【论文阅读】二.Webshell检测方法研究综述
目录
- 一、论文题目
- 二、作者信息
- 三、论文地址
- 四、论文内容
- 1.webshell检测的分类
- 2.基于静态文本的检测
- 3.基于动态行为的检测
- 4.基于日志分析的监测
- 5.future works
一、论文题目
Webshell 检测方法研究综述
二、作者信息
南京林业大学,端木怡婷
三、论文地址
https://kns.cnki.net/kcms/detail/detail.aspx?dbcode=CJFD&dbname=CJFDLAST2021&filename=RJZZ202011020
四、论文内容
1.webshell检测的分类
①基于静态文本的检测
②基于动态行为的检测
③基于日志分析的检测
2.基于静态文本的检测
介绍: 通过对Webshell文本进行分析,总结特征从而实现检测目的的方法。静态方法中,又有基于特征匹配和基于机器学习等方法。
分类:
- 基于特征匹配的检测
- 基于机器学习的检测
优点: 检测率高,检测特征明显,研究多集中于此。
相关论文:
Behrens S,Hagen B.Web shell detection using NeoPI [EB/OL].(2012-04-13)[2017-11-6]
备注:Ben Hagen于2011年涉及实现了NeoPI检测器,用于对文件而易行进行定量检测。该工具对文本的最长字符长度、信息熵、重合指数、已知恶意代码字符串以及文件压缩比等分析待测文件,但该工具只对文件做定量结论,而不做定性评价。
(待整理)
3.基于动态行为的检测
介绍: 对Webshell执行时的行为特征进行分析,从而对webshell进行检测。目前,基于动态行为的检测大致分为流量检测、敏感函数检测两种方法。
理解: webshell通常带有系统调用、配置、数据库操作等动作,这些行为会导致通信流量中出现明显具有特征的参数,通过匹配这些特征,可以实现对webshell的检测。
分类:
- 基于流量的检测
- 基于敏感函数的检测
相关论文:
关洪超.基于HTTP流量的Webshell检测研究[D].北京:北 京邮电大学,2019.
关洪超在前人基础上,提出了基于HTTP流量的webshell攻击检测技术框架,在其检测框架中,也应用了卷积神经网络和循环神经网络等机器学习算法。但是作者指出,其检测框架只对行为结果做出判断,而对攻击过程中各个阶段的检测与判断尚未实现,另外对于攻击目标和源头的追踪也待进一步研究。基于流量检测的方法,鉴于流量数据庞大、复杂等特性,在数据清洗、特征提取、实时效用等方面还存在制约,需要结合机器学习深度学习等技术,实现突破性发展。
即:作者只能判断是否是webshell攻击,但webshell攻击分为了各个阶段,无法进一步拆分进行判断。【思路:能不能进一步拆分,如果webshell分为多步,在进行第1步时或者前几步时就可以进行一遍过滤和判断。虽然webshell可能进行多步攻击,但其实每步攻击时已经会暴露部分恶意行为了】
4.基于日志分析的监测
介绍:通过对web日志中记录的页面请求进行分析,看是否存在恶意行为。(比如一个get请求的接口,日志中发现又有过POST进行请求的,或者说某个IP/某个时间会有规律的进行访问)
5.future works
应用场景: 高校各类网站(作者是高校网络安全部分的工作者,Webshell攻击已成为影响学校网络安全的重要因素)
未来工作:
①加大机器学习的研究,算法跨领域的适用、不同算法的选择、参数的设置以及样本数据结构化处理等。
②主动防御,利用蜜罐技术、社会工程学,加强对攻击的追根溯源、及时响应。
③资源使用与检测效率之间的平衡,包括大数据处理能力提升、检测模型的构建、在可承受的资源占用范围内达到更好的检测效果等。
【论文阅读】二.Webshell检测方法研究综述相关推荐
- 停车位检测方法研究综述
作者 | dianyunPCL 编辑 | 点云PCL 点击下方卡片,关注"自动驾驶之心"公众号 ADAS巨卷干货,即可获取 点击进入→自动驾驶之心[目标检测]技术交流群 摘要 泊 ...
- 无人机集群任务规划方法研究综述论文解读
无人机集群任务规划方法研究综述&论文解读 参考文献 引言: 任务规划理论模型: 分布式任务规划理论 分布式智能规划方法的出现: 无人机集群应用的核心技术 集中式: 分布式 集散式 基于逻辑与规 ...
- 检测到目标服务器启用了trace方法_CVPR2019目标检测方法进展综述
原创声明:本文为 SIGAI 原创文章,仅供个人学习使用,未经允许,不能用于商业目的. 其它机器学习.深度学习算法的全面系统讲解可以阅读<机器学习-原理.算法与应用>,清华大学出版社,雷明 ...
- 基于网络的入侵检测数据集研究综述(A Survey of Network-based Intrusion Detection Data Sets)
A Survey of Network-based Intrusion Detection Data Sets 基于网络的入侵检测数据集研究综述 摘要:标记数据对于基于异常的网络入侵检测系统的训练和评 ...
- CVPR2019目标检测方法进展综述
CVPR2019目标检测方法进展综述 文章目录: 一.二维目标检测的优化方向 1.基于目标检测的backbone和特征提取 2.基于优化的算法 3. 基于优化损失函数的方法 4.基于优化NMS的方法 ...
- 基于机器视觉的表面缺陷检测方法研究进展(2022最新)
参考文献:基于机器视觉的表面缺陷检测方法研究进展-赵朗月 声明 此文章仅为作者阅读学习记录,如有错误欢迎指正交流,如果对你有帮助还望点赞支持,谢谢! 文章目录 声明 摘要 1.传统图像处理方式 2.基 ...
- 2021年小目标检测最新研究综述 很全面值得收藏
摘要 小目标检测长期以来是计算机视觉中的一个难点和研究热点.在深度学习的驱动下,小目标检测已取得了重大突破,并成功应用于国防安全.智能交通和工业自动化等领域.为了进一步促进小目标检测的发展,本文对小目 ...
- 恶意代码可视化检测技术研究综述
摘要 随着反检测技术的不断发展,产生了大量形态多样的恶意代码变种,传统检测技术已无法准确检测出该种未知恶意代码.由于数据可视化方法能将恶意代码的核心表现在图像特征中,因此可视化恶意代码检测方法受到越来 ...
- 典型方法_华北电力大学 赵振兵等: 输电线路典型金具视觉检测方法研究
关注高电压技术,关注学科发展 本期精选 2020年第9期 结合KL散度和形状约束的Faster R-CNN典型金具检测方法赵振兵,李延旭,甄珍,翟永杰,张珂,赵文清DOI:10.13336/j.100 ...
最新文章
- 【分块】#6284. 数列分块入门 8(区间赋值为相同的值,查询区间某值个数)
- php array 关联数组,php array_merge关联数组
- Ubuntu下编译内核
- python基本算法语句_Python中基本且又常用的算法
- java 信号量 countdown_Java计数器之CountDownLatch、CyclicBarrier、Semaphore
- 测试TensorFlow Object Detection API
- 可输入过滤和直接选择的select控件
- 【Elasticsearch】ES 7.8 写入 查询 Normalizer 忽略 大小写
- 压测瓶颈在mysql_MySQL的性能基线收集及压力测试
- 德鲁伊 oltp oltp_内存中OLTP –更快变得更简单!
- 如何从我的eclipse项目中删除javascript验证?
- pdf阅读器或知云文献阅读选中pdf文字乱码
- 【上外青年】人物 ‖ 何晗:天才都是异类
- Aspose for Maven 使用
- 判断英语文章中空格,数字,各个大小写字母的个数
- UVA815 洪水Flooded
- Python数据可视化:Cartopy 地理空间数据可视化
- 拼多多库存怎么做|旭宇同创
- 【使用python和flask建个人博客】增加了重复类型的卡片功能,用于更好的完成日常的工作与生活
- 软件开发经验总结(容错性)