高級持續(xù)性威脅（APT）已成為網(wǎng)絡(luò)空間所面臨的主要安全威脅之一,而針對用戶Shell的惡意命令檢測近年來一直是研究的熱點。本研究提出了一種基于LSTM的反彈Shell檢測方法,通過檢測用戶儲存在bash日志中的shell命令檢測是否存在反彈Shell攻擊行為�？紤]到反彈Shell的隱蔽性、前后關(guān)聯(lián)性和時序性,本研究利用TF-IDF實現(xiàn)特征提取并使用長短期記憶網(wǎng)絡(luò)訓(xùn)練模型進行檢測,區(qū)分正常行為和惡意行為。通過實驗結(jié)果和對比表明,該方法具有很高的檢測能力和泛化能力。 

【文章來源】：通信技術(shù). 2020,53(12)

【文章頁數(shù)】：5 頁

【部分圖文】：

LSTM鏈?zhǔn)浇Y(jié)構(gòu)

圖1 LSTM鏈?zhǔn)浇Y(jié)構(gòu)LSTM網(wǎng)絡(luò)通過遺忘門、輸入門和輸出門來控制細(xì)胞的狀態(tài)變化。在每輪迭代中，首先將上一輪的輸出ht-1和本輪輸入xt經(jīng)過遺忘門來決定要舍棄的信息。公式為：

將反彈Shell樣本和部分SEA數(shù)據(jù)集命令輸入TF-IDF算法中，提取出的部分特征短語如圖3所示。本實驗將原始SEA數(shù)據(jù)集中的數(shù)據(jù)塊視為正常數(shù)據(jù)，然后從中隨機抽取一部分?jǐn)?shù)據(jù)塊，將其中的部分命令替換為反彈Shell中提取的特征命令記錄。本實驗將這些被修改過的數(shù)據(jù)塊視為異常數(shù)據(jù)。正常數(shù)據(jù)和異常數(shù)據(jù)的格式如圖4所示。其中標(biāo)簽設(shè)為1的是插入了特征命令記錄的異常數(shù)據(jù)塊，標(biāo)簽設(shè)為0的是未經(jīng)修改的正常數(shù)據(jù)塊。

【參考文獻】：
期刊論文
[1]APT分析與大數(shù)據(jù)計算思考[J]. 崔翔,劉潮歌,程學(xué)旗.  中國信息安全. 2014(01)



本文編號：3315840