基于统计方法与深度学习的Webshell检测模型研究与实现

发布时间：2021-10-02 08:19

　　随着互联网的高速发展,新兴产业迅速崛起,Web系统广泛应用于社交和银行等重要业务。但是,Web系统容易遭受攻击,严重影响经济安全和社会稳定。恶意代码攻击是主要的Web攻击手段之一,因此,恶意代码的检测研究是当前信息安全领域的研究热点。Webshell是一种典型的恶意代码,它是一种基于Web服务器的后门程序,具有隐蔽性高、危害性大的特点。基于Webshell的典型攻击方式、逃逸手段和现有检测方法,本文提出一种综合统计方法和深度学习的Webshell检测模型,特征向量包括语法特征和语义特征。在统计方法中,以关键词、特殊函数、最长单词等为语法特征,以Webshell代码的操作码序列的词频作为语义特征。在深度学习时,使用词向量编码方式对Webshell代码的操作码序列进行编码,将序列中的每个操作码编码成固定维度的特征向量。统计方法选择随机森林算法进行检测,深度学习选择长短期记忆网络（lstm）算法进行训练。从github上收集正常PHP文件和Webshell共五千多个样本集,实验表明,将两种模型融合后,检测效果更佳。 

【文章来源】：江西师范大学江西省

【文章页数】：51 页

【学位级别】：硕士

【文章目录】：
摘要
Abstract
1 绪论
    1.1 背景分析
        1.1.1 Web安全
    1.2 研究现状
    1.3 主要研究内容
    1.4 论文的结构
2 相关技术
    2.1 Webshell
        2.1.1 Webshell的特点
        2.1.2 Webshell的分类
        2.1.3 Webshell功能
        2.1.4 Webshell攻击原理
    2.2 Webshell的检测与逃逸技术
        2.2.1 Webshell的检测思路
        2.2.2 代码反检测技术
    2.3 数据流分析
        2.3.1 控制流程图
        2.3.2 抽象语法树(AST)
        2.3.3 Opcode
    2.4 机器学习算法
        2.4.1 分类器
        2.4.2 集成分类器
        2.4.3 LSTM
    2.5 特征提取
3 Webshell检测模型
    3.1 总体架构
    3.2 数据预处理
    3.3 统计模型
        3.3.1 语义特征提取与选择
        3.3.2 语法特征的选择
    3.4.深度学习模型
        3.4.1 模型训练
        3.4.2 模型检测
    3.5 模型融合
    3.6 模型评价指标
4 Webshell检测模型的实现
    4.1 统计检测模型
        4.1.1 操作码序列词频特征
        4.1.2 统计分类方法
        4.1.3 统计模型实现
    4.2 深度学习检测模型
    4.3 模型融合
5 系统的测试与评价
    5.1 系统运行环境
    5.2 实验过程
        5.2.1 基于语法特征匹配
        5.2.2 基于操作码序列词频
        5.2.3 深度学习检测
        5.2.4 统计检测模型
        5.2.5 融合模型方法
        5.2.6 融合模型
6 总结
参考文献
致谢
在读期间公开发表论文(著)及科研情况



本文编号：3418319