一种基于流量的webshell通信检测方案

A webshell communication detection scheme based on traffic

随着互联网技术飞速发展,服务器安全问题日益严峻,威胁到银行业务运行与资金安全,检测服务器漏洞和后门、保证业务安全成为当务之急。webshell是通过web网页入侵服务器的脚本攻击工具,是一个asp或php木马后门,攻击者在入侵了一个网站后,将这些后门文件放置在网站web目录中,与正常网页文件混在一起。目前检测webshell大多基于规则匹配代码内容,这样会存在大量误报和漏报,且对未知类型webshell变种无能为力。近年来,机器学习技术也得到webshell检测研究者青睐,但机器学习模型训练严重依赖样本的好坏,优质webshell正负样本很难采集到,模型特征难以设计和提取,导致现有模型很难做到准确有效。