一種基于流量的webshell的檢測(cè)方法

基本信息

申請(qǐng)?zhí)?/td> CN201910851073.4 申請(qǐng)日 -
公開(公告)號(hào) CN110572397A 公開(公告)日 2019-12-13
申請(qǐng)公布號(hào) CN110572397A 申請(qǐng)公布日 2019-12-13
分類號(hào) H04L29/06(2006.01) 分類 電通信技術(shù);
發(fā)明人 徐鐘豪; 孟雷; 謝忱 申請(qǐng)(專利權(quán))人 上海斗象信息科技有限公司
代理機(jī)構(gòu) 上海翰信知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 上海斗象信息科技有限公司
地址 201203 上海市浦東新區(qū)碧波路690號(hào)7號(hào)樓7層(2號(hào)線張江高科地鐵站5號(hào)口出)
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及一種基于流量的webshell的檢測(cè)方法,所述檢測(cè)方法是對(duì)同一網(wǎng)站產(chǎn)生的流量進(jìn)行webshell檢測(cè),包括以下步驟:建立訓(xùn)練模型,按照url+參數(shù)的模式對(duì)訓(xùn)練流量進(jìn)行分組,分析出每組url+參數(shù)的屬性,以得到每組訓(xùn)練流量的url+參數(shù)實(shí)體及其模式畫像;進(jìn)行檢測(cè),檢測(cè)已建立訓(xùn)練模型的網(wǎng)站,按照url+參數(shù)的模式對(duì)待檢測(cè)流量進(jìn)行分組,將所有待檢測(cè)流量的url+參數(shù)與所有訓(xùn)練流量的url+參數(shù)進(jìn)行比較,若有url相同參數(shù)不同的待檢測(cè)流量,則分別判斷該情況下各條待檢測(cè)流量的統(tǒng)計(jì)分值、相似度分值和可疑度,以檢測(cè)出含有webshell的異常流量,并對(duì)異常流量進(jìn)行降低誤報(bào)處理。本發(fā)明實(shí)現(xiàn)了建立基于流量的webshell訓(xùn)練模型,能根據(jù)訓(xùn)練模型進(jìn)行檢測(cè),并準(zhǔn)確有效的檢測(cè)出誤報(bào)較低的待移除流量。