基于Web的遠程訪問木馬是一種用于網絡入侵的工具，可以上傳到網站以訪問Web服務管理權限。一旦攻擊者成功注入，就會造成巨大的破壞，因此有效地檢測Webshell至關重要。通過使用混淆技術，Webshell具有靈活性和可變性，這增加了檢測的難度。本發明提出了一種PHP Webshell檢測模型，該模型基于FastText算法和隨機森林算法，稱為FRF?WD，而PHP操作碼序列將作為Webshell檢測的重要特征。本發明設計的模型具有較高的檢測率和較低的誤報率。

技術領域

本發明設計一種基于隨機森林與FastText算法的PHP Webshell檢測模型。該模型通過提取基于Zend引擎的操作碼序列，對操作碼序列進行文本分類模型判別后提取標記，使用基于隨機森林（Random Forest）的分類算法實現準確有效地檢測出使用PHP語言的Webshell惡意腳本。

背景技術

隨著Web應用的發展，基于Web的遠程訪問木馬（Webshell）成為一種用于網絡入侵的工具，攻擊者可以將其上傳到Web服務器以獲取訪問服務管理權限。一旦攻擊者成功注入，利用服務器的脆弱性，會造成巨大的損失，因此有效地檢測Webshell是至關重要的。Webshell通過使用混淆技術，具有靈活和可變的特征，以此增加檢測的難度。本文提出了一種使用PHP語言的Webshell檢測模型，該模型結合FastText和隨機森林算法，稱為FRF-WD。其中PHP操作碼序列作為檢測Webshell的重要特征。實驗結果表明，該模型具有較高的檢測率和較低的誤報率，證明了該模型的可行性和有效性。

對Webshell的檢測是惡意網頁檢測中必不可少的一部分，并且已有不少研究成果。其中最重要的兩個因素就是特征提取和檢測模型。從不同角度提取的Webshell特征的方法大致有五種，分別是文件的最長字符串長度，信息熵，重合指數，特征函數與黑名單關鍵字。

基于惡意函數和惡意特征樣本的最佳閾值識別方法可用于Webshell檢測，但可能會將包含少量惡意函數的合法文件識別為可疑文件造成誤判。

基于相似矩陣分析樣本集合的相似程度檢測PHP惡意軟件。該方法通過使用四種不同的相似度：解碼樣本提取用戶定義函數體的內容、用戶定義函數的名稱以及文件模糊哈希對PHP惡意軟件樣本集合進行相似性分析。

基于機器學習的Webshell檢測模型研究廣泛。例如基于矩陣分解的Webshell檢測方法。但該方法并沒有確定是否可以對頁面特性進行分類。

基于支持向量機(SVM)的方法。該方法通過對網頁的HTML特性進行分析，比較支持向量機中的兩個核函數：線性核函數和高斯徑向基核函數，前者有較高的召回率。

使用Web日志檢測Webshell，由于Webshell通常是一個單獨的文件，主要分析文件訪問路徑和參數，訪問文件的頻率和頁面相關性比較Webshell和正常Web文檔之間的差異。然而只使用這些特征的方法可能有很高的假陽性率，結果準確率存在降低的可能。

除了上述方法外還有結合靜態與動態分析技術揭示Webshell特征的方法，也有用蜜罐研究攻擊者對Webshell如何利用。

檢測技術也從傳統的模式匹配，到現在如火如荼的機器學習，對于Webshell的檢測向著更加自動、智能的方向發展，對檢測結果的要求也不僅是能準確、無遺漏地識別出已知類型的攻擊，更要能對抗各種混淆手段。

針對Webshell的特征提取及檢測主要解決的難題在于。

（1）如何對PHP文件編寫的Webshell進行基于Zend引擎進行操作碼序列的提取。

（2）如何對FastText算法進行參數選取及優化以使其生成適合于當前操作碼序列的文本分類模型。

（3）如何構造合適的機器學習算法以及對PHP Webshell的檢測效果進行測試。