基于CNN的WebShell檢測(cè)工具的設(shè)計(jì)與實(shí)現(xiàn)

摘要隨著互聯(lián)網(wǎng)在我們生活中被廣泛應(yīng)用到社交、金融、行政以及辦公等領(lǐng)域，網(wǎng)絡(luò)安全的問題也越來(lái)越被重視。WebShell的本質(zhì)是一種Web應(yīng)用腳本程序，由于其可以通過(guò)HTTP協(xié)議的方式對(duì)服務(wù)器進(jìn)行控制，故常被黑客用于植入到被入侵的系統(tǒng)中，嚴(yán)重威脅到主機(jī)的安全。本文針對(duì)現(xiàn)有的WebShell檢測(cè)技術(shù)展開分析并實(shí)現(xiàn)一款高效、精準(zhǔn)的WebShell檢測(cè)工具。由于目前大部分主流的WebShell檢測(cè)工具都是利用靜態(tài)特征進(jìn)行匹配的，十分依賴人工提取WebShell的特征形成規(guī)則庫(kù)，并且無(wú)法對(duì)抗未知類型或經(jīng)過(guò)變種的WebShell，因此本文采用了卷積神經(jīng)網(wǎng)絡(luò)算法對(duì)網(wǎng)絡(luò)上公開的WebShell樣本進(jìn)行訓(xùn)練生成一個(gè)檢測(cè)模型，并基于該模型設(shè)計(jì)檢測(cè)的流程與實(shí)現(xiàn)，達(dá)到了較好的檢測(cè)結(jié)果?！酢蹶P(guān)鍵詞：深度學(xué)習(xí)WebShell卷積神經(jīng)網(wǎng)絡(luò)

AbstractAstheInternetiswidelyusedinourlifeinsocial,financial,administrativeandofficeareas,theissueofnetworksecurityisalsomoreandmoreattention.TheessenceofWebShellisaWebapplicationscript.BecauseitcancontroltheserverthroughHTTPprotocol,itisoftenusedbyhackerstoimplantitintothesystemthatisinvaded,whichseriouslythreatensthesecurityofthehost.ThispaperanalyzestheexistingWebShelldetectiontechnologyandrealizesanefficientandaccurateWebShelldetectiontool.Atpresent,mostofthemainstreamWebShelldetectiontoolsarematchedbystaticfeatures,whichrelyonthemanualextractionofWebShellfeaturestoformarulebase,andcannotfightagainstunknowntypesorvarietiesofWebShell.Therefore,thispaperadoptstheconvolutionalneuralnetworkalgorithmtotraintheWebShellsamplesonthenetworktogenerateadetectionmodel,anddesignsthedetectionprocessandimplementationbasedonthismodel,achievingabetterdetectioneffect.Keywords：DeepLearningWebShellCNN目錄第一章緒論 第一章緒論研究背景及意義在互聯(lián)網(wǎng)高速發(fā)展的今天，網(wǎng)絡(luò)已經(jīng)滲透到我們生活中的方方面面，網(wǎng)絡(luò)技術(shù)在即時(shí)通訊、網(wǎng)絡(luò)購(gòu)物、移動(dòng)支付、線上政務(wù)、在線教育等領(lǐng)域的應(yīng)用，使得網(wǎng)絡(luò)空間已經(jīng)成為我們生存的“第二空間”?；ヂ?lián)網(wǎng)在短時(shí)內(nèi)的迅速發(fā)展，不僅改變了世界，也給我們帶來(lái)的新的網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)安全的重要性也逐漸被人們所重視，更成為了維護(hù)國(guó)家安全的戰(zhàn)略新疆域。CNCERT（國(guó)家互聯(lián)網(wǎng)應(yīng)急中心）每年都會(huì)發(fā)布關(guān)于我國(guó)互聯(lián)網(wǎng)安全態(tài)勢(shì)的報(bào)告，在2019年的報(bào)告中CNCERT就監(jiān)測(cè)到我國(guó)約8.5萬(wàn)個(gè)網(wǎng)站被植入了后門，比前一年發(fā)現(xiàn)的數(shù)量增長(zhǎng)超過(guò)了2.59倍，此外還有大約18.6萬(wàn)個(gè)網(wǎng)站被篡改[[]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心.2019年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[EB[]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心.2019年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[EB/OL],/publish/main/upload/File/2019-year.pdf,2019.目前大部分的WebShell靜態(tài)檢測(cè)工具仍是通過(guò)匹配從文件中提取的特征碼和危險(xiǎn)函數(shù)的特征庫(kù)匹配方法進(jìn)行實(shí)現(xiàn)，這種方法無(wú)法檢測(cè)未知的WebShell文件，目前許多WebShell文件為了繞過(guò)殺毒軟件的查殺，也會(huì)利用編碼、混淆以及加密等操作進(jìn)行處理，使得現(xiàn)有的WebShell檢測(cè)技術(shù)無(wú)法識(shí)別。近年來(lái)，隨著人工智能的發(fā)展，涌現(xiàn)出很多基于機(jī)器學(xué)習(xí)算法的WebShell檢測(cè)方法，可以比較有效地檢測(cè)出經(jīng)過(guò)特殊處理的WebShell文件，因此本文就是利用卷積神經(jīng)網(wǎng)絡(luò)算法實(shí)現(xiàn)WebShell檢測(cè)流程，開發(fā)能夠快速、精確檢測(cè)WebShell文件的工具，從而確保服務(wù)器的安全。Web安全現(xiàn)狀分析隨著互聯(lián)網(wǎng)的發(fā)展壯大，黑客攻擊也日趨猖獗，在大部分的黑客攻擊中均是針對(duì)Web應(yīng)用展開攻擊的。在由IDAC（中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)聯(lián)盟）聯(lián)合騰訊、青藤云安全等安全廠商共同發(fā)布的針對(duì)我國(guó)企業(yè)安全的調(diào)研報(bào)告中[[]中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟，騰訊安全，騰訊標(biāo)準(zhǔn)，青藤云安全.2019中國(guó)主機(jī)安全服務(wù)報(bào)告[EB/OL],/research/report/952.html,2019.]，指出了黑客針對(duì)企業(yè)發(fā)起的網(wǎng)絡(luò)攻擊事件中WebShell仍然是黑客攻擊的首要方法，僅2019年統(tǒng)計(jì)的針對(duì)企業(yè)所屬服務(wù)器的木馬感染事件就超過(guò)了百萬(wàn)起，其中WebShell木馬感染事件約80萬(wàn)起，如圖1-1所示，WebShell感染事件占據(jù)了所有統(tǒng)計(jì)病毒[]中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟，騰訊安全，騰訊標(biāo)準(zhǔn)，青藤云安全.2019中國(guó)主機(jī)安全服務(wù)報(bào)告[EB/OL],/research/report/952.html,2019.圖1-SEQ圖1-\*ARABIC1木馬感染情況（2019）圖1-SEQ圖1-\*ARABIC2樣本種類分布（2019）此外，隨著“云計(jì)算”時(shí)代的來(lái)臨，WebShell的種類也在快速增加，從被感染的主機(jī)中提取的病毒木馬分析，其種類總體上呈現(xiàn)出多樣化的趨勢(shì)。圖1-SEQ圖1-\*ARABIC1木馬感染情況（2019）圖1-SEQ圖1-\*ARABIC2樣本種類分布（2019）圖1-SEQ圖1-\*ARABIC3WebShell樣本語(yǔ)言比例（2019）根據(jù)捕獲的WebShell樣本分析，PHP圖1-SEQ圖1-\*ARABIC3WebShell樣本語(yǔ)言比例（2019）WebShell簡(jiǎn)介WebShell是一種基于動(dòng)態(tài)腳本語(yǔ)言的頁(yè)面木馬后門，通常以PHP、JSP、ASP以及CGI等腳本程序的形式實(shí)現(xiàn)的，并且可以執(zhí)行操作系統(tǒng)命令，具備對(duì)服務(wù)器進(jìn)行管理能力的惡意腳本代碼。黑客通常會(huì)利用服務(wù)器上存在的任意文件上傳漏洞、命令執(zhí)行漏洞、SQL注入漏洞等可以將文件寫入到服務(wù)器中的漏洞，將WebShell植入到服務(wù)器上，從而取得服務(wù)器的控制權(quán)限。從代碼層面或其功能實(shí)現(xiàn)上進(jìn)行區(qū)分，通?？梢詫ebShell分為以下的三類：一句話木馬，其本身的代碼十分簡(jiǎn)短，與其名稱一樣，只需通過(guò)一行代碼就能接收并執(zhí)行客戶端提交的腳本，通常利用eval等函數(shù)在服務(wù)器上執(zhí)行，可以結(jié)合蟻劍、中國(guó)菜刀等WebShell管理工具使用，具有很強(qiáng)的靈活性，并且可以插入到正常的頁(yè)面文件中進(jìn)行隱藏，不易被網(wǎng)站管理員發(fā)現(xiàn)。小馬，這是相對(duì)于大馬而言的，其本身實(shí)現(xiàn)的代碼較少，功能也相對(duì)比較單一，常用于進(jìn)一步提升控制服務(wù)器的權(quán)限，通常只有文件上傳、代碼執(zhí)行等功能，協(xié)助黑客植入大馬到服務(wù)器上。大馬，是功能實(shí)現(xiàn)最全面的木馬，通常都具備文件管理、數(shù)據(jù)庫(kù)管理、權(quán)限提升以及命令執(zhí)行等功能。論文內(nèi)容與結(jié)構(gòu)本文通過(guò)對(duì)現(xiàn)有的WebShell檢測(cè)技術(shù)進(jìn)行分析，采用了基于卷積神經(jīng)網(wǎng)絡(luò)的檢測(cè)方法，設(shè)計(jì)并最終實(shí)現(xiàn)一款WebShell檢測(cè)工具。本文的大概結(jié)構(gòu)如下：第一章主要對(duì)研究的課題的背景和意義進(jìn)行概述，通過(guò)各大權(quán)威機(jī)構(gòu)和國(guó)內(nèi)知名的安全廠商發(fā)布的相關(guān)安全研究報(bào)告分析我國(guó)網(wǎng)絡(luò)空間安全中面臨的WebShell攻擊威脅情況，并針對(duì)WebShell進(jìn)行簡(jiǎn)單介紹。第二章對(duì)目前在WebShell惡意代碼檢測(cè)上的現(xiàn)狀進(jìn)行分析，主要介紹了傳統(tǒng)的WebShell檢測(cè)方法和與人工智能相結(jié)合的新型檢測(cè)算法，并簡(jiǎn)單分析了每種檢測(cè)算法的優(yōu)劣。第三章介紹了本文采用的基于卷積神經(jīng)網(wǎng)絡(luò)的檢測(cè)模型，并對(duì)特征提取、卷積神經(jīng)網(wǎng)絡(luò)模型等相關(guān)技術(shù)展開分析，并利用TFlearn庫(kù)實(shí)現(xiàn)了一個(gè)CNN模型結(jié)構(gòu)進(jìn)行訓(xùn)練。第四章主要對(duì)本文要實(shí)現(xiàn)的WebShell檢測(cè)工具所需功能進(jìn)行分析，并根據(jù)功能將程序分為四個(gè)模塊并針對(duì)其所需實(shí)現(xiàn)的功能進(jìn)行分析。第五章從代碼層面上展示了實(shí)現(xiàn)WebShell檢測(cè)工具的核心代碼及對(duì)應(yīng)的功能示例，通過(guò)測(cè)試樣本對(duì)本工具的效果進(jìn)行檢驗(yàn)，并與其他檢測(cè)工具進(jìn)行對(duì)比第六章對(duì)本文進(jìn)行總結(jié)以及介紹對(duì)未來(lái)的一些規(guī)劃。

第二章研究現(xiàn)狀與檢測(cè)技術(shù)研究現(xiàn)狀目前常用的WebShell木馬的檢測(cè)思路可以分為如下兩種：基于WebShell文件代碼的靜態(tài)特征和基于WebShell執(zhí)行過(guò)程中的流量和行為特征等動(dòng)態(tài)特征。通常情況下，黑客為了避免WebShell被檢測(cè)出來(lái)，會(huì)利用腳本語(yǔ)言本身的特性結(jié)合編碼、加密等手段對(duì)WebShell進(jìn)行混淆從而繞過(guò)檢測(cè)，常見的免殺手段如利用字符串拆分后重新拼接、WebShell通信流量加密以及利用動(dòng)態(tài)函數(shù)調(diào)用等。傳統(tǒng)的檢測(cè)是通過(guò)靜態(tài)特征檢測(cè)進(jìn)行的，最常用的方法就是直接提取樣本特征，如eval、system等關(guān)鍵函數(shù)、結(jié)合變量名稱和文件屬性等靜態(tài)特征進(jìn)行匹配，這種方式可以快速檢測(cè)已知的WebShell，但依賴事先定制的匹配規(guī)則，對(duì)未知的惡意樣本無(wú)法檢測(cè)，容易被編碼、加密等手段進(jìn)行混淆繞過(guò)，因此傳統(tǒng)的檢測(cè)方法大多都對(duì)混淆后的變種或未知類型的WebShell的檢測(cè)效果不佳。隨著人工智能的發(fā)展，人工智能也廣泛應(yīng)用到了網(wǎng)絡(luò)安全領(lǐng)域中，針對(duì)WebShell的檢測(cè)也開始與機(jī)器學(xué)習(xí)技術(shù)相結(jié)合。基于機(jī)器學(xué)習(xí)的檢測(cè)方法在機(jī)器學(xué)習(xí)技術(shù)的應(yīng)用上，如分別提取WebShell樣本和正常樣本的頁(yè)面特征，然后利用機(jī)器學(xué)習(xí)算法進(jìn)行訓(xùn)練得到矩陣分解模型來(lái)完成對(duì)未知頁(yè)面的預(yù)測(cè)的方法，能夠較有效地檢測(cè)出經(jīng)過(guò)編碼混淆或新型變體的惡意WebShell代碼[[]戴樺[]戴樺,李景,盧新岱,孫歆.智能檢測(cè)WebShell的機(jī)器學(xué)習(xí)算法[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào),2017,3(04):51-57.又如利用語(yǔ)義分析算法對(duì)WebShell文件的語(yǔ)法和詞法進(jìn)行分析提取特征，從語(yǔ)義的角度計(jì)算出文件的風(fēng)險(xiǎn)值，從而根據(jù)風(fēng)險(xiǎn)值判斷一個(gè)文件是否為惡意代碼，可以較有效地區(qū)分現(xiàn)有類型的WebShell與正常文件[[]易楠[]易楠,方勇,黃誠(chéng),劉亮.基于語(yǔ)義分析的Webshell檢測(cè)技術(shù)研究[J].信息安全研究,2017,3(02):145-150.基于深度學(xué)習(xí)的檢測(cè)方法在深度學(xué)習(xí)技術(shù)的應(yīng)用上，如利用神經(jīng)網(wǎng)絡(luò)算法將WebShell樣本轉(zhuǎn)換成文本向量特征，再使用SVDD（SupportVectorDomainDescription，支持向量數(shù)據(jù)描述）模型進(jìn)行預(yù)測(cè)[[]吳斌[]吳斌,趙力.基于深度學(xué)習(xí)和半監(jiān)督學(xué)習(xí)的webshell檢測(cè)方法[J].信息技術(shù)與網(wǎng)絡(luò)安全,2018,37(08):19-22.又如利用腳本語(yǔ)言編譯后得到的字節(jié)碼并利用詞向量生成算法將字節(jié)碼轉(zhuǎn)換成特征向量，然后通過(guò)MLP（Multi-LayerPerceptrons，多層感知機(jī)）算法模型進(jìn)行預(yù)測(cè)，這種方式可以避免代碼進(jìn)行混淆后無(wú)法識(shí)別的問題[[]張涵[]張涵,薛質(zhì),施勇.基于多層神經(jīng)網(wǎng)絡(luò)的Webshell改進(jìn)檢測(cè)方法研究[J].通信技術(shù),2019,52(01):179-183.其他檢測(cè)方法在基于動(dòng)態(tài)特征的檢測(cè)方法上，常見的是使用提取訪問WebShell過(guò)程中產(chǎn)生的網(wǎng)絡(luò)流量、應(yīng)用日志等方式來(lái)提取相應(yīng)的行為特征，然后通過(guò)特征匹配或機(jī)器學(xué)習(xí)分類算法進(jìn)行檢測(cè)。如針對(duì)WebShell需要通過(guò)HTTP協(xié)議進(jìn)行訪問的特點(diǎn)，收集黑客操作WebShell過(guò)程中產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù)，提取HTTP請(qǐng)求數(shù)據(jù)包中的IP、User-Agent、URL、payload等動(dòng)態(tài)特征對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，從而判斷是否為惡意行為所產(chǎn)生的流量，但這種檢測(cè)方式需要鏡像網(wǎng)絡(luò)流量進(jìn)行配合，需要額外的檢測(cè)成本，且對(duì)于加密的通信流量檢測(cè)能力較弱[[]趙運(yùn)弢[]趙運(yùn)弢,徐春雨,薄波,劉書林.基于流量的WebShell行為分析與檢測(cè)方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018(04):8-9.此外，與流量檢測(cè)類似，可以根據(jù)WebShell在訪問過(guò)程中留下的Web日志進(jìn)行分析，通過(guò)日志中的請(qǐng)求方式、請(qǐng)求參數(shù)等特征，并結(jié)合文件的訪問次數(shù)和所處的目錄位置、訪問用戶量以及與其他頁(yè)面的關(guān)聯(lián)程度進(jìn)行分析檢測(cè)[[]石劉洋,方勇.基于[]石劉洋,方勇.基于Web日志的Webshell檢測(cè)方法研究[J].信息安全研究,2016,2(01):66-73.本章小結(jié)本章介紹了目前檢測(cè)WebShell的幾種方式，目前大部分主流的WebShell檢測(cè)工具都是基于傳統(tǒng)的靜態(tài)特征匹配的方式實(shí)現(xiàn)的，誤報(bào)率和漏報(bào)率相對(duì)較高，隨著人工智能技術(shù)的發(fā)展，WebShell的檢測(cè)技術(shù)也紛紛與各種機(jī)器學(xué)習(xí)算法相結(jié)合，誤報(bào)率和漏報(bào)率相較于使用傳統(tǒng)檢測(cè)算法也降低了許多。當(dāng)然，不同的WebShell檢測(cè)技術(shù)在不同的場(chǎng)景下都具有其獨(dú)特的優(yōu)勢(shì)，對(duì)于WebShell的免殺技術(shù)和檢測(cè)技術(shù)來(lái)說(shuō)，兩者本身就是長(zhǎng)期相互對(duì)抗的過(guò)程，并沒有一種方式是可以一勞永逸的。

第三章基于卷積神經(jīng)網(wǎng)絡(luò)的檢測(cè)方法卷積神經(jīng)網(wǎng)絡(luò)算法的英文全稱為ConvolutionalNeuralNetworks，簡(jiǎn)稱CNN，剛開始主要應(yīng)用在計(jì)算機(jī)視覺領(lǐng)域的圖像處理上，后來(lái)也逐漸應(yīng)用到了自然語(yǔ)言處理領(lǐng)域中，用于對(duì)文本分類問題進(jìn)行處理。對(duì)于WebShell的檢測(cè)來(lái)說(shuō)，其本質(zhì)上也是屬于文本的二分類問題[[]傅建明,黎琳,王應(yīng)軍.基于CNN的Webshell文件檢測(cè)[J[]傅建明,黎琳,王應(yīng)軍.基于CNN的Webshell文件檢測(cè)[J].鄭州大學(xué)學(xué)報(bào)(理學(xué)版),2019,51(02):1-8.圖3-SEQ圖3-\*ARABIC1WebShell檢測(cè)流程本文利用CNN模型對(duì)樣本進(jìn)行檢測(cè)，訓(xùn)練和預(yù)測(cè)都需要通過(guò)以下三個(gè)主要步驟進(jìn)行：預(yù)處理樣本數(shù)據(jù)、提取特征向量以及模型檢測(cè)圖3-SEQ圖3-\*ARABIC1WebShell檢測(cè)流程預(yù)處理樣本數(shù)據(jù)圖3-SEQ圖3-\*ARABIC2編譯生成opcode示例通常情況下黑客為了躲避WebShell檢測(cè)工具的查殺，會(huì)利用增加無(wú)用的注釋對(duì)源代碼進(jìn)行混淆處理，會(huì)給基于源代碼文本進(jìn)行分類的檢測(cè)模型帶來(lái)一定的干擾。PHP作為一門解釋型的腳本語(yǔ)言，在執(zhí)行之前編譯器會(huì)先經(jīng)過(guò)詞法、語(yǔ)法和語(yǔ)義進(jìn)行分析提取源代碼文本的內(nèi)容，并丟棄如空格、注釋等圖3-SEQ圖3-\*ARABIC2編譯生成opcode示例[]張賀威,劉曉潔.基于文本向量的php-webshell檢測(cè)方法[J].數(shù)據(jù)通信,2019(04):16-21.圖3-SEQ圖3-\*ARABIC3預(yù)處理數(shù)據(jù)核心代碼VLD（VulcanLogicDumper）是PHP程序的一個(gè)擴(kuò)展，用于輸出PHP腳本編譯后的opcode等信息，如圖3-2所示，op一列即為利用VLD擴(kuò)展將常見的一句話木馬編譯后進(jìn)行輸出的opcode序列，其中參數(shù)“-dvld.active=1”是用于啟用VLD擴(kuò)展輸出生成的opcode信息，參數(shù)“-dvld.execute=0”是圖3-SEQ圖3-\*ARABIC3預(yù)處理數(shù)據(jù)核心代碼盡管不同的腳本代碼編譯生成的opcode序列不同，但同類型的腳本代碼編譯生成的opcode卻存在一定程度的相似，而且利用VLD擴(kuò)展將源代碼文本內(nèi)容轉(zhuǎn)換成的opcode序列只包含Zend引擎中的指令，因此可以在一定程度上消除代碼混淆后對(duì)特征的影響。提取特征向量為了使提取的opcode序列特征能應(yīng)用到深度學(xué)習(xí)算法中，還需要將文本類型的opcode序列轉(zhuǎn)換成數(shù)值表示的特征向量，因此可以采用自然語(yǔ)言處理（NLP）領(lǐng)域中的詞袋模型和TF-IDF模型以及詞匯表模型分別對(duì)opcode序列的詞頻和詞序進(jìn)行處理。詞袋模型和TF-IDF模型圖3-SEQ圖3-\*ARABIC4詞袋模型示例代碼詞袋模型（Bag-of-wordsmodel）將每個(gè)字詞作為獨(dú)立的對(duì)象，不考慮字詞在文本中的語(yǔ)義關(guān)系，而是將文本比作裝著許多字詞的袋子，只考慮單詞在文本出現(xiàn)頻數(shù)，并利用單詞與其詞頻共同構(gòu)成表示文本的向量特征。如圖3-4所示，利用sklearn模塊中的CountVectorizer函數(shù)圖3-SEQ圖3-\*ARABIC4詞袋模型示例代碼但是如果單純只通過(guò)詞頻是無(wú)法準(zhǔn)確反映出詞的重要程度的，TF-IDF算法是自然語(yǔ)言處理領(lǐng)域中一種計(jì)算字詞對(duì)于某個(gè)文檔的重要程度算法，其原理是若一個(gè)字詞在字符串中的詞頻越高，則說(shuō)明該字詞在字符串中越關(guān)鍵，若一個(gè)字詞出現(xiàn)在不同字符串中的數(shù)量越少，則說(shuō)明該字詞對(duì)能區(qū)分不同類型字符串的能力越強(qiáng)，因此該算法也常常跟詞袋模型結(jié)合使用。TF-IDF算法中的TF(TermFrequency)指詞頻，即一個(gè)單詞在一個(gè)文本內(nèi)出現(xiàn)的次數(shù)，其意義在于可以反映出某一單詞w在文本中的重要性，單詞w的TF值計(jì)算公式如下：TIDF(InverseDocumentFrequency)指的是逆向文件頻率，即字詞在所有文本內(nèi)出現(xiàn)的次數(shù)的倒數(shù)，其意義在于其具備區(qū)分不同文本類別的能力，因?yàn)榘瑔卧~w的文本數(shù)目越少，其計(jì)算得出的IDF值越大，則能夠說(shuō)明某一單詞w對(duì)于不同類別的文本的區(qū)分能力越強(qiáng)。單詞w的IDF值計(jì)算公式如下：IDFTF-IDF的核心思想就是若某個(gè)字詞w在文本中的詞頻越高，并且字詞w在其他文本中出現(xiàn)的頻率越低，則認(rèn)為該字詞具備較強(qiáng)的類別區(qū)分能力，可以被用于分類，TF-IDF值的計(jì)算公式如下：TF-IDF=TF*IDF圖3-SEQ圖3-\*ARABIC5詞袋&TF-IDF模型示例代碼在sklearn庫(kù)中，圖3-SEQ圖3-\*ARABIC5詞袋&TF-IDF模型示例代碼詞匯表模型基于詞袋模型進(jìn)行提取的特征值只記錄了單詞到文本之間的映射關(guān)系以及對(duì)應(yīng)的詞頻，其特征向量表達(dá)出文本是由那些單詞組成的，但由于單詞之間的關(guān)聯(lián)信息在提取的過(guò)程中已經(jīng)丟失，因此不能表達(dá)出每個(gè)單詞之間在文本中的語(yǔ)義上的關(guān)系。詞匯表模型在詞袋的基礎(chǔ)上，利用生成的詞表并按照單詞在詞表中的位置對(duì)原文本進(jìn)行編碼。如圖3-6所示，VocabularyProcessor函數(shù)是TensorFlow中生成詞匯表模型的實(shí)現(xiàn)，通過(guò)提取原文本中的單詞并形成詞表，然后將原文本中的每個(gè)單圖3-SEQ圖圖3-SEQ圖3-\*ARABIC6詞匯表模型示例代碼小結(jié)本節(jié)主要對(duì)自然語(yǔ)言處理領(lǐng)域中比較常見的詞袋&TF-IDF模型和詞匯表模型進(jìn)行介紹以及對(duì)原理進(jìn)行分析，作為PHP腳本編譯后的中間代碼，opcode的結(jié)構(gòu)是具有語(yǔ)義上的聯(lián)系的，因此本文將采用詞匯表模型提取opcode序列的特征。檢測(cè)模型圖3-SEQ圖3-\*ARABIC7基于opcode特征的CNN模型處理流程卷積神經(jīng)網(wǎng)絡(luò)模型最早的應(yīng)用是在圖像處理等計(jì)算機(jī)視覺領(lǐng)域中，解決了因?yàn)閿?shù)據(jù)量過(guò)于龐大而無(wú)法進(jìn)行學(xué)習(xí)的問題，其特點(diǎn)在于其神經(jīng)網(wǎng)絡(luò)的輸入為原始的像素?cái)?shù)據(jù)，避免了傳統(tǒng)算法中復(fù)雜的特征工程[[]尹寶才,王文通,王立春.深度學(xué)習(xí)研究綜述[J].圖3-SEQ圖3-\*ARABIC7基于opcode特征的CNN模型處理流程[]尹寶才,王文通,王立春.深度學(xué)習(xí)研究綜述[J].北京工業(yè)大學(xué)學(xué)報(bào),2015,41(01):48-59.數(shù)據(jù)集圖3-SEQ圖3-\*ARABIC8WebShell樣本和PHP樣本示意圖本文針對(duì)CNN模型進(jìn)行訓(xùn)練所使用的正常樣本為主流的CMS開源代碼，包括phpcms、phpMyAdmin、smarty、wordpress以及yii等主流的CMS代碼圖3-SEQ圖3-\*ARABIC8WebShell樣本和PHP樣本示意圖由于WebShell樣本均由網(wǎng)絡(luò)上收集匯總而成，因此需要使用去重工具對(duì)WebShell樣本進(jìn)行處理，處理后的正常樣本數(shù)量為4613，WebShell樣本數(shù)量為1192，兩者的數(shù)量比例接近4:1。樣本預(yù)處理圖3-SEQ圖3-\*ARABIC9提取opcode核心代碼分別對(duì)兩個(gè)樣本集中的每一個(gè)樣本使用PHP的VLD擴(kuò)展進(jìn)行提取opcode序列，提取opcode的核心代碼如圖3-9圖3-SEQ圖3-\*ARABIC9提取opcode核心代碼圖3-SEQ圖3-\*ARABIC10預(yù)處理樣本標(biāo)記核心代碼在獲取到兩個(gè)樣本集對(duì)應(yīng)的圖3-SEQ圖3-\*ARABIC10預(yù)處理樣本標(biāo)記核心代碼圖3-SEQ圖3-\*ARABIC11圖3-SEQ圖3-\*ARABIC11opcode序列編碼核心代碼圖3-SEQ圖3-\*ARABIC12隨機(jī)劃分樣本集代碼最后使用的train_test_split函數(shù)對(duì)樣本集隨機(jī)劃分完成樣本的預(yù)處理，其中用于測(cè)試的樣本集占總樣本的40%，用于訓(xùn)練的樣本集占總樣本的圖3-SEQ圖3-\*ARABIC12隨機(jī)劃分樣本集代碼輸入層經(jīng)過(guò)預(yù)處理樣本之后得到了樣本集的opcode序列及對(duì)應(yīng)的分類標(biāo)記，在傳入數(shù)據(jù)之前，還需要對(duì)數(shù)據(jù)進(jìn)一步處理，由于代碼編譯生成的opcode序列的長(zhǎng)度并不一致，所以需要對(duì)所有的opcode進(jìn)行截取固定的長(zhǎng)度，若不足則使用0進(jìn)行填充。此外，由于WebShell分類屬于二分類問題，還需要對(duì)標(biāo)記的數(shù)據(jù)進(jìn)圖3-SEQ圖3-\*ARABIC13輸入數(shù)據(jù)處理核心代碼圖3-SEQ圖3-\*ARABIC13輸入數(shù)據(jù)處理核心代碼圖3-SEQ圖3-\*ARABIC14圖3-SEQ圖3-\*ARABIC14輸入層定義代碼卷積層圖3-SEQ圖3-\*ARABIC15卷積層定義代碼卷積層是由3個(gè)步長(zhǎng)分別為3、4、5圖3-SEQ圖3-\*ARABIC15卷積層定義代碼池化層圖3-SEQ圖3-\*ARABIC16池化層定義代碼定義代碼如圖3-16所示，池化層將卷積處理后的結(jié)果進(jìn)行串接，生成了固定長(zhǎng)度的融合特征向量，之后使用全局池化對(duì)融合特征向量進(jìn)行處理獲得張量中的最大特征值，然后使用比率為0.8的隨機(jī)丟棄操作，使得經(jīng)過(guò)池化層之后的8圖3-SEQ圖3-\*ARABIC16池化層定義代碼[]姜天.基于卷積神經(jīng)網(wǎng)絡(luò)的Webshell檢測(cè)方法研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,2019,38(07):27-31.全連接層由于該模型是為了識(shí)別WebShell文件的二分類任務(wù)，因此使用softmax激活函圖3-SEQ圖3-\*ARABIC17全連接層定義代碼數(shù)將上一層的輸出通過(guò)全連接的方式進(jìn)行處理，同時(shí)使用adam圖3-SEQ圖3-\*ARABIC17全連接層定義代碼模型訓(xùn)練及模型結(jié)構(gòu)圖3-SEQ圖3-\*ARABIC18圖3-SEQ圖3-\*ARABIC18CNN結(jié)構(gòu)圖圖3-SEQ圖3-\*ARABIC19訓(xùn)練代碼實(shí)例化以上圖3-SEQ圖3-\*ARABIC19訓(xùn)練代碼圖3-SEQ圖3-\*ARABIC20訓(xùn)練結(jié)果模型經(jīng)過(guò)圖3-SEQ圖3-\*ARABIC20訓(xùn)練結(jié)果評(píng)估指標(biāo)在模型的評(píng)估指標(biāo)中，模型預(yù)測(cè)為正例的結(jié)果用P(Positive)表示，預(yù)測(cè)為負(fù)例的結(jié)果使用N(Negative)表示。對(duì)于模型預(yù)測(cè)結(jié)果的正確與否，分別使用T(True)和F(False)進(jìn)行表示。下文將對(duì)模型評(píng)估的常用指標(biāo)算法進(jìn)行介紹。準(zhǔn)確率（Accuracy）：指模型預(yù)測(cè)正確的數(shù)量在總樣本集的占比，是最直觀的可以看出模型效果的指標(biāo)，計(jì)算公式如下：A召回率（Recall）：指模型預(yù)測(cè)的結(jié)果為TP的數(shù)量在總樣本集中所有正例的占比，用于衡量模型對(duì)正例的識(shí)別能力，計(jì)算公式如下：R精確率（Precision）：指總樣本集中正例的數(shù)量在模型判斷為正例的數(shù)量的比例，用于衡量模型對(duì)負(fù)例的識(shí)別能力，計(jì)算公式如下：PreF1值（F1-score）：指召回率和精確率的加權(quán)平均值，是兩者的綜合體現(xiàn)，F(xiàn)1值越高，則說(shuō)明模型越穩(wěn)健，計(jì)算公式如下：F圖3-SEQ圖3-\*ARABIC21圖3-SEQ圖3-\*ARABIC21獲取評(píng)估代碼圖3-SEQ圖3-\*ARABIC22模型指標(biāo)評(píng)估對(duì)上節(jié)訓(xùn)練得到的模型進(jìn)行評(píng)估，如圖3-22所示，整個(gè)模型的準(zhǔn)確率為97.21%，召回率為91.圖3-SEQ圖3-\*ARABIC22模型指標(biāo)評(píng)估本章小結(jié)本章主要介紹了卷積神經(jīng)網(wǎng)絡(luò)算法和使用該算法生成WebShell檢測(cè)模型的步驟，并對(duì)深度學(xué)習(xí)相關(guān)的技術(shù)進(jìn)行分析。CNN算法除了解決圖像處理的問題外還可以解決文本分類的問題，本文采用了提取PHP類型腳本的opcode序列并使用詞匯表算法編碼為特征向量，從而輸入到卷積神經(jīng)網(wǎng)絡(luò)中進(jìn)行運(yùn)算得到相應(yīng)分類的結(jié)果。在特征提取的算法中，本文主要對(duì)詞袋模型進(jìn)行分析，詞袋&TF-IDF算法可以較好地區(qū)分不同文本，但無(wú)法表達(dá)出單詞之間在文本中的聯(lián)系，詞匯表算法在詞袋模型的基礎(chǔ)上，利用提取的詞匯對(duì)文本進(jìn)行重新編碼，從而具備了表達(dá)單詞之間前后聯(lián)系的能力。此外，本章還介紹了準(zhǔn)確率、召回率、精確率和F1值等常用的模型評(píng)估算法，在評(píng)估模型的優(yōu)劣時(shí)需要考慮到各個(gè)分值，若單純只參考一個(gè)指標(biāo)，則可能導(dǎo)致結(jié)果出現(xiàn)誤差，因此在機(jī)器學(xué)習(xí)中通常會(huì)綜合使用以上的評(píng)估算法對(duì)一個(gè)模型的好壞進(jìn)行綜合評(píng)估。

第四章分析與設(shè)計(jì)功能需求分析傳統(tǒng)的WebShell檢測(cè)工具對(duì)有明顯靜態(tài)特征后行為模式的WebShell木馬有較好的識(shí)別效果，但不能對(duì)變種、混淆的木馬進(jìn)行有效檢測(cè)。本文將采用深度學(xué)習(xí)的卷積神經(jīng)網(wǎng)絡(luò)模型針對(duì)PHP類型的WebShell木馬設(shè)計(jì)并實(shí)現(xiàn)一款檢測(cè)工具。由于WebShell需要在服務(wù)器的Web容器中才能被執(zhí)行，對(duì)于普通的個(gè)人PC來(lái)說(shuō)基本沒有危害，并且目前市場(chǎng)上絕大多數(shù)的服務(wù)器上部署的系統(tǒng)為發(fā)行版的Linux系統(tǒng)，其次是Microsoft的WindowServer，因此本工具需要具備跨平臺(tái)運(yùn)行的能力。Python在人工智能方面有相當(dāng)豐富的第三方庫(kù)實(shí)現(xiàn)，并且只需在操作系統(tǒng)中安裝相應(yīng)的Python解釋器即可跨平臺(tái)運(yùn)行python代碼，所以本工具將基于Python語(yǔ)言進(jìn)行開發(fā)。此外，WebShell木馬需要通過(guò)HTTP訪問請(qǐng)求才能觸發(fā)執(zhí)行，因此其在服務(wù)器上的物理位置都是處于Web應(yīng)用的根目錄下的。針對(duì)這一特點(diǎn)，本工具允許用戶配置固定的掃描路徑的方式對(duì)Web應(yīng)用的路徑進(jìn)行統(tǒng)一管理。設(shè)計(jì)方案圖4-SEQ圖4-\*ARABIC1總體流程圖如圖4-1所示，本檢測(cè)工具由4個(gè)主要的圖4-SEQ圖4-\*ARABIC1總體流程圖交互模塊圖4-SEQ圖4-\*ARABIC2指令格式示例本模塊用于為用戶提供可交互的界面，通常情況下，為了提高服務(wù)器的性能，大多數(shù)服務(wù)器上的操作系統(tǒng)都是沒有圖形化界面的，所有操作都是通過(guò)Shell終端進(jìn)行的，因此本程序采用實(shí)現(xiàn)圖4-SEQ圖4-\*ARABIC2指令格式示例配置模塊圖4-SEQ圖4-\*ARABIC3配置模塊相關(guān)指令本模塊用于為用戶提供掃描配置的接口對(duì)掃描路徑和白名單路徑進(jìn)行管理。WebShell需要Web容器的環(huán)境才可以運(yùn)行，并且服務(wù)器上的Web應(yīng)用路徑不會(huì)經(jīng)常變動(dòng)，因此本程序采用將web應(yīng)用所在的物理路徑統(tǒng)一管理圖4-SEQ圖4-\*ARABIC3配置模塊相關(guān)指令本模塊通過(guò)交互式Shell解析相關(guān)指令進(jìn)行統(tǒng)一調(diào)用，如圖4-3所示，定義三個(gè)指令：set、show和remove分別作為配置管理相關(guān)的添加、查找、刪除的操作指令，由于只需要對(duì)掃描路徑和白名單進(jìn)行管理，因此在指令中分別使用字符串“path”和“white”作為代表。為了提供更人性化的操作，考慮到添加和刪除的操作可以通過(guò)批量操作進(jìn)行，因此對(duì)于其參數(shù)使用不定長(zhǎng)的參數(shù)形式，避免管理人員添加多個(gè)目錄時(shí)需要進(jìn)行多次操作。并且由于刪除操作具有一定的危險(xiǎn)性，在執(zhí)行刪除指令時(shí)會(huì)經(jīng)過(guò)二次確認(rèn)后才進(jìn)行操作，避免誤操作帶來(lái)的影響。掃描模塊圖4-SEQ圖4-\*ARABIC4掃描流程圖本模塊是本工具的核心模塊，用于對(duì)用戶配置的路徑圖4-SEQ圖4-\*ARABIC4掃描流程圖預(yù)處理數(shù)據(jù)根據(jù)對(duì)用戶配置的掃描列表進(jìn)行遍歷提取PHP類型的腳本文件以及剔除白名單相關(guān)的路徑，最后形成一個(gè)由物理路徑組成的待掃描列表，以供下一步使用。指紋識(shí)別MD5是一種信息摘要算法，任意長(zhǎng)度的內(nèi)容使用MD5進(jìn)行計(jì)算后都會(huì)生成一串固定且唯一的32位長(zhǎng)度的字符串，并且內(nèi)容在被修改后，重新計(jì)算MD5得到的結(jié)果都將會(huì)另外的結(jié)果[[]李杰,張學(xué)旺.MD5報(bào)文摘要算法與文件系統(tǒng)完整性[]李杰,張學(xué)旺.MD5報(bào)文摘要算法與文件系統(tǒng)完整性保護(hù)[J].湘潭大學(xué)自然科學(xué)學(xué)報(bào),2003(03):96-100.在獲得文件的指紋后，為了加快檢測(cè)效率，通過(guò)將文件指紋與現(xiàn)有的指紋庫(kù)（存放已知WebShell文件的MD5值）進(jìn)行對(duì)比，先進(jìn)行篩選并分類出已知的WebShell文件和未知的待檢測(cè)文件，未知文件將進(jìn)入下一步的處理。模型檢測(cè)在使用3.3中所提及的檢測(cè)模型進(jìn)行檢測(cè)之前，需要將在上一步中得到了的需要使用CNN模型進(jìn)行檢測(cè)的文件物理路徑列表中的文件的內(nèi)容進(jìn)行預(yù)處理。首先利用PHP程序的VLD擴(kuò)展將所有的文件編譯成相應(yīng)的opcode序列，然后使用詞匯表模型將所有的opcode序列編碼成特征向量，最后輸入到訓(xùn)練后的CNN模型進(jìn)行預(yù)測(cè)，并將預(yù)測(cè)結(jié)果和上一步指紋掃描識(shí)別出的WebShell集合進(jìn)行合并返回給用戶。數(shù)據(jù)庫(kù)在本程序需要對(duì)配置信息和WebShell指紋信息進(jìn)行持久化，因此采用輕型數(shù)據(jù)庫(kù)SQLite對(duì)信息進(jìn)行管理。在數(shù)據(jù)庫(kù)中我們需要的建立3張表用于存儲(chǔ)程序運(yùn)行所需的信息，分別為待掃描目錄路徑表（scanner_dir）、白名單目錄路徑表（scanner_whites）以及WebShell指紋信息表（web_shell_feature）。scanner_dir：用于記錄需要掃描目錄的物理路徑等信息，數(shù)據(jù)庫(kù)表結(jié)構(gòu)如表4-1所示。表4-SEQ表4-\*ARABIC1scanner_dir字段名類型是否主鍵非空備注idInteger是是主鍵filepathString否是掃描文件路徑scaned_timeDateTime否否上次掃描時(shí)間has_webshellBoolean否是該路徑是否存在木馬is_enableBoolean否否是否啟用createdDateTime否是創(chuàng)建時(shí)間modifiedDatetime否是修改時(shí)間scanner_whites：用于記錄無(wú)需掃描的白名單物理路徑信息，數(shù)據(jù)庫(kù)表結(jié)構(gòu)如表4-2所示。表4-SEQ表4-\*ARABIC2scanner_whites表字段名類型是否主鍵非空備注idInteger是是主鍵filepathString否是加白的文件物理路徑createdDateTime否是創(chuàng)建時(shí)間modifiedDatetime否是修改時(shí)間web_shell_feature：用于保存已知的WebShell指紋信息，數(shù)據(jù)庫(kù)表結(jié)構(gòu)如表4-3所示。表4-SEQ表4-\*ARABIC3web_shell_feature表字段名類型是否主鍵非空備注idString是是主鍵，文件的MD5指紋is_webshellBoolean否是加白的文件物理路徑createdDateTime否是創(chuàng)建時(shí)間modifiedDatetime否是修改時(shí)間本章小結(jié)本章主要對(duì)WebShell的特點(diǎn)進(jìn)行結(jié)合分析需要涉及到的功能，并將需要實(shí)現(xiàn)的功能劃分為GUI、配置管理、掃描模塊和數(shù)據(jù)庫(kù)持久化四個(gè)模塊，并針對(duì)每個(gè)模塊中的功能進(jìn)行細(xì)分和設(shè)計(jì)相關(guān)的邏輯。

第五章代碼實(shí)現(xiàn)與測(cè)試相關(guān)的Python第三方模塊簡(jiǎn)介TensorFlowTensorFlow是一個(gè)基于Python的深度學(xué)習(xí)開源框架，支持使用CPU或GPU來(lái)進(jìn)行運(yùn)算，被廣泛應(yīng)用在機(jī)器學(xué)習(xí)的各種領(lǐng)域中。本程序使用TensorFlow來(lái)實(shí)現(xiàn)CNN檢測(cè)模型的訓(xùn)練和預(yù)測(cè)。TflearnTflearn是一個(gè)將TensorFlow進(jìn)行模塊化封裝的工具庫(kù)，其內(nèi)部將TensorFlow的許多復(fù)雜操作封裝成更簡(jiǎn)便的API，使得開發(fā)者可以更快速地創(chuàng)建機(jī)器學(xué)習(xí)的應(yīng)用。本程序使用Tflearn封裝的API進(jìn)行卷積神經(jīng)網(wǎng)絡(luò)模型的搭建。Scikit-learnScikit-learn(sklearn)是一個(gè)針對(duì)數(shù)據(jù)挖掘和分析的工具庫(kù)，其內(nèi)部對(duì)機(jī)器學(xué)習(xí)中的許多方法進(jìn)行實(shí)現(xiàn)封裝，本程序使用sklearn進(jìn)行特征提取和模型評(píng)估。NumpyNumpy(NumericalPython)是十分強(qiáng)大的數(shù)學(xué)運(yùn)算庫(kù)，主要用于數(shù)組計(jì)算，支持大量的維度數(shù)組與矩陣運(yùn)算，常被用于機(jī)器學(xué)習(xí)中相關(guān)的數(shù)學(xué)運(yùn)算。PromptToolkitPromptToolkit是一個(gè)輕量級(jí)的用于構(gòu)建交互式終端的工具庫(kù)，其支持構(gòu)建具備語(yǔ)法高亮、代碼補(bǔ)全、熱鍵綁定等功能的交互式終端界面。本程序使用PromptToolkit實(shí)現(xiàn)自定義的交互式終端。PrettyTablePrettyTable是一個(gè)用于對(duì)數(shù)據(jù)進(jìn)行格式化為字符串表格的工具庫(kù)，支持多種樣式的表格，以達(dá)到美化數(shù)據(jù)顯示的效果。SQLAlchemyORM指的是對(duì)象關(guān)系映射，英文全稱為ObjectRelationalMapping，可以通過(guò)操作類的對(duì)象的形式對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作，SQLAlchemy便是基于Python的一個(gè)ORM數(shù)據(jù)庫(kù)框架，本程序?qū)⒒赟QLAlchemy實(shí)現(xiàn)數(shù)據(jù)庫(kù)的操作。代碼實(shí)現(xiàn)數(shù)據(jù)持久化本程序中采用SQLAlchemy對(duì)配置、指紋庫(kù)等信息進(jìn)行持久化，其可以通過(guò)創(chuàng)建類的方式對(duì)數(shù)據(jù)庫(kù)表結(jié)構(gòu)進(jìn)行生成，根據(jù)數(shù)據(jù)庫(kù)設(shè)計(jì)表創(chuàng)建如下映射類：圖5-SEQ圖5-\*ARABIC1映射類ScannerDir數(shù)據(jù)庫(kù)表scanner圖5-SEQ圖5-\*ARABIC1映射類ScannerDir圖5-SEQ圖5-\*ARABIC2圖5-SEQ圖5-\*ARABIC2映射類ScannerWhites圖5-SEQ圖5-\*ARABIC3映射類WebShellFeature圖5-SEQ圖5-\*ARABIC3映射類WebShellFeature交互模塊圖5-SEQ圖5-\*ARABIC圖5-SEQ圖5-\*ARABIC4界面核心代碼圖5-SEQ圖5-\*ARABIC5指令解析核心代碼圖5-SEQ圖5-\*ARABIC5指令解析核心代碼圖5-SEQ圖5-\*ARABIC圖5-SEQ圖5-\*ARABIC6主界面演示圖5-SEQ圖5-\*ARABIC7圖5-SEQ圖5-\*ARABIC7參數(shù)提示功能演示圖5-SEQ圖5-\*ARABIC8參數(shù)提示核心代碼參數(shù)提示功能圖5-SEQ圖5-\*ARABIC8參數(shù)提示核心代碼圖5-SEQ圖5-\*ARABIC9指令解析函數(shù)演示此外，通過(guò)將指令解析成函數(shù)調(diào)用的方式可以快速新增其他功能而無(wú)需過(guò)多修改代碼，如圖5-9所示，其中用戶輸入指令“setpathxxx”,程序?qū)?huì)調(diào)用“圖5-SEQ圖5-\*ARABIC9指令解析函數(shù)演示圖5-SEQ圖5-\*ARABIC10裝飾器實(shí)現(xiàn)代碼示例圖5-SEQ圖5-\*ARABIC10裝飾器實(shí)現(xiàn)代碼示例配置管理圖5-SEQ圖5-\*ARABIC11配置新增查找演示set指令可以增加配置項(xiàng)，show圖5-SEQ圖5-\*ARABIC11配置新增查找演示圖5-SEQ圖5-\*ARABIC12刪除圖5-SEQ圖5-\*ARABIC12刪除配置演示圖5-SEQ圖5-\*ARABIC13移除配置核心代碼圖5-SEQ圖5-\*ARABIC13移除配置核心代碼掃描模塊圖5-SEQ圖5-\*ARABIC14掃描核心代碼掃描檢測(cè)流程見第4.2.3圖5-SEQ圖5-\*ARABIC14掃描核心代碼圖5-SEQ圖5-\*ARABIC15指紋信息掃描其中classification_by_md5圖5-SEQ圖5-\*ARABIC15指紋信息掃描圖5-SEQ圖5-\*ARABIC16CNN模型掃描核心代碼check函數(shù)是采用CNN圖5-SEQ圖5-\*ARABIC16CNN模型掃描核心代碼效果測(cè)試測(cè)試集圖5-SEQ圖5-\*ARABIC17測(cè)試樣本測(cè)試樣本采用隨機(jī)抽取的100個(gè)WebShell樣本進(jìn)行測(cè)試圖5-SEQ圖5-\*ARABIC17測(cè)試樣本測(cè)試工具圖5-SEQ圖5-\*ARABIC18本工具檢測(cè)效果使用本工具進(jìn)行檢測(cè)出91圖5-SEQ圖5-\*ARABIC18本工具檢測(cè)效果圖5-SEQ圖5-\*ARABIC19D盾檢測(cè)結(jié)果使用D盾進(jìn)行檢測(cè)，共發(fā)現(xiàn)8圖5-SEQ圖5-\*ARABIC19D盾檢測(cè)結(jié)果圖5-SEQ圖5-\*ARABIC20webdir+檢測(cè)結(jié)果使用百度在線WebShell檢測(cè)工具WEBDIR+進(jìn)行檢測(cè)，共檢出7圖5-SEQ圖5-\*ARABIC20webdir+檢測(cè)結(jié)果本章小結(jié)本章從代碼的層面上介紹了實(shí)現(xiàn)本工具所使用的依賴庫(kù)以及對(duì)程序的實(shí)現(xiàn)邏輯與核心代碼展開分析。此外，為了檢測(cè)工具的使用效果，隨機(jī)抽取了100個(gè)樣本分別對(duì)不同的工具進(jìn)行檢測(cè)，從檢測(cè)結(jié)果上看，本文實(shí)現(xiàn)的基于卷積神經(jīng)網(wǎng)絡(luò)檢測(cè)工具效果優(yōu)于傳統(tǒng)的檢測(cè)工具。

第六章總結(jié)本人從2019年11月啟動(dòng)了畢業(yè)論文的工作，從最開始因?yàn)槿鄙傧嚓P(guān)資料和知識(shí)沉淀不足，導(dǎo)致完成畢設(shè)的進(jìn)度緩慢。經(jīng)過(guò)在這幾個(gè)月的時(shí)間里一步一步慢慢收集資料進(jìn)行學(xué)習(xí)，項(xiàng)目從無(wú)到有，從實(shí)現(xiàn)一些基礎(chǔ)模塊到整體框架的完善，最終較圓滿地完成了本次的畢業(yè)設(shè)計(jì)工作。隨著云時(shí)代的來(lái)臨，我們面臨著越來(lái)越多的網(wǎng)絡(luò)安全威脅，對(duì)于企業(yè)來(lái)說(shuō)，公司越來(lái)越多的業(yè)務(wù)模式也已經(jīng)從線下遷移到了網(wǎng)上，面臨的Web安全問題也越來(lái)越多，一旦服務(wù)器被入侵，則會(huì)給企業(yè)帶來(lái)巨大的損失。在近年來(lái)的安全趨勢(shì)中，企業(yè)的服務(wù)器被植入WebShell的事件也一直高居不下，傳統(tǒng)的WebShell檢測(cè)工具在誤報(bào)和漏報(bào)上偏高，因此本文實(shí)現(xiàn)了基于卷積神經(jīng)網(wǎng)絡(luò)的WebShell檢測(cè)工具，所進(jìn)行的工作主要有以下幾方面：研究目前各種主流工具檢測(cè)WebShell的方案，并分析各種方案的優(yōu)劣。研究深度學(xué)習(xí)中在WebShell檢測(cè)上的應(yīng)用并利用Python生成預(yù)測(cè)模型。利用上文所分析的卷積神經(jīng)網(wǎng)絡(luò)算法實(shí)現(xiàn)WebShell檢測(cè)模型，并基于該模型設(shè)計(jì)一套檢測(cè)流程。在本次畢業(yè)設(shè)計(jì)的實(shí)踐中，我得到了一個(gè)很好的鍛煉和提升機(jī)會(huì)，對(duì)許多學(xué)過(guò)的知識(shí)也有了全新的理解，也對(duì)本次項(xiàng)目有了不一樣的目標(biāo)，在此對(duì)這次項(xiàng)目的設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行簡(jiǎn)單的總結(jié)。本項(xiàng)目采用的檢測(cè)模型在實(shí)驗(yàn)環(huán)境中取得了很好的效果，但在實(shí)際環(huán)境中仍有提升的空間，此外，由于WebShell樣本的采集難度較大，通過(guò)開源途徑收集到的樣本集數(shù)量過(guò)少，也是導(dǎo)致模型在實(shí)際環(huán)境中效果沒達(dá)到預(yù)期的原因。因此，在接下來(lái)的工作中，我將繼續(xù)深入本課題的研究以期可以解決以上的問題。

參考文獻(xiàn)致謝大學(xué)四年轉(zhuǎn)眼即逝，在這四年的學(xué)習(xí)生活中，我得到了很多方面的成長(zhǎng)，不僅學(xué)到了許多專業(yè)知識(shí)，也學(xué)會(huì)了不少的人生哲理。在此，我感謝陪我走過(guò)大學(xué)生活的每一位老師，每一位同學(xué)，感謝老師們不辭辛苦地為我們付出，感謝同學(xué)們陪我共同成長(zhǎng)！本論文最終能順利完成，我還要感謝我的論文導(dǎo)師羅海波老師，羅老師從大學(xué)入學(xué)開始就陪伴著我們一起到了畢業(yè)，本人從論文的選題到項(xiàng)目實(shí)現(xiàn)的思路再到論文的完成，羅老師都給了我不少有價(jià)值的建議，使得我的畢業(yè)設(shè)計(jì)課題可以順利進(jìn)行，使我受益良多。此外，我還要感謝我的母校廣東東軟學(xué)院，是母校給我提供了一個(gè)很好的學(xué)習(xí)和生活的平臺(tái)，使我結(jié)識(shí)了許多良師益友。在此，我還要感謝審閱本論文的各位專家，感謝所有關(guān)心和愛護(hù)過(guò)我的親人、老師、同學(xué)和朋友們！

電腦無(wú)法識(shí)別U盤該怎么辦HYPERLINK電腦無(wú)法識(shí)別U盤怎么辦?打開我的電腦上單擊右鍵，在快捷菜單里，選擇“管理”，打開“計(jì)算機(jī)管理”窗口。在計(jì)算機(jī)管理窗口里，選擇“存儲(chǔ)”下面的“磁盤管理”，如果看得到?jīng)]有盤符的U盤，那么在這個(gè)U盤上按鼠標(biāo)右鍵，選擇“更改驅(qū)動(dòng)器名稱和路徑”選項(xiàng)，就打開了“更改……的驅(qū)動(dòng)器號(hào)和路徑”對(duì)話框。再點(diǎn)擊“更改”按鈕，打開“更改驅(qū)動(dòng)器號(hào)和路徑”的對(duì)話框，在“指定以下驅(qū)動(dòng)器號(hào)”的右邊下拉列表里，選擇你希望分配給U盤的驅(qū)動(dòng)器號(hào)，盡可能靠后選擇，比如X、Y、Z，選擇好后，單擊確定按鈕，回到上一次“更改……的驅(qū)動(dòng)器號(hào)和路徑”對(duì)話框窗口，再一次單擊確定，就回到“計(jì)算機(jī)管理”窗口。至此，如果一切正常，就給U盤單獨(dú)設(shè)置了一個(gè)長(zhǎng)久使用的驅(qū)動(dòng)器號(hào)，并卻，不受虛擬驅(qū)動(dòng)器的影響了。建議將U盤插到電腦上，看任務(wù)欄中是否顯示圖標(biāo)，如果顯示，在我的電腦點(diǎn)右鍵查看屬性——高級(jí)——硬件——設(shè)備管理器——查看里面是否有問號(hào)的設(shè)備，在問號(hào)設(shè)備上點(diǎn)右鍵——更新驅(qū)動(dòng)程序然后下一步——否暫時(shí)不連接到網(wǎng)絡(luò)——下一步自動(dòng)安裝軟件（推薦）就可以了另外：系統(tǒng)不認(rèn)U盤的幾種處理方法1.禁用主板usb設(shè)備。管理員在CMOS設(shè)置里將USB設(shè)備禁用，并且設(shè)置BIOS密碼，這樣U盤插到電腦上以后，電腦也不會(huì)識(shí)別。這種方法有它的局限性，就是不僅禁用了U盤，同時(shí)也禁用了其他的usb設(shè)備，比如usb鼠標(biāo)，usb光驅(qū)等。所以這種方法管理員一般不會(huì)用，除非這臺(tái)電腦非常重要，值得他舍棄掉整個(gè)usb總線的功能。但是這種屏蔽也可以破解，即便設(shè)置了密碼。整個(gè)BIOS設(shè)置都存放在CMOS芯片里，而COMS的記憶作用是靠主板上的一個(gè)電容供電的。電容的電來(lái)源于主板電池，所以，只要把主板電池卸下來(lái)，用一根導(dǎo)線將原來(lái)裝電池的地方正負(fù)極短接，瞬間就能清空整個(gè)CMOS設(shè)置，包括BIOS的密碼。隨后只需安回電池，自己重新設(shè)置一下CMOS，就可以使用usb設(shè)備了。（當(dāng)然，這需要打開機(jī)箱，一般眾目睽睽之下不大適用~~）2.修改注冊(cè)表項(xiàng)，禁用usb移動(dòng)存儲(chǔ)設(shè)備。打開注冊(cè)表文件，依次展開"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbehci”雙擊右面的“Start”鍵，把編輯窗口中的“數(shù)值數(shù)據(jù)”改為“4”，把基數(shù)選擇為“十六進(jìn)制”就可以了。改好后注銷一下就可以看見效果了。為了防止別人用相同的方法來(lái)破解，我們可以刪除或者改名注冊(cè)表編輯器程序。提示：“Start”這個(gè)鍵是USB設(shè)備的工作開關(guān)，默認(rèn)設(shè)置為“3”表示手動(dòng)，“2”是表示自動(dòng)，“4”是表示停用。3.在computermanagement里將removablestorage的使用權(quán)限禁止。computermanagement是一個(gè)windows管理組件，可以在控制面板——管理工具——計(jì)算機(jī)管理打開。在該工具窗口中storage——removablestorage——property中，general項(xiàng)，可以控制系統(tǒng)托盤是否顯示security則可以管理移動(dòng)存儲(chǔ)設(shè)備的使用權(quán)限。在security中將普通用戶的使用權(quán)限降低，就可以達(dá)到禁用u盤的目的。破解的方法也很簡(jiǎn)單，管理員降低普通用戶移動(dòng)存儲(chǔ)設(shè)備的使用權(quán)限，但未必禁用computermanagement的使用權(quán)限。普通用戶可以通過(guò)這個(gè)工具解除usb移動(dòng)存儲(chǔ)設(shè)備的使用權(quán)限限制。另外，值得一提的是，如果u盤插到電腦上后可以驅(qū)動(dòng)，但是我的電腦里卻沒有盤符，很有可能是管理員改動(dòng)了u盤的默認(rèn)盤符，使得我的電腦不能識(shí)別。這種情況，可以在movablestorage中看到u盤驅(qū)動(dòng)器。可以在u盤驅(qū)動(dòng)器屬性設(shè)置里為u盤重新分配一個(gè)盤符，再重新插拔一次u盤，就可以在我的電腦里看到u盤的盤符了。一、首先可以將該U盤換到別的機(jī)器上，看使用是否正常。如果排除了硬件損壞的可能，一般就是軟件方面有問題。在WindowsXP+SP1操作系統(tǒng)下，有些USB2.0設(shè)備的確常常出現(xiàn)工作不穩(wěn)定的問題，可以試試安裝設(shè)備自帶的USB2.0驅(qū)動(dòng)程序。另外最好不要使用USB延長(zhǎng)線，防止因?yàn)楣╇姴蛔愣斐刹环€(wěn)定現(xiàn)象。如果仍無(wú)效，可以在主板BIOS設(shè)定中，將USB接口強(qiáng)行設(shè)置為USB1.1傳輸速率。二、（適用于WIN98）啟動(dòng)計(jì)算機(jī)，進(jìn)入主板BIOS設(shè)置，檢查BIOS中USB的相關(guān)選項(xiàng)是否已經(jīng)打開：OnChipUSB設(shè)定為Enabled；USBController設(shè)定為Enabled；PNPOSInstalled設(shè)定為Yes；AssignIRQForUSB設(shè)成Enabled。要正常使用USB設(shè)備首先要開啟USB接口，在主板BIOS里可以進(jìn)行此項(xiàng)工作，一般來(lái)說(shuō)只需在BIOS中進(jìn)入ChipsetFeatures設(shè)置，并將USBKeyborad/MouseLegacy選項(xiàng)設(shè)定為Enable，就能夠保證在操作系統(tǒng)下使用USB鍵盤了。這些選項(xiàng)的作用是打開主板芯片組對(duì)USB設(shè)備的完全支持，為系統(tǒng)識(shí)別USB設(shè)備做準(zhǔn)備工作。三、USB口接觸不好處理辦法：拔下，等十秒鐘再插上USB口，使接觸完好；五、閃存盤驅(qū)動(dòng)程序沒有安裝完成(WIN98系統(tǒng)下)處理辦法：鼠標(biāo)點(diǎn)“我的電腦”，選擇屬性找到“通用串行總線”，刪除其中的USBMASSSTORAGE項(xiàng)，再點(diǎn)擊“刷新”，然后按照提示重新安裝一次驅(qū)動(dòng)程序。六、接其它USB設(shè)備(如掃描儀、打印機(jī)、數(shù)碼相機(jī))時(shí)可以正常使用，接優(yōu)盤時(shí)閃指示燈不亮，不能夠使用。1、檢查優(yōu)盤與電腦的聯(lián)接是否正常，并換用其它USB接口測(cè)試。2、檢查設(shè)備管理器，看是否出現(xiàn)”通用總線設(shè)備控制器”條目，如果沒有，請(qǐng)將電腦主板BIOS中USB接口條目*激活(ENABLE)。3、如果電腦安裝過(guò)其它類型USB設(shè)備，卸載該設(shè)備驅(qū)動(dòng)程序，并首先安裝優(yōu)盤驅(qū)動(dòng)程序。4、到其它電腦試用此優(yōu)盤，確認(rèn)是否優(yōu)盤不良。七、啟動(dòng)型優(yōu)盤在的電腦上無(wú)法實(shí)現(xiàn)啟動(dòng)，可能是主板型號(hào)不支持。如何判斷一塊主板是否支持閃存盤啟動(dòng)系統(tǒng)啟動(dòng)型優(yōu)盤是采用模擬USB軟驅(qū)和USB硬盤的方式啟動(dòng)電腦的。只要電腦主板支持USB設(shè)備啟動(dòng)，即BIOS的啟動(dòng)選項(xiàng)中有USB-FDD、USB-HDD或是其它類似的選項(xiàng)，就可以使用啟動(dòng)型優(yōu)盤啟動(dòng)電腦。八、第一次在電腦上使用優(yōu)盤，未出現(xiàn)提示發(fā)現(xiàn)新硬件的窗口，驅(qū)動(dòng)程序無(wú)法安裝的原因可能是：1、主板usbcontroller未啟用解決辦法:在電腦主板BIOS中啟用此功能。2、usbcontroller已經(jīng)啟用但運(yùn)行不正常解決辦法:在設(shè)備管理器中刪除”通用串行控制器”下的相關(guān)設(shè)備并刷新。3、優(yōu)盤被電腦識(shí)別異常，在設(shè)備管理器中表現(xiàn)為帶有黃色？或！的”其它設(shè)備”或“未知設(shè)備”。解決辦法:刪除此設(shè)備并刷新。九、大容量的U盤(例如兼具M(jìn)P3播放器或錄音功能的U盤)或移動(dòng)硬盤在電腦上無(wú)法正常使用，雖然系統(tǒng)提示找到了未知的USB設(shè)備，但無(wú)法正確識(shí)別U盤或移動(dòng)硬盤。原因可能是：1．USB接口供電不足:系統(tǒng)為每個(gè)USB接口分配了500mA的最大輸出電流，一般的U盤只需要100mA的工作電流，因此在使用過(guò)程中不會(huì)出現(xiàn)什么問題。大多數(shù)移動(dòng)硬盤所使用的是普通的2.5英寸硬盤，其工作電流介于500mA~1000mA之間，此時(shí)假如僅僅通過(guò)USB接口供電，當(dāng)系統(tǒng)中并無(wú)其他USB設(shè)備時(shí)，那么還是可以勉強(qiáng)使用的，但如果電壓不穩(wěn)的話，就隨時(shí)可能出現(xiàn)供電不足的問題。特別是使用支持USB2.0的移動(dòng)硬盤時(shí)，情況最為嚴(yán)重。另外，如果你的筆記本電腦使用電池供電，那么USB接口所分配的電量就更小了。2．使用了外接的USB擴(kuò)展卡:在筆記本電腦中使用USB2.0的U盤或移動(dòng)硬盤時(shí)，如果筆記本電腦不支持USB2.0技術(shù)，一般必須通過(guò)PCMCIA卡轉(zhuǎn)USB2.0的擴(kuò)展卡來(lái)間接實(shí)現(xiàn)支持，這些擴(kuò)展卡基本上都采用NEC公司的D720100AGMUSB控制芯片，少則提供兩個(gè)USB2.0接口，多則提供五個(gè)USB2.0接口，對(duì)一般用戶而言足夠使用了。由于PCMICA接口提供的電源功率比板載USB接口要小，這樣就會(huì)由于供電不足而導(dǎo)致移動(dòng)硬盤工作的出現(xiàn)問題。解決方案:1.它從USB連接線上接移動(dòng)硬盤的一端引出一根轉(zhuǎn)接線，可以插入電腦背后的PS/2接口取電，這里可以比USB接口提供更大的電流輸出。2.利用電源補(bǔ)償線(也稱“鍵盤取電線”)，如果U盤或移動(dòng)硬盤的包裝盒中提供了選配的電源適配器，你就可以直接使用外接電源，這樣就可以從根本上避免供電不足的情況發(fā)生了前置USB線接錯(cuò)。當(dāng)主板上的USB線和機(jī)箱上的前置USB接口對(duì)應(yīng)相接時(shí)把正負(fù)接反就會(huì)發(fā)生這類故障，這也是相當(dāng)危險(xiǎn)的，因?yàn)檎?fù)接反很可能會(huì)使得USB設(shè)備燒毀。所以盡量采用機(jī)箱后置的USB接口,也少用延長(zhǎng)線.也可能是斷口有問題,換個(gè)USB端口看下.USB接口電壓不足。當(dāng)把<ahref="mobileharddisk">移動(dòng)硬盤</a>接在前置USB口上時(shí)就有可能發(fā)生系統(tǒng)無(wú)法識(shí)別出設(shè)備的故障。原因是<ahref="">移動(dòng)硬盤</a>功率比較大要求電壓相對(duì)比較嚴(yán)格，前置接口可能無(wú)法提供足夠的電壓，當(dāng)然劣質(zhì)的電源也可能會(huì)造成這個(gè)問題。解決方法是<ahref="">移動(dòng)硬盤</a>不要接在前置USB接口上，更換劣質(zhì)低功率的電源或盡量使用外接電源的硬盤盒，假如有條件的話。主板和系統(tǒng)的兼容性問題。呵呵這類故障中最著名的就是NF2主板與USB的兼容性問題。假如你是在NF2的主板上碰到這個(gè)問題的話，則可以先安裝最新的nForce2專用USB2.0驅(qū)動(dòng)和補(bǔ)丁、最新的主板補(bǔ)丁和操作系統(tǒng)補(bǔ)丁，還是不行的話嘗試著刷新一下主板的BIOS一般都能解決。系統(tǒng)或BIOS問題。當(dāng)你在BIOS或操作系統(tǒng)中禁用了USB時(shí)就會(huì)發(fā)生USB設(shè)備無(wú)法在系統(tǒng)中識(shí)別。解決方法是開啟與USB設(shè)備相關(guān)的選項(xiàng)。就是開機(jī)按F2或DEL鍵,進(jìn)入BIOS,把enableusbdevice選擇enable。拔插要小心,讀寫時(shí)千萬(wàn)不可拔出,不然有可能燒毀芯片。XP中任務(wù)欄中多出USB設(shè)備的圖標(biāo)，打開該圖標(biāo)就會(huì)在列表中顯示U盤設(shè)備，選擇將該設(shè)備停用,然后你再拔出設(shè)備，這樣會(huì)比較安全。

其實(shí)判斷軟件硬件問題很簡(jiǎn)單,在別的機(jī)器或換個(gè)系統(tǒng)試試就可以了.有些小的問題不妨先用專門軟件格式化下.還有提醒大家WINDOWS下格式化時(shí)要選擇FAT,不要選FAT32。

提示無(wú)法識(shí)別的USB設(shè)備維修

故障提示如圖：

無(wú)法識(shí)別的USB設(shè)備：UnknownUSBDevice.很多人都遇到過(guò)的一個(gè)問題，所謂“無(wú)法識(shí)別”對(duì)于操作系統(tǒng)來(lái)說(shuō)，或者是驅(qū)動(dòng)程度有問題，或者是USB設(shè)備出現(xiàn)了問題，或者是計(jì)算機(jī)與USB設(shè)備連接出現(xiàn)了故障，解決問題的方法也是從這幾處著手。

對(duì)于不同的設(shè)備會(huì)有不同的處理方法，了解USB設(shè)備正常工作需要的條件以及一些可能影響USB設(shè)備正常工作的因素，會(huì)有助于解決問題。

下面是保證USB設(shè)備可以正常工作的一些條件：（1）USB設(shè)備本身沒有任何問題——可以通過(guò)在其它計(jì)算機(jī)上進(jìn)行測(cè)試，保證能正常工作；（2）USB接口沒有任何問題——可以通過(guò)連接其它的USB設(shè)備在此接口上進(jìn)行測(cè)試；