【摘要】：WebShell是一種基于Web服務(wù)的后門(mén)程序。攻擊者可以通過(guò)“菜刀”等WebShell工具對(duì)網(wǎng)站服務(wù)器發(fā)起攻擊�；诰W(wǎng)絡(luò)的檢測(cè)可以監(jiān)控請(qǐng)求和響應(yīng)流量,發(fā)現(xiàn)異常行為,檢測(cè)Webshell的存在。一些機(jī)器學(xué)習(xí)和深度學(xué)習(xí)方法已經(jīng)在該領(lǐng)域得到應(yīng)用,但是目前的方法無(wú)法對(duì)未知的WebShell攻擊行為進(jìn)行檢測(cè),同時(shí)現(xiàn)有研究采用的模型檢測(cè)速度無(wú)法應(yīng)對(duì)大規(guī)模流量數(shù)據(jù)的檢測(cè)需求,且現(xiàn)有方法只檢測(cè)WebShell流量,并沒(méi)有深入研究WebShell攻擊是否成功。為解決上述問(wèn)題,本文提出了基于HTTP請(qǐng)求流量和響應(yīng)流量的Webshell攻擊行為檢測(cè)體系。具體來(lái)說(shuō):本文構(gòu)建了基于HTTP流量檢測(cè)WebShell攻擊的體系框架。該框架基于HTTP請(qǐng)求流量與響應(yīng)流量進(jìn)行攻擊識(shí)別,能夠識(shí)別WebShell攻擊流量并判斷攻擊是否成功,能夠?qū)崿F(xiàn)少量人工干預(yù)下的流量數(shù)據(jù)解析、數(shù)據(jù)處理、模型的訓(xùn)練和預(yù)測(cè),可應(yīng)用于實(shí)際流量檢測(cè)場(chǎng)景。本文充分利用HTTP流量報(bào)文中請(qǐng)求字段信息,提出了字符級(jí)流量?jī)?nèi)容特征轉(zhuǎn)換方法。本文提出了基于CNN和LSTM的模型架構(gòu),該架構(gòu)能夠擺脫對(duì)先驗(yàn)信息及專家知識(shí)的依賴性,并在各項(xiàng)檢測(cè)指標(biāo)上優(yōu)于其他模型。本文提出了響應(yīng)流量?jī)?nèi)容特征和結(jié)構(gòu)特征的提取方法,并通過(guò)實(shí)驗(yàn)檢驗(yàn)特征提取方法的合理性。本文采用了融合注意力機(jī)制的深度學(xué)習(xí)檢測(cè)模型和XG-Boost模型判別WebShell攻擊是否成功。實(shí)驗(yàn)結(jié)果顯示,本文采用的模型相比于其他機(jī)器學(xué)習(xí)模型有更加顯著的檢測(cè)效果。
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2019
【分類號(hào)】：TP393.08
【圖文】：

務(wù)器響應(yīng)客戶端請(qǐng)求而返回的報(bào)文）。逡逑２＿邋１．１邋ＨＴＴＰ請(qǐng)求報(bào)文逡逑ＨＴＴＰ請(qǐng)求報(bào)文由起始行、請(qǐng)求頭部以及請(qǐng)求體三個(gè)部分組成（圖２－１）。逡逑起始行：包括請(qǐng)求方法，ＵＲＬ以及ＨＴＴＰ協(xié)議版本。請(qǐng)求方法表示客戶端希逡逑望服務(wù)器對(duì)資源執(zhí)行的動(dòng)作，包括ＧＥＴ、ＨＥＡＤ、ＰＯＳＴ；邋ＵＲＬ命名了所請(qǐng)求的逡逑資源的訪問(wèn)路徑；ＨＴＴＰ協(xié)議版本標(biāo)明了報(bào)文所使用的ＨＴＴＰ版本號(hào)。此信息位逡逑于消息數(shù)據(jù)的第一行，如：“ＧＥＴ／ｉｎｄｅｘ．ｈｔｍｌＨＴＴＰ／１．１”；逡逑請(qǐng)求頭部：主要包含請(qǐng)求來(lái)源，連接類型和一些Ｃｏｏｋｉｅ信息等，常見(jiàn)字段逡逑５逡逑

＾２Ｂ２％２Ｃ２％２９％２６％２２％２２％２２％２２％２９？＾２２％２２％２２％２２％２９％３Ａｉ％ＢＤｉ％２Ｂ２％３ＡＥｎｄ－ｆＩｆ逡逑＾２２％２２％２６ｃｈｒ％％２８１０％２９％２６％２２％２２Ｎｅｘｔ％３ＡＥｎｄ＾Ｆｕｎｃｔｉｏｎ：Ｒｅｓｐｏｎｓｅ．Ｗｒｉｔｅｕ－逡逑圖２－１邋ＨＴＴＰ報(bào)文頭部逡逑請(qǐng)求體：請(qǐng)求體和請(qǐng)求頭部通過(guò)一個(gè)空行隔開(kāi)，當(dāng)ＨＴＴＰ報(bào)文屬于ＰＯＳＴ請(qǐng)逡逑求時(shí)，報(bào)文中會(huì)包含請(qǐng)求體，請(qǐng)求體將一個(gè)頁(yè)面表單中的組件值通過(guò)逡逑ｐａｒａｍｌ＝ｖａｌｕｅｌ＆ｐａｒａｍ２＝ｖａｌｕｅ２的鍵值對(duì)形式編碼成一個(gè)格式化串，它承載多個(gè)逡逑６逡逑

Ｔｏｍｃａｔ平臺(tái)，ＡＳＰ用于ＩＩＳ平臺(tái)。根據(jù)腳本程序的大小和功能，ＷｅｂＳｈｅｌｌ可以分逡逑為大馬、小馬和一句話木馬。這三種ＷｅｂＳｈｅｌｌ的特點(diǎn)如下：逡逑大馬，是一個(gè)具有綜合功能的通用型ＷｅｂＳｈｅｌｌ，如圖２－３所示。它通常包含逡逑用戶友好的界面顯示，攻擊者可以實(shí)現(xiàn)文件操作、系統(tǒng)命令執(zhí)行和遠(yuǎn)程數(shù)據(jù)庫(kù)篡逡逑改等木馬操作。大馬通常有只一個(gè)文件，且其代碼一般被混淆以躲過(guò)靜態(tài)檢測(cè)。逡逑此外，一些大馬也包含登錄界面。逡逑邐；［邋ＡＫ－７４邋Ｓｅｃｕｒｉｔｙ邋Ｔｅａｍ邋Ｗｅｂ－ｓｈｅｉｉ邋］：逡逑１．邐ＯＳ邋－邋Ｄａｒｗｉｎ邋ＭａｃＢｏｅｋＡｉｒ邋１６．７．０邋Ｄａｒ－ｗｉｎ邋Ｋｅｒｎｅｌ邋Ｖｅｒｓｉｏｎ邋１６．７．０：邋Ｔｈｕ邋Ｊｕｎ邋１５邋１７：３６：２７邋ＰＤＴ邋２０１７；邋ｒｏｏｔ：ｘｎｕ－３７８９．？０．１６－２／ＲＥＬＥＡＳＥ＿Ｘ８６＿６４邋ｘ８６＿６４逡逑２．邐ＰＨＰ邋－邋５．６．３０逡逑３．邐Ｕｓｅｒ邋－邋ａｉｒｇｈｃ邋１１邋Ｕｓ？ｒ邋ＩＤ邋－邋５０１邋（］邋Ｇｒｏｕｐ邋ＩＤ邋－邋２０逡逑４．邐Ｓｅｒｖｅｒ邋Ｓｏｆｔｗａｒｅ邋－邋Ａｐａｃｈｅ／２．４．２５邋（Ｕ？ｉｘ）邋ＰＨＰ／５．６．３０逡逑５．邐Ｒｅｑｕｅｓｔ邋Ｍｅｔｈｏｄ邋－邋ＧＥＴ逡逑６．邐Ｓｅｒｖｅｒ邋ＩＰ邋－邋：：１逡逑７．邐Ｙｏｕｒ邋ＩＰ邋－邋：：１逡逑８．邐Ｘ邋Ｆｏｒｗａｒｄｅｄ邋Ｆｏｒ邋ＩＰ邋－逡逑Ｃｏｐｙｒｉｇｈｔ邋ＡＫ－７４邋Ｓｅｃｕｒｉｔｙ．邋Ｔ？ａ．ｍ邋２００５邋－邋２０１８逡逑令令令令令令令令令令令令令令：０．０００５９７０００１２２０７０３１逡逑圖２－３大馬用戶操作界面逡逑小馬

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李志明;流量分析系統(tǒng)[J];計(jì)算機(jī)時(shí)代;2001年12期

2 卞茳;;構(gòu)架分布式流量分析系統(tǒng)[J];中國(guó)教育網(wǎng)絡(luò);2009年06期

3 李文林;劉純武;;萬(wàn)兆網(wǎng)絡(luò)流量分析系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J];信息與電腦(理論版);2016年16期

4 周孝鵬;;基于網(wǎng)絡(luò)安全的流量分析技術(shù)[J];信息與電腦(理論版);2019年12期

5 ;全流量分析感知未知威脅[J];中國(guó)信息安全;2017年05期

6 張堅(jiān);;運(yùn)用流量分析實(shí)現(xiàn)網(wǎng)絡(luò)精細(xì)化管理[J];中國(guó)科技財(cái)富;2008年07期

7 燕曉光;;某醫(yī)院急診夜間各時(shí)間段病人流量分析[J];中國(guó)衛(wèi)生統(tǒng)計(jì);2007年02期

8 竇長(zhǎng)江,王宇;流量分析儀在網(wǎng)絡(luò)測(cè)試中的應(yīng)用[J];國(guó)外電子測(cè)量技術(shù);2001年03期

9 姚偉棟;;流量分析新貴:東軟NetFlow技術(shù)[J];計(jì)算機(jī)安全;2006年09期

10 劉慶;;基于流量分析的帶寬管控策略[J];西部廣播電視;2017年12期

相關(guān)會(huì)議論文 前10條

1 徐小燕;劉光裕;;珊溪水庫(kù)設(shè)計(jì)流量分析方法探討[A];中國(guó)原水論壇專輯[C];2010年

2 丁凱;李紀(jì)偉;柳兵;;基于流量分析的住宅類水泵優(yōu)化選型研究[A];中國(guó)工程建設(shè)標(biāo)準(zhǔn)化協(xié)會(huì)建筑給水排水專業(yè)委員會(huì)、中國(guó)土木工程學(xué)會(huì)水工業(yè)分會(huì)建筑給水排水委員會(huì)2015年學(xué)術(shù)交流年會(huì)論文集[C];2015年

3 耿震春;石泉;王崢;;PTN網(wǎng)絡(luò)流量的分析和研究[A];內(nèi)蒙古通信學(xué)會(huì)2017年優(yōu)秀論文集[C];2017年

4 張秀成;;應(yīng)用流控設(shè)備進(jìn)行流量分析與管理——鐵通內(nèi)蒙古分公司采用ALLOT設(shè)備進(jìn)行帶寬優(yōu)化總結(jié)[A];《內(nèi)蒙古通信》2013年第1-4期[C];2013年

5 段付德;呂海新;王璐;;安陽(yáng)市南海泉流量分析與保護(hù)對(duì)策[A];科技、工程與經(jīng)濟(jì)社會(huì)協(xié)調(diào)發(fā)展——河南省第四屆青年學(xué)術(shù)年會(huì)論文集（下冊(cè)）[C];2004年

6 陳彥名;劉濤;張健躍;吳興耀;張晨;;基于P2P架構(gòu)的多媒體視頻流量分析[A];中國(guó)通信學(xué)會(huì)第六屆學(xué)術(shù)年會(huì)論文集（下）[C];2009年

7 黃曉波;;基于“Cacti+RrdTool+Mysql+Net-Snmp”的IP城域網(wǎng)流量分析系統(tǒng)[A];武漢市第二屆學(xué)術(shù)年會(huì)、通信學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集[C];2006年

8 李巧宏;劉維超;孟靜;;基于客運(yùn)流量分析杭州都市經(jīng)濟(jì)圈功能結(jié)構(gòu)[A];轉(zhuǎn)型與重構(gòu)——2011中國(guó)城市規(guī)劃年會(huì)論文集[C];2011年

9 杜德義;祁生海;;網(wǎng)絡(luò)流量測(cè)量技術(shù)研究[A];第22屆中國(guó)數(shù)字廣播電視與網(wǎng)絡(luò)發(fā)展年會(huì)暨第13屆全國(guó)互聯(lián)網(wǎng)與音視頻廣播發(fā)展研討會(huì)論文集[C];2014年

10 吳鳳嬌;;IP城域網(wǎng)寬帶流量分析[A];中國(guó)通信學(xué)會(huì)信息通信網(wǎng)絡(luò)技術(shù)委員會(huì)2009年年會(huì)論文集（下冊(cè)）[C];2009年

相關(guān)重要報(bào)紙文章 前10條

1 記者 王駿;重慶聯(lián)通欺詐流量分析系統(tǒng)正式上線[N];人民郵電;2017年

2 ;戴德網(wǎng)絡(luò) 輕松管好網(wǎng)絡(luò)流量[N];中國(guó)計(jì)算機(jī)報(bào);2009年

3 中國(guó)信息主管網(wǎng) 張靜;精準(zhǔn)流量分析技術(shù)挑戰(zhàn)傳統(tǒng)路由[N];中國(guó)計(jì)算機(jī)報(bào);2009年

4 本報(bào)記者 許婷;百科帝流量分析助運(yùn)營(yíng)商走出網(wǎng)絡(luò)“迷宮”[N];通信產(chǎn)業(yè)報(bào);2009年

5 本報(bào)記者 徐莉;流量分析成就實(shí)時(shí)響應(yīng)[N];網(wǎng)絡(luò)世界;2004年

6 ;流量分析：保障個(gè)性化行銷(xiāo)[N];中國(guó)計(jì)算機(jī)報(bào);2005年

7 ;Sniffer從流量分析中找問(wèn)題[N];中國(guó)計(jì)算機(jī)報(bào);2003年

8 張志剛;IPFIX完善流量分析[N];中國(guó)計(jì)算機(jī)報(bào);2003年

9 ;天下流量Google皆知[N];電腦報(bào);2005年

10 中國(guó)鋼鐵工業(yè)協(xié)會(huì)信息統(tǒng)計(jì)部 焦響;6月份我國(guó)主要鋼鐵產(chǎn)品區(qū)域流量分析[N];中國(guó)冶金報(bào);2010年

相關(guān)博士學(xué)位論文 前3條

1 王偉;基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量分類及異常檢測(cè)方法研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2018年

2 桂小林;基于行為特征的海量Web流量的識(shí)別與分析[D];北京郵電大學(xué);2016年

3 喬媛媛;基于Hadoop的網(wǎng)絡(luò)流量分析系統(tǒng)的研究與應(yīng)用[D];北京郵電大學(xué);2014年

相關(guān)碩士學(xué)位論文 前10條

1 孟浩;匿名系統(tǒng)Tor的軟件架構(gòu)與偽流量研究[D];北京郵電大學(xué);2019年

2 關(guān)洪超;基于HTTP流量的WebShell檢測(cè)研究[D];北京郵電大學(xué);2019年

3 陳家盛;基于SDN的流量?jī)?yōu)化系統(tǒng)的研究[D];南京郵電大學(xué);2018年

4 李U

本文編號(hào)：2791980