基于LSTM和TF-IDF的反弹Shell检测方法
发布时间:2021-08-01 16:15
高级持续性威胁(APT)已成为网络空间所面临的主要安全威胁之一,而针对用户Shell的恶意命令检测近年来一直是研究的热点。本研究提出了一种基于LSTM的反弹Shell检测方法,通过检测用户储存在bash日志中的shell命令检测是否存在反弹Shell攻击行为。考虑到反弹Shell的隐蔽性、前后关联性和时序性,本研究利用TF-IDF实现特征提取并使用长短期记忆网络训练模型进行检测,区分正常行为和恶意行为。通过实验结果和对比表明,该方法具有很高的检测能力和泛化能力。
【文章来源】:通信技术. 2020,53(12)
【文章页数】:5 页
【部分图文】:
LSTM链式结构
图1 LSTM链式结构LSTM网络通过遗忘门、输入门和输出门来控制细胞的状态变化。在每轮迭代中,首先将上一轮的输出ht-1和本轮输入xt经过遗忘门来决定要舍弃的信息。公式为:
将反弹Shell样本和部分SEA数据集命令输入TF-IDF算法中,提取出的部分特征短语如图3所示。本实验将原始SEA数据集中的数据块视为正常数据,然后从中随机抽取一部分数据块,将其中的部分命令替换为反弹Shell中提取的特征命令记录。本实验将这些被修改过的数据块视为异常数据。正常数据和异常数据的格式如图4所示。其中标签设为1的是插入了特征命令记录的异常数据块,标签设为0的是未经修改的正常数据块。
【参考文献】:
期刊论文
[1]APT分析与大数据计算思考[J]. 崔翔,刘潮歌,程学旗. 中国信息安全. 2014(01)
本文编号:3315840
【文章来源】:通信技术. 2020,53(12)
【文章页数】:5 页
【部分图文】:
LSTM链式结构
图1 LSTM链式结构LSTM网络通过遗忘门、输入门和输出门来控制细胞的状态变化。在每轮迭代中,首先将上一轮的输出ht-1和本轮输入xt经过遗忘门来决定要舍弃的信息。公式为:
将反弹Shell样本和部分SEA数据集命令输入TF-IDF算法中,提取出的部分特征短语如图3所示。本实验将原始SEA数据集中的数据块视为正常数据,然后从中随机抽取一部分数据块,将其中的部分命令替换为反弹Shell中提取的特征命令记录。本实验将这些被修改过的数据块视为异常数据。正常数据和异常数据的格式如图4所示。其中标签设为1的是插入了特征命令记录的异常数据块,标签设为0的是未经修改的正常数据块。
【参考文献】:
期刊论文
[1]APT分析与大数据计算思考[J]. 崔翔,刘潮歌,程学旗. 中国信息安全. 2014(01)
本文编号:3315840
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3315840.html
