前言

无。


基于LSTM的Webshell检测方法研究

看起来是通过检查HTTP流量检测webshell上传,不是文件检测。

基于规则匹配的预处理方法

比较简易的检测方法,基于规则匹配对HTTP的URL和POST数据进行初步检查,从关键词、Payload字符数等方面来处理数据集,通过总结归纳规律完成这一项简单且成本低的检查。

URL白名单

常见的网站域名、API调用、正常的文件上传和一些其他关键词。(小怪)

Payload长度

即webshell文件上传,根据统计数据,webshell的Payload长度主要集中在1000-1250之间,最后选择120-1.1M长度的进行下一步处理。

key-value长度

即webshell以key-value形式表现,跟Payload有很大交集。

关键词

命中一定数量的中文关键词和一些常见参数名的,或者未命中一定数量PHP关键词的就是正常文件体。

特殊字符长度

主要由数字、字母组成的字符串,如加密、编码后的恶意代码,阈值10左右可以区分正常文件和webshell。

切词

基本就是按16长度切分。(好怪的切词法)

词均衡

增删各个文件体中的词数,让它们次数相等以用于前馈网络的固定维度输入。

计算各个词的TF-IDF值,取前n个作为关键词。

模型结构

基于注意力机制使用两种方式(MLT+MLST)结合不同层的特征。(太复杂了吧这些算法,搞不懂)


参考


Web 机器学习

本博客所有文章除特别声明外,均采用 CC BY-SA 3.0协议 。转载请注明出处!

struts2系列漏洞 S2-059
论文研读(2)