基于Web日志的Webshell检测方法研究

信息安全研究 ›› 2016, Vol. 2 ›› Issue (1): 66-73.

基于Web日志的Webshell检测方法研究

石刘洋

四川大学电子信息学院

收稿日期:2015-11-20 出版日期:2016-01-05 发布日期:2016-01-18
通讯作者: 石刘洋
作者简介:石刘洋硕士研究生，主要研究方向为Web安全. 470862999@qq.com 方勇博士，教授，主要研究方向为信息安全、网络信息对抗. yfang@scu.edu.cn附录A原始实验数据.

Webshell Detection Method Research Based on Web Log

Shi Liuyang

Received:2015-11-20 Online:2016-01-05 Published:2016-01-18

摘要/Abstract

摘要： 提出了一种基于Web日志的轻量级的Webshell检测方法，通过对服务器日志文本文件进行分析，从文本特征、统计特征和页面关联特征3个角度检测Webshell，并通过实验对方法的可行性进行了验证.文本特征方面主要是对文件访问路径和提交的参数进行特征匹配，实验证明正常网页文件和Webshell文件在文件访问路径特征和提交的参数特征上有明显区别.在统计特征方面，首先是对比网页文件的访问频率，实验证明通过统计网页文件访问频率，结合网页文件目录深度、起始时间段和单位时间独立访客数，可准确识别异常文件.页面关联特征是通过计算网页文件的出入度找出孤立文件，实验表明，Webshell通常为孤立文件，和正常网页文件区分明显.

关键词: 网站后门, Webshell, Web日志, Web安全, 入侵检测

Abstract: In this paper, a new method of Webshell detection based on Web log is proposed, which is based on the analysis of the server log text file, and the Webshell is detected from three angles: text feature, statistical feature and correlation feature. In the text feature, it is mainly to match the file access path and the parameters that are submitted. The experimental results show that the normal Web documents and Webshell files have obvious differences in the characteristics of the file access path and the parameters. In the statistical characteristics, the first is the comparison of the frequency of access to the file, and the experiment proved that the frequency of the Web page file access, combined with the depth of the Web page file directory, the starting time and the number of individual visitors, can accurately identify abnormal file. Page correlation is found by calculating the access of Web documents, the experiment shows that the Webshell is usually a solitary file, and the normal Web documents are clearly distinguished.

Key words: Website backdoor, Webshell, Web log, Web security, intrusion detection

石刘洋. 基于Web日志的Webshell检测方法研究[J]. 信息安全研究, 2016, 2(1): 66-73.

参考文献

［1］Hou Y T, Chang Y, Chen T, et al. Malicious Web content detection by machine learning［J］. Expert Systems with Applications, 2010, 37(1): 5560［2］丁辉. 网站被黑中毒WebShell木马的解决方案［J］. 计算机与网络, 2014, 40(3): 6868［3］杜海章, 方勇. PHP webshell实时动态检测［J］. 网络安全技术与应用, 2014, 12(12): 120121［4］李万新. Web日志数据挖掘在服务器安全方面的应用［J］. 逻辑学研究, 2007, 27(5): 116118［5］范春荣, 张战勇, 肖新华. 充分利用Web日志分析检测黑客入侵［J］. 石家庄铁路职业技术学院学报, 2009, 1(1): 8488［6］齐建军. 窃密型 WebShell 检测方法［J］. 计算机与网络, 2015, 41(13): 3839［7］彭薇. 网站Web日志数据预处理模型的建立［J］. 企业科技与发展: 下半月, 2010 (9): 2831［8］胡宏智, 王华. Web日志挖掘技术的应用研究［J］. 网络安全技术与应用, 2011 (5): 7778［9］段娟. 基于Web应用安全日志审计系统的研究与设计［D］. 北京: 北京邮电大学, 2015［10］Xu Mingkun, Chen Xi, Hu Yan. Design of software to search ASP Web shell［J］. Procedia Engineering, 2012, 29: 123127［11］刘晓亮, 丁世飞, 朱红,等. SVM用于文本分类的适用性［J］. 计算机工程与科学, 2010, 32(6): 106108［12］孟正, 梅瑞, 张涛,等. Linux下基于SVM分类器的WebShell检测方法研究［J］. 信息网络安全, 2014 (5): 59［13］熊志斌, 刘冬. 朴素贝叶斯在文本分类中的应用［J］. 软件导刊, 2013, 20(2): 4951［14］张晓明, 付强. SVM算法在Web服务蜜罐日志分析中的应用［J］. 沈阳大学学报: 自然科学版, 2013, 25(1): 3538［15］刘志宏, 孙长国. 基于Web访问日志的异常行为检测［J］. 计算机与网络, 2015, 41(13): 6264［16］陈宝国, 郑丽英. 基于Web日志文件的孤立点检测算法［J］. 计算机与数字工程, 2010, 38(5): 3537

[1]	何红艳黄国言张炳陈瑜. 基于多种特征选择策略的入侵检测模型研究[J]. 信息安全研究, 2021, 7(3): 225-232.
[2]	黄志华王子凯徐玉华李云龙孙伟. 文件上传漏洞研究与实践[J]. 信息安全研究, 2020, 6(2): 151-158.
[3]	潘志岗. 互联网企业Web系统易忽视漏洞分析[J]. 信息安全研究, 2020, 6(2): 181-187.
[4]	陈佳. 基于知识图谱的DDoS攻击源检测研究[J]. 信息安全研究, 2020, 6(1): 91-96.
[5]	马泽辉. 基于逻辑回归算法的Webshell检测方法研究[J]. 信息安全研究, 2019, 5(4): 298-302.
[6]	叶超. 基于MD5的CSRF防御模块的设计与实现[J]. 信息安全研究, 2019, 5(3): 223-229.
[7]	莫坤王娜李恒吉李朝阳李剑. 基于LightGBM的网络入侵检测系统[J]. 信息安全研究, 2019, 5(2): 152-156.
[8]	夏航宇薛聪郭晓博穆楠. 移动支付安全技术研究综述[J]. 信息安全研究, 2019, 5(10): 944-952.
[9]	周颖胡勇. 基于关联分析的Webshell检测方法研究[J]. 信息安全研究, 2018, 4(3): 251-255.
[10]	王鲁华. 基于数据挖掘的网络入侵检测方法[J]. 信息安全研究, 2017, 3(9): 810-816.
[11]	张凯一. 工业控制系统安全及异常检测研究进展[J]. 信息安全研究, 2017, 3(7): 624-632.
[12]	易楠. 基于语义分析的Webshell检测技术研究[J]. 信息安全研究, 2017, 3(2): 145-150.
[13]	王明李剑. 基于卷积神经网络的网络入侵检测系统[J]. 信息安全研究, 2017, 3(11): 990-994.
[14]	孙伟. XSS漏洞研究综述[J]. 信息安全研究, 2016, 2(12): 1068-1080.