基于BERT和XGBoost的Webshell检测方案

Web服务的后门程序Webshell是黑客攻击的常用手段.传统的检测方法在检测经过变种、混淆加密的Web-shell后门时存在漏检率和误报率较高的缺陷.为解决这一问题,融合BERT和XGBoost的特性设计了一种新的检测方法,能极大地提升Webshell后门程序的检测准确率.在检测中把经过预处理的Webshell样本文件使用BERT模型提取词向量特征,并使用集成学习算法XGBoost进行分类训练,得到一个较优的检测模型,最后利用该模型能有效的实现各种Webshell恶意程序检测.相对于基于传统机器学习的检测模型,我们提出的综合Webshell检测方法在精确度、查全率和F1值等各项指标上均展现出优异的性能,其检测的准确性高达97.75%.

基于BERT-LSTM模型的WebShell文件检测研究

针对基于传统规则的WebShell文件检测难度大,采用文本分类的思想,设计了一种基于BERT-LSTM模型的WebShell检测方法。首先,对现有公开的正常PHP文件和恶意PHP文件进行清洗编译,得到指令opcode码;然后,通过变换器的双向编码器表示技术(BERT)将操作码转换为特征向量;最后结合长短期记忆网络(LSTM)从文本序列角度检测特征建立分类模型。实验结果表明,该检测模型的准确率为98.95%,召回率为99.45%,F1值为99.09%,相比于其他模型检测效果更好。

WebShell应急响应检测方法研究与实践

互联网上的Web信息系统的飞速发展,给人们的生活和办公上带来了便利。然而,近年来网络安全事件频发,暴露出互联网的Web信息系统面临的风险和其脆弱性。作为网站服务器的后门恶意文件,即WebShell,其具有极强的隐蔽性,是黑客入侵网站的重要手段,直接影响着互联网上Web信息系统的安全与效率。因此,对WebShell的分析和研究就显得极为重要。鉴于此,讨论WebShell的分类方法,分析了两种WebShell的上传方法,给出了当前WebShell检测的主流方法,介绍了WebShell应急响应的一般流程。最后给出一个Windows操作系统服务器,针对WebShell应急响应处置流程进行实验。实验结果表明,结合现有的WebShell检测和响应技术可以保障Web信息系统的安全性、可用性和稳定性。

基于BERT-CNN的Webshell流量检测系统设计与实现

Webshell是一种网站后门程序,常被黑客用于入侵服务器后对服务器进行控制,给网站带来严重的安全隐患。针对以往基于流量的机器学习检测Webshell方法存在特征选择不全、向量化不准确、模型设计不合理导致的检测效果不佳问题,设计并实现了一种将基于变换器的双向编码器表示技术(BERT)与卷积神经网络(CNN)相结合的Webshell流量检测系统,通过分析超文本传输协议(HTTP)报文中各个字段信息,提取其中具有Webshell信息的特征字段,使用BERT模型对特征进行向量化编码,并结合一维CNN模型从不同空间维度检测特征建立分类模型,最后使用模型对流量数据进行检测调优。实验结果表明,与以往基于流量检测方法相比,该检测系统在准确率、召回率和F1值等性能指标上表现更好,分别达到99.84%、99.83%、99.84%。

JShellDetector: A Java FilelessWebshell Detector Based on Program Analysis

Fileless webshell attacks against Java web applications have becomemore frequent in recent years as Java has gained market share. Webshell is amalicious script that can remotely execute commands and invade servers. Itis widely used in attacks against web applications. In contrast to traditionalfile-based webshells, fileless webshells leave no traces on the hard drive, whichmeans they are invisible to most antivirus software. To make matters worse,although there are some studies on fileless webshells, almost all of themare aimed at web applications developed in the PHP language. The complexmechanism of Java makes researchers face more challenges. To mitigate thisattack, this paper proposes JShellDetector, a fileless webshell detector forJava web applications based on program analysis. JShellDetector uses methodprobes to capture dynamic characteristics of web applications in the JavaVirtual Machine (JVM). When a suspicious class tries to call a specificsensitive method, JShellDetector catches it and converts it from the JVMto a bytecode file. Then, JShellDetector builds a Jimple-based control flowgraph and processes it using taint analysis techniques. A suspicious classis considered malicious if there is a valid path from sources to sinks. Todemonstrate the effectiveness of the proposed approach, we manually collect35 test cases (all open source on GitHub) and test JShellDetector and onlytwo other Java fileless webshell detection tools. The experimental results showthat the detection rate of JShellDetector reaches 77.1%, which is about 11%higher than the other two tools.

基于RASP技术在容器环境的内存Webshell检测研究

容器成为支撑云计算应用运行的重要载体,容器安全变得越来越重要.频繁爆出的容器安全事件让容器安全防护的研究刻不容缓,与传统的网络安全防护重视边界防护不同的是,容器安全更重视运行时和整体的安全防护.从攻防的视角出发,提出了一种针对容器环境下比较高危的攻击手段内存Webshell攻击的检测研究方法.

基于WISE的Webshell检测技术研究

本文主要在现有语义分析的基础上,基于机器学习技术,通过引入虚拟执行,构建多级检测机制,开发出一种具备更强大、更智能的检测能力的WISE智能语义分析引擎。

基于支持向量机的Webshell黑盒检测

Webshell是一种基于Web的网站后门程序。当前已有的Webshell检测方法都需要根据脚本程序源代码来检测,因此只能部署在服务器主机上,而且只能检测本机的网站代码。本文通过分析Webshell的HTML页面特征,提出了一种基于支持向量机(Support vector machine,SVM)分类算法的黑盒检测方法。该方法是一种有监督的机器学习系统,对先验网页的HTML页面进行学习,可以在未知脚本源代码的情况下对Webshell进行检测。实现结果表明,该方法在黑盒的条件下达到了较高的准确率和极低的误报率,并且取得了与白盒检测方法相近的检出率,可以部署在基于网络的入侵检测系统中,同时监测多台服务器是否包含Webshell,从而帮助监控入侵趋势和网络安全态势。

采用随机森林改进算法的WebShell检测方法

为解决WebShell检测特征覆盖不全、检测算法有待完善的问题,提出一种基于随机森林改进算法的WebShell检测方法。首先对三种类型的WebSshell进行深入特征分析,构建多维特征,较全面地覆盖静态属性和动态行为,改进随机森林特征选取方法;依据Fisher比度量特征重要性,对子类的依赖特征进行划分,按比例和顺序从中选择特征,克服特征选择完全随机带来的弊端,提高决策树分类强度,降低树间相关度。实验对随机森林改进算法和标准算法进行了对比分析,结果表明改进算法依靠更少的决策树就能达到很好的效果,并进一步与SVM算法进行比较,证明该方法提高了WebShell检测的效率和准确率。

Linux下基于SVM分类器的WebShell检测方法研究

WebShell是一种常见的网页后门,它常常被攻击者用来获取Web服务器的操作权限。文章首先分析了Linux下WebShell的实现机理,描述了WebShell的常见特征和特征混淆方法,然后以此为基础,提出了一种基于SVM分类器的检测方法,并在仿真平台下对其予以实现。文章从准确度、特定度和灵敏度3个方面比较了基于SVM分类器的WebShell检测方法、基于特征匹配的WebShell检测方法和基于决策树的WebShell检测方法。实验结果表明,文章提出的方法能够准确、高效地对WebShell进行检测。

基于Webshell的僵尸网络研究

以Web服务器为控制目标的僵尸网络逐渐兴起,传统命令控制信道模型无法准确预测该类威胁。对传统Webshell控制方式进行改进,提出一种树状拓扑结构的信道模型。该模型具备普适和隐蔽特性,实验证明其命令传递快速可靠。总结传统防御手段在对抗该模型时的局限性,分析该信道的固有脆弱性,提出可行的防御手段。

基于决策树的Webshell检测方法研究

Webshell是一种基于Web服务的后门程序。攻击者通过Webshell获得Web服务的管理权限,从而达到对Web应用的渗透和控制。由于Webshell和普通Web页面特征几乎一致,所以可逃避传统防火墙和杀毒软件的检测。而且随着各种用于反检测特征混淆隐藏技术应用到Webshell上,使得传统基于特征码匹配的检测方式很难及时检测出新的变种。本文将讨论Webshell的特点和机理,分析其混淆隐藏技术,发掘其重要特征,提出并实现了一种基于决策树的检测模型。该模型是一种监督的机器学习系统,对先验网页样本进行学习,可有效检测出变异Webshell,弥补了传统基于特征匹配检测方法的不足,而结合集体学习方法 Boosting,可以增强该模型的稳定性,提高分类准确率。

基于多层神经网络的Webshell改进检测方法研究

Webshell是常见的网络攻击方式,而传统的检测手段已无法应对复杂灵活的变种Webshell攻击。因此,提出了一种基于多层神经网络的Webshell改进检测方法。首先,将采集的文件样本进行预编译处理,得到中间代码opcode;其次,使用较新颖的词向量转换算法word2vec将代码序列转换为特征向量;最后,通过设计好的多层神经网络进行检测。经过实验,相较于其他方法,所提方法有效提高了准确率、召回率等性能参数。

基于CNN的Webshell文件检测

Webshell是一种以ASP、PHP和JSP等网页文件形式存在的命令执行环境,可以用于Web服务器的远程访问控制.Webshell采用混淆和加密,增加了分析难度和检测难度.基于特征值匹配的Webshell检测方法难以有效对抗混淆加密,且无法检测未知的Webshell,为此提出了一种基于CNN的Webshell检测方法.该方法首先编译PHP文件获取opcode,再利用词汇表模型提取词序特征,最后训练得到CNN检测模型.实验结果表明,该方法在精确率、召回率、F1值都优于传统的机器学习算法,且检测率也高于现有的安全工具,证明了该方法的有效性.

基于深度学习的Webshell检测

以AWD攻防中Webshell检测为背景,在超空间利用模糊C均值聚类分析发现了攻击向量全局稀疏、局部紧密的特点,提出了2种深度学习模型。由于GitHub收集的攻击行为多为随机获取,没有很好的针对性,所以对训练数据的长度进行了限制,并保留了有限的相关样本数量。由于一次攻击与相邻的2~4次操作紧密相关,而且攻击向量垂直方向关联特征明显,水平方向相对稳定,考虑到特征向量在传递过程中规模会减小,增加了卷积层的补零选项。针对深度学习训练曲线中的锯齿振荡现象,证明了Adam优化算法的快速计算公式,并修正了学习参数,不断消除了训练的Loss曲线中的锯齿,使得训练曲线按照指数规律平滑下降,迅速得到需要的训练结果。将目前已有的类似工作与提出的2种深度学习模型进行对比。实验结果表明,提出的的深度学习模型能够很好地检测出AWD中的Webshell攻击。

基于PHP扩展的webshell检测研究

webshell通常是以网页文件形式存在的一种命令执行环境,也可以将其称为网页后门。本文主要介绍从php内核基础利用hook技术实现一种基于php扩展的webshell防御机制。使用该方法可以有效防御变形webshell,弥补传统防御检测机制的不足。

一种基于多视角特征融合的Webshell检测方法

Webshell是一种Web端的恶意脚本文件。它通常由攻击者上传至目标服务器来达成其非法的访问控制的目的。现有Webshell检测方法存在诸多不足,如单一的网络流量行为、简易被绕过的签名比对、单一的正则匹配等。针对上述不足之处,基于PHP语言的Webshell,提出了一种基于多视角特征融合的Webshell检测方法,首先,提取包括词法特征、句法特征、抽象特征在内的多种特征;其次,利用费舍尔评分对特征进行重要程度的排序与筛选;最后,通过SVM建立能有效区分Webshell和正常脚本的模型。在大规模的实验中,模型对Webshell和正常样本的最终分类精度达到了92.1%。

基于TF-IDF的Webshell文件检测

随着互联网的飞速发展,网络攻击行为日益频繁。Webshell是常见的网络攻击方式,而传统的检测手段已无法应对复杂灵活的变种Webshell攻击。为解决这一问题,提出了一种基于TF-IDF的Webshell文件检测方法。系统首先对不同类型的Webshell文件进行分类,并对不同文件进行相应的预处理转码,以降低混淆干扰技术对检测的影响;随后建立词袋模型,并采用TF-IDF算法加权提取相关特征;最后使用XGBoost算法训练得到检测模型。与传统机器学习算法进行的10折交叉验证对比测试表明,使用TF-IDF算法预处理后结合XGBoost算法的Webshell文件检测模型性能出色,检测效果相较于传统检测方法在准确率、精确率、召回率等方面均有所提高,同时具备更强的鲁棒性与泛化能力,其中对PHP类型文件检测的准确率达到了98.09%,对JSP类型文件检测准确率达到了97.09%。

基于语义分析的Webshell检测技术研究

提出了一种基于语义分析的Webshell检测方法,通过对文件进行语法分析,得到代码的行为节点和相关依赖关系,并通过风险模型匹配实现语义理解从而完成Webshell检测.在分析过程中提出了污点子树的获取方法,通过节点风险值评估表,准确定位Webshell文件恶意行为发生点,剔除无关影响因子.使用巴斯克范式对行为进行特征的提取和描述,构造风险模型.最后通过计算得到平滑的风险值曲线完成文件危险程度评估,通过阈值的调整可进行更精细的评估分析.在此基础上,完成了系统的设计和编写,对检测思路进行了验证.实验结果表明,基于语义的检测方法可以有效地对行为意图进行判断,区分正常文件和Webshell.

深度学习在webshell检测中的应用研究

分析了WebShell产生原因及其危害性。采用ADFA-LD数据集,训练集和测试集数据的比例为7:3,然后运用Pytorch深度学习框架,设计和实现了一个BP神经网络模型和一个LSTM神经网络模型。BP神经网络层数4层,其中隐藏层2层,第1层隐藏层有100个神经元,第2层隐藏层有50个神经元,激活函数为logistic函数,迭代次数为10,初始学习率设置为0.001。LSTM神经网络层数3层,输入X的特征维度为124,其中隐藏层1层,100个神经元,迭代次数为100,每组数据20个,学习率为0.001。实验表明:两个模型检测精度最终均为95%,说明本文构建的两个神经网络模型在模型结构、参数设置上较合理,因此两个模型能以较高准确率检测Web站点中是否存在WebShell。