智能检测WebShell的机器学习算法

doi:10.11959/j.issn.2096-109x.2017.00126

网络与信息安全学报 ›› 2017, Vol. 3 ›› Issue (4): 51-57.doi: 10.11959/j.issn.2096-109x.2017.00126

智能检测WebShell的机器学习算法

戴桦(),李景,卢新岱,孙歆()

国家电网浙江省电力公司电力科学研究院，浙江杭州 310000

修回日期:2016-12-08 出版日期:2017-04-01 发布日期:2017-04-14
作者简介:戴桦（1985-），男，浙江杭州人，硕士，国家电网浙江省电力公司电力科学研究院工程师，主要研究方向为网络安全、工业控制系统信息安全。|李景（1983-），男，山东泰安人，硕士，国家电网浙江省电力公司电力科学研究院高级工程师，主要研究方向为电力信息化及网络信息安全。|卢新岱（1988-），男，浙江奉化人，硕士，国家电网浙江省电力公司电力科学研究院工程师，主要研究方向为信息安全及工控安全。|孙歆（1981-），男，浙江杭州人，硕士，国家电网浙江省电力公司电力科学研究院高级工程师，主要研究方向为应用系统安全、移动安全、工控安全。
基金资助:
国家自然科学基金资助项目(61472113);浙江省杰出青年基金资助项目(LR14F020003)

Machine learning algorithm for intelligent detection of WebShell

Hua DAI(),Jing LI,Xin-dai LU,Xin SUN()

Electric Power Research Institute of Zhejiang Electric Power Corporation,Hangzhou 310000,China

Revised:2016-12-08 Online:2017-04-01 Published:2017-04-14
Supported by:
The National Natural Science Foundation of China(61472113);The Outstanding Youth Fund of Zhejiang Province(LR14F020003)

摘要/Abstract

摘要：

WebShell是网络入侵的常用工具，具有威害性大、隐蔽性好等特点。目前的检测手段较简单，容易被绕过，难以对付复杂灵活的 WebShell。针对这些问题，提出一种智能检测 WebShell 的机器学习算法，通过对已知存在WebShell和不存在WebShell的页面进行特征学习，完成对未知页面的预测，灵活性、适应性较好。实验证明，相比传统的WebShell检测方法，该算法的检测效率、正确率更高，同时也能以一定概率检测出新型的WebShell。

关键词: WebShell检测, 矩阵分解, 特征训练

Abstract:

WebShell is a common tool for network intrusions,which has the characteristics of great harm and good concealment.The current detection method is relatively simple,and easy to be bypassed,so it is difficult to deal with complex and flexible WebShell.To solve these problems,a supervised machine learning algorithm was put forward to detect WebShell intelligently.By learning the features of existing WebShell and non-existing WebShell pages,the algorithm can make prediction of the unknown pages,and the flexibility and adaptability were both very good.Compared with the traditional WebShell detection methods,the experiment proves that the algorithm has higher detection efficiency and accuracy,and at the same time there is a certain probability to detect new types of WebShell.

Key words: WebShell detection, matrix decomposition, feature training

中图分类号:

TP309

戴桦,李景,卢新岱,孙歆. 智能检测WebShell的机器学习算法[J]. 网络与信息安全学报, 2017, 3(4): 51-57.

Hua DAI,Jing LI,Xin-dai LU,Xin SUN. Machine learning algorithm for intelligent detection of WebShell[J]. Chinese Journal of Network and Information Security, 2017, 3(4): 51-57.

图/表 5

图1

表1

表2

表3

表4

参考文献 16

[1]	MENG Z , MEI R , ZHANG T ,et al. Research of Linux WebShell detection based on SVM classifier[J].Netinfo Security, 2014.
[2]	MINGKUN X , XI C , YAN H . Design of software to search ASP WebShell[J]. Procedia Engineering, 2012,29: 123-127.
[3]	叶飞, 龚俭, 杨望 . 基于支持向量机的 WebShell 黑盒检测[J]. 南京航空航天大学学报, 2015,47(6): 924-930.
	YE F , GONG J , YANG W . Black box detection of WebShell based on support vector machine[J]. Journal of Nanjing University of Aeronautics and Astronautics, 2015,47(6): 924-930.
[4]	胡建康, 徐震, 马多贺 ,等. 基于决策树的 WebShell 检测方法研究[J]. 网络新媒体技术, 2012(6): 15-19.
	HU J K , XU Z , MA D H ,et al. A decision tree based research on Webshell detection method[J]. Network and New Media Technology, 2012(6): 15-19.
[5]	马立军 . 基于行为监测的窃密型木马检测研究[J]. 广西民族大学学报, 2014,20(2): 70-74.
	MA L J . A behavior monitoring based theft Trojan detection[J]. Journal of Guangxi University for Nationalities, 2014,20(2): 70-74.
[6]	石刘洋, 方勇 . 基于 Web 日志的 Webshell 检测方法研究[J]. 信息安全研究, 2016(1).
	SHI L Y , FANG Y . Webshell detection method research based on Web log[J]. Information Security Research, 2016(1).
[7]	马艳发 . 基于WAF入侵检测和变异WebShell检测算法的Web安全研究[D]. 天津:天津理工大学, 2016.
	MA Y F . Web security research based on WAF intrusion detection and mutation WebShell detection algorithm[D]. Tianjin:Tianjin University of Technology, 2016.
[8]	DENG L Y , DONG L L , CHEN Y H ,et al. Lexical analysis for the WebShell attacks[C]// The International Symposium on Computer,Consumer and Control,IEEE Computer Society. 2016: 579-582.
[9]	MURPHY K P . Machine learning:a probabilistic perspective[M]. Massachusetts: MIT pressPress, 2012.
[10]	BISHOP C M . Pattern recognition[J]. Machine Learning, 2006,128.
[11]	HOU Y T , CHANG Y , CHEN T ,et al. Malicious Web content detection by machine learning[J]. Expert Systems with Applications, 2010,37(1): 55-60.
[12]	路永和, 李焰锋 . 改进TE-IDF算法的文本特征项权值计算方法[J]. 图书情报工作, 2013,57(3): 90-95.
	LU Y H , LI Y F . An improved TE-IDF algorithm for calculating the weight of text feature[J]. Library and Information Service, 2013,57(3): 90-95.
[13]	KHALID S , KHALIL T , NASREEN S . A survey of feature selection and feature extraction techniques in machine learning[C]// Science and Information. 2014: 372-378.
[14]	彭行雄, 肖如良, 张桂刚 . 基于自适应提升的概率矩阵分解算法[J]. 计算机应用, 2015,35(12): 3497-3501.
	PENG X X , XIAO R L , ZHANG G G . Probabilistic matrix factorization algorithm based on Ada Boost[J]. Computer Application, 2015,35(12): 3497-3501.
[15]	李航 . 统计学习方法[M]. 北京: 清华大学出版社, 2012.
	LI H . Statistical learning method[M]. Beijing: Tsinghua University PressPress, 2012.
[16]	SCHEIN A I , UNGAR L H . Active learning for logistic regression:an evaluation[J]. Machine Learning, 2004,68(3): 235-265.

特征类型	特征描述
	单词数量
文本特征	不同单词的数量最大单词长度文本总长度注释数量
	特殊字符数量
其他特征	字符操作函数调用关键函数调用加解密函数调用系统函数调用文件调用
	ActiveX控件调用数据库调用
	脚本数量

实际结果	预测结果
实际结果	0	1
0	False Negative (FN)	False Positive (FP)
1	True Negative (TN)	True Positive (TP)

检测方法	RMSE
矩阵分解	0.211
Logistic	0.238
某安全产品	0.520

检测方法	准确率	召回率	F值
矩阵分解	0.982	0.813	0.890
Logistic	0.880	0.601	0.714
某安全产品	0.497	0.411	0.450

智能检测WebShell的机器学习算法

Machine learning algorithm for intelligent detection of WebShell

在线阅读

pdf下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 5

参考文献 16

相关文章 15

Metrics

本文评价

推荐阅读 10

[1]	王丰峰,张涛,徐伟光,孙蒙. 进程控制流劫持攻击与防御技术综述[J]. 网络与信息安全学报, 2019, 5(6): 10-20.
[2]	何玉芬, 殷赵霞, 汤进, 刘磊, 黄石磊. 基于非对称直方图平移的可逆信息隐藏算法[J]. 网络与信息安全学报, 2019, 5(5): 80-89.
[3]	李森有,季新生,游伟. 基于置信度分析的差分隐私保护参数配置方法研究[J]. 网络与信息安全学报, 2019, 5(4): 29-39.
[4]	刘亮,郭文博,杨昱威,郭怀宇. 基于分段加密和时效控制的QR码物流隐私保护方案[J]. 网络与信息安全学报, 2019, 5(4): 63-70.
[5]	李济洋,赵鹏远,刘喆. 基于加密SD卡的内网移动终端可信接入方案[J]. 网络与信息安全学报, 2019, 5(4): 108-118.
[6]	陈兴蜀,王海舟,王文贤,杨频,阮树骅. 探索“网安医生”人才培养模式[J]. 网络与信息安全学报, 2019, 5(3): 36-43.
[7]	赵伟,张问银,王九如,张亚伟. 基于区块链的企业管理系统框架设计与分析[J]. 网络与信息安全学报, 2019, 5(2): 13-22.
[8]	张琰,王瑾璠,齐竹云,杨镕玮,汪漪. 基于动态累加器的去中心化加密搜索方案[J]. 网络与信息安全学报, 2019, 5(2): 23-29.
[9]	宋宇波, 戚姗姗, 胡爱群. 权限可控传递的物联网共享设备委托授权访问机制[J]. 网络与信息安全学报, 2019, 5(2): 40-49.
[10]	吴奇烜,马建峰,孙聪. 采用完整性威胁树的信息流完整性度量方法[J]. 网络与信息安全学报, 2019, 5(2): 50-57.
[11]	左金鑫,郭子裕,李瑾,张洁,陆月明. 机密稳健复杂系统安全性评估方法[J]. 网络与信息安全学报, 2019, 5(2): 58-65.
[12]	苏秋月, 陈兴蜀, 罗永刚. 大数据环境下多源异构数据的访问控制模型[J]. 网络与信息安全学报, 2019, 5(1): 78-86.
[13]	方宁,曹卫兵,倪冬鹤,狄冠东. 基于Android平台并行运算机制的密码运算加速方案[J]. 网络与信息安全学报, 2019, 5(1): 50-55.
[14]	林素青. 支持访问更新的可验证外包属性加密方案[J]. 网络与信息安全学报, 2019, 5(1): 37-49.
[15]	孔凡玉,乔咏,刘蓬涛,刘晓东,周大水. RSA-CRT密码防御算法的故障注入攻击[J]. 网络与信息安全学报, 2019, 5(1): 30-36.