基于特征工程与威胁情报的Webshell检测方法研究

摘要

【目的】Webshell是一种通过注入、XSS、上传等漏洞渗透手段植入木马产生的可执行脚本,因其构造语言种类不同、利用方法多变、隐秘性强,研究其检测方式能够准确发现渗透入侵网站的恶意攻击行为,在预警、研判、打击非法入侵计算机信息系统等黑客类案件中具有积极意义。【方法】本文提出了一种基于Webshell恶意代码进行行为数据研究并提取特征的创新方法,针对HTTP流量实现基于特征的Webshell检测及网络安全威胁情报建模实验与应用。【结果】通过实际部署应用与实验结果表明,基于提取的特征值识别Webshell的准确度较高,能够有效地发现恶意攻击行为。【结论】基于特征工程的检测方法虽有维护量大的缺点,但对已知特定攻击行为检测精度和效率较高,在预防、打击黑客犯罪的实际应用中是非常有价值的。

关键词： 黑客犯罪; Webshell; HTTP协议; 特征工程; 网络安全威胁

引言

随着信息化技术的发展,各行业拥有大量的网络资产,针对网络资产的违法犯罪不断凸显