安全场景(4)Webshell检测
深度学习PHP webshell查杀引擎demo
- https://www.cdxy.me/?p=788
- ==Webshell研究综述:检测与对抗技术的动态博弈进展==:https://zhuanlan.zhihu.com/p/259985000
传统webshell查杀思路
- 规则系统
- 旁路执行
- 沙箱
基于机器学习/深度学习的webshell查杀引擎,通过专家知识提取特征训练分类器,其结果受样本、特征、结构等多种因素影响。
特征维度:
- 统计特征 (信息熵/重合指数/最长词/可压缩比)
- 历史数据特征 (计算单个文件的落盘时间/文件创建进程/文件类型/代码风格/权限和同目录下其他文件的"距离")
- OP指令层特征 (指令/调用链/参数文本特征)
- 动态特征 (文件读写/网络连接,可依靠沙箱或旁路执行能力解决编码混淆类case)
- 文本语义 (n-gram/TF-IDF/word2vec/CNN/RNN)