基于改进CNN的混淆加密型WebShell流量检测

来源 :南京邮电大学 | 被引量 : 0次 | 上传用户:ha1cy0n
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
WebShell是一种常见的Web脚本入侵工具,目前各行各业的网上服务站点仍然面临着严峻的Web Shell攻击。在学术界,对Web Shell检测的研究对象主要聚焦于文件文本内容和流量报文内容。在工业界,企业对于外部的Web Shell攻击主要依靠安全设备告警,建设纵深的安全防护体系。无论是工业界还是学术界,主流Web Shell检测以内容检测为核心,而忽视了从异常行为角度挖掘Web Shell流量的特征,针对此问题,本文提出一种面向混淆加密型Web Shell内容和行为特征的检测方法。首先,由于目前关于WebShell检测的公开数据集几乎都是聚焦于恶意文件样本,而缺少Web Shell通信流量的数据集,本文基于当前红蓝对抗的现状和Web Shell管理工具的使用习惯,广泛而全面地收集不同环境下的Web Shell通信流量数据,标注了一套加密混淆型Web Shell恶意流量的标注数据集,用于验证检测模型的有效性和时效性。其次,本文实现了以异常行为作为核心检测点的改进SVM检测模型,这一过程的核心是结合专家知识分析Web Shell管理工具的攻击行为在流量报文上体现出的内容特征和行为特征。在保持良好命中率的前提下,为了使模型能及时发现和响应Web Shell攻击事件,本文针对算法复杂度对检测模型进行优化。实验结果表明,本文提出的基于改进SVM检测模型在保持较好的命中率的同时,与其他模型相比,检测效率并未有明显的下降,而且能识别出其他方法不能识别出来的潜在Web Shell攻击威胁。但是,在实验过程中发现,改进SVM检测模型存在6%以上的误报率。最后,为了解决上述SVM模型误报率较高,导致额外安全运营成本的问题,本文针对Web Shell流量实现了以双层网络和全局池化为核心的CNN Web Shell离线检测模型。一方面,采用双层网络全局池化模型,通过双层网络解决了样本数据特征矩阵稀疏性的问题;同时,为了让模型能够覆盖和适应不同攻击行为的上下文,使用不同尺寸的卷积核来捕获更多的特征集合;最后,为了避免不同尺寸卷积核带来的过拟合问题,先合并卷积再经过全局池化,减少全连接层的特征数量。实验结果显示,改进CNN模型针对Web Shell恶意流量的误报率降低至2%左右,ACC为98%左右。在改进SVM检测模型的基础上,进一步减少误报率,有效降低了检测的额外成本。
其他文献
长期以来我国一直积极进行农村发展建设和改革工作,是我国经济发展的重难点之一。在城乡一体化、社会主义新农村建设以及城乡建设用地增减挂钩等多种政策的影响下,合村并居工作当前正在如火如荼的展开,通过该项工作能够对我国当前城乡结构发展进行调整,促进社会主义新农村发展建设,并且推动我国城乡一体化发展进程。山东省在合村并居工作进程中取得良好成果,德州市身为该方案的试点之一,积极进行合村并居改革发展,并已经取得
学位
通过对广东榕属植物古树名木资源现状进行分析,了解广东榕属植物古树名木现状,总结了其存在的保护意识淡薄、抵御自然灾害能力弱、资金欠缺、专业技术人员缺乏等突出问题:提出相应对策建议:(1)积极加大榕属植物古树名木保护宣传力度;(2)多措并举保护榕属植物古树名木;(3)广开渠道引入社会资本;(4)培养专业技术人才。以期对建设岭南榕树文化品牌,推进生态文明建设,助力乡村振兴有所帮助。
期刊
滨水绿地是实践城市更新、生态建设的重要场所。在城市更新视角下,以浦东智慧河两岸景观提升项目为例,在不突破可研批复的总投资下,合理分配各专业投资比例。在满足景观功能前提下,着重打造景观亮点。对绿地现状生态基底、资源进行了踏勘、记录,结合周边用地及使用人群需求针对性定位,进一步聚焦现状资源保留与利用、限额投资下景观特色的凸显、生态环保低碳理念的多元化诠释。通过整合利用基地现状资源,因地制宜挖掘滨水特色
期刊
随着信息时代的不断发展,人们对存储器的性能的要求也逐渐增加,有机场效应晶体管存储器作为未来有机电子电路的重要组成部分,其作用也愈加明显。基于有机场效应晶体管的存储器已成为最有前途的数据存储技术之一,可应用于感官存储器,存储内存和神经形态计算等新兴的存储器应用。研究者从多角度出发来开发出高性能的存储器件。本文以富含羟基的材料作为主要研究对象,对材料选择、薄膜制备条件等方面进行探究,并通过研究薄膜的形
学位
创新农村社会治理,解决新时代“三农”问题,县一级发挥着至关重要的作用。威海市文登区将创建齐鲁乡村振兴示范区作为定位,坚持以党建为指导,强化问题导向、系统谋划、统筹推进,着力实施振兴农村的“十大工程”,带动村级集体的经济发展和村民增收,具有很好的借鉴意义。良好的乡村社会治理是更好实现乡村振兴,营造稳定、和谐、幸福的社会环境的重要基础。本文以文登区为特定的研究对象,基于文登区在过去取得的社会治理方面的
学位
随着SDN(Software Defined Network,软件定义网络)越来越广泛的应用,SDN网络面临DDo S(Distributed Denial of Service,分布式拒绝服务)攻击的风险也不断增加,DDo S攻击产生的攻击流量会给SDN网络带来巨大的负载压力,影响正常网络业务的进行,严重时可能导致整个SDN网络瘫痪,造成财产损失。因此本论文对SDN网络中的DDo S攻击检测和防
学位
近年来,我国深入推进的农村厕所革命工作,在提升厕所空间卫生性、舒适性、便利性的同时也暴露出一些问题,其中,以“旱改水”后粪污处理不当引发的资源浪费和环境污染问题最为严重。实现排泄物还田的资源化利用,不仅能解决农村粪污的处理问题,更能改善当下“化肥农业”所带来的农业面源污染及食品安全问题。基于此,如何借助厕所革命实现农业、农村的可持续发展,成为学术界争相讨论的焦点。本研究以青岛市云村为个案,从环境社
学位
随着网络技术的发展,各类电子设备联入互联网,使得网络规模的不断扩大,互联网成为人类生活中必不可少的一个部分。网络流量作为网络信息传递的载体,通过分析网络流量,可以取业务类型、感知异常行为、检测恶意攻击、预测链路带宽等,因而网络流量检测是网络领域最重要的任务之一,是网络资源管理,网络空间安全,服务质量(Quality of Service,Qo S)等的重要前提。尤其是对于网络空间安全而言,网络流量
学位
全面推广和实施好乡村振兴首席专家制度,以人才引进、培养、评价等作为着力点,切实推进体制机制创新,是凝聚人才、充分发挥人才作用,更好地在乡村天地进行谋事创业的重要保障。本文依据现有文献资料阐述了首席专家农村人才服务背景和发展现状,归纳了首席专家农村人才服务的实践探索及基本经验。并结合制度创新、创业理论等概念体系,围绕基层发展首席专家制度的运用效果、运营机制以及服务模式等问题进行探讨,同时说明了该项制
学位
边缘缓存是移动边缘计算(Mobile Edge Computing,MEC)的一个重要应用,可以使用户不需要从远端服务器而直接从网络边缘接入点获取所需内容,减小传输时延,提升用户体验。本文对基站的边缘缓存策略展开研究。本文所做的主要工作如下:一、针对最大化平均缓存命中率的优化目标,以宏小区下单个边缘小基站的无线网络为研究场景,提出了一种最大化边缘小基站缓存命中率的缓存策略。首先给出平均缓存命中率的
学位