基于特征工程與威脅情報(bào)的Webshell檢測方法研究

許波，姜政偉，辛麗玲＊，周宇飛

1.中國人民公安大學(xué),信息網(wǎng)絡(luò)安全學(xué)院，北京 100038

2.中國科學(xué)院信息工程研究所，北京 100093

3.成都市公安局，四川 成都 610017

4.山東省濱海公安局，山東 東營 257013

引言

隨著信息化技術(shù)的發(fā)展，各行業(yè)擁有大量的網(wǎng)絡(luò)資產(chǎn)，針對網(wǎng)絡(luò)資產(chǎn)的違法犯罪不斷凸顯，網(wǎng)絡(luò)黑灰產(chǎn)、侵犯公民個(gè)人信息等犯罪活動(dòng)呈現(xiàn)高發(fā)狀態(tài)，而此類犯罪多來源于黑客的滲透和入侵。黑客開展網(wǎng)絡(luò)滲透時(shí)手段多種多樣，但目的均為獲取計(jì)算機(jī)信息系統(tǒng)權(quán)限，進(jìn)一步竊取、篡改數(shù)據(jù)[1]。黑客滲透成功后為了維持或提升權(quán)限，會(huì)通過注入、XSS、上傳等滲透手段在目標(biāo)網(wǎng)站植入PHP、JSP、ASPX 等格式的木馬文件，即Webshell。Webshell 作為黑客用于后門權(quán)限維持的重要手段，活躍于各種網(wǎng)絡(luò)攻擊事件中，因此及時(shí)、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)流量中的Webshell 通信，保證網(wǎng)絡(luò)安全的需求日益迫切。

國家互聯(lián)網(wǎng)應(yīng)急中心《2021 年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全檢測數(shù)據(jù)分析報(bào)告》，境內(nèi)外8,289 個(gè)IP地址對我國境內(nèi)約1.4 萬個(gè)網(wǎng)站植入后門，植入后門已經(jīng)嚴(yán)重威脅我國網(wǎng)絡(luò)安全和國家安全[2]。而根據(jù)公安部“凈網(wǎng)2021”專項(xiàng)行動(dòng)報(bào)告顯示，2021 年全國公安機(jī)關(guān)鏟除制售木馬病毒、開發(fā)攻擊軟件平臺團(tuán)伙341 個(gè)，抓獲實(shí)施黑客攻擊活動(dòng)人員3,309名[3]。公安機(jī)關(guān)打擊黑客數(shù)量仍低于存在的攻擊黑客數(shù)量，其中一個(gè)重要的原因就是存在大量網(wǎng)站后門因沒有發(fā)現(xiàn)或被檢測出而逃避打擊。

因此，Webshell 檢測成為打擊黑客犯罪中非常關(guān)鍵的步驟，對于Webshell 檢測方法的研究，能夠準(zhǔn)確發(fā)現(xiàn)滲透入侵網(wǎng)站的惡意攻擊行為，在預(yù)警、研判、打擊非法入侵計(jì)算機(jī)信息系統(tǒng)等黑客類案件中具有積極意義。

1 研究現(xiàn)狀

目前，學(xué)術(shù)界依據(jù)Webshell 檢測方法的不同，將Webshell 檢測劃分為三種，分別是基于文件的檢測方法、基于流量的檢測方法以及基于日志的檢測方法[4]。其中，基于流量的檢測方法，又可以分為靜態(tài)檢測和動(dòng)態(tài)檢測的方式。

靜態(tài)檢測常見的有采用正則表達(dá)式進(jìn)行匹配、生成語法樹提取語法樹特征、文本統(tǒng)計(jì)量特征如字符分布等，其中基于正則匹配的檢測方式是對一些常見的Webshell 關(guān)鍵特征進(jìn)行提取，通過對文本的語義和語法分析，匹配文件中的特征字符串，判斷是否為高危文件，從而判斷文件是否為Webshell，例如危險(xiǎn)函數(shù)名、文本的特征碼、文件關(guān)聯(lián)度、敏感參數(shù)等，當(dāng)特征符合條件時(shí)判斷為Webshell[5]。如易楠[6]實(shí)現(xiàn)的基于語義分析的Webshell 檢測方法；Truong Dinh Tu 等人[7]依據(jù)文本惡意特征進(jìn)行判斷的方法。

動(dòng)態(tài)檢測是針對Webshell 上傳到服務(wù)器后，對Webshell 執(zhí)行時(shí)在流量中表現(xiàn)出來的特征進(jìn)行檢測，從網(wǎng)絡(luò)中檢測到的是Web 應(yīng)用程序被解釋執(zhí)行的代碼[8]。動(dòng)態(tài)分析根據(jù)惡意代碼文件在執(zhí)行環(huán)境中產(chǎn)生的流量中提取特征，建立Webshell 動(dòng)態(tài)特征庫，常見方法為攔截抓包后進(jìn)行語義分析提取。

本文主要研究的是針對HTTP 流量的檢測方法，通過靜態(tài)檢測和動(dòng)態(tài)檢測結(jié)合的方式，對Webshell惡意代碼進(jìn)行行為數(shù)據(jù)研究并提取特征[9]，基于特征工程實(shí)現(xiàn)Webshell 投遞、入侵過程的檢測，并且在實(shí)際網(wǎng)絡(luò)威脅情報(bào)模型應(yīng)用中實(shí)現(xiàn)對Webshell 文件和攻擊者的回溯，實(shí)際應(yīng)用后打擊黑客犯罪的效果明顯。

2 HTTP 協(xié)議消息結(jié)構(gòu)與流量分析

2.1 HTTP 協(xié)議請求消息

HTTP 協(xié)議是超文本傳輸協(xié)議（Hyper Text Transfer Protocol）的縮寫，用于將文本內(nèi)容從服務(wù)器傳輸?shù)奖镜貫g覽器。其工作原理是基于TCP/IP 通信協(xié)議傳輸數(shù)據(jù)（HTML 文件、圖片文件、查詢結(jié)果等）。根據(jù)HTTP 協(xié)議標(biāo)準(zhǔn)，定義了GET、POST 和HEAD三種請求方法。HTTP 請求消息：一個(gè)HTTP 請求報(bào)文包含4 個(gè)部分：請求行、請求頭、空行和請求數(shù)據(jù)，典型的請求報(bào)文內(nèi)容見表1。

表1 典型的請求報(bào)文內(nèi)容Table 1 Typical request message content

請求行由3 個(gè)字段組成：請求方法、請求URL和HTTP 協(xié)議及版本，它們之間用空格分隔。例如，POST/index.html HTTP/1.1。其中，GET 請求是最常見的請求方法，使用GET 方法時(shí)，URL 中包含請求參數(shù)和相對應(yīng)的值，URL 鏈接中“?”跟隨的部分就是GET 方法發(fā)送的請求數(shù)據(jù)，傳輸?shù)拿總€(gè)數(shù)據(jù)由“&”分割，傳遞的參數(shù)長度受到限制；POST 請求方法以名稱或值的形式將請求參數(shù)封裝在HTTP 請求數(shù)據(jù)中，對傳輸數(shù)據(jù)的大小沒有限制，也不會(huì)顯示在URL 中，能夠大量傳輸數(shù)據(jù)。在實(shí)驗(yàn)環(huán)境測試后發(fā)現(xiàn)，Webshell 特征常見于GET 方法的請求數(shù)據(jù)與POST方法的請求數(shù)據(jù)包體中，本文對HTTP 協(xié)議中GET、POST 請求方法的Webshell 惡意代碼檢測進(jìn)行研究。

請求頭由成對的關(guān)鍵字和值組成，每行一對，關(guān)鍵字和值用英文冒號分隔。請求頭告知服務(wù)器關(guān)于客戶端請求的信息。

請求數(shù)據(jù)只在POST 方法中使用，適用于需要客戶端填寫數(shù)據(jù)的情況。

2.2 HTTP 協(xié)議響應(yīng)消息

HTTP 響應(yīng)包括四個(gè)部分：狀態(tài)行、響應(yīng)頭、空行和響應(yīng)正文。因黑客攻擊表現(xiàn)為發(fā)起惡意網(wǎng)絡(luò)請求，所以本文不具體闡述響應(yīng)包。在模型構(gòu)建過程中，為排除利用批量腳本工具掃描Webshell 行為產(chǎn)生噪點(diǎn)數(shù)據(jù)，采用HTTP 響應(yīng)包中狀態(tài)行作為威脅模型中判斷Webshell 存活的篩選條件之一，例如：HTTP/1.1 200 OK，狀態(tài)碼200 即成功請求網(wǎng)頁，可判斷檢測出Webshell 存活。

2.3 HTTP 協(xié)議流量來源

本文主要闡述的是一種基于HTTP 協(xié)議流量的Webshell 檢測方法，流量來源于一骨干網(wǎng)鏡像流量，目的是為了驗(yàn)證在實(shí)際應(yīng)用中發(fā)現(xiàn)滲透入侵行為的準(zhǔn)確率，并利用此方法回溯黑客，為公安機(jī)關(guān)預(yù)警、打擊非法侵入計(jì)算機(jī)信息系統(tǒng)等黑客犯罪行為提供一種解決方案。

3 Webshell 特征工程

3.1 Webshell 定義與分類

黑客進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，具有一定的固有流程，攻擊流程在結(jié)果上映射為一次成功的攻擊事件后會(huì)獲取Webshell，Webshell 作為黑客成功入侵網(wǎng)站服務(wù)器后留下的后門，可以利用特定遠(yuǎn)程控制端程序訪問網(wǎng)站的特定目錄，對網(wǎng)站服務(wù)器進(jìn)行遠(yuǎn)程控制，增加、刪除、修改網(wǎng)站服務(wù)器文件，下載、篡改數(shù)據(jù)庫數(shù)據(jù)，在服務(wù)器上執(zhí)行系統(tǒng)命令等。

Webshell 原意是一種shell 腳本語言編寫的程序，方便網(wǎng)站或WEB 服務(wù)器管理員進(jìn)行網(wǎng)站管理、服務(wù)器管理的一種腳本程序，一般具備文件上傳下載、執(zhí)行服務(wù)器系統(tǒng)命令、數(shù)據(jù)庫操作等功能，因此誕生后便被黑客所利用?，F(xiàn)在通常是指通過注入、XSS、上傳等滲透手段植入木馬，獲取網(wǎng)站或服務(wù)器控制權(quán)限的后門利用腳本工具。

根據(jù)功能和攻擊影響可分為以下3 種類型：（1）簡單型Webshell 程序，俗稱“一句話木馬”，只提供基本命令執(zhí)行功能的Webshell 程序，功能簡單，必須要“菜刀”、“冰蝎”等管理工具配合使用，才能夠完成與“大馬”類似的功能；（2）文件上傳型Webshell 程序，俗稱“小馬”，不包含命令執(zhí)行功能且功能簡單，通常作為跳板上傳“大馬”或其他惡意文件；（3）網(wǎng)頁型Webshell 程序，俗稱“大馬”，文件體積較大、代碼結(jié)構(gòu)復(fù)雜，代碼中包含文件管理、命令執(zhí)行、數(shù)據(jù)庫操作等功能，可以在WEB 界面操作，通常只需要在瀏覽器中輸入木馬地址，即可實(shí)現(xiàn)對網(wǎng)站權(quán)限的控制[10]。

3.2 Webshell 特征提取方法

Webshell 具有多種特征，包括木馬文件名、危險(xiǎn)函數(shù)名、數(shù)據(jù)包內(nèi)容、請求頭、網(wǎng)絡(luò)流量行為、利用工具特征等[11]。本文主要基于常見木馬文件名和兩種HTTP 請求流量提取特征。

（1）木馬文件名特征提取

Webshell 是植入木馬獲取網(wǎng)站數(shù)據(jù)的利用工具，植入木馬名稱、內(nèi)容由黑客編寫并發(fā)布到網(wǎng)絡(luò)上，其文件名具有明顯特征。很多攻擊者不具有編寫木馬能力或?yàn)榱吮阌赪ebshell 管理，在將Webshell 傳到被攻擊網(wǎng)站中時(shí)，不會(huì)進(jìn)行重新命名，即使重命名，通常會(huì)命名為一些比較特殊且具有一定隱蔽性或易于混淆管理員視線的Webshell 名稱，如90sec.asp、t00ls.jsp、404.php 等[12]。采集互聯(lián)網(wǎng)開源項(xiàng)目中的木馬樣本，提取并歸納出木馬Webshell 文件名稱作為匹配特征，整理的部分Webshell 名稱特征如表2 所示。

表2 常見Webshell 木馬文件名稱特征示例Table 2 Examples of common Webshell Trojan file name features

（2）基于HTTP 請求流量的特征提取

首先，搭建各類實(shí)驗(yàn)環(huán)境，模擬黑客利用漏洞的攻擊行為，例如在本地虛擬機(jī)環(huán)境中搭建本地測試網(wǎng)站，網(wǎng)站中放入JSP、ASP、PHP、ASPX 木馬，使用“菜刀”、“冰蝎”、“哥斯拉”、“XISE”等多個(gè)Webshell 利用工具模擬已經(jīng)滲透入侵成功的狀態(tài)。同時(shí)，實(shí)時(shí)對上述工具進(jìn)行抓包，分析Webshell 利用工具流量分析，其主要包含內(nèi)容見表3。

表3 Webshell 包含內(nèi)容Table 3 Webshell contains content

在反復(fù)驗(yàn)證抓包數(shù)據(jù)后，發(fā)現(xiàn)Webshell 請求包的頭部格式相對固定，主要包括密碼、字符編碼和執(zhí)行命令等，Webshell 的payload 主要集中在URL與POST 請求消息中，對應(yīng)不同的腳本工具、網(wǎng)站代碼、EXP 等具有不同的特征，因此Webshell 檢測可以基于HTTP 協(xié)議流量進(jìn)行特征匹配。在特征匹配過程中，將數(shù)據(jù)包中的固定關(guān)鍵字可以用作特征值，如“eval、system”等危險(xiǎn)函數(shù)、執(zhí)行的CMD命令、流量中解密動(dòng)作函數(shù)base64_decode 等。參照互聯(lián)網(wǎng)中常見的開源木馬樣本項(xiàng)目進(jìn)行本地實(shí)驗(yàn)環(huán)境部署，如：http://virussign.com、https://virusshare.com、GitHub 倉庫中tennc/Webshell、Webshellpub/awsome-Webshell、ysrc/Webshell-sample 等項(xiàng)目，結(jié)合目前主流的靜態(tài)規(guī)則庫，如市面上流行的河馬、百度Webshell、D 盾中危險(xiǎn)函數(shù)與自建的Webshell庫[10]，經(jīng)人工篩選、抓包、分析、提取特征見表4、表5。

表4 POST 方式提取Webshell 特征示例Table 4 Example of extracting Webshell features by POST

表5 URL 提取規(guī)則特征示例Table 5 Example of URL extraction rule features

4 結(jié)合威脅情報(bào)的Webshell 檢測方法

4.1 Webshell 檢測方法

Webshell 的工作機(jī)制是通過網(wǎng)絡(luò)請求將惡意命令傳遞到服務(wù)器，以實(shí)現(xiàn)控制目標(biāo)服務(wù)器權(quán)限，最常見傳遞方式就是利用木馬文件發(fā)起HTTP 請求。WEB 類木馬主要分為三種類型：“大馬”、“小馬”和一句話木馬，原理均是調(diào)用系統(tǒng)函數(shù)來執(zhí)行Webshell 傳入的惡意命令。由于Webshell 是基于HTTP 協(xié)議運(yùn)行的，傳輸?shù)牧髁烤鶠镠TTP 數(shù)據(jù)包。因此，只需要對本文中提到的HTTP 協(xié)議流量中的請求數(shù)據(jù)進(jìn)行特征檢測，Webshell 文件在執(zhí)行過程中請求數(shù)據(jù)有GET、POST，即POST 數(shù)據(jù)包和URL中會(huì)包含文中表4、表5 的特征值，使用正則表達(dá)式匹配的方法，對HTTP 協(xié)議流量的特定字段字符串，檢查一個(gè)字符串是否具有某些惡意特征的子字符串，如果匹配成功，則認(rèn)為本條流量具有明顯的惡意特征，屬于惡意流量。如果匹配不成功，則認(rèn)為此流量是正常流量或未被識別的惡意流量[13]。例如，對于在HTTP 協(xié)議流量中傳輸?shù)腤ebshell 加密數(shù)據(jù)，其請求包一般攜帶通過特定函數(shù)獲取Webshell 中相關(guān)特征的Base64 密文，base64_decode 就是PHP 一句話木馬用Base64 解密密文的行為[14]，因此可以通過此函數(shù)作為特征檢測，判斷Webshell 是否存在。

4.2 融合多維特征與威脅情報(bào)的Webshell檢測模型

首先，對接入的數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、數(shù)據(jù)歸并、數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)比對、數(shù)據(jù)標(biāo)識等預(yù)處理操作，提高數(shù)據(jù)的質(zhì)量和關(guān)聯(lián)性，為統(tǒng)一的存儲和集中的管理提供基礎(chǔ)。其次，基于特征工程提取黑客行為的相關(guān)特征信息建立知識庫，分類歸納公開漏洞攻擊、“大馬”類Webshell 網(wǎng)頁、一句話木馬類靜、動(dòng)態(tài)特征、僵木蠕惡意程序回連黑域名、黑URL 等特征信息，形成HTTP 流量數(shù)據(jù)包所支持的規(guī)則，提供集中、統(tǒng)一的Webshell 特征規(guī)則下發(fā)和黑客行為采集的接口，在鏡像HTTP 協(xié)議數(shù)據(jù)中發(fā)現(xiàn)針對WEB 服務(wù)器的網(wǎng)絡(luò)攻擊事件的數(shù)據(jù)包，用于采集黑客攻擊事件的數(shù)據(jù)。

得到包含Webshell 數(shù)據(jù)包后，需要進(jìn)一步檢索、處理與數(shù)據(jù)包源IP 相關(guān)的數(shù)據(jù)內(nèi)容，形成包含時(shí)間、源IP、源端口、目的IP、目的端口的POST 包格式文件，還原整個(gè)Webshell 的連接與執(zhí)行操作過程。因?yàn)樵摂?shù)據(jù)包匹配的是HTTP 流量，所以請求的網(wǎng)頁路徑即是Webshell 文件路徑，直接訪問POST 請求包中的HOST 和路徑就能打開并連接Webshell。因匹配命中流量較大，模型提取host 和路徑，生成文本文件，通過自動(dòng)化腳本發(fā)送HTTP 請求包，查看相應(yīng)HTTP響應(yīng)碼，以驗(yàn)證相關(guān)頁面是否能夠正常訪問。最終通過實(shí)時(shí)采集網(wǎng)絡(luò)攻擊事件信息，基于攻擊行為成功的黑客行為事件，利用攻擊源和目的的IP、POST包以及驗(yàn)證結(jié)果生產(chǎn)威脅情報(bào)，產(chǎn)生的威脅情包中包含新的Webshell 流量特征，重新輸入到模型中，進(jìn)行復(fù)現(xiàn)和調(diào)整，進(jìn)而提取到更多的Webshell 特征補(bǔ)充到知識庫中支撐檢測，使得檢測模型整體能夠形成閉環(huán)。

在模型構(gòu)建過程中結(jié)合了公安機(jī)關(guān)“打擊和預(yù)防犯罪”的定位，立足網(wǎng)絡(luò)安全保衛(wèi)需求，滿足公共網(wǎng)絡(luò)安全事件的線索發(fā)現(xiàn)、取證、偵察等需要，從宏觀角度出發(fā)把握城市總體被滲透威脅的態(tài)勢情況；從微觀角度出發(fā)發(fā)現(xiàn)危害公共網(wǎng)絡(luò)的安全事件，為網(wǎng)絡(luò)等級保護(hù)和黑客案件打擊提供線索情報(bào)，為互聯(lián)網(wǎng)公共網(wǎng)絡(luò)安全事件監(jiān)測提供了有力的支撐。

5 實(shí)驗(yàn)與結(jié)果分析

5.1 實(shí)驗(yàn)方法與實(shí)驗(yàn)數(shù)據(jù)

分析鏡像骨干網(wǎng)1 小時(shí)流量，其中，HTTP 請求流量約69 萬條，根據(jù)表4、表5 提取到的Webshell特征關(guān)鍵詞，基于正則匹配的方法，判斷流量POST包與URL 中是否包含關(guān)鍵詞，并通過“菜刀”、“冰蝎”等工具實(shí)際驗(yàn)證檢出的Webshell 是否準(zhǔn)確。

經(jīng)過實(shí)驗(yàn)，完全匹配到包含Webshell 特征的一句話木馬1,918 個(gè)，“小馬”559 個(gè)，“大馬”27 個(gè)，見表6。流量復(fù)現(xiàn)分析和驗(yàn)證后，確定實(shí)驗(yàn)檢測出的Webshell 均為攻擊流量，仍存活的Webshell 有64 個(gè)，可判斷模型對已知的Webshell 特征檢測效果較好，且命中的一句話木馬類型的Webshell 比例最高。

表6 實(shí)驗(yàn)結(jié)果Table 6 Experimental results

圖1 融合多維特征與威脅情報(bào)的Webshell 檢測模型Fig.1 Webshell detection model incorporating multi-dimensional features and threat intelligence

根據(jù)生產(chǎn)環(huán)境下的數(shù)據(jù)進(jìn)行的實(shí)驗(yàn)結(jié)果分析，模型對“大馬”檢出率最低，為驗(yàn)證實(shí)驗(yàn)漏報(bào)率，獲取互聯(lián)網(wǎng)開源倉庫Github 中下載量最高、更新最多的Webshell 項(xiàng)目（tennc/webshell）。抽取項(xiàng)目中最新提交的一句話木馬、“大馬”、“小馬”三類惡意樣本生成惡意流量600 條，模擬Webshell 特征構(gòu)造正常流量2,000 條，輸入到模型中仿真運(yùn)行，檢測出一句話木馬流量200 條、“小馬”流量197 條，“大馬”流量184 條，整體漏報(bào)率3.17%。誤將正常流量中識別為“大馬”的1 條，“小馬”3 條，一句話9條，整體誤報(bào)率0.65%。其中，“大馬”因其變種多、構(gòu)造復(fù)雜的特點(diǎn)，使用加密或混淆等方法規(guī)避檢測，漏報(bào)率相對較高，一句話木馬因結(jié)構(gòu)簡單，特征中危險(xiǎn)函數(shù)容易被誤識別，導(dǎo)致誤報(bào)率相對較高，詳細(xì)漏報(bào)率、誤報(bào)率情況見表7。

表7 實(shí)驗(yàn)結(jié)果Table 7 Experimental results

實(shí)驗(yàn)結(jié)果表明，相較于基于威脅情報(bào)的檢測方式，如劉亮等人[16]研究的基于威脅情報(bào)的入侵檢測方法，具有漏報(bào)率低的優(yōu)點(diǎn)。同時(shí)，對比只采用特征工程的檢測方法，如王躍達(dá)等人[12]研究的基于WebShell 文件名和通信流量兩種特征的檢測方法，具有特征庫維護(hù)難度低的特點(diǎn)。

5.2 威脅情報(bào)模型實(shí)驗(yàn)與應(yīng)用結(jié)果分析

接入某骨干網(wǎng)絡(luò)分光流量，通過部署2 臺服務(wù)器光纖直連分光器，捕獲流量進(jìn)行分析。經(jīng)過實(shí)際部署應(yīng)用后，在總寬帶110Gbps 的流量中一個(gè)月捕獲HTTP 流量約5 億條，平均每天檢測約6.1 萬條Webshell 流量，能夠識別木馬以及中國菜刀、蟻劍、“XISE”等Webshell 管理工具產(chǎn)生的流量特征，通過程序和人工處理驗(yàn)證，共計(jì)匹配到1,541 余個(gè)（去重后911 個(gè)）仍存活Webshell 并回溯黑客行為，其中通過部分特征對Webshell 木馬流量進(jìn)行檢測的一個(gè)月命中數(shù)據(jù)如表8。

表8 威脅情報(bào)檢測模型實(shí)際應(yīng)用結(jié)果Table 8 Threat intelligence detection model practical application results

6 結(jié)語

根據(jù)實(shí)驗(yàn)結(jié)果不難發(fā)現(xiàn)，基于特征工程的檢測方法對已知的Webshell 檢測具有漏報(bào)率低、誤報(bào)率低的優(yōu)點(diǎn)，但面對一些使用特殊方式加密或混淆的未知變種Webshell 惡意代碼仍可以規(guī)避檢測[15]，檢測方法高度依賴Webshell 特征庫，具有漏報(bào)率高、特征庫維護(hù)規(guī)模龐大的缺點(diǎn)[8]。因此本文創(chuàng)新性提出融合多維特征與威脅情報(bào)的Webshell 檢測模型，一是實(shí)時(shí)跟蹤互聯(lián)網(wǎng)上開源威脅情報(bào)信息，提取攻擊中的木馬后門特征，產(chǎn)出威脅情報(bào)，二是對檢測出的威脅情報(bào)中的惡意流量進(jìn)一步分析、提取特征，閉環(huán)產(chǎn)生威脅情報(bào)，形成實(shí)時(shí)動(dòng)態(tài)更新的知識庫，降低了特征庫維護(hù)難度。

雖然基于特征工程的檢測方法還存在一定缺陷，但是在實(shí)際應(yīng)用中具有方便、快速、簡單，對已知特定攻擊行為檢測精度和效率較高的優(yōu)點(diǎn)，能夠真正從威脅情報(bào)實(shí)際應(yīng)用的角度檢測大量Webshell 并回溯攻擊源，為公安機(jī)關(guān)打擊黑客犯罪提供準(zhǔn)確、有效的威脅情報(bào)，因此在預(yù)防、打擊黑客犯罪的實(shí)際應(yīng)用中是非常有價(jià)值的。

利益沖突聲明

所有作者聲明不存在利益沖突關(guān)系。