基于RNN的Webshell检测研究

近年来,互联网行业发展迅速,网络安全的重要性与日俱增。网络安全领域涉及到各种问题,比如恶意代码检测、攻击溯源等,而Webshell作为一种恶意代码,也得到了学术界和业界的关注。Webshell的检测方法除了简单低效的关键词匹配之外,还有各种机器学习算法。Webshell代码经过逃逸技术处理之后,基于关键词匹配的检测算法无法有效检测出Webshell,常规的机器学习算法不能提取深层特征,检测准确率不高。因此,提出基于RNN的Webshell检测方法。实验结果表明,该方法在准确率、漏报率、误报率等指标上优于传统的机器学习算法。     

基于Bi-GRU的Webshell检测

Webshell是一种隐蔽性较高的Web攻击工具, 其作用是获取服务器的操作权限. 在编写Webshell时, 攻击者通过一系列免杀技术来绕过防火墙, 这导致现有方法检测Webshell的效果不佳. 针对这一现状, 本文从文本分类的角度出发, 提出一种基于Bi-GRU的Webshell检测方法. 首先将网页脚本文件进行编译, 得到opcode指令; 然后,通过word2vec算法将指令转换为特征向量; 最后, 使用多种深度学习模型进行训练, 以准确率、误报率、漏报率作为评估标准. 最终实验结果表明, Bi-GRU检测效果优于其他算法模型, 证明该算法是可行的.     

基于文本特征和日志分析的Webshell检测

Webshell植入后门攻击是目前网络入侵的常用手段之一,有着隐蔽性高,危害性大的特点,攻击者通过混淆代码等免杀技术会绕过目前检测手段,导致现有方法无法及时地检测出Webshell。本文提出了一种将文本特征分析和日志分析结合的方法,利用Webshell和正常页面在文本特征上的显著差异与访问时产生的行为模式异常的特点对Webshell进行检测。     

面向 Java 的高对抗内存型 Webshell 检测技术

由于 Web 应用程序的复杂性和重要性, 导致其成为网络攻击的主要目标之一。攻击者在入侵一个网站后, 通常会植入一个 Webshell, 来持久化控制网站。但随着攻防双方的博弈, 各种检测技术、终端安全产品被广泛应用, 使得传统的以文件形式驻留的 Webshell 越来越容易被检测到, 内存型 Webshell 成为新的趋势。 内存型 Webshell 在磁盘上不存在恶意文件, 而是将恶意代码注入到内存中, 隐蔽性更强, 不易被安全设备发现, 且目前缺少针对内存型 Webshell 的检测技术。本文面向 Java 应用程序, 总结内存型 Webshell 的特征和原理, 构建内存型 Webshell 威胁模型, 定义了高对抗内存型 Webshell, 并提出一种基于RASP(Runtime application self-protection, 运行时应用程序自我保护)的动静态结合的高对抗内存型 Webshell 检测技术。针对用户请求, 基于 RASP 技术监测注册组件类函数和特权类函数, 获取上下文信息, 根据磁盘是否存在文件以及数据流分析技术进行动态特征检测, 在不影响应用程序正常运行的前提下, 实时地检测; 针对 JVM 中加载的类及对动态检测方法的补充, 研究基于文本特征的深度学习静态检测算法, 提升高对抗内存型 Webshell 的检测效率。实验表明, 与其他检测工具相比, 本文方法检测内存型 Webshell 效果最佳, 准确率为 96.45%, 性能消耗为 7.74%, 具有可行性, 并且根据检测结果可以准确定位到内存型Webshell 的位置。     

采用随机森林改进算法的Webshell检测方法*

为解决Webshell检测特征覆盖不全、检测算法有待完善的问题,论文提出一种基于随机森林的Webshell检测方法。首先对三种类型的Webshell进行深入特征分析,构建多维特征向量较全面的覆盖静态属性和动态行为,改进随机森林特征选取方法,依据Fisher比度量特征重要性,对子类的依赖特征进行划分,按比例和顺序从中选择特征,克服特征选择完全随机带来的弊端,提高决策树分类强度,降低树间相关度。实验对随机森林改进算法和标准算法进行了对比分析,结果表明改进算法依靠更少的决策树就能达到很好效果,并进一步与SVM算法进行比较,证明了该方法在Webshell检测问题上具有一定优越性。     

基于决策树的Webshell检测方法研究

Webshell是一种基于Web服务的后门程序.攻击者通过Webshell获得Web服务的管理权限,从而达到对Web应用的渗透和控制.由于Webshell和普通Web页面特征几乎一致,所以可逃避传统防火墙和杀毒软件的检测.而且随着各种用于反检测特征混淆隐藏技术应用到Webshell上,使得传统基于特征码匹配的检测方式很难及时检测出新的变种.本文将讨论Webshell的特点和机理,分析其混淆隐藏技术,发掘其重要特征,提出并实现了一种基于决策树的检测模型.该模型是一种监督的机器学习系统,对先验网页样本进行学习,可有效检测出变异Webshell,弥补了传统基于特征匹配检测方法的不足,而结合集体学习方法Boosting,可以增强该模型的稳定性,提高分类准确率.     

PHP webshell实时动态检测

PHP Webshell是一种使用PHP编写的可以在web服务器中执行的网站后门文件。现有网站采用的基于特征匹配检测和网络流量分析的webshell检测方法难以检测经过变形或加密的webshell。本文提出了一种基于PHP扩展的webshell实时动态检测方法,该方法基于PHP扩展对PHP代码的编译执行进行监控并结合外部输入变量的标记追踪、黑白名单机制来进行webshell的实时动态检测。     

基于BERT-CNN的Webshell流量检测系统设计与实现

Webshell是一种网站后门程序，常被黑客用于入侵服务器后对服务器进行控制，给网站带来严重的安全隐患。针对以往基于流量的机器学习检测Webshell方法存在特征选择不全、向量化不准确、模型设计不合理导致的检测效果不佳问题，设计并实现了一种将基于变换器的双向编码器表示技术（BERT）与卷积神经网络（CNN）相结合的Webshell流量检测系统，通过分析超文本传输协议（HTTP）报文中各个字段信息，提取其中具有Webshell信息的特征字段，使用BERT模型对特征进行向量化编码，并结合一维CNN模型从不同空间维度检测特征建立分类模型，最后使用模型对流量数据进行检测调优。实验结果表明，与以往基于流量检测方法相比，该检测系统在准确率、召回率和F1值等性能指标上表现更好，分别达到99.84%、99.83%、99.84%。     

基于卷积神经网络的Webshell检测方法研究

Webshell是攻击者使用的恶意脚本,其目的是升级和维护对已经受到攻击的Web应用程序的持久访问。然而,传统检测方法对于加密、混淆后的Webshell的识别效果较差。针对这一问题,提出了一种基于卷积神经网络的检测方法。该方法首先获得PHP文件对应的opcode,然后通过Word2vec算法得到字节码序列的特征词向量,最后经过卷积神经网络处理得到检测结果。实验结果表明,该方法在检测变种Webshell方面的表现优于其他算法,也证明了该方法的可行性和有效性。     

基于多特征融合的Webshell恶意流量检测方法

Webshell是针对Web应用系统进行持久化控制的最常用恶意后门程序,对Web服务器安全运行造成巨大威胁。对于 Webshell 检测的方法大多通过对整个请求包数据进行训练,该方法对网页型 Webshell 识别效果较差,且模型训练效率较低。针对上述问题,提出了一种基于多特征融合的Webshell恶意流量检测方法,该方法以Webshell的数据包元信息、数据包载荷内容以及流量访问行为3个维度信息为特征,结合领域知识,从3个不同维度对数据流中的请求和响应包进行特征提取;并对提取特征进行信息融合,形成可以在不同攻击类型进行检测的判别模型。实验结果表明,与以往研究方法相比,所提方法在正常、恶意流量的二分类上精确率得到较大提升,可达99.25%;训练效率和检测效率也得到了显著提升,训练时间和检测时间分别下降95.73%和86.14%。     

基于深度学习的Webshell恶意代码检测方法研究

在当今现代化的世界中,人工智能逐渐被应用在各个领域之中,而深度学习就是人工智能的核心算法之一,近些年来也被广泛应用于网络安全领域,传统简单的通过人工定义规则集的检测方法逐渐被淘汰掉。而现在,如果将深度学习方法应用在检测Webshell中,不仅可以很好地提高准确率,而且和传统的机器学习方法相比,可以自动提取特征值,完成特征工程的过程更加智能化。因此基于深度学习来研究Webshell检测是近些年来一个得到持续关注的热点课题。该文主要针对使用PHP编写的Webshell进行检测,将深度学习方法和PHP文件操作码序列的特点进行结合,在构建的模型上训练测试数据集,最终可以获得相当高的准确率。     

基于深度学习的Webshell检测

以AWD攻防中Webshell检测为背景，在超空间利用模糊C均值聚类分析发现了攻击向量全局稀疏、局部紧密的特点，提出了2种深度学习模型。由于GitHub收集的攻击行为多为随机获取，没有很好的针对性，所以对训练数据的长度进行了限制，并保留了有限的相关样本数量。由于一次攻击与相邻的2~4次操作紧密相关，而且攻击向量垂直方向关联特征明显，水平方向相对稳定，考虑到特征向量在传递过程中规模会减小，增加了卷积层的补零选项。针对深度学习训练曲线中的锯齿振荡现象，证明了Adam优化算法的快速计算公式，并修正了学习参数，不断消除了训练的Loss曲线中的锯齿，使得训练曲线按照指数规律平滑下降，迅速得到需要的训练结果。将目前已有的类似工作与提出的2种深度学习模型进行对比。实验结果表明，提出的的深度学习模型能够很好地检测出AWD中的Webshell攻击。      

结合多特征识别的恶意加密流量检测方法

随着加密流量的广泛使用,越来越多恶意软件也利用加密流量来传输恶意信息,由于其传输内容不可见,传统的基于深度包分析的检测方法带来精度下降和实时性不足等问题。本文通过分析恶意加密流量和正常流量的会话和协议,提出了一种结合多特征的恶意加密流量检测方法,该方法提取了加密流量会话的包长与时间马尔科夫链、包长与时间分布及包长与时间统计等方面的统计特征,结合握手阶段的TLS加密套件使用、证书及域名等协议特征,构建了863维的特征向量,利用机器学习方法对加密流量进行检测,从而发现恶意加密流量。测试结果表明,结合多特征的恶意加密流量检测方法能达到98%以上的分类准确性及99.8%以上召回率,且在保持相当的分类准确性基础上,具有更好的鲁棒性,适用性更广。     

基于遗传优化的PCA-SVM控制图模式识别

针对SVM和PCA-SVM进行质量控制图模式识别时泛化能力不足和识别精度不高的问题,提出一种基于遗传优化的PCA-SVM控制图模式识别方法。该方法的基本思想是首先基于特征子空间降维方法,运用PCA算法对原始特征样本进行主元分析,有效降低原始特征样本维数并突出聚类,提取各模式之间的主元特征;然后把此特征看成遗传算法中一组染色体,对支持向量机分类器核参数和惩罚因子进行二进制编码,通过对随机产生的一组染色体进行模式识别,并将此识别率作为遗传算法的适应度函数,通过选择、交叉和变异操作,对其参数进行自适应寻优;最后用优化的支持向量机分类器进行控制图模式识别。通过仿真进行验证,结果显示基于遗传优化的PCA-SVM分类器模型的控制图模式泛化能力强、识别精度高,可适用于生产现场质量控制。