webshell检测方法、装置、设备及可读存储介质与流程

技术特征：
1.一种webshell检测方法，其特征在于，包括：从网页文件中提取可打印字符串以得到字符串集合；确定所述字符串集合中是否存在目标代码，所述目标代码是所述字符串集合中除正常字符串以外的可打印字符串；若所述字符串集合中存在所述目标代码，则确定所述网页文件为webshell文件。2.根据权利要求1所述的方法，其特征在于，所述确定所述字符串集合中是否存在目标代码，包括：确定所述字符串集合中是否存在长度超过预设长度的可打印字符串；若所述字符串集合中存在出长度超过预设长度的可打印字符串，则根据第一子集确定所述字符串集合中是否存在目标代码，所述第一子集中的每个可打印字符串的长度超过预设长度。3.根据权利要求2所述的方法，其特征在于，所述根据第一子集确定所述字符串集合中是否存在目标代码，包括：确定所述第一子集中是否存在无法与白名单匹配的可打印字符串；若所述第一子集中存在无法与所述白名单匹配的可打印字符串，则确定第二子集中是否存在与黑名单匹配的可打印字符串，所述第二子集包含的每个可打印字符串的长度超过预设长度、且无法与白名单匹配；若所述第二子集中存在至少一个与所述黑名单匹配的可打印字符串，则确定所述字符串集合中存在目标代码。4.根据权利要求2所述的方法，其特征在于，所述根据第一子集确定所述字符串集合中是否存在目标代码，包括：将所述第一子集中的可打印字符串输入至webshell检测工具，以输出代码检测结果，所述代码检测结果用于指示所述字符串集合中是否存在所述目标代码。5.根据权利要求2所述的方法，其特征在于，所述根据第一子集确定所述字符串集合中是否存在目标代码，包括：确定所述第一子集中是否存在无法与白名单匹配的可打印字符串；若所述第一子集中存在无法与所述白名单匹配的可打印字符串，则将第二子集中的可打印字符串输入至webshell检测工具，以输出代码检测结果，所述代码检测结果用于指示所述字符串集合中是否存在目标代码，所述第二子集包含的每个可打印字符串的长度超过预设长度、且无法与白名单匹配。6.根据权利要求2所述的方法，其特征在于，所述根据第一子集确定所述字符串集合中是否存在目标代码，包括：确定所述第一子集中是否存在无法与白名单匹配的可打印字符串；若所述第一子集中存在无法与所述白名单匹配的可打印字符串，则确定第二子集中是否存在与黑名单匹配的可打印字符串，所述第二子集包含的每个可打印字符串的长度超过预设长度、且无法与白名单匹配；将第三子集中的可打印字符串输入至webshell检测工具，以输出代码检测结果，所述代码检测结果用于指示所述字符串集合中是否存在目标代码，所述第三子集包含的每个可打印字符串的长度超过预设长度、与白名单不匹配、且与黑名单匹配。
7.根据权利要求3或5所述的方法，其特征在于，所述确定所述第一子集中是否存在无法与白名单匹配的可打印字符串，包括：确定所述第一子集中的每个可打印字符串是否均为所述白名单中的关键字；或者，确定所述第一子集中的每个可打印字符串是否均包含所述白名单中的关键字；或者，确定所述第一子集中的每个可打印字符串是否均包含所述白名单中的关键字，且所述可打印字符串中关键字对应的字符是否位于所述可打印字符串的开头。8.根据权利要求1所述的方法，其特征在于，所述确定所述字符串集合中是否存在目标代码，包括：将所述字符串集合集合中的可打印字符串输入至webshell检测工具，以输出代码检测结果，所述代码检测结果用于指示所述字符串集合中是否存在目标代码。9.根据权利要求1所述的方法，其特征在于，所述确定所述字符串集合中是否存在目标代码，包括：从所述字符串集合中确定出与黑名单匹配的可打印字符串以得到第四子集；将所述第四子集中的可打印字符串输入至webshell检测工具，以输出代码检测结果，所述代码检测结果用于指示所述字符串集合中是否存在目标代码。10.一种webshell检测装置，其特征在于，包括：提取模块，用于从网页文件中提取可打印字符串以得到字符串集合；确定模块，用于确定所述字符串集合中是否存在目标代码，所述目标代码是所述字符串集合中除正常字符串以外的可打印字符串；处理模块，用于若所述字符串集合中存在所述目标代码，则确定所述网页文件为webshell文件。11.一种电子设备，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时使得所述电子设备实现如权利要求1至9任一所述的方法。12.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至9任一所述的方法。

技术总结
本申请公开了一种webshell检测方法、装置、设备及可读存储介质，电子设备提取网页文件中的可打印字符串以得到字符串集合，进而确定字符串集合中是否存在目标代码，若字符串集合中存在目标代码，则确定网页文件为webshell文件。其中，目标代码是字符串集合中除正常字符串以外的可打印字符串。采用该种方案，无需对整个网页文件进行webshell检测，而是仅判断网页文件的字符串集合中是否存在目标代码就能够对网页文件进行webshell检测，由于一个网页文件的字符串集合中可打印字符串的数量比较小，因此，能够实现降低webshell检测的资源消耗、提高webshell检测速度的目的。提高webshell检测速度的目的。提高webshell检测速度的目的。


技术研发人员：刘卓龙
受保护的技术使用者：网宿科技股份有限公司
技术研发日：2021.08.13
技术公布日：2021/12/17