一种用于Webshell的检测方法

摘要

本发明公开了一种用于Webshell的综合检测方法，针对网站被挂马、网站隐秘后门、网站文件安全审计等安全问题，提出了一种支持多种检测手段并用，覆盖网站全生命周期，能够做到事前检测、事中告警、事后朔源的高位WEB文件检测方法。通过在WEB服务器上安装监控代理程序，动态的将WEB文件检测结果发送给云管理中心进行综合风险分析，后者根据多个来源的数据进行综合分析并为每一个文件建立统计学模型来动态的检测文件变化，从而实现WEB文件风险管理。

主权项

一种用于Webshell的综合检测方法，其特征在于，所述方法包括如下步骤：步骤一：初始化配置监控代理程序；编译并运行一份监控代理实例；监控代理程序完成自身初始化并同云管理中心建立安全的连接；发送监控代理程序基础信息至云管理中心；从云管理中心同步最新的扫描策略和特征库；步骤二：扫描和检测扫描网站根目录下所有的文件并提取指纹信息，同本地存储的文件指纹库中的信息进行比对检索出指纹信息不匹配的文件；调用检测引擎对指纹信息不配的文件执行重新扫描；读取本地存储的网站访问日志摘要信息，查找网站访问日志并根据摘要信息提取增量日志；重置“扫描空闲计时器”和“日志同步计时器”；步骤三：发送结果监控代理程序将检测结果发送到云管理中心；更新本地文件指纹库和网站访问日志摘要信息；运行“忙等待”任务直到上述计时器过期；步骤四：云管理中心初始化云管理中心启动主进程、基础服务和通信接口等；读取数据库查找监控代理程序基础信息并联系监控代理程序；步骤五：风险值分析云管理中心分析进程从数据库中读取监控代理程序发送的原始数据；云管理中心分析进程根据监控代理程序发送的检测结果结合日志分析结果决策文件风险值；步骤六：保存结果将分析结果存入公共数据库；云管理中心前台处理程序读取公共数据库，向最终用户展示检测结果。