Webshell是一種Web端的惡意腳本文件。它通常由攻擊者上傳至目標服務(wù)器來達成其非法的訪問控制的目的�，F(xiàn)有Webshell檢測方法存在諸多不足,如單一的網(wǎng)絡(luò)流量行為、簡易被繞過的簽名比對、單一的正則匹配等。針對上述不足之處,基于PHP語言的Webshell,提出了一種基于多視角特征融合的Webshell檢測方法,首先,提取包括詞法特征、句法特征、抽象特征在內(nèi)的多種特征;其次,利用費舍爾評分對特征進行重要程度的排序與篩選;最后,通過SVM建立能有效區(qū)分Webshell和正常腳本的模型。在大規(guī)模的實驗中,模型對Webshell和正常樣本的最終分類精度達到了92.1%。 

【文章來源】：電信科學(xué). 2020,36(06)

【文章頁數(shù)】：8 頁

【部分圖文】：

費舍爾得分與分類精度的關(guān)系

Webshell檢測流程

為了優(yōu)化模型，本文采集網(wǎng)格搜索法確定最佳的SVM訓(xùn)練參數(shù)。在SVM中，需要確定的兩個主要參數(shù)分別是C和γ，其中，參數(shù)C是懲罰系數(shù)。如果C變大，說明懲罰的力度變大，導(dǎo)致模型不夠靈活、泛化能力變?nèi)醯那闆r。反之，如果C變小，那么懲罰力度就自然變小，模型就容易出現(xiàn)欠擬合的現(xiàn)象。另一個參數(shù)γ決定了數(shù)據(jù)映射到新的特征空間后的分布。與參數(shù)C的情況類似，γ太大會導(dǎo)致模型并不學(xué)習(xí)向量的內(nèi)容，而是僅僅記住了支持向量本身，導(dǎo)致泛化能力下降，容易出現(xiàn)過擬合的情況。而γ太小則會造成新特征空間的數(shù)據(jù)分布過于平滑，出現(xiàn)欠擬合的情況。本文首先將SVM收斂系數(shù)固定為0.01，參數(shù)γ固定為0.01，參數(shù)C與模型最終分類精度的變化如圖3所示。由圖3可知，當參數(shù)C的值為0.8時，分類效果最佳。同理，當SVM收斂系數(shù)固定為0.01，參數(shù)C固定為0.8時，參數(shù)γ與模型最終分類精度的變化如圖4所示。由圖4可知，當參數(shù)γ的值為0.03時，分類效果最佳。綜上所述，本文中采用C=0.8和γ=0.03。在最優(yōu)參數(shù)下，本文做了10次交叉驗證，最終得到的TP、FP、TN、FN的平均值見表3。由表3可知Webshell的識別率TPR為90.7%，正常腳本的識別率TNR為93.6%。模型最終分類精度為92.1%。在實際運用中，可以調(diào)整分類的閾值，例如在安全性較高的Web服務(wù)器上，將分類閾值變小，這樣可以適當?shù)亟档驼Ｄ_本的識別率來提高對Webshell的檢測率。


本文編號：3250162