专利 webshell攻击识别装置及方法

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111433509.1 (22)申请日 2021.11.29 (71)申请人杭州迪普科技股份有限公司地址 310051 浙江省杭州市滨江区通和路 68号中财大厦6楼 (72)发明人赵玉芳　 (74)专利代理机构北京金讯知识产权代理事务所(特殊普通合伙) 11554 代理人黄剑飞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 webshell攻击识别装置及方法 (57)摘要本公开涉及一种webshell攻击识别方法、装置、电子设备及计算机可读介质。该方法包括：获取目标网页上的网页数据；基于静态特征库和代码特征库对网页数据进行扫描；在扫描结果中存在匹配结果时，获取所述目标网页的行为数据；基于行为特征库对所述行为数据进行扫描；在所述扫描结果中存在命中结果时，确定所述目标网页上存在websh ell攻击。本申请涉及的websh ell 攻击识别方法、装置、电子设备及计算机可读介质，能够对websh ell攻击进行快速、有效、准确的识别，在保证识别准确度的前提下，提高了识别效率，压缩了识别时间，提升了用户体验。权利要求书2页说明书9页附图6页 CN 114143074 A 2022.03.04 CN 114143074 A 1.一种webshel l攻击识别方法，其特征在于，包括：获取目标网页上的网页数据；基于静态特征库和代码特征库对网页数据进行扫描；在扫描结果中存在匹配结果时，获取所述目标网页的行为数据；基于行为特征库对所述行为数据进行扫描；在所述扫描结果中存在命中结果时，确定所述目标网页上存在webshel l攻击。 2.如权利要求1所述的方法，其特征在于，还包括：在所述目标网页上存在webshel l攻击时，对所述目标网页进行拦截并生成警告信息。 3.如权利要求1所述的方法，其特征在于，还包括：基于对多个网页的网页数据中webshel l数据的分析建立所述静态特征库；基于对多个网页的网页数据中加密webshel l数据的分析建立所述代码特征库；基于对多个网页的网页数据中行为数据的分析建立所述行为特征库。 4.如权利要求1所述的方法，其特征在于，获取目标网页上的网页数据，包括：获取多个网页的网页标识；将所述网页标识和黑名单、白名单中的网页标识进行比对以确定所述目标网页。 5.如权利要求4所述的方法，其特征在于，将所述网页标识和黑名单、白名单中的网页标识进行比对以确定所述目标网页，包括：当所述网页标识不在黑名单中且不在白名单时，确定所述网页为目标网页。 6.如权利要求3所述的方法，其特征在于，基于对多个网页的网页数据中webshell数据的分析建立所述静态特征库，包括：获取多个网页的网页数据中webshel l数据；对所述webshell数据进行特征提取生成静态特征数据；基于静态特征数据生成所述静态特征库。 7.如权利要求3所述的方法，其特征在于，基于对多个网页的网页数据中加密webshell 数据的分析建立所述代码特征库，包括：获取多个网页的网页数据中加密webshel l数据；将所述加密webshel l数据转换为 opcode文件；通过自然语言处理技术提取所述opcode文件中的代码特征数据；基于所述代码特征数据生成所述代码特征库。 8.如权利要求7所述的方法，其特征在于，通过自然语言处理技术提取所述opcode文件中的代码特征数据，包括：将所述opcode文件中的数据转换为多个词向量；根据所述 opcode文件中的数据的深度和次数确定多个词向量的权重；基于所述权重由所述多个词向量中提取所述代码特征数据。 9.如权利要求3所述的方法，其特征在于，基于对多个网页的网页数据中行为数据的分析建立所述行为特征库，包括：获取满足预设条件的多个网页的网页数据中行为数据；对所述行为数据进行特征提取以生成行为特征数据；基于所述行为特征数据生成所述行为特征库。权　利　要　求　书 1/2 页 2 CN 114143074 A 210.一种webshel l攻击识别装置，其特征在于，包括：数据模块，用于获取目标网页上的网页数据；特征模块，用于基于静态特征库和代码特征库对网页数据进行扫描；行为模块，用于在扫描结果中存在匹配结果时，获取所述目标网页的行为数据；扫描模块，用于基于行为特征库对所述行为数据进行扫描；攻击模块，用于在所述扫描结果中存在命中结果时，确定所述目标网页上存在 webshell攻击。权　利　要　求　书 2/2 页 3 CN 114143074 A 3