基于深度学习的Webshell检测技术研究

发布时间：2020-08-31 16:34

　　 Webshell是一种脚本语言编写的黑客工具,是黑客攻击中非常关键的一个环节,一旦服务器被攻击者写入Webshell,就很可能导致服务器被黑客完全控制,从而导致挖矿、挂马、数据泄露、内网渗透等一系列严重后果。Webshell变形灵活,很容易逃避安全软件的查杀。深度学习类检测模型准确率虽然较传统检测算法高,但检测模型较为脆弱,很容易受到对抗样本攻击。本文主要针对深度学习Webshell检测模型的脆弱性问题,研究了模型脆弱的原因,在攻击和防护两个方面进行研究和实验验证。主要的研究成果有:(1)提出了一种利用词袋可控溢出污染数据集的新方法;通过利用词袋提取算法的一个安全隐患,产生可控的词袋溢出,可以在模型的训练阶段达到拒绝服务的攻击效果。(2)提出了一种快速生成对抗样本的方法;通过在反向语料库中随机搜索对抗词汇,并结合脚本语言程序语法,构造难以过滤的对抗特征,并将其注入Webshell,达到免杀深度学习检测模型的攻击效果。(3)提出了一种特征加强的Webshell检测模型。该模型通过融合机器特征和人工特征,整体上提高了检测模型的非线性程度和表达能力。实验使用的数据集为GitHub开源Webshell收集项目,经实验验证,该融合模型较原模型不仅准确率得到了进一步提高,而且可以防止很大程度上的对抗样本攻击、在叠加干扰噪声的数据集上依然能进行较好的学习。
【学位单位】：海南大学
【学位级别】：硕士
【学位年份】：2019
【中图分类】：TP393.08;TP18
【部分图文】：

利用Ｗｅｂｓｈｅｌｌ的功能来进一步扩大攻击成果。逡逑首先，需要了解Ｗｅｂｓｈｅｌｌ运行在什么权限下，使用命令“ｗｈｏａｍｉ”查看Ｗｅｂｓｈｅｌｌ逡逑的角色，如图２．１，如果不是管理员权限，则不能执行一些高权限命令，如：打开或逡逑结束某些进程、写入某些目录。此时需要找到一个拥有写权限的目录，使用Ｗｅｂｓｈｅｌｌ逡逑的上传功能，上传其他提权工具，并用Ｗｅｂｓｈｅｌｌ命令执行功能，执行该提权工具，逡逑添加远程管理员用户。提权工具利用了操作系统漏洞，对未及时打补丁的系统威胁很逡逑大。逡逑Ｆｉｌｅ邋Ｍａｎａｇｅｍｅｎｔ邋Ｃｏｍｍａｎｄ邋Ｗｉｎｄｏｗ邋Ｓｙｓｔｅｍ邋Ｐｒｏｐｅｒｔｙ邋Ｈｅｌｐ邋Ｔｈａｎｋｓ邋ｆｏｒ邋ｙｏｕｒ邋ｓｕｐｐ逡逑ｗｈｏ邋ａｍｉ逦［邋Ｅｘｅｃｕｔｅ邋ｊ逡逑ｎｔ邋ａｕｔｈｏｒｉｔｙ＼ｓｙｓｔｅｍ逡逑Ｉ逡逑图２．１邋Ｗｅｂｓｈｅｌｌ执行命令逡逑Ｆｉｇ．邋２．１邋Ｗｅｂｓｈｅｌｌ邋ｅｘｅｃｕｔｅ邋ｃｏｍｍａｎｄ逡逑８逡逑

海南大学硕士学位论文逦逡逑获取到管理员权限后，攻击者已经完全控制了该主机，可以打开远程桌面、安装逡逑、安装挖矿软件、读取域管理员登录用户名密码、修改网站页面、插入暗链等严逡逑危害网站安全的行为。如图２．２所示，攻击者可以通过Ｗｅｂｓｈｅｌｌ结束或者开启某些逡逑。逡逑－邋－

W七加heU

【参考文献】

相关期刊论文 前3条

1 张庭秀;程光;郭晓军;潘吴斌;;Evil-hunter:基于评分机制的web shell检测系统(英文)[J];Journal of Southeast University(English Edition);2014年03期

2 黄建军;梁彬;;基于植入特征的网页恶意代码检测[J];清华大学学报(自然科学版);2009年S2期

3 吴润浦;方勇;吴少华;;基于统计与代码特征分析的网页木马检测模型[J];信息与电子工程;2009年01期

相关博士学位论文 前1条

1 王欣;WEB应用系统安全检测关键技术研究[D];北京邮电大学;2011年

相关硕士学位论文 前6条

1 王应军;基于流量的Webshell通信识别[D];武汉大学;2018年

2 潘杰;基于机器学习的WebShell检测关键技术研究[D];中国民航大学;2015年

3 刘洪;基于Web日志挖掘的安全事件分析与实现[D];北京邮电大学;2014年

4 李洋;基于机器学习的网页恶意代码检测技术研究[D];西安电子科技大学;2013年

5 鲍金霞;基于数据挖掘的网页恶意代码检测技术研究[D];华中科技大学;2012年

6 魏为;基于内容的网页恶意代码检测的研究与实现[D];华中科技大学;2011年

本文编号：2809057