采用随机森林改进算法的WebShell检测方法

为解决WebShell检测特征覆盖不全、检测算法有待完善的问题,提出一种基于随机森林改进算法的WebShell检测方法。首先对三种类型的WebSshell进行深入特征分析,构建多维特征,较全面地覆盖静态属性和动态行为,改进随机森林特征选取方法;依据Fisher比度量特征重要性,对子类的依赖特征进行划分,按比例和顺序从中选择特征,克服特征选择完全随机带来的弊端,提高决策树分类强度,降低树间相关度。实验对随机森林改进算法和标准算法进行了对比分析,结果表明改进算法依靠更少的决策树就能达到很好的效果,并进一步与SVM算法进行比较,证明该方法提高了WebShell检测的效率和准确率。

Linux下基于SVM分类器的WebShell检测方法研究

WebShell是一种常见的网页后门,它常常被攻击者用来获取Web服务器的操作权限。文章首先分析了Linux下WebShell的实现机理,描述了WebShell的常见特征和特征混淆方法,然后以此为基础,提出了一种基于SVM分类器的检测方法,并在仿真平台下对其予以实现。文章从准确度、特定度和灵敏度3个方面比较了基于SVM分类器的WebShell检测方法、基于特征匹配的WebShell检测方法和基于决策树的WebShell检测方法。实验结果表明,文章提出的方法能够准确、高效地对WebShell进行检测。

基于BERT和XGBoost的Webshell检测方案

Web服务的后门程序Webshell是黑客攻击的常用手段.传统的检测方法在检测经过变种、混淆加密的Web-shell后门时存在漏检率和误报率较高的缺陷.为解决这一问题,融合BERT和XGBoost的特性设计了一种新的检测方法,能极大地提升Webshell后门程序的检测准确率.在检测中把经过预处理的Webshell样本文件使用BERT模型提取词向量特征,并使用集成学习算法XGBoost进行分类训练,得到一个较优的检测模型,最后利用该模型能有效的实现各种Webshell恶意程序检测.相对于基于传统机器学习的检测模型,我们提出的综合Webshell检测方法在精确度、查全率和F1值等各项指标上均展现出优异的性能,其检测的准确性高达97.75%.

一种基于多视角特征融合的Webshell检测方法

Webshell是一种Web端的恶意脚本文件。它通常由攻击者上传至目标服务器来达成其非法的访问控制的目的。现有Webshell检测方法存在诸多不足,如单一的网络流量行为、简易被绕过的签名比对、单一的正则匹配等。针对上述不足之处,基于PHP语言的Webshell,提出了一种基于多视角特征融合的Webshell检测方法,首先,提取包括词法特征、句法特征、抽象特征在内的多种特征;其次,利用费舍尔评分对特征进行重要程度的排序与筛选;最后,通过SVM建立能有效区分Webshell和正常脚本的模型。在大规模的实验中,模型对Webshell和正常样本的最终分类精度达到了92.1%。

基于XGBoost算法的Webshell检测方法研究

为解决加密型Webshell与非加密型Webshell的代码特征不统一、难以提取的问题,提出一种基于XGBoost算法的Webshell检测方法。首先,对Webshell进行功能分析,发现绝大部分Webshell都具有代码执行、文件操作、数据库操作和压缩与混淆编码等特点,这些特征全面地描述了Webshell的行为。因此,对于非加密型的Webshell,将其主要特征划分为相关函数出现的次数。对于加密型的Webshell,根据代码的静态特性,将文件重合指数、信息熵、最长字符串长度、压缩比4个参数作为其特征。最后,将两种特征统一起来作为Webshell特征,改善了Webshell特征覆盖不全的问题。实验结果表明,所提方法能有效地对两种Webshell进行检测;与传统的单一类型Webshell检测方法相比,该方法提高了Webshell检测的效率与准确率。

基于组合策略的Webshell检测框架

为解决Webshell检测效果不佳的问题,分析其特点,综合考虑指纹匹配抗混淆能力、代码混淆识别能力及检测准确率3个因素,提出基于标识符分词的混淆检测算法、基于语法树的指纹算法及一套污点分析检测机制,在此基础上构建一种基于组合策略的检测框架。污点分析机制中,在污点分析技术的基础上,加入编码函数及危险函数识别,对危险函数的参数进行危险分类标记,改进现有数据流静态分析方法。实验结果表明,该框架的Webshell整体检测率与混淆Webshell的检测率优于大部分测试软件。

基于关联分析的Webshell检测方法研究

目前Webshell检测工具大多基于特征库匹配实现检测,而对混淆加密后的Webshell检测准确率低.针对Webshell的混淆性选取统计特征,提出一种基于关联分析的Webshell检测方法.该方法应用关联分析算法得出特征参数潜在的隐含关系,通过支持度和置信度阈值调整,建立同时满足最小支持度和置信度的特征关联规则,再通过交叉验证检测效果.结果表明,该方法实现对混淆Webshell的检测,并将2种关联分析方法和检测工具进行比较,证明该方法提高了检测效率和准确率.

基于NN-SVM的Webshell检测方法

本文针对Webshell特征混淆选取新的特征参数,应用NN-SVM的分类特性来识别Webshell,来提高Webshell检测概率。由于样本正反混淆造成SVM分类准确率不够高,采用一种基于NN分类器的改进算法,综合距离与同异类点个数的因素,通过计算样本点对最近T个样本点的类别归属程度来对样本集进行修剪,从而减少正反类的混淆,以降低SVM的学习代价,提高泛化能力,在有效的减少学习样本数同时,解决小样本的机器学习问题,优化SVM对Webshell的检测能力。

基于决策树的Webshell检测方法研究

Webshell是一种基于Web服务的后门程序。攻击者通过Webshell获得Web服务的管理权限,从而达到对Web应用的渗透和控制。由于Webshell和普通Web页面特征几乎一致,所以可逃避传统防火墙和杀毒软件的检测。而且随着各种用于反检测特征混淆隐藏技术应用到Webshell上,使得传统基于特征码匹配的检测方式很难及时检测出新的变种。本文将讨论Webshell的特点和机理,分析其混淆隐藏技术,发掘其重要特征,提出并实现了一种基于决策树的检测模型。该模型是一种监督的机器学习系统,对先验网页样本进行学习,可有效检测出变异Webshell,弥补了传统基于特征匹配检测方法的不足,而结合集体学习方法 Boosting,可以增强该模型的稳定性,提高分类准确率。

Webshell检测方案探索与实践

多年来,由于Webshell脚本语言灵活、利用姿势多变、隐秘性强,使其成为备受黑客青睐的攻击后门之一。如何有效检测Webshell是安全行业的难题之一。目前市场上存在多种检测方式,典型的有静态检测(包括正则、ssdeep等),动态检测(类似沙箱)和基于日志的检测,但在实际检测过程中这些方式并不理想。文章探索与实践了3种检测方式:基于深度学习检测Webshell、基于抽象语法树和动态执行相结合检测Webshell,以及基于动态检测和AI推理引擎相结合检测Webshell。经过市场公测验证,基于动态检测和AI推理引擎相结合的检测方法可以有效检测Webshell。文章通过对比这些不同检测方法,希望提供Webshell检测的新思路,以推动安全行业的进步和发展。

Webshell检测方法研究综述

Webshell作为黑客常用的网络攻击手段,其检测一直是网络安全领域非常热门的问题,根据Webshell的类型和检测方式的不同,本文对目前Webshell 检测各类方法进行分析之后,将其分为三个主要类目:基于静态文本的检测、基于动态行为的检测以及基于日志分析的检测,并且讨论了各类方法的核心及优缺点,并对下一步Webshell 检测技术研究方向进行了展望。

基于深度学习和半监督学习的webshell检测方法

半监督学习是一种重要的机器学习方法,能同时使用有标记样本和无标记样本进行学习。在webshell检测领域,有标记样本少、形式灵活多变、易混淆,基于特征匹配的方式很难进行准确检测。针对标记样本较少的现状,提出一种基于深度学习和半监督学习的webshell检测方法,先使用卡方检验和深度学习方法获取样本的文本向量,然后分别使用单分类和增量学习方式训练,提高分类性能。使用github公开数据集进行训练和测试,实验结果验证该方法能够有效改善webshell检测的漏报率和误报率。

基于深度学习的Webshell检测

以AWD攻防中Webshell检测为背景,在超空间利用模糊C均值聚类分析发现了攻击向量全局稀疏、局部紧密的特点,提出了2种深度学习模型。由于GitHub收集的攻击行为多为随机获取,没有很好的针对性,所以对训练数据的长度进行了限制,并保留了有限的相关样本数量。由于一次攻击与相邻的2~4次操作紧密相关,而且攻击向量垂直方向关联特征明显,水平方向相对稳定,考虑到特征向量在传递过程中规模会减小,增加了卷积层的补零选项。针对深度学习训练曲线中的锯齿振荡现象,证明了Adam优化算法的快速计算公式,并修正了学习参数,不断消除了训练的Loss曲线中的锯齿,使得训练曲线按照指数规律平滑下降,迅速得到需要的训练结果。将目前已有的类似工作与提出的2种深度学习模型进行对比。实验结果表明,提出的的深度学习模型能够很好地检测出AWD中的Webshell攻击。

基于PHP扩展的webshell检测研究

webshell通常是以网页文件形式存在的一种命令执行环境,也可以将其称为网页后门。本文主要介绍从php内核基础利用hook技术实现一种基于php扩展的webshell防御机制。使用该方法可以有效防御变形webshell,弥补传统防御检测机制的不足。

基于城域网HTTP日志的WebShell检测方法研究

针对网站的隐蔽性攻击(如被植入后门等)表现出逐年稳定增长态势,网站攻击者使用获取的Web Shell从而发动网络攻击已经是惯用的手法,已有的研究方式在面对0day入侵的攻击行为检测方面效果有限。基于HTTP日志数据,统计提取了访问参数特征及访问行为特征两方面经行量化并设计了基于大数据环境的Web Shell检测方法,有效解决了实时处理海量数据以及检测未知入侵事件的问题。

基于污点分析的WebShell检测研究

本文针对当前传统的Webshell检测方法检测存在大量误报和漏报、未知和变种Webshell检测率低、加密混淆Webshll检测手段缺失等问题,提出了一种基于污点分析的Webshell检测方法,即在传统Webshell检测方法之上引入基于污点分析技术,并选取真实环境总的样本数据做测试。测试结果表明,该方法相比某商业Webshell检测引擎检出率明显提升,漏报率明显下降,且对于特殊Webshell具备较高的独报能力,为Webshell检测提供一种有效的解决方案。

基于RASP技术在容器环境的内存Webshell检测研究

容器成为支撑云计算应用运行的重要载体,容器安全变得越来越重要.频繁爆出的容器安全事件让容器安全防护的研究刻不容缓,与传统的网络安全防护重视边界防护不同的是,容器安全更重视运行时和整体的安全防护.从攻防的视角出发,提出了一种针对容器环境下比较高危的攻击手段内存Webshell攻击的检测研究方法.

ATWebshell:基于对抗学习和长短语义感知的Webshell检测方法

【目的】Webshell是一类基于网页脚本的Web攻击程序。黑客攻击者可以通过Webshell获取服务器相关权限来窃取有价值的信息和篡改网页内容等。Webshell种类繁多,现有的检测技术手段无法应对复杂灵活的Webshell,导致Webshell检测效果差,泛化能力弱等问题。【方法】针对目前存在问题,本文提出了ATWebshell,一种融合对抗学习和长短语义感知的Webshell检测模型。该模型一方面在词向量层主动引入对抗扰动来模拟攻击者对Webshell检测的对抗攻击,另一方面通过TextCNN和GRU双塔模型联合学习句内和句间的恶意行为。【结果】实验结果表明,本文的模型ATWebshell在提升召回率的同时也提升了精确率。【结论】通过结果证明本文ATWebshell模型的合理性和有效性,本文的研究方法为其它研究提供了思路。

基于语义分析的Webshell检测技术研究

提出了一种基于语义分析的Webshell检测方法,通过对文件进行语法分析,得到代码的行为节点和相关依赖关系,并通过风险模型匹配实现语义理解从而完成Webshell检测.在分析过程中提出了污点子树的获取方法,通过节点风险值评估表,准确定位Webshell文件恶意行为发生点,剔除无关影响因子.使用巴斯克范式对行为进行特征的提取和描述,构造风险模型.最后通过计算得到平滑的风险值曲线完成文件危险程度评估,通过阈值的调整可进行更精细的评估分析.在此基础上,完成了系统的设计和编写,对检测思路进行了验证.实验结果表明,基于语义的检测方法可以有效地对行为意图进行判断,区分正常文件和Webshell.

深度学习在webshell检测中的应用研究

分析了WebShell产生原因及其危害性。采用ADFA-LD数据集,训练集和测试集数据的比例为7:3,然后运用Pytorch深度学习框架,设计和实现了一个BP神经网络模型和一个LSTM神经网络模型。BP神经网络层数4层,其中隐藏层2层,第1层隐藏层有100个神经元,第2层隐藏层有50个神经元,激活函数为logistic函数,迭代次数为10,初始学习率设置为0.001。LSTM神经网络层数3层,输入X的特征维度为124,其中隐藏层1层,100个神经元,迭代次数为100,每组数据20个,学习率为0.001。实验表明:两个模型检测精度最终均为95%,说明本文构建的两个神经网络模型在模型结构、参数设置上较合理,因此两个模型能以较高准确率检测Web站点中是否存在WebShell。