使用机器学习检测Web Shell的安全利器:WebShell-Detect

于 2024-03-31 09:44:31 发布
阅读量462 收藏 9
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00088/article/details/137192225
版权

使用机器学习检测Web Shell的安全利器:WebShell-Detect

在网络安全领域,Web Shell是一种常见的攻击手段,黑客通过植入Web Shell获取服务器控制权,对网站造成严重威胁。为了对抗这一风险,项目应运而生,它采用机器学习算法,提供高效的Web Shell检测能力。

项目简介

WebShell-Detect是一个基于Python开发的开源工具,主要任务是对服务器上的文件进行扫描,以识别潜在的Web Shell。该项目利用机器学习模型训练出高精度的检测器,能够在大量正常文件中精准定位恶意的Web Shell,帮助系统管理员及时发现并清除安全风险。

技术分析

1. 数据预处理

首先,项目进行了大量的数据收集,包括正常代码和已知的Web Shell样本。通过预处理步骤,如去除HTML标签、编码转换等,将文本数据转化为可用于机器学习的特征向量。

2. 特征工程

特征工程是机器学习的关键环节。WebShell-Detect考虑了代码结构、关键字密度、函数调用模式等多个维度,提取出具有区分性的特征,为后续的模型训练奠定基础。

3. 模型选择与训练

项目采用了多种机器学习模型,如SVM(支持向量机)、Random Forest(随机森林)等,并通过交叉验证优化模型参数。这些模型经过大量数据的训练,具备了良好的Web Shell识别能力。

4. 实时检测

WebShell-Detect设计了一个简单的命令行接口,可以快速扫描指定目录下的所有文件,并返回可能的Web Shell列表。这样的实时检测功能使得它能够快速响应新出现的威胁。

应用场景

  • 日常运维:定期运行WebShell-Detect以检查服务器上是否存在未知的Web Shell。
  • 应急响应:在遭受疑似Web Shell攻击后,迅速扫描并清除恶意文件。
  • 安全审计:对代码库进行深度审查,确保无潜在的安全隐患。
  • 教学研究:了解机器学习在安全领域的应用,或者对比不同检测方法的效果。

项目特点

  1. 高效准确:基于机器学习的检测方式能在海量文件中精确识别Web Shell,减少误报。
  2. 易于使用:简洁的命令行接口,无需复杂配置即可开始扫描。
  3. 持续更新:项目团队会不断跟踪最新的Web Shell样本,升级模型以应对新的威胁。
  4. 开源免费:任何人都可以自由下载使用,且源码透明,可自定义扩展。

结语:

WebShell-Detect凭借其强大的机器学习检测机制和易用性,成为网络管理员和安全研究员的重要工具。无论你是新手还是经验丰富的专业人士,都值得尝试这个项目来提升你的服务器安全防护水平。现在就行动起来,保护您的在线资产免受Web Shell的侵扰吧!

宋溪普Gale
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
机器学习-检测webshell
07-18
基于决策树的webshell检测,k-近邻算法是基于实例的学习,使用算法时我们必须有接近实际数据 的训练样本数据,k-近邻算法必须报错全部数据集,如果训练数据集的很大 必须使用大量的存储空间,此外,由于必须对数据集中的每个数据计算距离, 实际使用可能非常耗时 k-近邻算法的另一个缺陷时它无法给出任何数据的基础结构信息,因此我们也无法知晓 平均实例样本和典型实例样本具有什么特征。 决策树也是最经常使用的数据挖掘算法 决策树的优势在于数据形式非常容易理解 决策树的一个重要任务时为了数据中所蕴含的知识信息,因此决策树可以使用不熟悉的 数据集合,并从中提取出一系列规则 决策树 优点:计算复杂度不高,输出结果易于理解,对中间值的缺失不敏感 可以处理不相关特征数据 缺点:可能会产生过度匹配的问题。 适用数据类型:数值型和标称型。 我们必须采用量化的方法判断如何划分数据。 在划分数据集之前之后信息发生的变化称为信息增益,知道如何计算信息增益 我们就可以计算每个特征值划分数据集获得的信息增益,获得信息增益最高的特征 就是最好的选择。 如何计算信息增益,集合信息的度量方式,集合信息的度量方式称为香农熵。或熵。
基于机器学习webshell检测(一)
jliang3的博客
03-08 4558
本篇主要讲述,如何使用机器学习的方法来对网络安全中常见的风险点:webshell进行检测 本篇会使用LR ,XGB两种模型进行测试, 下一篇将会使用深度学习方法来解决该问题 (1)首先我们简单介绍一下什么是webshellwebshell,是一种基于互联网web程序以及web服务器而存在的一种后门形式,主要通过网页脚本程序和服务器容器所支持的后端程序,在web服务器及其中间件中进...
Web安全机器学习入门》笔记:第七章 7.5朴素贝叶斯检测WebShell(二)
mooyuan的博客
01-31 429
1.检测web shell的改进 (1)分词token 7.4节中web shell(一)中token_pattern=r'\b\w+\b' 本节中webshell(二)中r_token_pattern=r'\b\w+\b\(|\'\w+\'' (2)对黑样本的调用操作建立特征,使用1-gram生成全局的词汇表,代码如下: webshell_bigram_vectorizer = CountVectorizer(ngram_range=(1, 1), decode_error="ign.
WebShell脚本检测机器学习
weixin_43977912的博客
03-10 303
机器学习方法实践 上面提到了几种webshell静态检测的方法,无论是特征码匹配、语义检测还是特征统计方法,都需要建立在安全从业人员webshell原理深入的理解基础之上进行提炼,这是个非常耗时的过程,同时维护起来也是异常繁琐。 苏宁在传统检测方法的基础之上,利用机器学习webshell脚本检测进行赋能(详细使用方式可以参考webshellDc_v0.1。)。我们把webshell检测转换成一个NLP领域的文本分类的问题,通过投喂训练数据的方式锻炼模型对正常脚本及webshell脚本代码组合的记忆能力,以
Web安全之深度学习实战》笔记:第十一章 Webshell检测
mooyuan的博客
03-12 5578
本小节通过机器学习算法来识别webshell ,较新的知识点是opcode。 一、webshell WebShell就是以ASP、PHP、JSP或者CGI等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页后门。黑客在入侵了一个网站后,通常会将ASP或PHP后门文件与网站服务器Web目录下正常的网页文件混在一起,然后就可以使用浏览器来访问ASP或者PHP后门,得到一个命令执行环境,以达到控制网站服务器的目的。顾名思义,“Web”的含义是需要服务器提供Web服务,“Shell”的含义是取得对服务器
ai-webshell-detect:机器学习检测webshel​​l
03-08
对标vxjump.net,我会无偿的将我的所学到的知识分享在此wiki中,目前涉及到机器学习领域,虚拟化安全领域,传统安全领域,游戏安全领域,EFI硬件安全领域。您可以在此网站中发现一个沉沦很久的讨论群,选择加入,...
webshell-detect
10-16
使用`webshell-detect`时,应结合其他安全措施,如定期备份、应用安全更新、防火墙配置以及使用入侵检测系统(IDS)和入侵防御系统(IPS)。同时,确保对任何警报进行详尽的分析,以避免误报并及时处理真实的安全...
基于机器学习Webshell检测工具-go语言开发
11-09
基于机器学习Webshell检测工具(linux) 描述 WXEL是基于神经网络学习算法对文件压缩比、熵、最长字符、内容特征等进行学习评估,协助安全人员针对Webshell的监察。 使用 获取训练样本 1.需要在sample/webshell...
基于python机器学习的分布式webshell检测系统.zip
03-05
基于python机器学习的分布式webshell检测系统.zip 基于python机器学习的分布式webshell检测系统.zip 基于python机器学习的分布式webshell检测系统.zip 基于python机器学习的分布式webshell检测系统.zip
机器学习流量检测webshell-基于深度包检测技术和贝叶斯算法的webshell检查程序.zip
最新发布
05-08
综上所述,"机器学习流量检测webshell-基于深度包检测技术和贝叶斯算法的webshell检查程序"是一个集成了深度包检测、贝叶斯分类和机器学习的综合解决方案,旨在提升网络安全防护能力,有效防范Webshell带来的风险。...
一款基于python开发的webshell检测工具+源代码+文档说明
12-01
## 工具简介 findWebshell是一款基于python开发的webshell检查工具,可以通过配置脚本,方便得检测webshell后门。 ## 使用说明 Usage: main.py [options] Options: -h, --help show this help message and exit -p PATH, --path=PATH input web directory filepath -o OUTPUT, --output=OUTPUT create a html report -e php|asp|aspx|jsp|all, --ext=php|asp|aspx|jsp|all define what's file format to scan ## 示例 python main.py -e php -p /var/www/test -o output -e 网页格式 -p 扫描的路径 -o 生成的html文件名,默认生成report.html ## 开发文档 ### 字典添加 - directory目录下的sensitiveWord.py定义的是后门中的敏感关键字,可以手动添加,格式为{"关键字":"类型"} ``` php_sensitive_words = { "www.phpdp.org":"PHP神盾加密后门", "www.phpjm.net":"PHP加密后门" } ``` -------- 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! <项目介绍> 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
基于随机森林的特征提取方法
07-05
提出一种基于随机森林和转导推理的特征提取方法, 步骤如下: 1)利用带标签的训练样本建立随机森林模型; 2) 将无标签的测试数据导入随机森林模型中,生成全体数据(训练样本和测试数据)的相似性矩阵; 3)对该相似性矩阵进行 多维尺度变换得到全体数据的低维数据表示,即低维特征,使得原高维数据在低维空间中具有更好的可分性. UCI 数据 库的实验结果表明: 与主成分分析方法相比, 该方法将无标签测试集的数据分布信息转移到相似性矩阵中,更好地刻画 整个样本空间上的数据分布特性,从而提高分类器的性能,是一种行之有效的特征提取方法. 最后还讨论了特征提取维 数对模型准确率的影响,为实际应用提供参考.
基于深度学习和半监督学习的webshell检测方法
10-16
半监督学习是一种重要的机器学习方法,能同时使用有标记样本和无标记样本进行学习。在webshell检测领域,有标记样本少、形式灵活多变、易混淆,基于特征匹配的方式很难进行准确检测。针对标记样本较少的现状,提出一种基于深度学习和半监督学习的webshell检测方法,先使用卡方检验和深度学习方法获取样本的文本向量,然后分别使用单分类和增量学习方式训练,提高分类性能。使用github公开数据集进行训练和测试,实验结果验证该方法能够有效改善webshell检测的漏报率和误报率。
fshell:基于机器学习的分布式webshel​​l检测系统
03-11
python脚本实现查找webshell的方法
12-25
本文讲述了一个python查找 webshell脚本的代码,除了查找webshell功能之外还具有白名单功能,以及发现恶意代码发送邮件报警等功能,感兴趣的朋友可以自己测试一下看看效果。 具体的功能代码如下: #!/usr/bin/env python #-*- coding: utf-8 -*- import os import sys import re import smtplib #设定邮件 fromaddr = "smtp.qq.com" toaddrs = ["voilet@qq.com"] username = "voilet" password = "xxxxxx" #设置白名
机器学习应用之WebShell检测
Mi1k7ea
12-09 6537
本文主要参考自兜哥的《Web安全机器学习入门》 前段时间在研究WebShell检测查杀,然后看到兜哥的著作中提到的几个机器学习算法中也有实现WebShell检测的,主要有朴素贝叶斯分类、K邻近算法、图算法、循环神经网络算法等等,就一一试试看效果吧。 Python中的几个机器学习的库 1、numpy: 安装:pip install --user numpy 2、SciPy:
Python安全运维实战:针对几种特定隐藏方式的Webshell查杀
weixin_33908217的博客
08-01 201
Webshell一直都是网站管理员痛恨看到的东西,一旦在网站目录里看到了陌生的webshell基本说明网站已经被攻击者拿下了。站在攻击者的角度,要想渗透一台网站服务器,第一个目标也是想方设法的寻找漏洞上传webshell。 对于webshell的防护通常基于两点:一是在攻击者上传和访问时通过特征匹配进行检测拦截或限制文件类型阻止上传;二就是日常基于web...
提取webshell 特征值_Webshell检测方法(三)
weixin_29721821的博客
01-16 1059
Webshell检测方法(一)Webshell检测方法(二) 0x01 前言本篇paper来自ICCAI 2018,采用了fastText和随机森林算法相结合的FRF-WD模型,使用一些静态features和PHP opcode,对Webshell进行检测。但与之前的文章不同,本篇文章不再是基于HTTP流量检测,而是针对文件进行检测。 0x02 BackgroundOpcode是一种PH...
Web安全机器学习入门》笔记:第七章 7.4朴素贝叶斯检测WebShell(一)
mooyuan的博客
01-30 519
1.源码修改 (1)报错 UnicodeDecodeError: 'gbk' codec can't decode byte 0x9a in position 8: illegal multibyte sequence Load ../data/PHP-WEBSHELL/xiaoma/1148d726e3bdec6db65db30c08a75f80.php Traceback (most recent call last): ...... t=load_file(file_path) f.
基于深度学习与集成学习的可配置WebShell检测系统-v61
08-03
摘要随着信息技术的迅速发展,大量互联网新兴产业也开始出现并迅速崛起。例如熟知的 Web 应用系统,其广泛应用于社交、银行、购物等重要业务,给人们的生活和工作带来

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋溪普Gale

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值