【技术实现步骤摘要】
一种基于增量学习的webshell检测方法、终端设备及存储介质
本专利技术涉及网络安全检测领域,尤其涉及一种基于增量学习的webshell检测方法、终端设备及存储介质。
技术介绍
随着Internet的迅速发展和Web技术在各行业的广泛应用,Web安全逐渐成为信息安全领域最重要的攻防战场之一。WebShell是一种常见的Web攻击技术,由攻击者通过文件上传、SQL注入等攻击手段植入Web应用内,常用于权限维持、数据窃取、内网探测等攻击目的。扫描器和网站后门(即WebShell)已成为攻击者最常用的Web攻击技术。因此,快速、准确地进行WebShell的检测在安全防守端尤为重要。传统的机器学习检测webshell的方法是通过人工提取了webshell样本的一些文本特征,然后把这些特征通过机器学习算法进行分类训练出机器学习模型,再用模型来预测未知的样本。在webshell安全检测领域,由于缺少样本,很难建立精准的监督学习模型,而无监督学习会造成误报率高的问题,需要大量的安全工程师分析过滤机器学习的警告,分析结果存...
【技术保护点】
1.一种基于增量学习的webshell检测方法,其特征在于,包括以下步骤:/nS1:采集webshell样本和正常样本,并对样本进行特征提取后组成训练集;/nS2:构建分类模型,通过训练集对分类模型进行训练,得到训练后的初始分类模型;/nS3:继续采集webshell样本,并提取样本的特征向量组成新增样本集,通过新增样本集中的样本对初始分类模型进行增量学习,得到增量学习后的分类模型;/nS4:通过增量学习后的分类模型对webshell进行检测。/n
【技术特征摘要】
1.一种基于增量学习的webshell检测方法,其特征在于,包括以下步骤:
S1:采集webshell样本和正常样本,并对样本进行特征提取后组成训练集;
S2:构建分类模型,通过训练集对分类模型进行训练,得到训练后的初始分类模型;
S3:继续采集webshell样本,并提取样本的特征向量组成新增样本集,通过新增样本集中的样本对初始分类模型进行增量学习,得到增量学习后的分类模型;
S4:通过增量学习后的分类模型对webshell进行检测。
2.根据权利要求1所述的基于增量学习的webshell检测方法,其特征在于:样本特征提取包括以下步骤:
(1)通过抽象语法树对样本进行语义分析,获取样本的函数调用集合;
(2)根据每个样本对应的函数调用集合计算该样本的特征向量。
3.根据权利要求2所述的基于增量学习的webshell检测方法,其特征在于:样本特征向量的计算方法为:
设定训练集为D={x1,x2,...,xm},设定训练集中所有样本的所有函数调用组成词汇集合L,词汇集合L中的元素为各函数调用,则样本xi的特征向量Vi的计算公式为:
Vi={Vi1,Vi2,...,Vil}
其中,l表示集合L中元素的个数,i∈[1,m],j∈[1,l],Wi表示样本xi的函数调用集合,Lj表示词汇集合L中的第j个元素。
4.根据权利要求1所述的基于增量学习的webshell检测方法,其特征在于:步骤S2中的训练过程包括以下步骤:
S21:根据训练集中各样本的类别,确定每个类别对应的子集数量;
S22:确定每个子集的初始中心;
S23:针对每一类别的样本,根据该类别对应的子集数量,通过聚类算法将该类别的样本分为多个子集,并计算各子集的中心和协方差矩阵;
S24:消除训练集中属于不同类别的子集且具有重叠作用域的重叠样本;
S25:对训练集中的样本进行筛选,并计算筛选后的各子集的中心和协方差矩阵;
S26:通过训练集对构建的分类模型进行训练,将训练后的模型作为初始分类模型,并将分类错误的样本添加至错误样本集中。
5.根据权利要求4所述的基于增量学习的webshell检测方法,其特征在于:步骤S24具体包括以...
【专利技术属性】
技术研发人员:陈奋,姚刚,孙晓波,龚利军,陈荣有,
申请(专利权)人:厦门服云信息科技有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。