2018年第八期 l 基于深度学习和半监督学习的webshell检测方法

随着互联网的发展，基于B/S架构的Web应用迅速普及，包括应用在政府、银行、运营商、电商以及各大门户网站。由于不同的Web系统研发人员水平差异，在设计过程中难免对安全问题欠缺考虑，造成Web安全问题频发。常见的安全威胁有：SQL注入漏洞、上传文件漏洞、提交表单漏洞、跨站脚本攻击等。入侵者在获得Web系统漏洞后，会通过上传webshell来获得Web服务器的操作权限。对于入侵者来说，webshell就是一个后门程序，通常是ASP、PHP、JSP等网页脚本。入侵实施后，首先在网页服务器的Web目录下面放置脚本文件，然后可以通过Web页面对网站服务器进行控制。由于webshell操作不会在系统安全日志中留下记录，并且与正常网页文件混在一起，一般管理员很难看出入侵痕迹。

在Web安全检测领域，由于缺少样本，很难建立精准的监督学习模型，而无监督学习会造成误报率高的问题，需要大量的安全工程师分析过滤机器学习的警告，分析结果存在人工误差。由于Web攻击方式多变，传统的预测方式难以应对复杂的真实环境。需要利用深度学习提取特征完备性高的特点，结合半监督学习，将机器学习应用于webshell本地检测，使用github公开样本数据，采用单分类和增量学习方式，不断优化模型，经过多次试验效果证明，该方法能够有效降低误报率和提高检测率。

基于深度学习和半监督学习webshell检测方法，在webshell检测中一定程度上改善了系统的性能，有效降低了漏报率和误报率，并在增量学习框架下，通过不断学习新增标记样本，能够持续优化系统。在深度学习领域，该方法通过使用文本向量的方式获得样本特征，此后的重点研究方向在于如何获取更有价值的样本特征。在半监督学习领域，该方法使用单分类SVDD模型和增量SVDD模型，此后的重点研究方向在于如何优化模型提高漏报率和误报率。

《信息技术与网络安全》第八期精品文章推荐：

基于深度学习和半监督学习的webshell检测方法

摘要：半监督学习是一种重要的机器学习方法，能同时使用有标记样本和无标记样本进行学习。在webshell检测领域，有标记样本少、形式灵活多变、易混淆，基于特征匹配的方式很难进行准确检测。针对标记样本较少的现状，提出一种基于深度学习和半监督学习的webshell检测方法，先使用卡方检验和深度学习方法获取样本的文本向量，然后分别使用单分类和增量学习方式训练，提高分类性能。使用github公开数据集进行训练和测试，实验结果验证该方法能够有效改善webshell检测的漏报率和误报率。

关键词：深度学习；半监督学习；webshell检测；单分类；增量学习

中图分类号：TP399

文献标识码：A

DOI：10.19358/j.issn.2096-5133.2018.08.005

引用格式：吴斌，赵力.基于深度学习和半监督学习的webshell检测方法［J］.信息技术与网络安全，2018,37（8）：19-22.