安全场景(4)Webshell检测

发表于 更新于 分类于 阅读次数: 本文字数: 382 阅读时长 ≈ 1 分钟

深度学习PHP webshell查杀引擎demo

  • https://www.cdxy.me/?p=788
  • ==Webshell研究综述:检测与对抗技术的动态博弈进展==:https://zhuanlan.zhihu.com/p/259985000
传统webshell查杀思路
  • 规则系统
  • 旁路执行
  • 沙箱
基于机器学习/深度学习的webshell查杀引擎,通过专家知识提取特征训练分类器,其结果受样本、特征、结构等多种因素影响。
特征维度:
  • 统计特征 (信息熵/重合指数/最长词/可压缩比)
  • 历史数据特征 (计算单个文件的落盘时间/文件创建进程/文件类型/代码风格/权限和同目录下其他文件的"距离")
  • OP指令层特征 (指令/调用链/参数文本特征)
  • 动态特征 (文件读写/网络连接,可依靠沙箱或旁路执行能力解决编码混淆类case)
  • 文本语义 (n-gram/TF-IDF/word2vec/CNN/RNN)