshell，y2表示文件是webshell；分別計(jì)算P(y1|X)和P(y2|X)，并根據(jù)計(jì)算結(jié)果進(jìn)行判斷：如果P(y1|X)>P(y2|X)，則判斷文件不是webshell，反之則判斷文件是webshell；其中，計(jì)算P(y1|X)和P(y2|X)的步驟為：(1)獲取足夠的webshell樣本以及正常文件樣本，訓(xùn)練統(tǒng)計(jì)出文件分別為y1和y2時，其特征屬性分別是a1,a2,a3,……an的概率P(a1|y1),P(a1|y2),P(a2|y1),P(a2|y2)，……，P(an|y1)，P(an|y2)；(2)根據(jù)下述模型公式計(jì)算出P(y1|X)和P(y2|X)：P(yi|X)=P(X|yi)P(yi)P(X),]]>P(X|yi)P(yi)=P(a1|yi)P(a2|yi)...P(an|yi)P(yi)=P(yi)Πj=1nP(aj|yi),]]>其中，i為1或2，P(yi|X)表示文件出現(xiàn)特征屬性集合為X時文件為yi的概率，P(X|yi)表示文件為yi時文件出現(xiàn)特征屬性集合為X的概率，P(X)表示所有所述樣本中一個文件出現(xiàn)特征屬性集合為X的概率，P(yi)表示所有所述樣本中類別為yi的概率。本發(fā)明所述的webshell的檢測方法的構(gòu)思主要是：現(xiàn)有技術(shù)通常是通過單一檢測方法檢測webshell，但無論哪種方法都會存在較高的誤報(bào)率和漏報(bào)率。發(fā)明人考慮將各種單一檢測方法進(jìn)行整合，在綜合多個檢測結(jié)果的基礎(chǔ)上判斷被檢測文件是否為webshell，從而提高判斷準(zhǔn)確度，降低webshell的誤報(bào)率和漏報(bào)率。進(jìn)一步考慮，通過檢測獲取文件的多個特征屬性，然后使用樸素貝葉斯分類算法進(jìn)行分類，以判斷文件是正常文件還是webshell。本發(fā)明方法通過所述步驟，基于樣本分析統(tǒng)計(jì)文件分別為y1和y2時，其特征屬性分別是a1,a2,a3,……an的概率，然后基于該概率用樸素貝葉斯分類算法計(jì)算當(dāng)文件特征屬性分別是a1,a2,a3,……an時，其類別為y1和y2的概率P(y1|X)和P(y2|X)，根據(jù)P(y1|X)是否大于P(y2|X)判斷文件是否不是webshell，以篩選出web應(yīng)用服務(wù)器上的web目錄中的文件中為webshell的文件，通過對該文件加以處理，可以防止web應(yīng)用服務(wù)器被黑客控制，提升web應(yīng)用服務(wù)器的安全性。需要說明的是，本發(fā)明方法中，由于P(X)不變，比較P(y1|X)和P(y2|X)時只需要比較P(X|y1)P(y1)和P(X|y2)P(y2)。而根據(jù)公式可以得出，比較P(X|y1)P(y1)和P(X|y2)P(y2)時只需要比較與。進(jìn)一步地，本發(fā)明所述的webshell的檢測方法中，所述對文件的特征進(jìn)行檢測至少包括：計(jì)算文本重合指數(shù)、計(jì)算文本信息熵、檢測最長單詞或字符串、特征庫匹配檢測和文件屬性檢測的至少其中兩項(xiàng)，以獲得與其對應(yīng)的5種特征屬性的至少其中兩種特征屬性。文本重合指數(shù)是一種判斷文本是否被加密的指標(biāo)，使用該指標(biāo)可以檢測代碼被混淆的webshell，因?yàn)楹芏鄔ebshell混淆都采用了加密的方式。由于一個完全隨機(jī)的字符串其文本重合指數(shù)為0.0385，因此文件的文本重合指數(shù)越接近0.0385，則越說明其有加密的特征，文本文件為webshell的可能性也就越高。文本重合指數(shù)的計(jì)算方法是：設(shè)文本B＝{b1,b2,……bk}，是一個包含了K個字符的字符串，文本B的文本重合指數(shù)記為lc(B)，定義為文本B中兩個隨機(jī)字符相同的概率。文本B的文本重合指數(shù)lc(B)的計(jì)算公式如下：lc(B)=Σk=1K(fk*(fk-1))/K(K-1),]]>其中fk代表文本B中字母bk出現(xiàn)的比率。文本信息熵可以理解為信息的復(fù)雜度，如果一個信息越有序和簡單，則其信息熵越低，而一個信息越混亂且復(fù)雜，則其信息熵越高。對于功能比較復(fù)雜，且做了混淆的webshell，其信息熵也越高，是webshell的可能性也越高。計(jì)算文本的信息熵，通常是通過過濾掉文本中的空格，中文等信息，然后解析出文本中的所有ASCII編碼，使用ASCII碼計(jì)算文本的熵值。文本信息熵Info(A)計(jì)算公式如下：Info(A)=-↑n=1255pnlog2pn(n≠127)=-↑n=1255xnslog2xns(n≠127),]]>其中n為ASCII碼，不過對于n＝127(空格)的情況無意義，將其去除；pn為第n位ASCII碼在當(dāng)前文本出現(xiàn)的概率，xn為第n位ASCII碼在當(dāng)前文本出現(xiàn)的次數(shù)，s為當(dāng)前文本的總字符數(shù)。文本信息熵Info(A)越大，文本文件為webshell的可能性越大。最長單詞或字符串需要被檢測的原因是：由于webshell中有些代碼邏輯為了躲避查殺，需要將關(guān)鍵代碼進(jìn)行加密，執(zhí)行時再解密，因此就會出現(xiàn)很長的單詞或者字符串，如果文本中出現(xiàn)了極長的字符串，文本文件是webshell的可能性也很高。特征庫匹配檢測是檢測webshell的最直接的方式，也是最必不可少的方式，可以包括檢測以下幾種與webshell具有高度相關(guān)性的特征：危險函數(shù)，例如：eval、exec、system、passthru、shell_exec、assert、base64_decode等。危險文件后綴，例如php4、php5、asa、cer、jspx、cfm、war、asp、php等。敏感的文件名，例如cmd、websell、shell、backdoor、chopper等。內(nèi)容關(guān)鍵字，很多家族性的webshell都會包含一些關(guān)鍵字，或者特殊指令，可以使用正則表達(dá)式來識別這些特征。文件屬性需要被檢測的原因是：一般情況下，webshell是黑客通過使用其他漏洞上傳到web目錄中來的，因此文件的創(chuàng)建時間，修改時間，所有者，文件類型權(quán)限都與其他正常的文件有很大區(qū)別，因此一個目錄中，文件屬性與其他文件存在明顯差異的文件也很可能是一個webshell。更進(jìn)一步地，上述webshell的檢測方法中，所述對文件的特征進(jìn)行檢測至少包括：計(jì)算文本重合指數(shù)、計(jì)算文本信息熵、檢測最長單詞或字符串、特征庫匹配檢測和文件屬性檢測，以獲得與其對應(yīng)的5種特征屬性。更進(jìn)一步地，上述webshell的檢測方法中，所述特征庫匹配檢測包括：危險函數(shù)檢測、危險文件后綴檢測、敏感文件名檢測和內(nèi)容關(guān)鍵字檢測的至少其中之一。本發(fā)明的另一目的是提供一種webshell的檢測系統(tǒng)，其能夠基于被檢測文件的多個特征屬性篩選出web應(yīng)用服務(wù)器上的web目錄中的文件中為webshell的文件，從而防止web應(yīng)用服務(wù)器被黑客控制，提升web應(yīng)用服務(wù)器的安全性。根據(jù)上述目的，本發(fā)明提出了一種webshell的檢測系統(tǒng)，其包括：設(shè)置在web應(yīng)用服務(wù)器上的代理單元，以及；服務(wù)器；其中代理單元根據(jù)服務(wù)器的指令采用下述步驟對webshell進(jìn)行檢測：遍歷web應(yīng)用服務(wù)器上的web目錄中的文件，對文件的特征進(jìn)行檢測，獲得N種特征屬性；構(gòu)建特征屬性集合X＝{a1,a2,a3,……an}，其中a1,a2,a3,……an分別對應(yīng)表示N種特征屬性；構(gòu)建類別集合C＝{y1,y2}，其中y1表示文件不是webshell，y2表示文件是webshell；分別計(jì)算P(y1|X)和P(y2|X)，并根據(jù)計(jì)算結(jié)果進(jìn)行判斷：如果P(y1|X)>P(y2|X)，則判斷文件不是webshell，反之則判斷文件是webshell；其中，計(jì)算P(y1|X)和P(y2|X)的步驟為：(1)獲取足夠的webshell樣本以及正常文件樣本，訓(xùn)練統(tǒng)計(jì)出文件分別為y1和y2時，其特征屬性分別是a1,a2,a3,……an的概率P(a1|y1),P(a1|y2),P(a2|y1),P(a2|y2)，……，P(an|y1)，P(an|y2)；(2)根據(jù)下述模型公式計(jì)算出P(y1|X)和P(y2|X)：P(yi|X)=P(X|yi)P(yi)P(X),]]>，其中，i為1或2，P(yi|X)表示文件出現(xiàn)特征屬性集合為X時文件為yi的概率，P(X|yi)表示文件為yi時文件出現(xiàn)特征屬性集合為X的概率，P(X)表示所有所述樣本中一個文件出現(xiàn)特征屬性集合為X的概率，P(yi)表示所有所述樣本中類別為yi的概率；其中，代理單元將檢測到webshell的檢測結(jié)果傳輸至服務(wù)器。需要說明的是，本發(fā)明系統(tǒng)中，由于P(X)不變，比較P(y1|X)和P(y2|X)時只需要比較P(X|y1)P(y1)和P(X|y2)P(y2)。而根據(jù)公式可以得出，比較P(X|y1)P(y1)和P(X|y2)P(y2)時只需要比較與。本發(fā)明所述的webshell的檢測系統(tǒng)中，所述檢測結(jié)果可以包括被判斷為webshell的文件的屬性以及樣本。服務(wù)器可以根據(jù)該檢測結(jié)果進(jìn)行報(bào)警，為用戶提供分析、展示以及刪除等管理界面。進(jìn)一步地，本發(fā)明所述的webshell的檢測系統(tǒng)中，所述服務(wù)器在接收到代理單元傳輸?shù)臋z測結(jié)果后發(fā)出報(bào)警。進(jìn)一步地，本發(fā)明所述的webshell的檢測系統(tǒng)中，所述對文件的特征進(jìn)行檢測至少包括：計(jì)算文本重合指數(shù)、計(jì)算文本信息熵、檢測最長單詞或字符串、特征庫匹配檢測和文件屬性檢測的至少其中兩項(xiàng)，以獲得與其對應(yīng)的5種特征屬性的至少其中兩種特征屬性。更進(jìn)一步地，上述webshell的檢測系統(tǒng)中，所述對文件的特征進(jìn)行檢測至少包括：計(jì)算文本重合指數(shù)、計(jì)算文本信息熵、檢測最長單詞或字符串、特征庫匹配檢測和文件屬性檢測，以獲得與其對應(yīng)的5種特征屬性。更進(jìn)一步地，上述webshell的檢測系統(tǒng)中，所述特征庫匹配檢測包括：危險函數(shù)檢測、危險文件后綴檢測、敏感文件名檢測和內(nèi)容關(guān)鍵字檢測的至少其中之一。進(jìn)一步地，本發(fā)明所述的webshell的檢測系統(tǒng)中，所述代理單元還將檢測到webshell的文件傳輸至服務(wù)器。本發(fā)明所述的webshell的檢測方法，其與現(xiàn)有技術(shù)中通過單一檢測方法檢測webshell相比，采用樸素貝葉斯分類算法綜合文件的多個特征屬性進(jìn)行判斷，從而具有更高的準(zhǔn)確度，有效降低了webshell的誤報(bào)率和漏報(bào)率，提升了web應(yīng)用服務(wù)器的安全性。本發(fā)明所述的webshell的檢測系統(tǒng)，其同樣具有上述效果。附圖說明圖1為本發(fā)明所述的webshell的檢測方法在一種實(shí)施方式下的流程示意圖。圖2為本發(fā)明所述的webshell的檢測系統(tǒng)在一種實(shí)施方式下的結(jié)構(gòu)示意圖。具體實(shí)施方式下面將結(jié)合說明書附圖和具體的實(shí)施例來對本發(fā)明所述的webshell的檢測方法和檢測系統(tǒng)進(jìn)行進(jìn)一步地詳細(xì)說明，但是該詳細(xì)說明不構(gòu)成對本發(fā)明的限制。圖1示意了本發(fā)明所述的webshell的檢測方法在一種實(shí)施方式下的流程。如圖1所示，該webshell的檢測方法包括步驟：遍歷web應(yīng)用服務(wù)器上的web目錄中的文件，對文件的特征進(jìn)行檢測，獲得N種特征屬性；構(gòu)建特征屬性集合X＝{a1,a2,a3,……an}，其中a1,a2,a3,……an分別對應(yīng)表示N種特征屬性；構(gòu)建類別集合C＝{y1,y2}，其中y1表示文件不是webshell，y2表示文件是webshell；分別計(jì)算P(y1|X)和P(y2|X)，并根據(jù)計(jì)算結(jié)果進(jìn)行判斷：如果P(y1|X)>P(y2|X)，則判斷文件不是webshell，反之則判斷文件是webshell；其中，計(jì)算P(y1|X)和P(y2|X)的步驟為：(1)獲取足夠的webshell樣本以及正常文件樣本，訓(xùn)練統(tǒng)計(jì)出文件分別為y1和y2時，其特征屬性分別是a1,a2,a3,……an的概率P(a1|y1),P(a1|y2),P(a2|y1),P(a2|y2)，……，P(an|y1)，P(an|y2)；(2)根據(jù)下述模型公式計(jì)算出P(y1|X)和P(y2|X)：P(yi|X)=P(X|yi)P(yi)P(X),]]>P(X|yi)P(yi)=P(a1|yi)P(a2|yi)...P(an|yi)P(yi)=P(yi)Πj=1nP(aj|yi),]]>其中，i為1或2，P(yi|X)表示文件出現(xiàn)特征屬性集合為X時文件為yi的概率，P(X|yi)表示文件為yi時文件出現(xiàn)特征屬性集合為X的概率，P(X)表示所有所述樣本中一個文件出現(xiàn)特征屬性集合為X的概率，P(yi)表示所有所述樣本中類別為yi的概率。上述方案中，由于P(X)不變，比較P(y1|X)和P(y2|X)時只需要比較P(X|y1)P(y1)和P(X|y2)P(y2)。而根據(jù)公式可以得出，比較P(X|y1)P(y1)和P(X|y2)P(y2)時只需要比較與。在某些實(shí)施方式下，對文件的特征進(jìn)行檢測至少包括：計(jì)算文本重合指數(shù)、計(jì)算文本信息熵、檢測最長單詞或字符串、特征庫匹配檢測和文件屬性檢測的至少其中兩項(xiàng)，以獲得與其對應(yīng)的5種特征屬性的至少其中兩種特征屬性。在某些實(shí)施方式下，對文件的特征進(jìn)行檢測至少包括：計(jì)算文本重合指數(shù)、計(jì)算文本信息熵、檢測最長單詞或字符串、特征庫匹配檢測和文件屬性檢測，以獲得與其對應(yīng)的5種特征屬性。在某些實(shí)施方式下，特征庫匹配檢測包括：危險函數(shù)檢測、危險文件后綴檢測、敏感文件名檢測和內(nèi)容關(guān)鍵字檢測的至少其中之一。上述各實(shí)施方式中：文本重合指數(shù)的計(jì)算方法是：設(shè)文本B＝{b1,b2,……bk}，是一個包含了K個字符的字符串，文本B的文本重合指數(shù)記為lc(B)，定義為文本B中兩個隨機(jī)字符相同的概率。文本B的文本重合指數(shù)lc(B)的計(jì)算公式如下：lc(B)=Σk=1K(fk*(fk-1))/K(K-1),]]>其中fk代表文本B中字母bk出現(xiàn)的比率。文本信息熵Info(A)計(jì)算公式如下：Info(A)=-↑n=1255pnlog2pn(n≠127)=-↑n=1255xnslog2xns(n≠127),]]>其中n為ASCII碼，不過對于n＝127(空格)的情況無意義，將其去除；pn為第n位ASCII碼在當(dāng)前文本出現(xiàn)的概率，xn為第n位ASCII碼在當(dāng)前文本出現(xiàn)的次數(shù)，s為當(dāng)前文本的總字符數(shù)。文本信息熵Info(A)越大，文本文件為webshell的可能性越大。特征庫匹配檢測包括檢測以下幾種與webshell具有高度相關(guān)性的特征：危險函數(shù)，例如：eval、exec、system、passthru、shell_exec、assert、base64_decode等。危險文件后綴，例如php4、php5、asa、cer、jspx、cfm、war、asp、php等。敏感的文件名，例如cmd、websell、shell、backdoor、chopper等。內(nèi)容關(guān)鍵字，很多家族性的webshell都會包含一些關(guān)鍵字，或者特殊指令，可以使用正則表達(dá)式來識別這些特征。文件屬性檢測的項(xiàng)目包括但不限于文件的創(chuàng)建時間，修改時間，所有者，文件類型權(quán)限等，判斷在一個目錄中與其他文件的差異性。圖2示意了本發(fā)明所述的webshell的檢測系統(tǒng)在一種實(shí)施方式下的結(jié)構(gòu)。如圖2所示，該webshell的檢測系統(tǒng)包括：設(shè)置在web應(yīng)用服務(wù)器1上的代理單元2，以及服務(wù)器3。上述webshell的檢測系統(tǒng)中，代理單元2根據(jù)服務(wù)器3發(fā)出的指令負(fù)責(zé)對web目錄進(jìn)行webshell檢測，上傳樣本，刪除樣本等操作。服務(wù)器3作為代理單元2的控制端，負(fù)責(zé)任務(wù)調(diào)度，檢測結(jié)果分析，結(jié)果報(bào)警，web管理界面等功能。該webshell的檢測系統(tǒng)的工作流程包括步驟：代理單元2根據(jù)服務(wù)器3的指令采用下述步驟對webshell進(jìn)行檢測(由于該檢測系統(tǒng)基于上述檢測方法實(shí)現(xiàn)，該步驟流程可直接參考圖1)：遍歷web應(yīng)用服務(wù)器1上的web目錄中的文件，對文件的特征進(jìn)行檢測，獲得N種特征屬性；構(gòu)建特征屬性集合X＝{a1,a2,a3,……an}，其中a1,a2,a3,……an分別對應(yīng)表示N種特征屬性；構(gòu)建類別集合C＝{y1,y2}，其中y1表示文件不是webshell，y2表示文件是webshell；分別計(jì)算P(y1|X)和P(y2|X)，并根據(jù)計(jì)算結(jié)果進(jìn)行判斷：如果P(y1|X)>P(y2|X)，則判斷文件不是webshell，反之則判斷文件是webshell；其中，計(jì)算P(y1|X)和P(y2|X)的步驟為：(1)獲取足夠的webshell樣本以及正常文件樣本，訓(xùn)練統(tǒng)計(jì)出文件分別為y1和y2時，其特征屬性分別是a1,a2,a3,……an的概率P(a1|y1),P(a1|y2),P(a2|y1),P(a2|y2)，……，P(an|y1)，P(an|y2)；(2)根據(jù)下述模型公式計(jì)算出P(y1|X)和P(y2|X)：P(yi|X)=P(X|yi)P(yi)P(X),]]>，其中，i為1或2，P(yi|X)表示文件出現(xiàn)特征屬性集合為X時文件為yi的概率，P(X|yi)表示文件為yi時文件出現(xiàn)特征屬性集合為X的概率，P(X)表示所有所述樣本中一個文件出現(xiàn)特征屬性集合為X的概率，P(yi)表示所有所述樣本中類別為yi的概率；其中，代理單元2將檢測到webshell的檢測結(jié)果傳輸至服務(wù)器3。該檢測結(jié)果包括被判斷為webshell的文件的屬性以及樣本。服務(wù)器3根據(jù)該檢測結(jié)果進(jìn)行報(bào)警，為用戶提供分析、展示以及刪除等管理界面。上述方案中，由于P(X)不變，比較P(y1|X)和P(y2|X)時只需要比較P(X|y1)P(y1)和P(X|y2)P(y2)。而根據(jù)公式可以得出，比較P(X|y1)P(y1)和P(X|y2)P(y2)時只需要比較與。在某些實(shí)施方式下，服務(wù)器3在接收到代理單元2傳輸?shù)臋z測結(jié)果后發(fā)出報(bào)警。在某些實(shí)施方式下，對文件的特征進(jìn)行檢測至少包括：計(jì)算文本重合指數(shù)、計(jì)算文本信息熵、檢測最長單詞或字符串、特征庫匹配檢測和文件屬性檢測的至少其中兩項(xiàng)，以獲得與其對應(yīng)的5種特征屬性的至少其中兩種特征屬性。在某些實(shí)施方式下，對文件的特征進(jìn)行檢測至少包括：計(jì)算文本重合指數(shù)、計(jì)算文本信息熵、檢測最長單詞或字符串、特征庫匹配檢測和文件屬性檢測，以獲得與其對應(yīng)的5種特征屬性。在某些實(shí)施方式下，特征庫匹配檢測包括：危險函數(shù)檢測、危險文件后綴檢測、敏感文件名檢測和內(nèi)容關(guān)鍵字檢測的至少其中之一。在某些實(shí)施方式下，代理單元2還將檢測到webshell的文件傳輸至服務(wù)器3。上述各實(shí)施方式中：文本重合指數(shù)的計(jì)算方法是：設(shè)文本B＝{b1,b2,……bk}，是一個包含了K個字符的字符串，文本B的文本重合指數(shù)記為lc(B)，定義為文本B中兩個隨機(jī)字符相同的概率。文本B的文本重合指數(shù)lc(B)的計(jì)算公式如下：lc(B)=Σk=1K(fk*(fk-1))/K(K-1),]]>其中fk代表文本B中字母bk出現(xiàn)的比率。文本信息熵Info(A)計(jì)算公式如下：Info(A)=-↑n=1255pnlog2pn(n≠127)=-↑n=1255xnslog2xns(n≠127),]]>其中n為ASCII碼，不過對于n＝127(空格)的情況無意義，將其去除；pn為第n位ASCII碼在當(dāng)前文本出現(xiàn)的概率，xn為第n位ASCII碼在當(dāng)前文本出現(xiàn)的次數(shù)，s為當(dāng)前文本的總字符數(shù)。文本信息熵Info(A)越大，文本文件為webshell的可能性越大。特征庫匹配檢測包括檢測以下幾種與webshell具有高度相關(guān)性的特征：危險函數(shù)，例如：eval、exec、system、passthru、shell_exec、assert、base64_decode等。危險文件后綴，例如php4、php5、asa、cer、jspx、cfm、war、asp、php等。敏感的文件名，例如cmd、websell、shell、backdoor、chopper等。內(nèi)容關(guān)鍵字，很多家族性的webshell都會包含一些關(guān)鍵字，或者特殊指令，可以使用正則表達(dá)式來識別這些特征。文件屬性檢測的項(xiàng)目包括但不限于文件的創(chuàng)建時間，修改時間，所有者，文件類型權(quán)限等，判斷在一個目錄中與其他文件的差異性。需要注意的是，以上列舉的僅為本發(fā)明的具體實(shí)施例，顯然本發(fā)明不限于以上實(shí)施例，隨之有著許多的類似變化。本領(lǐng)域的技術(shù)人員如果從本發(fā)明公開的內(nèi)容直接導(dǎo)出或聯(lián)想到的所有變形，均應(yīng)屬于本發(fā)明的保護(hù)范圍。當(dāng)前第1頁1 2 3