WebShell检测方法及装置

技术特征：
1.一种webshell检测方法，其特征在于，包括：向dpdk应用服务器传输网络流量；通过dpdk对所述网络流量进行采集，得到待检测的数据包；在检测出所述待检测的数据包中存在webshell的情况下，对存在且有效的所述webshell进行预警。2.根据权利要求1所述的检测方法，其特征在于，所述流量中检测webshell技术检测出所述待检测的数据包中存在webshell，包括：对所述dpdk应用服务器接收的待检测的数据包进行流量检测，其中，所述流量检测至少包括如下之一：对数据包的流量解析、对数据包流量分类、对数据包的流量分析操作；在对所述数据包进行所述流量解析、所述流量分类、所述流量分析之后，检测出所述待检测的数据包中是否存在webshell的木马文件。3.根据权利要求2所述的检测方法，其特征在于，所述对数据包的流量解析包括：通过dpdk的预置结构体指针偏移函数将所述数据包解析到相对应的协议头结构体变量中；其中，所述协议头结构体变量依次包括：dpdk数据包结构体、二层链路结构体头部、ip头部、tcp头部、http流量信息。4.根据权利要求2所述的检测方法，其特征在于，所述对数据包流量分类包括：将数据包中提取的字符形成http数据包前置变量；根据所述http数据包前置变量与http数据包中的关键字进行匹配，解析得到http流量、分类出post报文、get报文、http响应报文，其中，所述关键字至少包括如下之一：post、get、http1.1/200ok。5.根据权利要求2所述的检测方法，其特征在于，对所述对数据包的流量分析包括：使用webshell的动态检测策略和静态检测策略进行，对所述数据包中预设分类的报文进行webshell检测。6.根据权利要求5所述的检测方法，其特征在于，包括：所述静态检测策略包括：kmp匹配算法，通过所述kmp匹配算法对已知模式的攻击进行检测；和/或，所述动态检测包括：正则匹配算法，通过所述正则匹配算法对特征库中敏感行为特征以及文件的运行状态进行检测。7.根据权利要求1所述的检测方法，其特征在于，所述检测出所述待检测的数据包中存在webshell，还包括：在所述待检测的数据包通过加密传输webshell的情况下，获取webshell中预设特征对应的密文并对密文解密；在所述待检测的数据包中匹配经过解密之后的恶意命令，并判断在所述数据包中是否存在webshell的传输行为。8.根据权利要求1所述的检测方法，其特征在于，所述向dpdk应用服务器传输网络流量，之前还包括：在预设网络出口通过分光器镜像得到网络环境中交换机的流量镜像并储存；和/或，通过dpdk在网络环境中对数据包进行稳定采集和转发。
9.根据权利要求1所述的检测方法，其特征在于，所述在检测出所述待检测的数据包中存在webshell的情况下，对存在且有效的所述webshell进行预警，包括：从存储有webshell的网络流量中提取若干webshell的链接；使用批量脚本验证webshell中存在且有效的webshell链接；根据所述webshell链接对目标网站进行预警通告。10.一种webshell检测装置，其特征在于，包括：传输模块，用于向dpdk应用服务器传输网络流量；采集模块，用于通过dpdk对所述网络流量进行采集，得到待检测的数据包；检测模块，用于在检测出所述待检测的数据包中存在webshell的情况下，对存在且有效的所述webshell进行预警。

技术总结
本申请公开了一种WebShell检测方法及装置。该方法包括向DPDK应用服务器传输网络流量；通过DPDK对所述网络流量进行采集，得到待检测的数据包；在检测出所述待检测的数据包中存在WebShell的情况下，对存在且有效的所述WebShell进行预警。本申请解决了流量中检测Webshell相关技术中无法满足在高速网络环境的数据包捕获以及检测的技术问题。通过本申请实现了基于高速网络的WebShell综合检测溯源。实现了基于高速网络的WebShell综合检测溯源。实现了基于高速网络的WebShell综合检测溯源。


技术研发人员：万巍 龙春 王跃达 付豫豪 黄潘 宋雅稀 杨帆
受保护的技术使用者：中国科学院计算机网络信息中心
技术研发日：2020.12.14
技术公布日：2022/6/30