【技术实现步骤摘要】
一种网页木马检测方法、装置、设备及可读存储介质
本专利技术涉及网络安全
,特别是涉及一种网页木马检测方法、装置、设备及可读存储介质。
技术介绍
网页木马(WebShell)是运用主流脚本语言如PHP、JSP、ASP等编写的一种网页脚本木马。攻击者在检测到Web应用存在上传漏洞后,常常将这些脚本木马放置在网站服务器的Web目录中,然后以访问网页的方式访问脚本木马,通过脚本木马获取更高的权限以控制网站服务器,对网站服务器实施文件的上传、修改与下载、访问数据库篡改数据、执行任意程序命令等恶意操作。目前,检测网页木马的技术方案有:方案一:提取文件的静态特征或动态特征,直接采用相关机器学习算法进行学习、分类。方案二:提取文件的静态特征或动态特征,先进行降维,删除部分特征后再采用相关机器学习算法进行学习、分类。但是,由于网页木马具备很深的自身隐藏性、可伪装性,它混杂在正常网页中,和正常网页一样通过80端口与服务器或远程主机交换机进行数据传递。这种数据传递属于正常的HTTP协议,传统防火墙无法对其进行...
【技术保护点】
1.一种网页木马检测方法,其特征在于,包括:/n获取并提取待检测的目标文件对应的多种类型的统计特征;/n利用特征工程技术对多种所述统计特征进行交互作用实验,具有统计效应的交互作用新特征;/n将多种所述统计特征和所述交互作用新特征输入至训练好的机器学习模型中进行网页木马识别,获得所述目标文件的检测结果。/n
【技术特征摘要】 【专利技术属性】
1.一种网页木马检测方法,其特征在于,包括:
获取并提取待检测的目标文件对应的多种类型的统计特征;
利用特征工程技术对多种所述统计特征进行交互作用实验,具有统计效应的交互作用新特征;
将多种所述统计特征和所述交互作用新特征输入至训练好的机器学习模型中进行网页木马识别,获得所述目标文件的检测结果。
2.根据权利要求1所述的网页木马检测方法,其特征在于,获取并提取待检测的目标文件对应的多种类型的统计特征,包括:
获取并提取所述目标文件对应的压缩率,信息熵,非字母和数字占文件所有字符的比例,文件中对打字符串长度。
3.根据权利要求1所述的网页木马检测方法,其特征在于,所述利用特征工程技术对多种所述统计特征进行交互作用实验,具有统计效应的交互作用新特征,包括:
利用特征工程对多种所述统计特征进行变换处理;
判断变化处理后的新特征是否具有统计效应;
如果是,则将所述新特征确定为所述交互作用新特征。
4.根据权利要求3所述的网页木马检测方法,其特征在于,所述利用特征工程对多种所述统计特征进行变换处理,包括:
利用所述特征工程对所述多种统计特征进行标准化、归一化、对数变化、倒数变化、平方根变化中的至少一种变换处理方式进行处理。
5.根据权利要求3所述的网页木马检测方法,其特征在于,所述判断变化处理后的新特征是否具有统计效应,包括:
判断利用所述新特征进行预测的准确率是否大于50%;
如果是,则所述新特征具有统计效应。
技术研发人员:刘晶,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。