基于主动学习的CNN Webshell检测

来源 :北京交通大学 | 被引量 : 0次 | 上传用户:YINGWU2008
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
2020年上半年我国境内约3.59万个网站被植入后门,数量较2019年上半年增长36.9%,可见,目前信息科技企业依旧面临着广泛的Webshell攻击。工业界对于Webshell的检测主要依靠安全设备告警,建设一体化安全纵深防御体系。学术上,对Webshell的检测研究主要包括文本内容、文本特征两种形式,主流算法有决策树、SVM、CNN、LSTM等。不论工业应用还是学术研究,检测方式上都是以内容检测和误用检测为核心的。主流Webshell检测形式以内容检测和误用检测为检测核心,忽视了异常检测、行为检测,对于对抗性样本、变种样本或0Day漏洞样本的效果不够理想。本文旨在研究基于异常行为的Webshell行为特征检测。一方面,本文实现了以异常行为作为核心检测点的双层网络全局池化CNN Webshell检测模型,这一过程中的核心是寻找合适的行为特征,并将这些行为特征量化为行为特征矩阵。采用双层网络全局池化模型,通过双层网络解决了行为特征矩阵数据稀疏的问题,使得模型有较好的命中率和准确率。同步使用3种不同的卷积核,使得模型局部感受野能够覆盖不同尺寸的上下文,捕获更多特征集合。同时,通过全局池化模型,减少了全连接层特征数量,解决了不同尺寸卷积核带来的过拟合问题。另一方面,进一步实现了面向CNN检测模型的改进主动学习算法,通过主动学习的策略,缓解了基于异常检测样本标注成本过高,难以适应企业的实际安全运营需求的问题。在CNN检测模型的基础上,寻找合适的选择函数Q和主动学习算法终止策略,实现模型对样本的主动选择,减少噪声样本对模型的影响,降低模型对于标注数据的依赖性。使用改进的最大特征距离算法作为样本选择函数,使用改进的最小估计风险策略,综合考虑样本间的特征距离和模型预测值,利用模型自动对样本进行标注,减少人工标注成本,提升算法的检测速度。本文实验采集了某银行业务忙时随机选定时间窗口内的真实业务流量,实现了以异常行为特征的CNN Webshell检测模型,本实验最优结果精确度达可以达到96%,命中率为96%,误报率为6.00%,AUC为96.70%;且模型在对抗性Webshell攻击中表现较好,命中安全监控设备未告警攻击流量占比41%;攻击者捕获率高达98.3%,能够对安全监控体系进行有效补充。面向CNN Webshell检测模型的改进主动学习算法能够发挥其主动选择的优势,当LU为60%的时候模型学习效果最好,精确度达可以达到96.8%,命中率为97%,误报率为7.74%,AUC为97.30%,可节约人工成本40%,实现了科技降本增效。
其他文献
离线手写签名认证是利用个人手写的签名图像对其进行身份认证的技术,具有成本低、易于接受等优点,在安全、金融、司法、刑侦等领域中都有十分重要的应用。近年来,随着深度学习等方法的兴起,离线手写签名认证系统的性能不断提高。然而,在实际应用中,由于精心伪造的签名与真实签名区分度较小,并且同一个人在不同时刻的签名差异较大等难点,高精度离线手写签名认证仍然是一个具有挑战性的研究课题。针对离线手写签名认证技术,本
随着互联网与计算机技术的快速发展及广泛使用,网络上数据日渐庞大,维护网络空间安全已成为网络与计算机安全发展极为重要的一部分。近年来网络安全事件频频发生,恶意代码对计算机造成的安全威胁不可小觑,严重危害国家、社会和个人的隐私安全和经济利益,同时,对恶意代码的特征提取、检测、分类以及对未知新型恶意代码的检测的能力在网络空间安全领域起到了至关重要的作用。恶意软件制作者为了躲避检测查杀,往往对恶意软件通过
自主导航技术是地面无人车的核心技术,是人工智能领域研究的热点问题。地面无人车的自主导航一般分为感知、定位、路径规划与控制这四个部分。路径规划问题作为地面无人车研究中不可或缺的一部分,具有非常重要的研究和应用价值,虽然目前有许多学者提出各种各样的算法来分析、解决这个问题,但是行之有效的方法并不多,这就是本文继续研究路径规划问题的必要性。本文内容和研究成果如下:(1)实现了基于改进A*算法的全局路径规
在这个信息技术飞速发展的时代,网络逐渐成为人们生产生活不可或缺的一部分,与此同时许多网络空间安全问题也日益凸显。网络流量异常检测是网络安全领域研究的重要方向,本文以胶囊网络(Capsule Network,CapsNet)为基础,研究网络流量异常检测算法,提出基于SMOTE-Tomek混合采样和胶囊网络的网络流量异常检测模型。本文的主要研究工作如下:首先,研究分析CapsNet的工作原理,算法架构
随着铁路技术的迅速发展和高铁运行里程的不断增加,我国在途列车数量也逐渐增多,针对列车安全状态监管及故障诊断的研究显得越来越重要。牵引变流器系统是列车承担动能转换的重要装置,系统结构复杂且故障高发。变流器故障的发生会导致列车牵引传动系统异常从而影响整车正常运行,目前针对牵引变流器故障诊断的研究不多,所以对列车牵引变流器进行故障诊断是一个重点研究方向。然而列车牵引变流器故障场景复杂,传统诊断方法多依赖
计算机联锁是具有代表性的铁路信号安全苛求系统,负责列车的进路控制和车站作业安全防护。当前计算机联锁系统运行维护的智能化水平较低,主要还是依靠人工经验,无法应对大规模的故障诊断需求,且容易出现由于经验不足造成的诊断不完备、诊断出错等问题。人工智能技术的发展,以及系统运行过程中产生的海量数据给联锁系统的智能运维带来了机遇。本文从联锁系统自身特点出发,面向智能运维,研究基于深度学习的故障诊断方法,并设计
减振器作为列车的关键部件其性能直接影响到列车的安全运行。当前我国高速列车油压减振器采用的维修方式是定期维修,这种维修方式不仅会提高维修成本而且可能由于过度维修造成浪费,甚至可能由于维修不及时造成安全隐患。鉴于此,本文从高速列车在运行过程中产生的振动数据出发,通过数据处理和统计分析,运用人工神经网络建立减振器的故障诊断模型,并根据减振器在性能退化过程中特征参数的变化趋势对其作出预警。由于研究需要大量
近年来,随着互联网技术的飞速进步,极大地推进了当今社会的经济、文化和教育等领域的发展进程,但随着各类社会活动对计算机网络的依赖日益加剧,计算机网络成为黑客攻击的主要目标,网络犯罪有增无已。在这种情况下,各类网络安全技术相继出现,共同维护着现代网络的安全运行,入侵检测技术由于能够实现主动的网络安全防护措施,且具有实时地监控网络状态的特性,成为了网络安全领域的中热门的研究方向。Snort是一种基于误用
近年来,高校教学不再局限于讲课,转向多元化的课程形式发展。而为了让城轨系统教学实验更贴近生产真实情况,学校新建了一套对城轨线路进行模拟还原的动态模型平台。该平台包括2个主变电所、8个牵引混合所和上下行各8辆列车模型,共44块控制板,每块控制板上有近70个待观测的数据节点。由于控制板均封闭在设备柜和移动的列车中,无法使用实体仪器观测,因此需要开发一套可以提供多种测量功能的监测系统,为学生教学实验提供
网络控制系统是通过通信网络构成闭环的反馈控制系统。由于网络控制系统具有共享信息资源、节约系统布线成本、提高系统灵活性、易于系统扩展和维护等优点,网络控制系统得到快速发展和广泛应用,但同时网络控制系统的安全问题也显得越发突出。虚假数据注入攻击是欺骗攻击中的一种攻击类型,本文针对虚假数据注入攻击的检测及抵御问题进行了研究,主要工作内容如下:首先,针对反馈通道虚假数据注入攻击,分析了残差检验的局限性,介