[发明专利]基于图卷积神经网络的webshell检测方法及装置

权利要求书

1.一种基于图卷积神经网络的webshell检测方法，其步骤包括：

1)解析流量数据包，提取流量文本数据与reference信息，并根据流量文本数据获取请求的网站资源文件与流量通信所属的资源文件关系，通过reference信息得到流量之间的链接跳转关系；

2)将每条流量数据与请求的网站资源文件作为节点，根据流量之间的链接跳转关系及流量通信所属的资源文件关系获取节点依赖关系，以构建流量关联图，并依据流量关联图，得到该流量数据包的邻接矩阵；

3)对该流量文本数据进行特征提取，得到流量关联图中每一节点的特征向量；

4)将所述邻接矩阵与所述特征向量输入由训练集训练得到的双层GCN模型，得到webshell检测结果；

其中，通过以下步骤得到训练好的双层GCN模型：

a)解析训练集中的样本流量数据包，提取各样本流量数据包中的文本数据与样本reference信息，并根据文本数据获取请求的样本网站资源文件与样本流量通信所属的资源文件关系，通过样本reference信息得到样本流量之间的链接跳转关系；

b)针对每一样本流量数据包，将每条样本流量数据与请求的样本网站资源文件作为节点，根据样本流量之间的链接跳转关系及样本流量通信所属的资源文件关系获取节点依赖关系，以构建该样本流量数据包的样本流量关联图，并依据样本流量关联图，得到相应的样本邻接矩阵及节点标签；

c)对每一文本数据进行特征提取，得到相应样本流量关联图中每一节点的样本特征向量；

d)将各样本流量数据包的样本邻接矩阵、样本特征向量及节点标签输入一双层GCN模型进行迭代训练，得到训练好的双层GCN模型。

2.如权利要求1所述的方法，其特征在于，通过以下步骤得到流量文本数据：

1)从流量数据包中提取HTTP数据；

2)从HTTP数据中筛选出对网站脚本文件请求所产生的HTTP请求，并将该些HTTP请求划分为请求资源与请求参数；

3)对请求资源进行处理，得到标准化后的请求资源；

4)对请求参数进行URL解码、base64解码及格式化操作，得到标准化后的请求参数数据；

5)依据标准化后的请求资源与标准化后的请求参数数据，得到流量文本数据。

3.如权利要求1所述的方法，其特征在于，通过以下步骤获取节点依赖关系：

1)根据流量节点所访问的文件节点，对流量节点进行分组，并将组内所有的流量节点连接到共同访问的文件节点，其中依据流量数据得到的节点为流量节点，依据请求的网站资源文件得到的节点为文件节点；

2)组内的流量节点之间彼此根据reference信息进行链接，得到组内流量节点链接关系；

3)根据reference信息链接各组之间的流量节点，得到组外流量节点链接关系；

4)根据文件节点下的流量节点之间是否存在链接关系链接文件节点，得到文件节点链接关系；

5)依据组内流量节点链接关系、组外流量节点链接关系及文件节点链接关系，得到节点依赖关系。

4.如权利要求1所述的方法，其特征在于，将邻接矩阵输入训练好的双层GCN模型之前，对邻接矩阵引入自环，得到引入自环后的邻接矩阵。

5.如权利要求1所述的方法，其特征在于，通过以下步骤得到流量关联图中每一节点的特征向量：

1)基于符号和空格对流量文本数据进行分词操作，并依据分词结果，建立词汇表；

2)根据常见的停用词和无意词表对词汇表进行过滤，得到过滤后的词汇表；

3)以过滤后的词汇表为基准，统计每条流量数据中出现各词汇的词频及各文件节点下的所有流量数据的词频；

4)使用信息增益方法对过滤后的词汇表中所有词汇进行计算，并依据设定阈值，选择特征词；

5)对特征词进行特征计算，得到流量关联图中每个节点对应的特征向量。

6.如权利要求5所述的方法，其特征在于，对特征词进行特征计算的方法包括：TF-IDF方法。