文献类型：期刊文章

作　　者：秦英[1,2]

QIN Ying(Wuhan Research Institute of Posts and Telecommunications,Wuhan 430074,China;FiberHome Communications Science&Technology Development Co.Ltd.,Nanjing 210019,China)

机构地区：[1]武汉邮电科学研究院,武汉430074 [2]南京烽火星空通信发展有限公司,南京210019

出　　处：《计算机系统应用》

年　　份：2019

卷　　号：28

期　　号：2

起止页码：240-245

语　　种：中文

收录情况：CSA、IC、ZGKJHX、普通刊

摘　　要：WebShell根据其功能和大小可以分为多种类型,各种类型的WebShell在基本特征上又有其独有的特征,而现有的WebShell检测大多从单一层面提取特征,无法较全面的覆盖各种类型WebShell全部特征,具有种类偏向性,无差别的检测效果差,泛化能力弱等问题.针对这一问题,提出了一种基于随机森林的WebShell检测方法.该方法在数据预处理阶段分别提取文本层的统计特征和文本层源码与编译结果层字节码(opcode)的序列特征,构成较全面的组合特征,然后通过Fisher特征选择选取适当比例的重要特征,降低特征维度,构成样本的特征集,最后采用随机森林分类器训练样本得到检测模型.通过实验表明,本检测方法能有效地检测WebShell,并在准确率、召回率和误报率上都优于单一层面的WebShell检测模型.

关 键 词：WEBSHELL 随机森林  组合特征  特征选择  

分 类 号：TP393.08] TP181[计算机类]