近年來,互聯(lián)網(wǎng)行業(yè)發(fā)展迅速,網(wǎng)絡(luò)安全的重要性與日俱增。網(wǎng)絡(luò)安全領(lǐng)域涉及到各種問題,比如惡意代碼檢測、攻擊溯源等,而Webshell作為一種惡意代碼,也得到了學(xué)術(shù)界和業(yè)界的關(guān)注。Webshell的檢測方法除了簡單低效的關(guān)鍵詞匹配之外,還有各種機器學(xué)習(xí)算法。Webshell代碼經(jīng)過逃逸技術(shù)處理之后,基于關(guān)鍵詞匹配的檢測算法無法有效檢測出Webshell,常規(guī)的機器學(xué)習(xí)算法不能提取深層特征,檢測準確率不高。因此,提出基于RNN的Webshell檢測方法。實驗結(jié)果表明,該方法在準確率、漏報率、誤報率等指標(biāo)上優(yōu)于傳統(tǒng)的機器學(xué)習(xí)算法。 

【文章來源】：計算機工程與應(yīng)用. 2020,56(14)北大核心CSCD

【文章頁數(shù)】：5 頁

【部分圖文】：

Webshell檢測流程

按照上述方法對整個數(shù)據(jù)集切詞，統(tǒng)計分析發(fā)現(xiàn)，約95.02%的字符串長度小于25，其中小于25個字符的字符串?dāng)?shù)量情況見圖2。從圖2中可見，字符串主要集中在長度小于15的短字符串。對于長度為小于4的字符串一般是沒有實際意義的變量名或變量值的一部分，幾乎在每個樣本中都會大量出現(xiàn)。而字符串長度大于等于15的字符串大多是經(jīng)過編碼和加密處理之后的字符串，此類字符串詞頻極低，且對源文件幾乎沒有區(qū)分能力。因此，只保留字符串長度介于3到15之間的字符串。

vanilla LSTM結(jié)構(gòu)圖

【參考文獻】：
期刊論文
[1]基于多層神經(jīng)網(wǎng)絡(luò)的Webshell改進檢測方法研究[J]. 張涵,薛質(zhì),施勇.  通信技術(shù). 2019(01)
[2]基于組合策略的Webshell檢測框架[J]. 王文清,彭國軍,陳震杭,胡岸琪.  計算機工程與設(shè)計. 2018(04)
[3]基于流量的WebShell行為分析與檢測方法[J]. 趙運弢,徐春雨,薄波,劉書林.  網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2018(04)
[4]基于多層感知器神經(jīng)網(wǎng)絡(luò)的WebShell檢測方法[J]. 胥小波,聶小明.  通信技術(shù). 2018(04)
[5]基于城域網(wǎng)HTTP日志的WebShell檢測方法研究[J]. 王林汝,姬艷.  江蘇通信. 2018(01)
[6]基于余弦相似計算原理的Webshell檢測方法[J]. 盧冬海,王洋洋,楊春艷.  寧波大學(xué)學(xué)報(理工版). 2017(06)
[7]基于Web日志的Webshell檢測方法研究[J]. 石劉洋,方勇.  信息安全研究. 2016(01)

碩士論文
[1]基于流量的Webshell通信識別[D]. 王應(yīng)軍.武漢大學(xué) 2018



本文編號：3515589