一种webshell检测方法、装置、设备及介质与流程

1.本技术涉及计算机技术领域，特别是涉及一种webshell检测方法、装置、设备及介质。


背景技术：

2.随着计算机的快速发展，在计算机中，web系统是一项十分重要的基础设施。其中，植入webshell是一种控制web系统的常用方式。目前，主要是通过匹配字符串或是正则表达式检测webshell，随着webshell技术的不断提升，通过匹配字符串或是正则表达式检测webshell的方式已经不能够适应webshell的发展。通过匹配字符串或是正则表达式检测webshell的方式，容易被不法分子规避，进而对信息安全造成威胁。
3.鉴于上述存在的问题，寻求如何增强信息安全的webshell检测是本领域技术人员竭力解决的问题。


技术实现要素：

4.本技术的目的是提供一种webshell检测方法、装置、设备及介质，用于增强检测webshell的安全。为解决上述技术问题，本技术提供一种webshell检测方法，应用于用户终端，包括：
5.获取监测数据；
6.将监测数据输入至leaf-wise生长树检测模型，以便于采用leaf-wise生长树检测模型进行webshell检测；
7.当leaf-wise生长树检测模型的准确度未达到预设准确度时，将监测数据作为新的样本数据对leaf-wise生长树检测模型进行调整得到新的leaf-wise生长树检测模型；
8.其中，建立leaf-wise生长树检测模型的步骤如下：
9.获取样本数据，样本数据包括白样本数据和黑样本数据，其中，白样本数据为常规数据库中的web文件，黑样本数据为不是常规数据库中的威胁性web文件；
10.对样本数据进行特征提取，并获取对应的特征数据；
11.将特征数据进行分类，分别为训练数据和测试数据；
12.根据训练数据更新leaf-wise生长树检测模型；
13.根据测试数据确定leaf-wise生长树检测模型的准确度。
14.优选地，在获取样本数据之后，在对样本数据进行特征提取，并获取对应的特征数据之前，还包括：
15.删除样本数据中的空格和注释。
16.优选地，根据训练数据更新leaf-wise生长树检测模型包括：
17.对训练数据进行分类，分别为练习数据和验证数据；
18.根据练习数据更新leaf-wise生长树检测模型；
19.根据验证数据对leaf-wise生长树检测模型进行验证。
20.优选地，在对样本数据进行特征提取，并获取对应的特征数据之后，在将特征数据进行分类之前，还包括：
21.分析web文件，并构建多维特征集，多维特征集用于存储特征数据。
22.优选地，在获取监测数据之前，还包括：
23.采集web文件的根路径，以用于监控web文件。
24.为解决上述技术问题，本技术还提供了一种webshell检测方法，应用于服务器，包括：
25.导入监测数据；
26.加载根据特征数据所建立的leaf-wise生长树检测模型，以便于采用leaf-wise生长树检测模型对输入的监测数据进行webshell检测；
27.当leaf-wise生长树检测模型的准确度未达到预设准确度时，加载新的leaf-wise生长树检测模型，新的leaf-wise生长树检测模型是将监测数据作为新的样本数据以对leaf-wise生长树检测模型进行调整所得到；
28.其中，建立leaf-wise生长树检测模型的步骤如下：
29.获取样本数据，样本数据包括白样本数据和黑样本数据，其中，白样本数据为常规数据库中的web文件，黑样本数据为不是常规数据库中的威胁性web文件；
30.对样本数据进行特征提取，并获取对应的特征数据；
31.将特征数据进行分类，分别为训练数据和测试数据；
32.根据训练数据更新leaf-wise生长树检测模型；
33.根据测试数据确定leaf-wise生长树检测模型的准确度。
34.为解决上述技术问题，本技术还提供了一种webshell检测装置，应用于用户终端，包括：
35.第一获取模块，用于获取监测数据；
36.输入模块，用于将监测数据输入至leaf-wise生长树检测模型，以便于采用leaf-wise生长树检测模型进行webshell检测；
37.调整模块，用于当leaf-wise生长树检测模型的准确度未达到预设准确度时，将监测数据作为新的样本数据对leaf-wise生长树检测模型进行调整，得到新的leaf-wise生长树检测模型；
38.其中，建立leaf-wise生长树检测模型的所需模块如下：
39.第二获取模块，用于获取样本数据，样本数据包括白样本数据和黑样本数据，其中，白样本数据为常规数据库中的web文件，黑样本数据为不是常规数据库中的威胁性web文件；
40.特征提取模块，用于对样本数据进行特征提取，并获取对应的特征数据；
41.分类模块，用于将特征数据进行分类，分别为训练数据和测试数据；
42.更新模块，用于根据训练数据更新leaf-wise生长树检测模型；
43.确定模块，用于根据测试数据确定leaf-wise生长树检测模型的准确度。
44.为解决上述技术问题，本技术还提供了一种webshell检测装置，应用于服务器，包括：
45.导入装置，用于导入监测数据；
46.第一加载模块，用于加载根据特征数据所建立的leaf-wise生长树检测模型，以便于采用leaf-wise生长树检测模型对输入的监测数据进行webshell检测；
47.第二加载模块，用于当leaf-wise生长树检测模型的准确度未达到预设准确度时，加载新的leaf-wise生长树检测模型，新的leaf-wise生长树检测模型是将监测数据作为新的样本数据，以对leaf-wise生长树检测模型进行调整所得到；
48.其中，建立leaf-wise生长树检测模型的所需模块如下：
49.第二获取模块，用于获取样本数据，样本数据包括白样本数据和黑样本数据，其中，白样本数据为常规数据库中的web文件，黑样本数据为不是常规数据库中的威胁性web文件；
50.特征提取模块，用于对样本数据进行特征提取，并获取对应的特征数据；
51.分类模块，用于将特征数据进行分类，分别为训练数据和测试数据；
52.更新模块，用于根据训练数据更新leaf-wise生长树检测模型；
53.确定模块，用于根据测试数据确定leaf-wise生长树检测模型的准确度。
54.为解决上述技术问题，本技术还提供了一种webshell检测设备，包括：
55.存储器，用于存储计算机程序；
56.处理器，用于执行计算机程序时实现上述提及的webshell检测方法的步骤。
57.为解决上述技术问题，本技术还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现上述提及的webshell检测方法的步骤。
58.本技术所提供的一种webshell检测方法，应用于用户终端，包括：获取监测数据；将监测数据输入至leaf-wise生长树检测模型进行webshell检测；当模型的准确度未达到预设准确度时，将监测数据作为新的样本数据对模型进行调整，得到新的leaf-wise生长树检测模型。其中，建立leaf-wise生长树检测模型的步骤如下：获取样本数据；对样本数据进行特征提取，并获取对应的特征数据；将特征数据进行分类，分别为训练数据和测试数据；根据训练数据更新leaf-wise生长树检测模型；根据测试数据确定leaf-wise生长树检测模型的准确度。由于建立leaf-wise生长树检测模型需要提取样本数据所对应的特征数据，不同的样本数据对应着不同的特征数据，且能够在准确度未达到预设准确度时，根据添加了监测数据的样本数据更新leaf-wise生长树检测模型，因此避免了不法分子规避通过匹配字符串或是正则表达式检测webshell，进而提高了用户终端的信息安全。
59.本技术还提供了一种webshell检测装置、设备和计算机可读存储介质，效果同上。
附图说明
60.为了更清楚地说明本技术实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
61.图1为本技术实施例所提供的一种应用于用户终端的webshell检测方法的流程图；
62.图2为本技术实施例所提供的一种建立leaf-wise生长树检测模型的流程图；
63.图3为本技术实施例所提供的另一种建立leaf-wise生长树检测模型的流程图；
64.图4为本技术实施例所提供的一种应用于服务器的webshell检测方法的流程图；
65.图5为本技术实施例所提供的一种应用于用户终端的webshell检测装置结构图；
66.图6为本技术实施例所提供的一种应用于服务器的webshell检测装置结构图；
67.图7为本技术实施例所提供的一种webshell检测设备结构图。
具体实施方式
68.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本技术保护范围。
69.本技术的核心是提供一种webshell检测方法、装置、设备及介质，其能够增强检测webshell的安全。
70.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。
71.为解决传统webshell检测方法常单一使用规则库匹配检测webshell，容易漏判、误判的问题，对新型的webshell鲜有效果。本技术提供一种基于决策树的webshell检测装置。使用机器学习对webshell做分类预判，通过使用语法分析、文件属性等提取待检测文件特征，使用standardization标准化将特征数据调整成标准分布。结合tf-idf算法对特征词频统计，对每个词条做进一步考量，并结合基于梯度提升树的lightgbm分类模型，得到测试集样本的综合预测概率值预判web文件是否为恶意文件，部署模式为检测中心和终端，终端采集文本特征数据上传至检测中心，检测中心分析出结果。本发明旨在提高webshell检测的准确率，降低误报率和漏报率，能通过不断地迭代达到自动检测未知web文件的能力。
72.在当今的社会，web系统是一项十分重要的基础设施，因此，也是不法分子重要的攻击目标。其中，植入webshell是一种控制web系统的常用方式。目前，主要是通过匹配字符串或是正则表达式来发现webshell，随着webshell技术的不断提升，新型webshell是可以摆脱掉传统引擎的检测的，机器学习对文本分类的应用越加广泛，同样将机器学习算法应用到webshell的检测是一个值得尝试的方式。
73.机器学习常用的流程如下：
74.首先，standardization标准化，将特征数据的分布调整成标准正太分布，使得数据的均值维0，方差为1，标准化的依据非常简单，不同变量往往量纲不同，将数据按比例缩放到特定区间，可以消除量纲对最终结果的影响，使不同变量具有可比性，如果有些特征的方差过大，则会主导目标函数从而使参数估计器无法正确地去学习其他特征。其中标准化公式如下：
75.z＝(x-u)/s
76.其中，对于每个变量值x，减去其所在列的平均值u，再除以所在列的标准差s，得到标准化后的值z。每一列的标准化独立进行，标准化后的数据每一列的均值为0，标准差为1。
77.其次，tf-idf算法分为tf和idf，tf表示词条在文件中出现的频率，idf表示关键词的普通程度。tf一般是被标准化或归一化后的序列，防止因文档词条量带来的词频差异。但tf越大并不能正向的代表该词条越能代表文档，相反越是出现频率越小的词条越能代表一
篇文档，所以词条表示文档的能力越强则权重理因越大，而idf则表示在所有的文档中，出现该词汇的文档越少，则说明该词idf很高，即该词汇能够有很高的区分文档的能力。
78.tf-idf算法公式如下：
[0079][0080]
其中，numwords是某单词在改文件中出现的次数，numallwrods是该文件的所有字词数，numfiles是样本的所有文件数，filefreq是出现该单词的文件数，filefreq+1防止出现该词条文档数为0，wordscore是区分文档的能力。
[0081]
lightgbm是通过leaf-wise(best-first decision tree learning)策略来生长树。它将选取具有最大delta loss的叶节点来生长。当生长相同的#leaf，leaf-wise算法可以比level-wise算法减少更多的损失。当#data较小的时候，leaf-wise可能会造成过拟合。所以，lightgbm可以利用额外的参数max_depth来限制树的深度并避免过拟合(树的生长仍然通过leaf-wise策略)。根据训练目标的相关性对类别进行重排序。更具体的说，根据累加值(sum_gradient/或者sum_hessian)重新对(类别特征的)直方图进行排序，然后在排好序的直方图中寻找最好的分割点。决策树构建使用的是样本的统计信息，若按照one-hot编码方式，会有很多样本量很小的类别特征，这样的样本由于数据量较小，很有可能有统计问题，这种统计问题会被带到决策树的学习过程当中，使模型产生过拟合风险。
[0082]
本技术提供一种webshell检测方法，构建检测模型是检测核心环节，检测时只需要将数据输入至已训练好的检测模型数据，直接对监测数据做出预测。使用机器学习算法模型训练模型，常用的算法模型一般使用catboost、lightgbm、xgboost。可根据业务场景使用合适的机器学习算法训练模型。检测引擎应当具备持久化的能力，在遇到故障或断电的情况能够恢复检测模型。检测模型在投入正常安全业务后应该以实践环境数据作为继续训练的数据来源，从而不断适应真实环境，逐步提高准确率。模型能预测得出准确率，因此存在预测错误的情况，所以模型具备错误修正能力，经人工反馈后样本需要加入后续训练，并确保检测webshell。
[0083]
图1为本技术实施例所提供的一种应用于用户终端的webshell检测方法的流程图。如图1所示，该webshell检测方法，应用于用户终端，包括：
[0084]
s10：获取监测数据；
[0085]
s11：将监测数据输入至leaf-wise生长树检测模型，以便于采用leaf-wise生长树检测模型进行webshell检测；
[0086]
s12：当leaf-wise生长树检测模型的准确度未达到预设准确度时，将监测数据作为新的样本数据对leaf-wise生长树检测模型进行调整得到新的leaf-wise生长树检测模型；
[0087]
图2为本技术实施例所提供的一种建立leaf-wise生长树检测模型的流程图，如图2所示，建立leaf-wise生长树检测模型如下：
[0088]
s20：获取样本数据，样本数据包括白样本数据和黑样本数据，其中，白样本数据为常规数据库中的web文件，黑样本数据为不是常规数据库中的威胁性web文件；
[0089]
s21：对样本数据进行特征提取，并获取对应的特征数据；
[0090]
s22：将特征数据进行分类，分别为训练数据和测试数据；
[0091]
s23：根据训练数据更新leaf-wise生长树检测模型；
[0092]
s24：根据测试数据确定leaf-wise生长树检测模型的准确度。
[0093]
需要说明的是，在本实施例中所提及的样本数据的总数应大于2w，这样能够保证leaf-wise生长树检测模型的准确度不会出现太大偏差。特征数据可以包括以文件状态提取的特征数据和以文件内容提取的特征数据，其中文件状态提取的特征数据包括文件熵值、文件内容长度(kb)、文件大小、文件混乱度等，以文件内容提取的特征数据包括关键词序列、执行类函数、文件操作类函数、文件压缩类、编码类函数、字符串操作类函数、输入参数读取类、函数方法回调类函数、数组操作类函数等的出现次数、高危函数的提取、文件hash、函数执行上下文等。
[0094]
其中，预设准确度的值可以根据具体实施方式确定，在本实施例中，将预设准确度设置为85％。
[0095]
由于建立leaf-wise生长树检测模型需要提取样本数据所对应的特征数据，不同的样本数据对应着不同的特征数据，且能够在准确度未达到预设准确度时，根据添加了监测数据的样本数据更新leaf-wise生长树检测模型，因此避免了不法分子规避通过匹配字符串或是正则表达式检测webshell，进而提高了用户终端的信息安全。
[0096]
图3为本技术实施例所提供的另一种建立leaf-wise生长树检测模型的流程图。在上述实施例的基础上，作为一种更优的实施例，如图3所示，在获取样本数据之后，在对样本数据进行特征提取，并获取对应的特征数据之前，还包括：
[0097]
s31：删除样本数据中的空格和注释。
[0098]
为了使得到的leaf-wise生长树检测模型更加准确，且减少建立模型时所占用的资源，将上述全部样本数据中的空格和注释删除，需要说明的是，在本实施例中，只要是对于建立leaf-wise生长树检测模型产生阻碍的因素，包括样本数据中重复的数据，乱码的数据等全部删除。
[0099]
在上述实施例的基础上，作为一种更优的实施例，根据训练数据更新leaf-wise生长树检测模型包括：
[0100]
对训练数据进行分类，分别为练习数据和验证数据；
[0101]
根据练习数据更新leaf-wise生长树检测模型；
[0102]
根据验证数据对leaf-wise生长树检测模型进行验证。
[0103]
在本实施例中，将特征数据划分为训练数据和测试数据，并将训练数据分成练习数据和验证数据，其中，训练数据和测试数据比例为0.8：0.2，练习数据和验证数据比例为0.75：0.25，得到最终练习数据：验证数据：测试数据＝0.6：0.2：0.2，此时能够避免leaf-wise生长树检测模型过拟合。需要说明的是，训练数据用来拟合leaf-wise生长树检测模型；验证数据用来在多个leaf-wise生长树检测模型中找到最优的leaf-wise生长树检测模型；测试数据用来得到的leaf-wise生长树检测模型准确度。
[0104]
在上述实施例的基础上，作为一种更优的实施例，在对样本数据进行特征提取，并获取对应的特征数据之后，在将特征数据进行分类之前，还包括：
[0105]
s32：分析web文件，并构建多维特征集，多维特征集用于存储特征数据。
[0106]
其中，多维特征集中存储多个特征数据时，可以参照如下表示方式：0，4，0，0，0，0，0，0，2，0，0，0，0，3740，5.136764360899095；其中，每个数据的含义依次为执行类函数、文件
操作类函数、文件压缩函数、编码函数、字符操作函数、字符串操作、常规输入类函数、jsp输入类函数、aspx输入类函数、asp输入类函数、回调函数、数组操作函数、其他可疑函数的特征数出现次数结合文件大小、文件内容信息混乱度熵值的最终排列序列。
[0107]
在上述实施例的基础上，作为一种更优的实施例，在获取监测数据之前，还包括：
[0108]
s30：采集web文件的根路径，以用于监控web文件。
[0109]
在本实施例中，根路径也可称为根目录，对web服务器代理程序承载的web服务器根路径进行采集，使用inotify、audit、内核驱动等方法监控web文件，实时发现web文件修改、创建、写入、移动、拷贝等事件。
[0110]
图4为本技术实施例所提供的一种应用于服务器的webshell检测方法的流程图。如图4所示，本技术还提供了一种webshell检测方法，应用于服务器，包括：
[0111]
s40：导入监测数据。
[0112]
s41：加载根据特征数据所建立的leaf-wise生长树检测模型。
[0113]
以便于采用leaf-wise生长树检测模型对输入的监测数据进行webshell检测；
[0114]
s42：当leaf-wise生长树检测模型的准确度未达到预设准确度时，加载新的leaf-wise生长树检测模型。
[0115]
新的leaf-wise生长树检测模型是将监测数据作为新的样本数据以对leaf-wise生长树检测模型进行调整所得到。
[0116]
其中，建立leaf-wise生长树检测模型的步骤如下：
[0117]
获取样本数据，样本数据包括白样本数据和黑样本数据，其中，白样本数据为常规数据库中的web文件，黑样本数据为不是常规数据库中的威胁性web文件；
[0118]
对样本数据进行特征提取，并获取对应的特征数据；
[0119]
将特征数据进行分类，分别为训练数据和测试数据；
[0120]
根据训练数据更新leaf-wise生长树检测模型；
[0121]
根据测试数据确定leaf-wise生长树检测模型的准确度。
[0122]
需要说明的是，在本实施例中所提及的样本数据的总数应大于2w，这样能够保证leaf-wise生长树检测模型的准确度不会出现太大偏差。特征数据可以包括以文件状态提取的特征数据和以文件内容提取的特征数据，其中文件状态提取的特征数据包括文件熵值、文件内容长度(kb)、文件大小、文件混乱度等，以文件内容提取的特征数据包括关键词序列、执行类函数、文件操作类函数、文件压缩类、编码类函数、字符串操作类函数、输入参数读取类、函数方法回调类函数、数组操作类函数等的出现次数、高危函数的提取、文件hash、函数执行上下文等。在本实施例中，导入的监测数据是进行加密的监测数据，需要在服务器中对其进行解密。
[0123]
由于建立leaf-wise生长树检测模型需要提取样本数据所对应的特征数据，不同的样本数据对应着不同的特征数据，且能够在准确度未达到预设准确度时，根据添加了监测数据的样本数据更新leaf-wise生长树检测模型，在服务器直接加载并根据监测数据更新leaf-wise生长树检测模型即可，不用重新建立模型，因此避免了不法分子规避通过匹配字符串或是正则表达式检测webshell，进而提高了用户终端的信息安全同时提升用户使用体验感。
[0124]
在上述实施例中，对于webshell检测方法进行了详细描述，本技术还提供
webshell检测装置对应的实施例。需要说明的是，本技术从两个角度对装置部分的实施例进行描述，一种是基于功能模块的角度，另一种是基于硬件的角度。
[0125]
图5为本技术实施例所提供的一种应用于用户终端的webshell检测装置结构图。如图5所示，本技术还提供了一种webshell检测装置，应用于用户终端，包括：
[0126]
第一获取模块50，用于获取监测数据；
[0127]
输入模块51，用于将监测数据输入至leaf-wise生长树检测模型，以便于采用leaf-wise生长树检测模型进行webshell检测；
[0128]
调整模块52，用于当leaf-wise生长树检测模型的准确度未达到预设准确度时，将监测数据作为新的样本数据对leaf-wise生长树检测模型进行调整，得到新的leaf-wise生长树检测模型；
[0129]
其中，建立leaf-wise生长树检测模型的所需模块如下：
[0130]
第二获取模块，用于获取样本数据，样本数据包括白样本数据和黑样本数据，其中，白样本数据为常规数据库中的web文件，黑样本数据为不是常规数据库中的威胁性web文件；
[0131]
特征提取模块，用于对样本数据进行特征提取，并获取对应的特征数据；
[0132]
分类模块，用于将特征数据进行分类，分别为训练数据和测试数据；
[0133]
更新模块，用于根据训练数据更新leaf-wise生长树检测模型；
[0134]
确定模块，用于根据测试数据确定leaf-wise生长树检测模型的准确度。
[0135]
此外，webshell检测装置还包括以下模块：
[0136]
删除模块，用于删除样本数据中的空格和注释。
[0137]
分析模块，用于分析web文件，并构建多维特征集，多维特征集用于存储所述特征数据。
[0138]
采集模块，用于采集web文件的根路径，以用于监控web文件。
[0139]
由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。
[0140]
图6为本技术实施例所提供的一种应用于服务器的webshell检测装置结构图。如图6所示，本技术还提供了一种webshell检测装置，应用于服务器，包括：
[0141]
导入装置60，用于导入监测数据；
[0142]
第一加载模块61，用于加载根据特征数据所建立的leaf-wise生长树检测模型，以便于采用leaf-wise生长树检测模型对输入的监测数据进行webshell检测；
[0143]
第二加载模块62，用于当leaf-wise生长树检测模型的准确度未达到预设准确度时，加载新的leaf-wise生长树检测模型，新的leaf-wise生长树检测模型是将监测数据作为新的样本数据，以对leaf-wise生长树检测模型进行调整所得到。
[0144]
其中，建立leaf-wise生长树检测模型的所需模块如下：
[0145]
第二获取模块，用于获取样本数据，样本数据包括白样本数据和黑样本数据，其中，白样本数据为常规数据库中的web文件，黑样本数据为不是常规数据库中的威胁性web文件；
[0146]
特征提取模块，用于对样本数据进行特征提取，并获取对应的特征数据；
[0147]
分类模块，用于将特征数据进行分类，分别为训练数据和测试数据；
[0148]
更新模块，用于根据训练数据更新leaf-wise生长树检测模型；
[0149]
确定模块，用于根据测试数据确定leaf-wise生长树检测模型的准确度。
[0150]
由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。
[0151]
图7为本技术实施例所提供的一种webshell检测设备结构图，如图7所示，webshell检测设备包括：
[0152]
存储器70，用于存储计算机程序；
[0153]
处理器71，用于执行计算机程序时实现如上述实施例中所提到的webshell检测方法的步骤。
[0154]
本实施例提供的webshell检测设备可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
[0155]
其中，处理器71可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器71可以采用数字信号处理(digital signal processing，dsp)、现场可编程门阵列(field－programmable gate array，fpga)、可编程逻辑阵列(programmable logic array，pla)中的至少一种硬件形式来实现。处理器71也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(central processing unit，cpu)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器71可以集成有图像处理器(graphics processing unit，gpu)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器71还可以包括人工智能(artificial intelligence，ai)处理器，该ai处理器用于处理有关机器学习的计算操作。
[0156]
存储器70可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器70还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器70至少用于存储以下计算机程序，其中，该计算机程序被处理器71加载并执行之后，能够实现前述任意一个实施例公开的webshell检测方法的相关步骤。另外，存储器70所存储的资源还可以包括操作系统和数据等，存储方式可以是短暂存储或者永久存储。其中，操作系统可以包括windows、unix、linux等。数据可以包括但不限于webshell检测方法等。
[0157]
在一些实施例中，webshell检测设备还可包括有显示屏、输入输出接口、通信接口、电源以及通信总线。
[0158]
本领域技术人员可以理解，图7中示出的结构并不构成对webshell检测设备的限定，可以包括比图示更多或更少的组件。
[0159]
本技术实施例提供的webshell检测设备，包括存储器70和处理器71，处理器71在执行存储器70存储的程序时，能够实现webshell检测方法。
[0160]
最后，本技术还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施，可以是用户终端对应的方法，也可以是服务器对应的方法，还可以是用户终端和服务器对应的方法中记载的步骤。
[0161]
可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立
的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory)，rom、随机存取存储器(randomaccess memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
[0162]
以上对本技术所提供的一种webshell检测方法、装置、设备及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。
[0163]
还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。