[发明专利]基于深度神经网络的WebShell检测方法及其系统

说明书

本发明公布了一种基于深度神经网络的WebShell检测方法及其系统，基于抽象语法树的递归循环神经网络，针对脚本语言自动获取脚本的词法、语法信息，利用抽象语法树的层次化结构特征完成特征抽取和WebShell检测，包括预处理、样本生成和WebShell检测；首先自动获取脚本的词法、语法信息，再利用基于抽象语法树的递归循环神经网络完成特征抽取和WebShell检测。本发明方法的部署成本低、可移植性好、检测准确率高。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于抽象语法树的递归循环神经网络的WebShell检测方法及其系统。

背景技术

WebShell是以网页形式存在的一种命令执行环境，常被入侵者用作对网站服务器操作的后门工具。攻击者通过WebShell获得Web服务的管理权限，从而达到对Web应用的渗透和控制。

由于WebShell和普通Web页面特征几乎一致，所以可逃避传统防火墙和杀毒软件的检测。而且随着各种用于反检测特征混淆隐藏技术应用到WebShell上，使得传统基于特征码匹配的检测方式很难及时检测出新的变种。

从攻击者角度，WebShell就是一个asp、aspx、php或者jsp等编写的脚本木马后门。攻击者在入侵一个网站后，常常将这些脚本文件上传到Web服务器目录下。通过浏览器访问的方式，访问脚本文件的同时，可以控制Web服务器，比如读取网站数据库数据、删除网站服务器上的文件，如果Web权限比较高，甚至可以直接运行系统分命令。

现有的检测WebShell的方法都是白盒检测，即针对WebShell脚本文件的源代码进行检测，具体可以分为基于主机的检测和基于网络的检测两类。

基于主机的检测：这类方法中，工业界较普遍的检测方法为直接使用已知关键词作为特征，使用grep语句搜索可疑文件后人工分析，或者使用程序定期检查已有文件的MD5值以及检查是否有新文件产生。这种直观地检测方法容易被攻击者使用混淆手段规避。

基于网络的检测：目前的现有方法主要集中于在网络入口处配置入侵检测系统后者WAF来检测WebShell，通过分析HTTP请求中是否包括特殊关键词(例如，<form、<％、<？、<php等)来判断攻击者是否正在上传HTML或者脚本文件，即将所有上传HTML或脚本的行为识别为一次上传WebShell的攻击。这种方法需要很大的开销，还存在误报的可能性；并且只能检测到正在发生上传WebShell的行为，而对于已有的WebShell则无能无力。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于抽象语法树的递归循环神经网络的WebShell检测方法及其系统。本发明中同时引入程序语言处理技术和深度学习技术，主要通过程序语言处理技术自动获取脚本的词法、语法信息，同时利用深度神经网络完成特征抽取和WebShell检测，主要针对主流的脚本语言，包括PHP、JavaScript、Perl、Python、Ruby等。本发明系统主要包括三个模块，依次为利用程序语言处理技术的预处理模块、完成向量化表示的样本生成模块和利用深度学习技术的检测模块。本发明方法的部署成本低、可移植性好、检测准确率高。

以下是几种典型神经网络模型相关术语定义：

神经网络的运算公式可定义为：

其中，o⁽ⁱ⁾表示神经网络第i层的输出向量，o⁽ⁱ⁾的维度为该神经元数量(网络节点数)；x⁽ⁱ⁾是网络第i-1层的输出，并作为第i层的输入；W⁽ⁱ⁾和b⁽ⁱ⁾是神经网络第i层的参数；称为激活函数，通常为非线性函数。该神经网络层被称为全连接层(Full Connectionlayer)。