基于BERT-LSTM模型的WebShell文件檢測研究
網絡安全與數據治理
鄧全才,徐懷彬
河北建筑工程學院信息工程學院
摘要: 針對基于傳統規則的WebShell文件檢測難度大,采用文本分類的思想,設計了一種基于BERT-LSTM模型的WebShell檢測方法。首先,對現有公開的正常PHP文件和惡意PHP文件進行清洗編譯,得到指令opcode碼;然后,通過變換器的雙向編碼器表示技術(BERT)將操作碼轉換為特征向量;最后結合長短期記憶網絡(LSTM)從文本序列角度檢測特征建立分類模型。實驗結果表明,該檢測模型的準確率為98.95%,召回率為99.45%,F1值為99.09%,相比于其他模型檢測效果更好。
中圖分類號:TP309;TP393文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.04.004
引用格式:鄧全才,徐懷彬.基于BERT-LSTM模型的WebShell文件檢測研究[J].網絡安全與數據治理,2024,43(4):24-27.
引用格式:鄧全才,徐懷彬.基于BERT-LSTM模型的WebShell文件檢測研究[J].網絡安全與數據治理,2024,43(4):24-27.
Research on WebShell file detection based on BERT-LSTM model
Deng Quancai,Xu Huaibin
College of Information Engineering,Hebei University of Architecture
Abstract: Aiming at the difficulty of WebShell file detection based on traditional rules, a WebShell detection method based on BERT-LSTM model is designed using the idea of text classification. Firstly, the existing publicly available normal PHP files and malicious PHP files are cleaned and compiled to get the instruction opcode code; then, the opcode is converted into a feature vector by the bi-directional encoder representation technique (BERT) of the transformer; finally, the classification model is built by combining with the long-short-term memory network (LSTM) to detect the features from the perspective of text sequence. The experimental results show that the detection model has an accuracy of 98.95%, a recall of 99.45%, and an F1 value of 99.09%, which is better compared to other models for detection.
Key words : BERT;LSTM;WebShell;PyTorch
引言
隨著互聯網技術的快速發展,Web應用在電子商務、教育、社交網絡等眾多領域已成為人們日常生活和工作中必不可缺少的一部分,但是針對Web服務的攻擊層出不窮,Web安全的重要性日益劇增。根據國家互聯網應急中心發布的《2021年上半年我國互聯網網絡安全監測數據分析報告》[1],雖然較之前我國被植入后門的網站有大幅的減少,但是還是有1.4萬個網站被植入WebShell后門,數量仍然巨大。大部分Web應用都具有文件上傳功能,如果網站對上傳的文件沒有進行嚴格的文件格式檢測,那么黑客就可以上傳WebShell文件到服務器,對其進行解析后可實現對服務器的控制。WebShell本質是一種由PHP、ASP、NET、JSP等編程語言編寫的惡意腳本,該惡意腳本擁有獲取服務器信息、操作文件和數據庫、運行系統命令等功能[2]。由于其通信方式與訪問普通網頁相同,因此不會被防火墻攔截,隱蔽性極強。因此,對服務器上的WebShell文件進行有效檢測,可以防范黑客的遠程控制,保障Web應用穩定運行。目前,WebShell擁有眾多的變體、高度簡練的代碼以及多種混淆和加密技術的應用,與傳統的規則檢測和流量檢測方法相比,它對文件檢測方法影響較小,所以文件檢測方法更具優越性。因此,深入研究WebShell文件的檢測技術顯得尤為關鍵。
本文詳細內容請下載:
http://www.rjjo.cn/resource/share/2000005964
作者信息:
鄧全才,徐懷彬
(河北建筑工程學院信息工程學院,河北張家口075000)
此內容為AET網站原創,未經授權禁止轉載。