[发明专利]一种基于增量学习的webshell检测方法、终端设备及存储介质

说明书

本发明涉及一种基于增量学习的webshell检测方法、终端设备及存储介质，该方法中包括：S1：采集webshell样本和正常样本，并对样本进行特征提取后组成训练集；S2：构建分类模型，通过训练集对分类模型进行训练，得到训练后的初始分类模型；S3：继续采集webshell样本，并提取样本的特征向量组成新增样本集，通过新增样本集中的样本对初始分类模型进行增量学习，得到增量学习后的分类模型；S4：通过增量学习后的分类模型对webshell进行检测。本发明利用了有标记样本和无标记样本的集合，通过解析样本抽象语法树得到词集向量的方式获得样本特征向量，无需人工标记，利用词集向量和基于调整筛选的最小距离分类算法，只需少量样本即可得到初始模型，大大降低了人力成本。

技术领域

本发明涉及网络安全检测领域，尤其涉及一种基于增量学习的webshell检测方法、终端设备及存储介质。

背景技术

随着Internet的迅速发展和Web技术在各行业的广泛应用，Web安全逐渐成为信息安全领域最重要的攻防战场之一。WebShell是一种常见的Web攻击技术，由攻击者通过文件上传、SQL注入等攻击手段植入Web应用内，常用于权限维持、数据窃取、内网探测等攻击目的。扫描器和网站后门(即WebShell)已成为攻击者最常用的Web攻击技术。因此，快速、准确地进行WebShell的检测在安全防守端尤为重要。

传统的机器学习检测webshell的方法是通过人工提取了webshell样本的一些文本特征，然后把这些特征通过机器学习算法进行分类训练出机器学习模型，再用模型来预测未知的样本。在webshell安全检测领域，由于缺少样本，很难建立精准的监督学习模型，而无监督学习会造成误报率高的问题，需要大量的安全工程师分析过滤机器学习的警告，分析结果存在人工误差。由于Web攻击方式多变，传统的预测方式难以应对复杂的真实环境。

发明内容

为了解决上述问题，本发明提出了一种基于增量学习的webshell检测方法、终端设备及存储介质。

具体方案如下：

一种基于增量学习的webshell检测方法，包括以下步骤：

S1：采集webshell样本和正常样本，并对样本进行特征提取后组成训练集；

S2：构建分类模型，通过训练集对分类模型进行训练，得到训练后的初始分类模型；

S3：继续采集webshell样本，并提取样本的特征向量组成新增样本集，通过新增样本集中的样本对初始分类模型进行增量学习，得到增量学习后的分类模型；

S4：通过增量学习后的分类模型对webshell进行检测。

进一步的，样本特征提取包括以下步骤：

(1)通过抽象语法树对样本进行语义分析，获取样本的函数调用集合；

(2)根据每个样本对应的函数调用集合计算该样本的特征向量。

进一步的，样本特征向量的计算方法为：

设定训练集为D＝{x₁,x₂,...,x_m}，设定训练集中所有样本的所有函数调用组成词汇集合L，词汇集合L中的元素为各函数调用，则样本x_i的特征向量V_i的计算公式为：

V_i＝{V_i1,V_i2,...,V_il}

其中，l表示集合L中元素的个数，i∈[1,m],j∈[1,l]，W_i表示样本x_i的函数调用集合，L_j表示词汇集合L中的第j个元素。