(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111583370.9 (22)申请日 2021.12.2 2 (71)申请人 天翼云科技有限公司 地址 100007 北京市东城区青龙胡同甲1 号、 3号2幢2层20 5-32室 (72)发明人 王鑫渊　林顺东　许金旺　李可惟　 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 41/16(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种检测WebShel l的方法、 装置和设备 (57)摘要 本申请实施例公开了一种检测WebShell的 方法、 装置和设备， 该方法包 括： 获取WebSh ell环 境中的待检测文件； 将待检测文件输入至预先训 练得到的目标检测模型进行检测； 其中， 目标检 测模型是应用训练样本， 对初始 检测模型进行训 练得到的； 初始检测模型是由第一CNN网络、 GRU 网络和第二CNN网络构成的； 第一CNN网络用于从 训练样本中抽取基本特征， GRU网络用于提取基 本特征中的序列特征， 第二CNN网络用于对序列 特征进行处理， 以根据处理后的序列特征调节初 始检测模型中参数， 得到目标检测模型； 根据检 测结果确定WebShell环境中的待检测文件是否 为安全文件。 提高检测websh ell是恶意还是安全 的准确性。 权利要求书2页 说明书12页 附图6页 CN 114499944 A 2022.05.13 CN 114499944 A 1.一种检测WebShel l的方法， 其特 征在于， 包括： 获取所述WebShell环境中的待检测文件； 将所述待检测文件输入至预 先训练得到的目标WebShel l检测模型进行检测； 其中， 所述目标WebShell检测模型是应用训练样本， 对初始WebShell检测模型进行训 练得到的； 所述初始WebShell检测模型是由第一CNN网络、 GRU网络和第二CNN网络构成 的； 所述第一CNN网络用于从训练样 本中抽取基本特征， 所述GRU网络用于提取所述基本特征中 的序列特征， 所述第二CNN网络用于对 所述序列特征进 行处理， 以根据处理后的序列特征调 节所述初始WebShel l检测模型中参数， 得到目标WebShel l检测模型； 根据检测结果确定所述 WebShell环境中的待检测文件是否为 安全文件。 2.根据权利 要求1所述的方法， 其特征在于， 所述目标WebShell检测模型是通过如 下方 式得到的： 获取所述WebShell环境中的样本文件， 并将所述样本文件处理成二维张量形式， 确定 各个二维张量形式的样本文件构成训练样本集 合； 将各个训练样本输入至所述第一CNN网络， 以使所述第一CNN网络抽取各个训练样本的 基本特征， 并将所述基本特征作为所述GRU网络的输入， 以使所述GRU网络根据提取所述基 本特征中的序列特 征； 将所述序列特征输入至所述第二CNN网络， 以使所述第二CNN网络进行处理， 并根据处 理后的序列特 征调节所述初始WebShel l检测模型中参数， 得到目标WebShel l检测模型。 3.根据权利要求1所述的方法， 其特征在于， 所述第 一CNN网络包括嵌入层、 第一一维卷 积层、 第一规范化BN层、 第一池化层； 所述GRU网络包括循环层BiGRU； 所述第二CNN网络包括 第二一维卷积层、 第二规范化BN层、 第二池化层、 Flatten层、 第一全连接层、 第三规范化BN 层、 第二全连接层、 第三全连接层和第四规范化BN层。 4.根据权利要求3所述的方法， 其特征在于， 所述嵌入层用于将所述第一CNN网络输入 的训练样本转换为词向量矩阵； 所述第一规范化BN层、 所述第二规范化BN层、 所述第三规范化BN层和所述第四规范化 BN层用于使训练过程中的每一层的训练数据呈正态分布。 5.根据权利要求3所述的方法， 其特征在于， 所述循环层BiGRU是基于对标准LSTM改进 实现的， 所述循环层 BiGRU通过如下 方式来提取基本特 征中的序列特 征： 针对每个基本特征， 确定所述基本特 征为当前LSTM单 元的输入信息； 根据第一权重和激活函数， 对所述输入信息与上一个LSTM单元传输的状态信息拼接后 的信息进行处 理， 得到重置门； 根据第二权重和激活函数， 对所述输入信息与上一个LSTM单元传输的状态信息拼接后 的信息进行处 理， 得到更新门； 根据第三权重和反正切函数， 对所述重置门和所述上一个LSTM单元传输的状态信息的 乘积与所述输入信息的拼接后的信息进行处 理， 得到中间状态信息； 确定第一信息与第二信息之和为前LSTM单元的状态信息； 其中， 所述第一信息为所述 更新门与所述中间状态信息的乘积； 所述第二信息为预设常数和更新门的差与所述上一个 LSTM单元传输的状态信息的乘积； 根据各个LSTM单 元的状态信息确定序列特 征。权　利　要　求　书 1/2 页 2 CN 114499944 A 26.根据权利要求3所述的方法， 其特征在于， 所述第二CNN网络中的第三全连接层输出 到的激活函数为Sigmoid激活函数； 所述第一CNN网络、 所述GRU网络和所述第二CNN网络中 的各个隐藏层的激活函数为Relu。 7.根据权利要求2～6任一项所述的方法， 其特征在于， 所述将所述样本文件处理成二 维张量形式， 包括： 应用Fit_o n_texts将所述 WebShell环境中的样本文件传入分词器To kenizer； 应用所述分词器To kenizer将所述 WebShell环境中的样本文件转换为序列； 结合Pad_sequences序列处 理方式， 将转换 得到的序列处 理成二维张量形式。 8.一种检测WebShel l的方法， 其特 征在于， 包括： 文件获取模块， 用于获取 所述WebShell环境中的待检测文件； 检测模块， 用于将所述待检测文件输入至预先训练得到的目标WebShell检测模型进行 检测； 其中， 所述目标WebShell检测模型是应用训练样本， 对初始WebShell检测模型进行训 练得到的； 所述初始WebShell检测模型是由第一CNN网络、 GRU网络和第二CNN网络构成 的； 所述第一CNN网络用于从训练样 本中抽取基本特征， 所述GRU网络用于提取所述基本特征中 的序列特征， 所述第二CNN网络用于对 所述序列特征进 行处理， 以根据处理后的序列特征调 节所述初始WebShel l检测模型中参数， 得到目标WebShel l检测模型； 确定模块， 用于根据检测结果确定所述WebShell环境中的待检测文件是否为安全文 件。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方 法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序指令， 其特征在于， 该计算机程 序指令被处 理器执行时实现权利要求1至7任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114499944 A 3