【技术实现步骤摘要】
一种基于RNN的Webshell检测方法及装置
本专利技术涉及互联网
,具体来说,涉及一种基于RNN的Webshell检测方法及装置。
技术介绍
WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。攻击者在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器web目录下正常的网页文件混在一起,然后使用浏览器来访问这些后门,得到一个命令执行环境,以达到控制网站服务器的目的,这就是webshell文件上传攻击。Webshell可分为2类,一类是小马,一类是大马。小马,源文件代码量较少,通常是几行到几十行不等,其功能主要是文件上传、执行命令行程序等。大马,文件大小少则几KB,多则几百KB,甚至超过1MB,功能复杂,包括执行命令行程序、上传文件、权限提升、端口扫描、数据库操作等。此外,大马要完成其功能还需要其他源文件的配合,协同作战,达到攻击目的。当前防范webshell文件上传攻击常见的检测方法有以下几种:1)、将文件上传的目录...
【技术保护点】
1.一种基于RNN的Webshell检测方法,其特征在于,包括以下步骤:/nS1、通过预设方法对源文件进行预处理,获取关键词;/nS2、采用预设法则构建门控循环单元GRU模型,并进行训练;/nS3、通过所述门控循环单元GRU模型对所述源文件进行判别。/n
【技术特征摘要】
1.一种基于RNN的Webshell检测方法,其特征在于,包括以下步骤:
S1、通过预设方法对源文件进行预处理,获取关键词;
S2、采用预设法则构建门控循环单元GRU模型,并进行训练;
S3、通过所述门控循环单元GRU模型对所述源文件进行判别。
2.根据权利要求1所述的一种基于RNN的Webshell检测方法,其特征在于,所述S1通过预设方法对源文件进行预处理,获取关键词具体包括以下步骤:
S11、通过预设切词对所述源文件进行切分处理,得到切词结果;
S12、采用词频-逆文档频率TF-IDF算法来对所述切词结果进行关键词提取,得到关键词。
3.根据权利要求2所述的一种基于RNN的Webshell检测方法,其特征在于,所述S1中在对所述源文件进行切分处理之前,保留有所述源文件中的所有信息。
4.根据权利要求2所述的一种基于RNN的Webshell检测方法,其特征在于,所述S11中的预设切词包括非字母字符和非数字字符,且所述非字母字符和所述非数字字符的字符串长度均介于3到15之间。
5.根据权利要求2所述的一种基于RNN的Webshell检测方法,其特征在于,所述S12中词频-逆文档频率TF-IDF算法的计算公式为:
其中,i表示词,j表示文档,tfi,j表示词i在文档j中出现的频率,dfi表示包含词i的文档数,N表示文档总数。
6.根据权利要求1所述的一种基于RNN的Webshell检测方法,其特征在于,所述S2采用预设法则构建门控循环单元GRU模型,并进行训练具体包括以下步骤:
S21、获取所述门控循环单元GRU模型的重置门及更新门的计算方程;
S22、依据所述重置...
【专利技术属性】
技术研发人员:张秀华,
申请(专利权)人:紫光云南京数字技术有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。