基于HTTP流量的WebShell检测研究

发布时间：2020-08-13 12:08

【摘要】：WebShell是一种基于Web服务的后门程序。攻击者可以通过“菜刀”等WebShell工具对网站服务器发起攻击。基于网络的检测可以监控请求和响应流量,发现异常行为,检测Webshell的存在。一些机器学习和深度学习方法已经在该领域得到应用,但是目前的方法无法对未知的WebShell攻击行为进行检测,同时现有研究采用的模型检测速度无法应对大规模流量数据的检测需求,且现有方法只检测WebShell流量,并没有深入研究WebShell攻击是否成功。为解决上述问题,本文提出了基于HTTP请求流量和响应流量的Webshell攻击行为检测体系。具体来说:本文构建了基于HTTP流量检测WebShell攻击的体系框架。该框架基于HTTP请求流量与响应流量进行攻击识别,能够识别WebShell攻击流量并判断攻击是否成功,能够实现少量人工干预下的流量数据解析、数据处理、模型的训练和预测,可应用于实际流量检测场景。本文充分利用HTTP流量报文中请求字段信息,提出了字符级流量内容特征转换方法。本文提出了基于CNN和LSTM的模型架构,该架构能够摆脱对先验信息及专家知识的依赖性,并在各项检测指标上优于其他模型。本文提出了响应流量内容特征和结构特征的提取方法,并通过实验检验特征提取方法的合理性。本文采用了融合注意力机制的深度学习检测模型和XG-Boost模型判别WebShell攻击是否成功。实验结果显示,本文采用的模型相比于其他机器学习模型有更加显著的检测效果。
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP393.08
【图文】：

务器响应客户端请求而返回的报文）。逡逑２＿邋１．１邋ＨＴＴＰ请求报文逡逑ＨＴＴＰ请求报文由起始行、请求头部以及请求体三个部分组成（图２－１）。逡逑起始行：包括请求方法，ＵＲＬ以及ＨＴＴＰ协议版本。请求方法表示客户端希逡逑望服务器对资源执行的动作，包括ＧＥＴ、ＨＥＡＤ、ＰＯＳＴ；邋ＵＲＬ命名了所请求的逡逑资源的访问路径；ＨＴＴＰ协议版本标明了报文所使用的ＨＴＴＰ版本号。此信息位逡逑于消息数据的第一行，如：“ＧＥＴ／ｉｎｄｅｘ．ｈｔｍｌＨＴＴＰ／１．１”；逡逑请求头部：主要包含请求来源，连接类型和一些Ｃｏｏｋｉｅ信息等，常见字段逡逑５逡逑

＾２Ｂ２％２Ｃ２％２９％２６％２２％２２％２２％２２％２９？＾２２％２２％２２％２２％２９％３Ａｉ％ＢＤｉ％２Ｂ２％３ＡＥｎｄ－ｆＩｆ逡逑＾２２％２２％２６ｃｈｒ％％２８１０％２９％２６％２２％２２Ｎｅｘｔ％３ＡＥｎｄ＾Ｆｕｎｃｔｉｏｎ：Ｒｅｓｐｏｎｓｅ．Ｗｒｉｔｅｕ－逡逑图２－１邋ＨＴＴＰ报文头部逡逑请求体：请求体和请求头部通过一个空行隔开，当ＨＴＴＰ报文属于ＰＯＳＴ请逡逑求时，报文中会包含请求体，请求体将一个页面表单中的组件值通过逡逑ｐａｒａｍｌ＝ｖａｌｕｅｌ＆ｐａｒａｍ２＝ｖａｌｕｅ２的键值对形式编码成一个格式化串，它承载多个逡逑６逡逑

Ｔｏｍｃａｔ平台，ＡＳＰ用于ＩＩＳ平台。根据脚本程序的大小和功能，ＷｅｂＳｈｅｌｌ可以分逡逑为大马、小马和一句话木马。这三种ＷｅｂＳｈｅｌｌ的特点如下：逡逑大马，是一个具有综合功能的通用型ＷｅｂＳｈｅｌｌ，如图２－３所示。它通常包含逡逑用户友好的界面显示，攻击者可以实现文件操作、系统命令执行和远程数据库篡逡逑改等木马操作。大马通常有只一个文件，且其代码一般被混淆以躲过静态检测。逡逑此外，一些大马也包含登录界面。逡逑逦；［邋ＡＫ－７４邋Ｓｅｃｕｒｉｔｙ邋Ｔｅａｍ邋Ｗｅｂ－ｓｈｅｉｉ邋］：逡逑１．逦ＯＳ邋－邋Ｄａｒｗｉｎ邋ＭａｃＢｏｅｋＡｉｒ邋１６．７．０邋Ｄａｒ－ｗｉｎ邋Ｋｅｒｎｅｌ邋Ｖｅｒｓｉｏｎ邋１６．７．０：邋Ｔｈｕ邋Ｊｕｎ邋１５邋１７：３６：２７邋ＰＤＴ邋２０１７；邋ｒｏｏｔ：ｘｎｕ－３７８９．？０．１６－２／ＲＥＬＥＡＳＥ＿Ｘ８６＿６４邋ｘ８６＿６４逡逑２．逦ＰＨＰ邋－邋５．６．３０逡逑３．逦Ｕｓｅｒ邋－邋ａｉｒｇｈｃ邋１１邋Ｕｓ？ｒ邋ＩＤ邋－邋５０１邋（］邋Ｇｒｏｕｐ邋ＩＤ邋－邋２０逡逑４．逦Ｓｅｒｖｅｒ邋Ｓｏｆｔｗａｒｅ邋－邋Ａｐａｃｈｅ／２．４．２５邋（Ｕ？ｉｘ）邋ＰＨＰ／５．６．３０逡逑５．逦Ｒｅｑｕｅｓｔ邋Ｍｅｔｈｏｄ邋－邋ＧＥＴ逡逑６．逦Ｓｅｒｖｅｒ邋ＩＰ邋－邋：：１逡逑７．逦Ｙｏｕｒ邋ＩＰ邋－邋：：１逡逑８．逦Ｘ邋Ｆｏｒｗａｒｄｅｄ邋Ｆｏｒ邋ＩＰ邋－逡逑Ｃｏｐｙｒｉｇｈｔ邋ＡＫ－７４邋Ｓｅｃｕｒｉｔｙ．邋Ｔ？ａ．ｍ邋２００５邋－邋２０１８逡逑令令令令令令令令令令令令令令：０．０００５９７０００１２２０７０３１逡逑图２－３大马用户操作界面逡逑小马

【相似文献】

相关期刊论文 前10条

1 李志明;流量分析系统[J];计算机时代;2001年12期

2 卞茳;;构架分布式流量分析系统[J];中国教育网络;2009年06期

3 李文林;刘纯武;;万兆网络流量分析系统设计与实现[J];信息与电脑(理论版);2016年16期

4 周孝鹏;;基于网络安全的流量分析技术[J];信息与电脑(理论版);2019年12期

5 ;全流量分析感知未知威胁[J];中国信息安全;2017年05期

6 张坚;;运用流量分析实现网络精细化管理[J];中国科技财富;2008年07期

7 燕晓光;;某医院急诊夜间各时间段病人流量分析[J];中国卫生统计;2007年02期

8 窦长江,王宇;流量分析仪在网络测试中的应用[J];国外电子测量技术;2001年03期

9 姚伟栋;;流量分析新贵:东软NetFlow技术[J];计算机安全;2006年09期

10 刘庆;;基于流量分析的带宽管控策略[J];西部广播电视;2017年12期

相关会议论文 前10条

1 徐小燕;刘光裕;;珊溪水库设计流量分析方法探讨[A];中国原水论坛专辑[C];2010年

2 丁凯;李纪伟;柳兵;;基于流量分析的住宅类水泵优化选型研究[A];中国工程建设标准化协会建筑给水排水专业委员会、中国土木工程学会水工业分会建筑给水排水委员会2015年学术交流年会论文集[C];2015年

3 耿震春;石泉;王峥;;PTN网络流量的分析和研究[A];内蒙古通信学会2017年优秀论文集[C];2017年

4 张秀成;;应用流控设备进行流量分析与管理——铁通内蒙古分公司采用ALLOT设备进行带宽优化总结[A];《内蒙古通信》2013年第1-4期[C];2013年

5 段付德;吕海新;王璐;;安阳市南海泉流量分析与保护对策[A];科技、工程与经济社会协调发展——河南省第四届青年学术年会论文集（下册）[C];2004年

6 陈彦名;刘涛;张健跃;吴兴耀;张晨;;基于P2P架构的多媒体视频流量分析[A];中国通信学会第六届学术年会论文集（下）[C];2009年

7 黄晓波;;基于“Cacti+RrdTool+Mysql+Net-Snmp”的IP城域网流量分析系统[A];武汉市第二届学术年会、通信学会2006年学术年会论文集[C];2006年

8 李巧宏;刘维超;孟静;;基于客运流量分析杭州都市经济圈功能结构[A];转型与重构——2011中国城市规划年会论文集[C];2011年

9 杜德义;祁生海;;网络流量测量技术研究[A];第22届中国数字广播电视与网络发展年会暨第13届全国互联网与音视频广播发展研讨会论文集[C];2014年

10 吴凤娇;;IP城域网宽带流量分析[A];中国通信学会信息通信网络技术委员会2009年年会论文集（下册）[C];2009年

相关重要报纸文章 前10条

1 记者 王骏;重庆联通欺诈流量分析系统正式上线[N];人民邮电;2017年

2 ;戴德网络 轻松管好网络流量[N];中国计算机报;2009年

3 中国信息主管网 张静;精准流量分析技术挑战传统路由[N];中国计算机报;2009年

4 本报记者 许婷;百科帝流量分析助运营商走出网络“迷宫”[N];通信产业报;2009年

5 本报记者 徐莉;流量分析成就实时响应[N];网络世界;2004年

6 ;流量分析：保障个性化行销[N];中国计算机报;2005年

7 ;Sniffer从流量分析中找问题[N];中国计算机报;2003年

8 张志刚;IPFIX完善流量分析[N];中国计算机报;2003年

9 ;天下流量Google皆知[N];电脑报;2005年

10 中国钢铁工业协会信息统计部 焦响;6月份我国主要钢铁产品区域流量分析[N];中国冶金报;2010年

相关博士学位论文 前3条

1 王伟;基于深度学习的网络流量分类及异常检测方法研究[D];中国科学技术大学;2018年

2 桂小林;基于行为特征的海量Web流量的识别与分析[D];北京邮电大学;2016年

3 乔媛媛;基于Hadoop的网络流量分析系统的研究与应用[D];北京邮电大学;2014年

相关硕士学位论文 前10条

1 孟浩;匿名系统Tor的软件架构与伪流量研究[D];北京邮电大学;2019年

2 关洪超;基于HTTP流量的WebShell检测研究[D];北京邮电大学;2019年

3 陈家盛;基于SDN的流量优化系统的研究[D];南京邮电大学;2018年

4 李U

本文编号：2791980