[发明专利]基于深度神经网络的WebShell检测方法及其系统

摘要

本发明公布了一种基于深度神经网络的WebShell检测方法及其系统，基于抽象语法树的递归循环神经网络，针对脚本语言自动获取脚本的词法、语法信息，利用抽象语法树的层次化结构特征完成特征抽取和WebShell检测，包括预处理、样本生成和WebShell检测；首先自动获取脚本的词法、语法信息，再利用基于抽象语法树的递归循环神经网络完成特征抽取和WebShell检测。本发明方法的部署成本低、可移植性好、检测准确率高。

主权项

一种基于深度神经网络的WebShell检测方法，基于抽象语法树的递归循环神经网络，针对脚本语言自动获取脚本的词法、语法信息，利用抽象语法树的层次化结构特征完成特征抽取和WebShell检测，包括预处理过程、样本生成过程和检测过程；具体包括如下步骤：A.脚本文件预处理过程：输入为脚本源代码，预处理包括词法分析、语法分析、简化，输出为抽象语法树T＝(V，E)；B.样本生成过程：输入包括简化后的抽象语法树和抽象语法树的叶子节点；包括：对抽象语法树进行压缩处理和向量化抽象语法树，向量化抽象语法树包括树节点和叶子节点的向量化表示；C.采用深度神经网络进行WebShell检测：针对抽象语法树的树形结构，深度神经网络采用递归循环神经网络；包括如下过程：C1.针对树形结构定义一种神经网络层为递归长短期记忆层，所述递归长短期记忆层利用树的递归特性，由树的根节点及子树集合的向量表示，通过非线性运算产生树的向量表示；C2.树形结构中根节点的向量化表示方法采用与步骤B中树节点的向量化表示相同的方法；树形结构中子树集合的向量表示通过将子树依次输入递归长短期记忆层计算生成；C3.利用递归长短期记忆层，设计一个递归循环神经网络RRNN作为检测模块；RRNN的输入包括：k个向量化的m叉树，代表抽象语法树的中间节点；定长的向量，表示抽象语法树的叶子节点；RRNN的运算过程包括：C31.RRNN底端包括k个共享权重的递归长短期记忆层，对应处理k个m叉树，通过运算输出k×d维的特征，记为FeatureR＝[f1,f2,…,fk]T；C32.RRNN池化层同时使用最大值、最小值、均值三种下采样函数对FeatureR按列进行下采样操作，池化层输出三个d维向量，记为Featurep＝[fmax,fmin,fmean]T；C33.RRNN拼接层将Featurep及叶子特征对应的向量fs拼接成一个向量，得到拼接后的特征向量FeatureA＝fmax&fmin&fmean&fs，&表示拼接符；C34.RRNN全连接层利用特征向量FeatureA进行WebShell判定。