1.一種基于深度神經(jīng)網(wǎng)絡(luò)的WebShell檢測方法，基于抽象語法樹的遞歸循環(huán)神經(jīng)網(wǎng)絡(luò)，針對腳本語言自動獲取腳本的詞法、語法信息，利用抽象語法樹的層次化結(jié)構(gòu)特征完成特征抽取和WebShell檢測，包括預處理過程、樣本生成過程和檢測過程；具體包括如下步驟：

A.腳本文件預處理過程：

輸入為腳本源代碼，預處理包括詞法分析、語法分析、簡化，輸出為抽象語法樹T＝(V，E)，其中V是T中葉子節(jié)點的集合，E是T中邊的集合；

B.樣本生成過程：

輸入包括簡化后的抽象語法樹和抽象語法樹的葉子節(jié)點；包括：對抽象語法樹進行壓縮處理和向量化抽象語法樹，向量化抽象語法樹包括樹節(jié)點和葉子節(jié)點的向量化表示；

C.采用深度神經(jīng)網(wǎng)絡(luò)進行WebShell檢測：針對抽象語法樹的樹形結(jié)構(gòu)，深度神經(jīng)網(wǎng)絡(luò)采用遞歸循環(huán)神經(jīng)網(wǎng)絡(luò)；包括如下過程：

C1.針對樹形結(jié)構(gòu)定義一種神經(jīng)網(wǎng)絡(luò)層為遞歸長短期記憶層，所述遞歸長短期記憶層利用樹的遞歸特性，由樹的根節(jié)點及子樹集合的向量表示，通過非線性運算產(chǎn)生樹的向量表示；

C2.樹形結(jié)構(gòu)中根節(jié)點的向量化表示方法采用與步驟B中樹節(jié)點的向量化表示相同的方法；樹形結(jié)構(gòu)中子樹集合的向量表示通過將子樹依次輸入遞歸長短期記憶層計算生成；

C3.利用遞歸長短期記憶層，設(shè)計一個遞歸循環(huán)神經(jīng)網(wǎng)絡(luò)RRNN作為檢測模塊；

RRNN的輸入包括：k個向量化的m階多叉樹，代表抽象語法樹的中間節(jié)點；定長的向量，表示抽象語法樹的葉子節(jié)點；RRNN的運算過程包括：

C31.RRNN底端包括k個共享權(quán)重的遞歸長短期記憶層，對應(yīng)處理k個m叉樹，通過運算輸出k×d維的特征，記為Feature^R＝[f¹,f²,…,f^k]^T，f^k為第k個d維特征向量；

C32.RRNN池化層同時使用最大值、最小值、均值三種下采樣函數(shù)對Feature^R按列進行下采樣操作，池化層輸出三個d維向量，記為Feature^p＝[f^max,f^min,f^mean]^T，其中，f^max為池化層使用最大值采樣函數(shù)輸出的d維向量，f^min為池化層使用最小值采樣函數(shù)輸出的d維向量，f^mean為池化層使用均值采樣函數(shù)輸出的d維向量；

C33.RRNN拼接層將Feature^p及葉子特征對應(yīng)的向量f^s拼接成一個向量，得到拼接后的特征向量Feature^A＝f^max&f^min&f^mean&f^s，&表示拼接符；

C34.RRNN全連接層利用特征向量Feature^A進行WebShell判定。