一、论文题目
Webshell 检测方法研究综述
二、作者信息
南京林业大学,端木怡婷
三、论文地址
https://kns.cnki.net/kcms/detail/detail.aspx?dbcode=CJFD&dbname=CJFDLAST2021&filename=RJZZ202011020
四、论文内容
1.webshell检测的分类
①基于静态文本的检测
②基于动态行为的检测
③基于日志分析的检测
2.基于静态文本的检测
介绍: 通过对Webshell文本进行分析,总结特征从而实现检测目的的方法。静态方法中,又有基于特征匹配和基于机器学习等方法。
分类:
- 基于特征匹配的检测
- 基于机器学习的检测
优点: 检测率高,检测特征明显,研究多集中于此。
相关论文:
-
Behrens S,Hagen B.Web shell detection using NeoPI [EB/OL].(2012-04-13)[2017-11-6]
备注:Ben Hagen于2011年涉及实现了NeoPI检测器,用于对文件而易行进行定量检测。该工具对文本的最长字符长度、信息熵、重合指数、已知恶意代码字符串以及文件压缩比等分析待测文件,但该工具只对文件做定量结论,而不做定性评价。
-
(待整理)
3.基于动态行为的检测
介绍: 对Webshell执行时的行为特征进行分析,从而对webshell进行检测。目前,基于动态行为的检测大致分为流量检测、敏感函数检测两种方法。
理解: webshell通常带有系统调用、配置、数据库操作等动作,这些行为会导致通信流量中出现明显具有特征的参数,通过匹配这些特征,可以实现对webshell的检测。
分类:
- 基于流量的检测
- 基于敏感函数的检测
相关论文:
-
关洪超.基于HTTP流量的Webshell检测研究[D].北京:北 京邮电大学,2019.
关洪超在前人基础上,提出了基于HTTP流量的webshell攻击检测技术框架,在其检测框架中,也应用了卷积神经网络和循环神经网络等机器学习算法。但是作者指出,其检测框架只对行为结果做出判断,而对攻击过程中各个阶段的检测与判断尚未实现,另外对于攻击目标和源头的追踪也待进一步研究。基于流量检测的方法,鉴于流量数据庞大、复杂等特性,在数据清洗、特征提取、实时效用等方面还存在制约,需要结合机器学习深度学习等技术,实现突破性发展。
即:作者只能判断是否是webshell攻击,但webshell攻击分为了各个阶段,无法进一步拆分进行判断。【思路:能不能进一步拆分,如果webshell分为多步,在进行第1步时或者前几步时就可以进行一遍过滤和判断。虽然webshell可能进行多步攻击,但其实每步攻击时已经会暴露部分恶意行为了】
4.基于日志分析的监测
介绍:通过对web日志中记录的页面请求进行分析,看是否存在恶意行为。(比如一个get请求的接口,日志中发现又有过POST进行请求的,或者说某个IP/某个时间会有规律的进行访问)
5.future works
应用场景: 高校各类网站(作者是高校网络安全部分的工作者,Webshell攻击已成为影响学校网络安全的重要因素)
未来工作:
①加大机器学习的研究,算法跨领域的适用、不同算法的选择、参数的设置以及样本数据结构化处理等。
②主动防御,利用蜜罐技术、社会工程学,加强对攻击的追根溯源、及时响应。
③资源使用与检测效率之间的平衡,包括大数据处理能力提升、检测模型的构建、在可承受的资源占用范围内达到更好的检测效果等。