Webshell检测方法研究综述

Webshell作为黑客常用的网络攻击手段,其检测一直是网络安全领域非常热门的问题,根据Webshell的类型和检测方式的不同,本文对目前Webshell检测各类方法进行分析之后,将其分为三个主要类目:基于静态文本的检测、基于动态行为的检测以及基于日志分析的检测,并且讨论了各类方法的核心及优缺点,并对下一步Webshell检测技术研究方向进行了展望。     

基于深度学习的Webshell检测

以AWD攻防中Webshell检测为背景,在超空间利用模糊C均值聚类分析发现了攻击向量全局稀疏、局部紧密的特点,提出了2种深度学习模型。由于GitHub收集的攻击行为多为随机获取,没有很好的针对性,所以对训练数据的长度进行了限制,并保留了有限的相关样本数量。由于一次攻击与相邻的2～4次操作紧密相关,而且攻击向量垂直方向关联特征明显,水平方向相对稳定,考虑到特征向量在传递过程中规模会减小,增加了卷积层的补零选项。针对深度学习训练曲线中的锯齿振荡现象,证明了Adam优化算法的快速计算公式,并修正了学习参数,不断消除了训练的Loss曲线中的锯齿,使得训练曲线按照指数规律平滑下降,迅速得到需要的训练结果。将目前已有的类似工作与提出的2种深度学习模型进行对比。实验结果表明,提出的的深度学习模型能够很好地检测出AWD中的Webshell攻击。     

基于WISE的Webshell检测技术研究

本文主要在现有语义分析的基础上,基于机器学习技术,通过引入虚拟执行,构建多级检测机制,开发出一种具备更强大、更智能的检测能力的WISE智能语义分析引擎。     

基于决策树的Webshell检测方法研究

Webshell是一种基于Web服务的后门程序.攻击者通过Webshell获得Web服务的管理权限,从而达到对Web应用的渗透和控制.由于Webshell和普通Web页面特征几乎一致,所以可逃避传统防火墙和杀毒软件的检测.而且随着各种用于反检测特征混淆隐藏技术应用到Webshell上,使得传统基于特征码匹配的检测方式很难及时检测出新的变种.本文将讨论Webshell的特点和机理,分析其混淆隐藏技术,发掘其重要特征,提出并实现了一种基于决策树的检测模型.该模型是一种监督的机器学习系统,对先验网页样本进行学习,可有效检测出变异Webshell,弥补了传统基于特征匹配检测方法的不足,而结合集体学习方法Boosting,可以增强该模型的稳定性,提高分类准确率.     

采用随机森林改进算法的Webshell检测方法*

为解决Webshell检测特征覆盖不全、检测算法有待完善的问题,论文提出一种基于随机森林的Webshell检测方法。首先对三种类型的Webshell进行深入特征分析,构建多维特征向量较全面的覆盖静态属性和动态行为,改进随机森林特征选取方法,依据Fisher比度量特征重要性,对子类的依赖特征进行划分,按比例和顺序从中选择特征,克服特征选择完全随机带来的弊端,提高决策树分类强度,降低树间相关度。实验对随机森林改进算法和标准算法进行了对比分析,结果表明改进算法依靠更少的决策树就能达到很好效果,并进一步与SVM算法进行比较,证明了该方法在Webshell检测问题上具有一定优越性。     

基于RNN的Webshell检测研究

近年来,互联网行业发展迅速,网络安全的重要性与日俱增。网络安全领域涉及到各种问题,比如恶意代码检测、攻击溯源等,而Webshell作为一种恶意代码,也得到了学术界和业界的关注。Webshell的检测方法除了简单低效的关键词匹配之外,还有各种机器学习算法。Webshell代码经过逃逸技术处理之后,基于关键词匹配的检测算法无法有效检测出Webshell,常规的机器学习算法不能提取深层特征,检测准确率不高。因此,提出基于RNN的Webshell检测方法。实验结果表明,该方法在准确率、漏报率、误报率等指标上优于传统的机器学习算法。     

基于多特征融合的Webshell恶意流量检测方法

Webshell是针对Web应用系统进行持久化控制的最常用恶意后门程序,对Web服务器安全运行造成巨大威胁。对于 Webshell 检测的方法大多通过对整个请求包数据进行训练,该方法对网页型 Webshell 识别效果较差,且模型训练效率较低。针对上述问题,提出了一种基于多特征融合的Webshell恶意流量检测方法,该方法以Webshell的数据包元信息、数据包载荷内容以及流量访问行为3个维度信息为特征,结合领域知识,从3个不同维度对数据流中的请求和响应包进行特征提取;并对提取特征进行信息融合,形成可以在不同攻击类型进行检测的判别模型。实验结果表明,与以往研究方法相比,所提方法在正常、恶意流量的二分类上精确率得到较大提升,可达99.25%;训练效率和检测效率也得到了显著提升,训练时间和检测时间分别下降95.73%和86.14%。     

基于卷积神经网络的Webshell检测方法研究

Webshell是攻击者使用的恶意脚本,其目的是升级和维护对已经受到攻击的Web应用程序的持久访问。然而,传统检测方法对于加密、混淆后的Webshell的识别效果较差。针对这一问题,提出了一种基于卷积神经网络的检测方法。该方法首先获得PHP文件对应的opcode,然后通过Word2vec算法得到字节码序列的特征词向量,最后经过卷积神经网络处理得到检测结果。实验结果表明,该方法在检测变种Webshell方面的表现优于其他算法,也证明了该方法的可行性和有效性。     

基于XGBoost算法的上市公司财务报表舞弊识别研究

研究了财务报表舞弊识别问题。以2011-2020年深沪A股上市公司的财务报表为样本数据,引入信息值构建指标筛选模型,提取17个财务变量和4个非财务变量,对样本数据进行清洗和归一化后,运用XGBoost算法对样本数据进行分类。实验结果表明,基于XGBoost算法构建的财务报表舞弊识别模型在所有性能指标上都优于机器学习算法中的逻辑回归、支持向量机和随机森林算法。     

基于深度学习的Webshell恶意代码检测方法研究

在当今现代化的世界中,人工智能逐渐被应用在各个领域之中,而深度学习就是人工智能的核心算法之一,近些年来也被广泛应用于网络安全领域,传统简单的通过人工定义规则集的检测方法逐渐被淘汰掉。而现在,如果将深度学习方法应用在检测Webshell中,不仅可以很好地提高准确率,而且和传统的机器学习方法相比,可以自动提取特征值,完成特征工程的过程更加智能化。因此基于深度学习来研究Webshell检测是近些年来一个得到持续关注的热点课题。该文主要针对使用PHP编写的Webshell进行检测,将深度学习方法和PHP文件操作码序列的特点进行结合,在构建的模型上训练测试数据集,最终可以获得相当高的准确率。     

基于Bi-GRU的Webshell检测

Webshell是一种隐蔽性较高的Web攻击工具, 其作用是获取服务器的操作权限. 在编写Webshell时, 攻击者通过一系列免杀技术来绕过防火墙, 这导致现有方法检测Webshell的效果不佳. 针对这一现状, 本文从文本分类的角度出发, 提出一种基于Bi-GRU的Webshell检测方法. 首先将网页脚本文件进行...     

基于机器学习方法的入侵检测技术的研究

入侵检测技术是近20年来才出现的一种有效保护网络系统免受网络攻击的新型网络安全技术.随着网络技术的迅速发展、安全问题的日益突出,传统的入侵检测系统已难以满足对越来越复杂的网络攻击的检测任务,将机器学习的技术引入到入侵监测系统之中以有效地提高系统性能,已成为入侵检测技术的研究热点.本文主要介绍了入侵检测系统的基本结构以及几种机器学习方法在入侵检测中的应用,其中包括:基于贝叶斯分类的方法、基于神经网络的方法、基于数据挖掘的方法与基于支持向量机的方法.     

基于SMOTE和XGBoost的贷款风险预测方法

近年来,随着在线信贷的飞速发展,贷款总量不断加大,违约概率不断提升。因此对贷款风险进行深入研究,对在线信贷企业预防互联网金融风险是非常具有现实意义的。针对贷款数据非平衡分布、大量噪声、维度高的问题,本文提出一种基于SMOTE和XGBoost的贷款风险预测方法。通过特征工程对数据进行降维和去噪;针对数据的非平衡问题,使用SMOTE算法进行过采样,平衡正负样本数目;基于以上工作,构建XGBoost分类模型,与一些传统分类算法进行对比,然后对比在不同正负样本比例时,预测结果的有效性。实验表明,相比于传统分类模型,XGBoost算法在贷款风险预测模型中具有更好的效果,通过SMOTE算法增加少数类样本的比例可以提高预测结果的有效性。     

基于FTRL和XGBoost算法的产品故障预测模型

随着智能化设备的日益更新和计算机储存数据能力的提升,制造业企业在其产品制造过程中产生了大量的流水线数据,如何充分利用这些数据一直是工业界的一个难题.本文根据制造业企业的真实大规模生产数据,通过对其进行细致的探索性数据分析,建立了一种基于FTRL和XGBoost算法的二分类产品故障预测模型,并根据适用于非平衡数据集的MCC （Matthews Correlation Coefficient）评价指标采用交叉验证方法对其进行优化.实验结果表明,该模型对于大规模（不仅样本量大,特征量也很大）正负样本非平衡的生产流水线数据集具有运行效率高,故障预测精度高的效果.基于此模型我们可以构建更智能的产品故障检测系统,有效降低企业运营成本的同时也带来了可观的利润增长.