本發明屬于計算機安全技術領域，涉及網站安全中的異常檢測方法，具體的說是一種基于卷積神經網絡模型的網站后門檢測方法。包括以下步驟：步驟1：從網站服務器中提取普通網頁文件樣本，從網上搜集惡意后門文件樣本，刪除注釋等冗余信息并劃分訓練集和測試集；步驟2：對步驟1中提取的數據進行預處理；步驟3：搭建卷積神經網絡，根據步驟2得到的數據對卷積神經網絡進行訓練，得到卷積神經網絡模型；步驟4：根據步驟3得到的模型進行實時檢測網站服務器中的網頁文件樣本是否存在后門文件樣本。本發明訓練的模型能檢測多種語言的Webshell，同時能對通過混淆編碼進行隱藏的樣本具有很好的檢測效果，準確率高，召回率和F1值效果都很好。

技術領域

本發明屬于計算機安全技術領域，涉及網站安全中的異常檢測方法，具體的說是一種基于卷積神經網絡模型的網站后門檢測方法。

背景技術

目前在實際的服務器安全掃描的工作中，即在判斷一個腳本文件或者可執行文件是否為安全的文件，排除這個文件是網頁后門的工作中，通常利用腳本文件中所使用的關鍵詞、高危函數、文件修改的時間、文件權限、文件的所有者以及和其它文件的關聯性等特征生成特征庫，將待檢測文件內容與特征庫進行匹配，根據待檢測文件是否存在特征庫中內容，判斷該文件是否為網頁后門(WebShell)，又稱網站的后門工具。

如果對該執行文件或腳本文件進行特殊處理，例如，對自己加密，在執行前先解密，又例如，變量名使用一些隨機字符串，在中間代碼插入大量無用的隨機字符串，將完整的語句拆成多條；再例如，在執行前對傳入的參數做一些判斷，只有匹配條件時才會轉到真正執行的代碼。就無法通過這種檢測方式進行檢測。因此，現有技術中存在著無法對經過特殊處理后的網頁后門文件進行檢測的問題。

發明內容

針對上述問題，本發明提出一種基于卷積神經網絡模型的網站后門檢測方法。

本發明的技術方案為：

一種基于卷積神經網絡模型的網站后門檢測方法，包括以下步驟：

步驟1、從網站服務器中提取普通網頁文件樣本，從網上搜集惡意后門文件樣本，刪除注釋等冗余信息并劃分訓練集和測試集；

步驟2、對步驟1中提取的數據進行預處理；

步驟3、搭建卷積神經網絡，根據步驟2得到的數據對卷積神經網絡進行訓練，得到卷積神經網絡模型；

步驟4、根據步驟3得到的模型進行實時檢測網站服務器中的網頁文件樣本是否存在后門文件樣本。

進一步的，所述步驟1中提取的網站文件為普通網頁文件樣本，主要為PHP,JSP,ASP,ASPX四種類型，搜集的惡意樣本文件根據其特點確認為惡意樣本文件樣本，主要為PHP,JSP,ASP,ASPX四種類型，同時分別對普通文件樣本和惡意后門文件樣本進行注釋信息刪除并分別標記為負樣本和正樣本，然后將正負樣本按7：3的比例劃分為訓練集和測試集，劃分后再分別將測試集和訓練集打亂；

進一步的，所述步驟2中的預處理包括以下過程：

S1：對每個文件中的每行代碼利用空格和非數字和字母的特殊字符進行分詞；

S2：對樣本進行詞向量化訓練，得到詞向量化模型；

S3：根據S2中的模型對樣本進行向量化，每一行代碼轉為一個二維向量，每個樣本文件均轉化為一個三維向量；

S4：將S3得到的三維向量進行截取和填充，轉為統一規定大小的三維向量。

進一步的，所述步驟3具體過程如下：

S1：搭建卷積神經網絡網絡，利用訓練集進行訓練；