WebShell是一种常见的Web脚本入侵工具.随着流量加密和代码混淆等技术的逐渐发展,使用传统的文本内容特征和网络流特征进行匹配的检测手段越来越难以防范生产环境下复杂的WebShell恶意攻击事件,特别是对于对抗性样本、变种样本或0Day漏洞样本的检测效果不够理想.搭建网络采集环境,在高速网络环境中利用数据平面开发套件(DPDK,data plane development kit)技术捕获网络数据包,标注了一套由1万余条不同平台、不同语言、不同工具、不同加密混淆方式的WebShell恶意流量与3万余条正常流量组成的数据集;通过异步流量分析系统框架和轻量型日志采集组件快速地解析原始流量,并融合专家知识深度分析几种流行的WebShell管理工具通信过程中的HTTP数据包,从而构建面向加密混淆型WebShell流量的有效特征集;基于该有效特征集使用支持向量机(SVM,support vector machine)算法实现对加密混淆型WebShell恶意流量的离线训练和在线检测.同时,利用遗传算法改进参数搜索方式,克服了由人工经验设置参数方位以及网格搜索陷入局部最优解的缺点,模型训练效率也得到提升.实验结果显示,在自建的WebShell攻击流量数据集上,保证了检测高效性的同时,检测模型的精确率为97.21％,召回率为98.01％,且在对抗性WebShell攻击的对比实验中表现良好.结果表明,所提方法能够显著降低WebShell攻击风险,可以对现有的安全监控体系进行有效补充,并在真实网络环境中部署和应用.

WebShell;DPDK;流量分析;异常检测

曹艺怀;陈伟;张帆;吴礼发

南京邮电大学计算机学院,江苏南京 210023;武汉轻工大学数学与计算机学院,湖北武汉 430048

网络与信息安全学报

[1]曹艺怀;陈伟;张帆;吴礼发-.面向高速网络流量的加密混淆型WebShell检测)[J].网络与信息安全学报,2022(04):119-130

WebShell,代码混淆,0Day

高速网络,网络流量,脚本,文本内容,内容特征,检测手段,生产环境,恶意攻击,对抗性,变种,检测效果,建网,网络环境,数据平面开发套件,DPDK,data,plane,development,kit,网络数据包,万余条,恶意流量,常流,异步,流量分析,系统框架,轻量型,日志采集,专家知识,知识深度,深度分析,管理工具,HTTP,建面,有效特征,征集,support,vector,machine,算法实现,离线训练,在线检测,遗传算法改进,设置参数,网格搜索,局部最优解,模型训练,训练效率,流量数据,测高,检测模型,精确率,召回率,安全监控,监控体系,真实网络,异常检测

0.378096