[发明专利]一种基于RNN的Webshell检测方法及装置

说明书

本发明公开了一种基于RNN的Webshell检测方法及装置，所述方法包括以下步骤：S1、通过预设方法对源文件进行预处理，获取关键词；S2、采用预设法则构建门控循环单元GRU模型，并进行训练；S3、通过所述门控循环单元GRU模型对所述源文件进行判别。有益效果：本发明从关键词集来近似样本的角度，通过提取关键词，使用样本对应的关键词集来近似表示样本，有效地排除了样本中的无用噪声，相比于传统常用的机器学习算法，本发明能够提取深层次的特征，从而不仅有效地提高了检测的准确率，而且还有效地降低了误报率和漏报率，进而使得本发明能够更加有效地实现对webshell的检测。

技术领域

本发明涉及互联网技术领域，具体来说，涉及一种基于RNN的Webshell检测方法及装置。

背景技术

WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称之为一种网页后门。攻击者在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后使用浏览器来访问这些后门，得到一个命令执行环境，以达到控制网站服务器的目的，这就是webshell文件上传攻击。

Webshell可分为2类，一类是小马，一类是大马。小马，源文件代码量较少，通常是几行到几十行不等，其功能主要是文件上传、执行命令行程序等。大马，文件大小少则几KB，多则几百KB，甚至超过1MB，功能复杂，包括执行命令行程序、上传文件、权限提升、端口扫描、数据库操作等。此外，大马要完成其功能还需要其他源文件的配合，协同作战，达到攻击目的。

当前防范webshell文件上传攻击常见的检测方法有以下几种：1)、将文件上传的目录设置为不可执行；2)、判断文件类型，结合白名单的方式进行访问控制；3)、使用随机数改写文件名和文件类型，增加攻击成本；4)、单独设置文件服务器的域名。其中第二种方法即判断文件类型的方法，普遍采用MIME Type、后缀检查、报文类型魔术字匹配等方式对文件类型进行判断，而此种方法很容易被黑客通过修改后缀、合法文件后添加木马等方法绕过检测。

针对相关技术中的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中的问题，本发明提出一种基于RNN的Webshell检测方法及装置，适用于广大计算机从业人员的各类分布式计算的服务器端网络空间安全防护的应用场合，是一种对Webshell的高效检测的方法，以克服现有相关技术所存在的上述技术问题。

为此，本发明采用的具体技术方案如下：

根据本发明的一个方面，提供了一种基于RNN的Webshell检测方法，包括以下步骤：

S1、通过预设方法对源文件进行预处理，获取关键词；

S2、采用预设法则构建门控循环单元GRU模型，并进行训练；

S3、通过所述门控循环单元GRU模型对所述源文件进行判别。

进一步的，所述S1通过预设方法对源文件进行预处理，获取关键词具体包括以下步骤：

S11、通过预设切词对所述源文件进行切分处理，得到切词结果；

S12、采用词频-逆文档频率TF-IDF算法来对所述切词结果进行关键词提取，得到关键词。

进一步的，所述S1中在对所述源文件进行切分处理之前，保留有所述源文件中的所有信息。

进一步的，所述S11中的预设切词包括非字母字符和非数字字符，且所述非字母字符和所述非数字字符的字符串长度均介于3到15之间。

进一步的，所述S12中词频-逆文档频率TF-IDF算法的计算公式为：