�����,則T4 = 0.2*60�����,最終值為12),T = 14 ;
[0077]6)判斷文件權(quán)值�����,test, php的權(quán)值在I到15之間是可疑WebShell�,得出檢測結(jié)果為文件test, php的權(quán)值小于15,則文件test, php是可疑WebShell�,將文件名test, php和是WebShell文件信息記為掃描檢測的結(jié)果L,將掃描的結(jié)果L返回給M端�����。�。
[0078]假定用戶Admin選擇三種模式中的均衡模式,并且選定掃描的目錄是Web目錄����,則具體通過如下步驟(如附圖4),對Web目錄進行掃描���,檢測是否存在WebShell文件:
[0079]I)從M端傳輸:均衡模式以及需要掃描的目錄Web ;
[0080]2) S端接收M端傳入的信息�����,根據(jù)傳來的目錄Web以及均衡模式�����;
[0081]3)根據(jù)需要掃描目錄(Web)以及模式信息(均衡模式)獲取目錄下文件信息�,包括文件的創(chuàng)建時間,以及是引用的文件���;
[0082]4)分別進行基于時間的檢測��、基于引用的檢測與基于特征碼的檢測(如以上步驟a�����、b),得到三個個可疑文件的集合Tt���、Qq����、C3�,以及這些文件對應(yīng)的時間檢測權(quán)值T、引用檢測權(quán)值Q和特征檢測權(quán)值T3��,如果檢測出文件test, php,是一個引用文件�����,且引用較少��,則Q = 2(權(quán)值為2);創(chuàng)建的時間相對較晚���,基本無文件和它在一個時間間隔中��,則T = 2(權(quán)值為2);特征碼匹配時查到有匹配的特征碼則T3 = 12 (假設(shè)匹配到的特征值為60個�,則T4 = 0.2*60��,最終值為 12)���;
[0083]5)對三種檢測的結(jié)果Tt���、Qq、C3���,取并集�����,即Tt U Qq U C3 ��;
[0084]假設(shè)一文件是Tt U Qq U C3集合中�,它可以有以下情況:在或不在Tt、在或不在Qq�����、在或不在C3����,所以經(jīng)過分析可知該文件存在的權(quán)值,可能是T����、Q、T3中的一個�����、兩個或三個�����,如果該文件不是基于引用檢測的可疑文件�,則Q就不會記錄被賦權(quán)值(系統(tǒng)初值Q =O);同理如果它不是基于時間檢測的可疑文件,則T也不會記錄權(quán)值(系統(tǒng)初值T = O)���。
[0085]6)將并集文件中的每一個文件對應(yīng)的時間檢測權(quán)值T��、引用檢測權(quán)值Q和特征檢測權(quán)值T相加����,得到檢測總權(quán)值Total = T+Q+T3 = 16����,比較文件檢測總權(quán)值和設(shè)定權(quán)值閾值,檢測總權(quán)值在15到I之間的為可疑Webshell ;文件檢測總權(quán)值大于15��,所以文件test,php為WebShell�����。得出結(jié)果L���,結(jié)果L包括文件名以及是確定的WebShell文件��,將掃描檢測的結(jié)果L返回給M端的��。
[0086]需要注意的是�,公布實施例的目的在于幫助進一步理解本發(fā)明,但是本領(lǐng)域的技術(shù)人員可以理解:在不脫離本發(fā)明及所附權(quán)利要求的精神和范圍內(nèi)���,各種替換和修改都是可能的���。因此,本發(fā)明不應(yīng)局限于實施例所公開的內(nèi)容���,本發(fā)明要求保護的范圍以權(quán)利要求書界定的范圍為準�。
【主權(quán)項】
1.一種Web服務(wù)器中的WebShell文件檢測方法��,包括基于引用的檢測過程�����、基于時間的檢測過程和基于特征值的檢測過程�;通過掃描待檢測文件,分別計算得到待檢測文件的引用檢測權(quán)值���、時間檢測權(quán)值和特征檢測權(quán)值���;再計算得出最終權(quán)值�����,從而得出待檢測文件是正常文件、可疑WebShell文件還是確定的WebShell文件����,包括如下步驟: 1)獲取指定目錄中的所有文件和文件創(chuàng)建信息;文件創(chuàng)建信息包括文件名稱和文件創(chuàng)建時間信息�; 2)進行基于時間的檢測過程:根據(jù)文件創(chuàng)建時間,將所有文件進行分組��,賦予每一個文件時間檢測權(quán)值����,并記錄時間檢測可疑文件集; 3)進行基于引用的檢測過程:獲取引用文件���,根據(jù)引用次數(shù)賦予每一個文件引用檢測權(quán)值�,并記錄引用檢測可疑文件集���; 4)進行基于特征的檢測過程:對需要做基于特征的檢測過程的文件�����,針對每一個文件進行特征碼匹配���,若匹配成功則記錄并賦予該文件特征檢測權(quán)值����;若未匹配成功則對文件內(nèi)容進行base64編碼�����,然后再次進行特征碼匹配����,匹配成功則記錄并賦予該文件特征檢測權(quán)值,未匹配成功則對文件進行可疑特征碼匹配���,匹配成功則記錄并賦予該文件特征檢測權(quán)值���; 5)根據(jù)待檢測文件在步驟2)得到的時間檢測權(quán)值、步驟3)得到的引用檢測權(quán)值和步驟4)得到的特征檢測權(quán)值�,再計算得出最終檢測權(quán)值,通過設(shè)置權(quán)值閾值����,得出待檢測文件的掃描檢測結(jié)果。2.如權(quán)利要求1所述Web服務(wù)器中的WebShell文件檢測方法,其特征是�,步驟2)所述將所有文件進行分組��,賦予每一個文件時間檢測權(quán)值��,具體是根據(jù)文件創(chuàng)建時間進行分組��;根據(jù)文件創(chuàng)建時間和分組中的文件數(shù)目�,給文件賦予時間檢測權(quán)值。3.如權(quán)利要求1所述Web服務(wù)器中的WebShell文件檢測方法��,其特征是����,步驟3)所述根據(jù)引用次數(shù)賦予每一個文件引用檢測權(quán)值,具體是對引用次數(shù)越多的文件�,賦予的引用檢測權(quán)值越小。4.如權(quán)利要求1所述Web服務(wù)器中的WebShell文件檢測方法���,其特征是��,步驟4)所述匹配具體是對文件內(nèi)容進行掃描���,與WebShell特征庫中的特征碼進行正則匹配。5.如權(quán)利要求1所述Web服務(wù)器中的WebShell文件檢測方法,其特征是��,步驟5)所述待檢測文件的掃描檢測結(jié)果包括:是正常文件����、是可疑WebShell文件或者是確定的WebShell 文件。6.如權(quán)利要求1所述Web服務(wù)器中的WebShell文件檢測方法��,其特征是����,步驟5)計算得出最終檢測權(quán)值的方法包括低誤報模式、低漏報模式和均衡模式���。7.如權(quán)利要求6所述Web服務(wù)器中的WebShell文件檢測方法���,其特征是,所述低漏報模式具體是: 將步驟2)得到的時間檢測可疑文件集和步驟3)得到的引用檢測可疑文件集取并集�����,得到的檢測可疑文件集�;并集中的文件的相應(yīng)檢測權(quán)值相加;從而形成可疑文件集和可疑文件對應(yīng)的權(quán)值��;步驟4)具體針對上述可疑文件集中所有文件做基于特征的檢測過程,得到特征檢測權(quán)值�;再將所述可疑文件對應(yīng)的權(quán)值與步驟4)得到的特征檢測權(quán)值相加,計算得出最終檢測權(quán)值���。8.如權(quán)利要求6所述Web服務(wù)器中的WebShell文件檢測方法����,其特征是����,所述低誤報模式具體是: 將步驟2)得到的時間檢測可疑文件集和步驟3)得到的引用檢測可疑文件集取交集��,從而形成可疑文件集�����,可疑文件集中的文件的相應(yīng)檢測權(quán)值相加�����,得到可疑文件相對應(yīng)的檢測權(quán)值���;步驟4)針對上述可疑文件集中所有文件做基于特征的檢測過程�����,得到特征檢測權(quán)值�����;再將上述可疑文件對應(yīng)的權(quán)值與步驟4)得到的特征檢測權(quán)值相加�,計算得出最終檢測權(quán)值。9.如權(quán)利要求6所述Web服務(wù)器中的WebShell文件檢測方法��,其特征是�����,所述均衡模式具體是: 步驟4)針對目錄下所有文件做基于特征的檢測過程��,得到特征檢測結(jié)果�;將步驟2)得到的時間檢測權(quán)值結(jié)果、步驟3)得到的引用檢測權(quán)值結(jié)果和步驟4)得到的特征檢測權(quán)值結(jié)果相加��,計算得出最終檢測權(quán)值���。10.如權(quán)利要求1所述Web服務(wù)器中的WebShell文件檢測方法��,其特征是����,步驟5)所述設(shè)置權(quán)值閾值,具體為設(shè)置權(quán)值閾值為I和15����,最終檢測權(quán)值大于15為WebShell,最終檢測權(quán)值在I和15之間為可疑WebShell����,最終檢測權(quán)值小于I為正常文件。
【專利摘要】本發(fā)明公布了一種Web服務(wù)器中的WebShell文件檢測方法���,包括基于引用的檢測過程、基于時間的檢測過程和基于特征值的檢測過程���;通過掃描待檢測文件����,分別計算得到待檢測文件的引用檢測權(quán)值���、時間檢測權(quán)值和特征檢測權(quán)值�;再計算得出最終權(quán)值����,從而得出待檢測文件是正常文件����、可疑WebShell文件還是確定的WebShell文件����。計算得出最終檢測權(quán)值的方法包括低誤報模式、低漏報模式和均衡模式���。本發(fā)明對文件掃描檢測的效率高���,能夠快速、精確地檢測出服務(wù)器中的WebShell文件�,從而保證服務(wù)器的安全。
【IPC分類】H04L29/06
【公開號】CN104967616
【申請?zhí)枴緾N201510305411
【發(fā)明人】張濤, 寧戈, 史記, 高申
【申請人】北京安普諾信息技術(shù)有限公司
【公開日】2015年10月7日
【申請日】2015年6月5日