作者:郑陆军 期刊:《网络安全和信息化》 2006年第06期
2004年开始,网络上开始流传一种新型的WebShell后门。这种后门的优点在于体积小巧,最小的—句话后门长度仅为22个字节。
作者:易楠; 方勇; 黄诚; 刘亮 期刊:《信息安全研究》 2017年第02期
提出了一种基于语义分析的Webshell检测方法,通过对文件进行语法分析,得到代码的行为节点和相关依赖关系,并通过风险模型匹配实现语义理解从而完成Webshell检测,在分析过程中提出了污点子树的获取方法,通过节点风险值评估表,准确定位Webshell文件恶意行为发生点,剔除无关影响因子.使用巴斯克范式对行为进行特征的提取和描述,构造风险模型.最后通过计算得到平滑的风险值曲线完成文件危险程度评估,通过阈值的调整可进行更精细的评估...
作者:姜天 期刊:《信息技术与网络安全》 2019年第07期
Webshell是攻击者使用的恶意脚本,其目的是升级和维护对已经受到攻击的Web应用程序的持久访问。然而,传统检测方法对于加密、混淆后的Webshell的识别效果较差。针对这一问题,提出了一种基于卷积神经网络的检测方法。该方法首先获得PHP文件对应的opcode,然后通过Word2vec算法得到字节码序列的特征词向量,最后经过卷积神经网络处理得到检测结果。实验结果表明,该方法在检测变种Webshell方面的表现优于其他算法,也证明了该方法的可行...
作者:龙啸; 方勇; 黄诚; 刘亮 期刊:《网络空间安全》 2018年第01期
Webshell是Web攻击中常见的一种木马形式,在整个攻击链中,Webshell被用于权限维持并作为下一步入侵的跳板。针对不断发展的检测与逃逸技术,尤其是人工智能影响下的新兴技术,综述了近年来Webshell检测和逃逸方面的研究进展。论文介绍了随着互联网发展而不断演化的攻击方式以及应对攻击的检测模型,阐述了包括静态规则匹配、异常行为分析、动态执行和基于深度学习等检测方法,从博弈的角度重点讨论了检测与逃逸相互之间所产生的影响。...
WebShell根据其功能和大小可以分为多种类型,各种类型的WebShell在基本特征上又有其独有的特征,而现有的WebShell检测大多从单一层面提取特征,无法较全面的覆盖各种类型WebShell全部特征,具有种类偏向性,无差别的检测效果差,泛化能力弱等问题.针对这一问题,提出了一种基于随机森林的WebShell检测方法.该方法在数据预处理阶段分别提取文本层的统计特征和文本层源码与编译结果层字节码(opcode)的序列特征,构成较全面的组合特征,然后...
作者:赵琦; 蒋朝惠; 周雪梅; 宋紫华 期刊:《计算机与现代化》 2019年第06期
隐蔽隧道攻防博弈已有三十多年,现有隐蔽隧道的主要检测方法包括对报文数据与报文结构的检测、基于流量统计的检测和基于机器学习的检测等。随着相关技术的发展,越来越多的隐蔽隧遂通过应用层协议构建。本文首先设计一种基于HTTP协议通信的隐蔽隧道,隧道使用后门程序进行隐蔽通信,并对通信数据进行加密使其具有更高的隐蔽性,实验表明该隧道可以绕过防火墙、360卫士等安全设备。其次,分析该类隧道结构和流量特征并提出一种检测方法,...
作者:张涵; 薛质; 施勇 期刊:《通信技术》 2019年第01期
Webshell是常见的网络攻击方式,而传统的检测手段已无法应对复杂灵活的变种Webshell攻击。因此,提出了一种基于多层神经网络的Webshell改进检测方法。首先,将采集的文件样本进行预编译处理,得到中间代码opcode;其次,使用较新颖的词向量转换算法word2vec将代码序列转换为特征向量;最后,通过设计好的多层神经网络进行检测。经过实验,相较于其他方法,所提方法有效提高了准确率、召回率等性能参数。
作者:胥小波; 聂小明 期刊:《通信技术》 2018年第04期
WebShell是网络入侵常用的工具,具有隐蔽性高、威害性大等特点。现有WebShell检测方法在检测已知WebShell时检测准确率较高,但面对复杂灵活的未知、变种WebShell时,检测准确率很低。针对这一问题,提出了一种基于多层感知器(Multi-LayerPerceptron,MLP)神经网络的WebShell检测方法。首先通过编译工具将样本源码转化为样本字节码,然后使用Bi-Gram将样本字节码切分为字节码序列,再使用TF-IDF计算词频矩阵,并在此基础上筛选特征得到训...
本文论述了Webshell的特点和工作原理,分析了采用混淆加密编码技术的Webshell与传统的Webshell的区别,提出了一种基于朴素贝叶斯分类的Webshell检测模型。该模型能有效得检测出经过混淆编码的Webshell,提高了检测的正确率。
作者:王时绘 张希运 期刊:《湖北大学学报·哲学社会科学版》 2010年第03期
简要介绍SQL注入形成的原因,SQL注入的各种检测方法,并根据防范SQL注入攻击的各种措施,提出客户端和服务器端双重检测模型.
作者:陈小兵 罗晖 期刊:《信息网络安全》 2012年第03期
Access数据库+ASP+IIS网站架构由于成本低廉和操作简单等优点被广泛采用,这种架构如果程序存在漏洞或安全措施设置不严格,就极易被入侵。最常见的入侵方法就是SQL注入,通过SQL注入可以获取Webshell,进而控制整个服务器。文章对Access数据库SQL注入技术进行研究,分析了可能获取Webshell的途径方法,并提出了相应的防范措施。
WebShell是一种用来进行网站和服务器管理的脚本程序,同时攻击者通过上传WebShell获得Web服务器的管理权限,从而达到对网站服务器的渗透和控制。在对websheu原理和关键代码分析的基础上,有针对性地提出WebShell攻击的防范措施及相关安全措施部署。
作者:叶飞 龚俭 杨望 期刊:《南京航空航天大学学报》 2015年第06期
Webshell是一种基于Web的网站后门程序。当前已有的Webshell检测方法都需要根据脚本程序源代码来检测,因此只能部署在服务器主机上,而且只能检测本机的网站代码。本文通过分析Webshell的HTML页面特征,提出了一种基于支持向量机(Support vector machine,SVM)分类算法的黑盒检测方法。该方法是一种有监督的机器学习系统,对先验网页的HTML页面进行学习,可以在未知脚本源代码的情况下对Webshell进行检测。实现结果表明,该方法在黑盒...
随着信息安全的日益发展,网络新型攻击和病毒形式日益恶化,因此以安全运维、快速响应为目标,以信息网络技术为主要手段,提高在网络空间开展信息监察、预防、提高突发事件的处理能力。根据信息系统的实际运营经验教训,建设一个满足企业信息安全测试的网络安全实验室,既有利于培养自身所需的信息安全人才,也对公司信息化发展和一体化推进具有重要的意义。