基于机器学习的 Webshell 发现技术探索

作者/分享人:兜哥
刘焱,网络ID兜哥,资深安全专家,具有十年云安全产品经验,主要研究方向为机器学习、僵尸网络、威胁情报、沙箱技术。对企业安全建设和机器学习感兴趣同学可以添加公众号 兜哥带你学安全

Webshell 是一类网站后门的统称,黑客使用 Webshell 可以长期控制 Web 服务器从而进一步入侵网络,不断提高发现 Webshell 的能力是甲方安全的一个重要工作。传统的 Webshell 发现技术主要依赖规则、黑白名单,面对变化多端的各种 Webshell 已经捉襟见肘。

本场 Chat 我会和大家分享一下使用机器学习技术发现 Webshell 的一些方法,希望和大家可以互通有无,共同进步。

实录提要:

  • 对于没有显示出 jsp 等后缀的网站如何检测?
  • 对于 Node JavaScript 机器学习可以用在哪些方面?
  • 在企业安全中,机器学习可以做哪些事?
  • 在镜像流量的使用场景下(以 Spark 为例),mllib 可以做哪些安全方面的工作?
  • 词袋模型为什么选择 n-gram,n 取值是尝试出来的吗?有规律或者经验吗?
  • 检测 Webshell 的思路能够用来检测其他安全问题吗?如 SQLI?
  • 对于 PHP 有没有工具可以检测出 Webshell?
  • n-gram 做提取的时候,有没有考虑降维,如果需要降维的话,需要怎么做?
已有144人预订
预订达标
文章出炉
交流日期
     
06月20日
07月04日
07月11日 20:30
查看文章评论/提问
sharecast
jsp和aspx的没有分析测试么?
兜哥: 除了opcode这块有差异 其他方式jsp asp与php基本相同 jsp和php我们还有一个基于沙箱的思路 做成了一个demo scanner.baidu.com你可以玩下 总的来说 jsp的变种不如php多 甚至可以说远不是一个数量级
Adele
对于没有显示出jsp等后缀的网站如何检测?
Ziksang
对于node javascript机器学习可以用在那些方面
YoGe
这样的检测通常是如何应用到生产环境的呢?
fnmsd
常见一句话木马写错了吧?那个就是个echo get参数啊?
任何
1、词袋模型为什么选择n-gram,n取值是尝试出来的吗?有规律或者经验吗? 2、实际使用中,机器学习方法检测webshell效果怎么样,与传统基于特征的检测比怎么样? 3、检测webshell的思路能够用来检测其它安全问题吗?比如SQLI?
任何
我写了一个基于规则的检测源码中SQLI的程序,瓶颈是有些规则之间会有些冲突,在检测的广泛性和准确性之间,不好平行,机器学习有什么好的思路吗?
joseph.herder💭
对于php有没有工具可以检测出webshell?
下一秒待续
n-gram做提取的时候,有没有考虑降维,如果需要降维的话,需要怎么做?在数据预处理阶段做了哪些工作?
篮子
变种和加了混淆的webshell,通常是运行时才能发现,采用深度学习能否检测静态的代码,识别出webshell
篮子
目前,国内外有哪些权威的网络安全数据集,不限webshell
篮子
在网络传输层能否直接进行web漏洞检测,不基于协议解析,就和图片数据一样,给你一个网络数据包,通过深度学习直接检测,或者推荐下aper
你可能还喜欢
Service Mesh 在华为公有云的实践
田晓亮
从零开始,搭建 AI 音箱 Alexa 语音服务
Mike
Web 安全恩仇录:再谈逻辑漏洞
肖志华
编程和数学基础不佳如何入门人工智能?
赵宁|Neal
如何用 Vue 实现前端权限控制(路由权限 + 视图权限 + 请求权限)
雅X共赏
智能增长:如何用大数据和人工智能实现业务体量的增长
蒋凡
微信扫描登录