近年來,互聯(lián)網(wǎng)行業(yè)發(fā)展迅速,網(wǎng)絡(luò)安全的重要性與日俱增。網(wǎng)絡(luò)安全領(lǐng)域涉及到各種問題,比如惡意代碼檢測(cè)、攻擊溯源等,而Webshell作為一種惡意代碼,也得到了學(xué)術(shù)界和業(yè)界的關(guān)注。Webshell的檢測(cè)方法除了簡(jiǎn)單低效的關(guān)鍵詞匹配之外,還有各種機(jī)器學(xué)習(xí)算法。Webshell代碼經(jīng)過逃逸技術(shù)處理之后,基于關(guān)鍵詞匹配的檢測(cè)算法無法有效檢測(cè)出Webshell,常規(guī)的機(jī)器學(xué)習(xí)算法不能提取深層特征,檢測(cè)準(zhǔn)確率不高。因此,提出基于RNN的Webshell檢測(cè)方法。實(shí)驗(yàn)結(jié)果表明,該方法在準(zhǔn)確率、漏報(bào)率、誤報(bào)率等指標(biāo)上優(yōu)于傳統(tǒng)的機(jī)器學(xué)習(xí)算法。 

【文章來源】：計(jì)算機(jī)工程與應(yīng)用. 2020,56(14)北大核心CSCD

【文章頁數(shù)】：5 頁

【部分圖文】：

Webshell檢測(cè)流程

按照上述方法對(duì)整個(gè)數(shù)據(jù)集切詞，統(tǒng)計(jì)分析發(fā)現(xiàn)，約95.02%的字符串長(zhǎng)度小于25，其中小于25個(gè)字符的字符串?dāng)?shù)量情況見圖2。從圖2中可見，字符串主要集中在長(zhǎng)度小于15的短字符串。對(duì)于長(zhǎng)度為小于4的字符串一般是沒有實(shí)際意義的變量名或變量值的一部分，幾乎在每個(gè)樣本中都會(huì)大量出現(xiàn)。而字符串長(zhǎng)度大于等于15的字符串大多是經(jīng)過編碼和加密處理之后的字符串，此類字符串詞頻極低，且對(duì)源文件幾乎沒有區(qū)分能力。因此，只保留字符串長(zhǎng)度介于3到15之間的字符串。

vanilla LSTM結(jié)構(gòu)圖

【參考文獻(xiàn)】：
期刊論文
[1]基于多層神經(jīng)網(wǎng)絡(luò)的Webshell改進(jìn)檢測(cè)方法研究[J]. 張涵,薛質(zhì),施勇.  通信技術(shù). 2019(01)
[2]基于組合策略的Webshell檢測(cè)框架[J]. 王文清,彭國(guó)軍,陳震杭,胡岸琪.  計(jì)算機(jī)工程與設(shè)計(jì). 2018(04)
[3]基于流量的WebShell行為分析與檢測(cè)方法[J]. 趙運(yùn)弢,徐春雨,薄波,劉書林.  網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2018(04)
[4]基于多層感知器神經(jīng)網(wǎng)絡(luò)的WebShell檢測(cè)方法[J]. 胥小波,聶小明.  通信技術(shù). 2018(04)
[5]基于城域網(wǎng)HTTP日志的WebShell檢測(cè)方法研究[J]. 王林汝,姬艷.  江蘇通信. 2018(01)
[6]基于余弦相似計(jì)算原理的Webshell檢測(cè)方法[J]. 盧冬海,王洋洋,楊春艷.  寧波大學(xué)學(xué)報(bào)(理工版). 2017(06)
[7]基于Web日志的Webshell檢測(cè)方法研究[J]. 石劉洋,方勇.  信息安全研究. 2016(01)

碩士論文
[1]基于流量的Webshell通信識(shí)別[D]. 王應(yīng)軍.武漢大學(xué) 2018



本文編號(hào)：3515589