本發(fā)明涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域，特別涉及一種PHP類型的WebShell檢測方法及其檢測系統(tǒng)；本發(fā)明收集了以php為類型的正常樣本文件和以php為類型的WebShell樣本，將其動態(tài)特征和靜態(tài)特征共同作為數(shù)據(jù)集的特征，提高特征庫的完善性；其次使用Word2Vec將動態(tài)特征進行特征向量化，可保證特征含義基礎(chǔ)上進行數(shù)值化；然后使用隨機森林進行特征篩選，將其不重要的特征剔除，留下重要的分類特征，對后面的分類算法減少時間和空間復(fù)雜度；最后使用集成學(xué)習(xí)算法進行分類，可以很大程度提高每一個分類算法的優(yōu)勢，最后能夠得到很高的正確率與召回率。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域，特別涉及一種PHP類型的 WebShell檢測方法及其檢測系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)后門通過shell腳本獲取服務(wù)器數(shù)據(jù)信息或者系統(tǒng)管理員權(quán)限，進一步將危害擴展到整個局域網(wǎng)絡(luò),使其整個服務(wù)器癱瘓，也可以通過在網(wǎng)站中掛馬，傳播病毒等手段來獲取信息；為了網(wǎng)站的安全性, 對服務(wù)器上的后門文件進行檢測極為重要，而惡意WebShell作為網(wǎng)站后門的一種，因此對網(wǎng)站上的WebShell文件檢測也顯得極為重要。

根據(jù)腳本語言類型，WebShell可分類為ASP腳本木馬、PHP腳本木馬、JSP腳本木馬等，且在已知的WebShell中PHP編寫的WebShell 占的比重較大，WebShell腳本進行簡單代碼注釋或者代碼變種等方式, 就很容易逃過以固定的特征碼進行識別的算法系統(tǒng)，從而達到侵入服務(wù)器獲取數(shù)據(jù)的目的。

目前基于WebShell攻擊檢測模型,存在以下幾個方面的問題：

(1)特征庫不完善；

(2)特征向量化后不能完全詮釋特征的含義；

(3)特征維度太高，對分類算法的空間復(fù)雜度極高；

(4)分類算法存在一定的局限性。

發(fā)明內(nèi)容

本發(fā)明主要解決的技術(shù)問題是提供一種PHP類型的WebShell檢測方法，其收集了以php為類型的正常樣本文件和以php為類型的 WebShell樣本，將其動態(tài)特征和靜態(tài)特征共同作為數(shù)據(jù)集的特征，提高特征庫的完善性；其次使用Word2Vec將動態(tài)特征進行特征向量化，可保證特征含義基礎(chǔ)上進行數(shù)值化；然后使用隨機森林進行特征篩選，將其不重要的特征剔除，留下重要的分類特征，對后面的分類算法減少時間和空間復(fù)雜度；最后使用集成學(xué)習(xí)算法進行分類，可以很大程度提高每一個分類算法的優(yōu)勢，最后能夠得到很高的正確率與召回率；還提供了一種PHP類型的WebShell檢測系統(tǒng)。

為解決上述技術(shù)問題，本發(fā)明采用的一個技術(shù)方案是：提供一種PHP 類型的WebShell檢測方法，其中，包括如下步驟：

S1、收集以php為類型的普通網(wǎng)頁文件樣本和WebShell樣本，構(gòu)建數(shù)據(jù)集，且從該數(shù)據(jù)集中提取動態(tài)特征和靜態(tài)特征；

S2、使用Word2Vec將動態(tài)特征進行特征向量化，再將該動態(tài)特征與靜態(tài)特征合并，構(gòu)建特征數(shù)據(jù)，此時將特征數(shù)據(jù)分為訓(xùn)練樣本與測試樣本；

S3、使用隨機森林對訓(xùn)練樣本的訓(xùn)練特征數(shù)據(jù)進行特征篩選，剔除不必要的特征；

S4、對經(jīng)過步驟S3篩選后所留下的訓(xùn)練特征數(shù)據(jù)進行集成學(xué)習(xí)模型的構(gòu)建，并依據(jù)此模型對測試樣本中的測試數(shù)據(jù)的每一個樣本進行預(yù)測，從而得到每一個測試樣本為惡意樣本的概率值。

作為本發(fā)明的一種改進，步驟S1包括：

S11、以PHP為語言開發(fā)的網(wǎng)絡(luò)框架中提取普通網(wǎng)頁文件樣本，從 Github搜集惡意后門文件的WebShell樣本；

S12、提取步驟S11中搜集到的每一個樣本的五種靜態(tài)特征，該五種靜態(tài)特征包括字符串長度靜態(tài)特征、文件重合指數(shù)IC靜態(tài)特征、信息熵靜態(tài)特征、文件壓縮率靜態(tài)特征、特征碼匹配靜態(tài)特征；