【技术实现步骤摘要】
一种基于随机森林与FastText的Webshell检测模型
本专利技术设计一种基于随机森林与FastText算法的PHPWebshell检测模型。该模型通过提取基于Zend引擎的操作码序列,对操作码序列进行文本分类模型判别后提取标记,使用基于随机森林(RandomForest)的分类算法实现准确有效地检测出使用PHP语言的Webshell恶意脚本。
技术介绍
随着Web应用的发展,基于Web的远程访问木马(Webshell)成为一种用于网络入侵的工具,攻击者可以将其上传到Web服务器以获取访问服务管理权限。一旦攻击者成功注入,利用服务器的脆弱性,会造成巨大的损失,因此有效地检测Webshell是至关重要的。Webshell通过使用混淆技术,具有灵活和可变的特征,以此增加检测的难度。本文提出了一种使用PHP语言的Webshell检测模型,该模型结合FastText和随机森林算法,称为FRF-WD。其中PHP操作码序列作为检测Webshell的重要特征。实验结果表明,该模型具有较高的检测率和较低的误报率,证明了该模型的可行性和有效性。对Webshell的检测是恶意网...
【技术保护点】
1.本专利技术公开了一种基于随机森林与FastText的Webshell检测模型,其特征包括以下步骤:A、预处理数据,提取PHP文件训练集的五种静态特征,作为特征集合的元素在后续步骤将用于训练随机森林模型;B、利用Vulcan Logic Disassembler (VLD)扩展解析出PHP文件的操作码序列,将标记过的操作码序列经过FastText算法的处理,生成FastText文本分类器模型;C、将步骤B中提取的操作码序列输入到文本分类器中预测出其对应的标签,并加入到含有步骤一中的静态特征的特征集合;D、基于随机森林的分类算法对步骤C中的特征集合进行训练,生成二元分类模型...
【技术特征摘要】
1.本发明公开了一种基于随机森林与FastText的Webshell检测模型,其特征包括以下步骤:A、预处理数据,提取PHP文件训练集的五种静态特征,作为特征集合的元素在后续步骤将用于训练随机森林模型;B、利用VulcanLogicDisassembler(VLD)扩展解析出PHP文件的操作码序列,将标记过的操作码序列经过FastText算法的处理,生成FastText文本分类器模型;C、将步骤B中提取的操作码序列输入到文本分类器中预测出其对应的标签,并加入到含有步骤一中的静态特征的特征集合;D、基于随机森林的分类算法对步骤C中的特征集合进行训练,生成二元分类模型;E、使用前四步中生成的文本预测模型和二元分类模型对PHP文件测试集进行相同步骤处理,得到最终预测值。2.FastText中wordNgrams参...
【专利技术属性】
技术研发人员:方勇,黄诚,张磊,邱瑶瑶,苏瑜,
申请(专利权)人:四川大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。