前言
无。
基于LSTM的Webshell检测方法研究
看起来是通过检查HTTP流量检测webshell上传,不是文件检测。
基于规则匹配的预处理方法
比较简易的检测方法,基于规则匹配对HTTP的URL和POST数据进行初步检查,从关键词、Payload字符数等方面来处理数据集,通过总结归纳规律完成这一项简单且成本低的检查。
URL白名单
常见的网站域名、API调用、正常的文件上传和一些其他关键词。(小怪)
Payload长度
即webshell文件上传,根据统计数据,webshell的Payload长度主要集中在1000-1250之间,最后选择120-1.1M长度的进行下一步处理。
key-value长度
即webshell以key-value形式表现,跟Payload有很大交集。
关键词
命中一定数量的中文关键词和一些常见参数名的,或者未命中一定数量PHP关键词的就是正常文件体。
特殊字符长度
主要由数字、字母组成的字符串,如加密、编码后的恶意代码,阈值10左右可以区分正常文件和webshell。
切词
基本就是按16长度切分。(好怪的切词法)
词均衡
增删各个文件体中的词数,让它们次数相等以用于前馈网络的固定维度输入。
计算各个词的TF-IDF值,取前n个作为关键词。
模型结构
基于注意力机制使用两种方式(MLT+MLST)结合不同层的特征。(太复杂了吧这些算法,搞不懂)