基于WISE的Webshell检测技术研究.pdf
《基于WISE的Webshell检测技术研究.pdf》由会员分享,可在线阅读,更多相关《基于WISE的Webshell检测技术研究.pdf(4页珍藏版)》请在咨信网上搜索。
1、SOFTWARE2023软 件第 44 卷 第 8期2023 年Vol.44,No.8作者简介:侯尚武(1983),男,河南永城人,硕士,高级工程师,研究方向:信息化、矿山机电。基于 WISE 的 Webshell 检测技术研究侯尚武 原生芾 侯振堂 张素萍 赵娜(河南能源集团有限公司,河南郑州 450046)摘要:本文主要在现有语义分析的基础上,基于机器学习技术,通过引入虚拟执行,构建多级检测机制,开发出一种具备更强大、更智能的检测能力的 WISE 智能语义分析引擎。关键词:Web 攻防;Webshell;WISE;语义引擎;机器学习中图分类号:TP393.08 文献标识码:A DOI:10
2、.3969/j.issn.1003-6970.2023.08.022本文著录格式:侯尚武,原生芾,侯振堂,等.基于WISE的Webshell检测技术研究J.软件,2023,44(08):095-098Research on Webshell Detection Technology Based on WISEHOU Shangwu,YUAN Shengfu,HOU Zhentang,ZHANG Suping,ZHAO Na(Henan Energy Group Co.,Ltd.,Zhengzhou Henan 450046)【Abstract】:Based on the existing se
3、mantic analysis and machine learning technology,this paper develops a WISE intelligent semantic analysis engine with stronger and more intelligent detection capabilities by introducing virtual execution and constructing a multi-level detection mechanism.【Key words】:Web attack and defence;Webshell;WI
4、SE;semantic angine;machine learning设计研究与应用0 引言现如今,各种高级攻击手段逐渐涌现,绕过 Web 应用防护系统(也称为:网站应用级入侵防御系统,Web Application Firewall,以下简称 WAF)的手段不断增多,依赖传统规则的对抗方式开始失效。同时,Web应用和业务强关联,存在个性化需求,规则搭配会产生大量误报阻碍业务。为解决此类问题,通过搭载攻防情报、机器学习、智能语义等智能引擎建立规则以及三重高效漏斗化检测机制,能够实现 Web 攻击精准检测,有效降低误判漏判。智能语义 WISE 引擎通过融合语法技术覆盖更多代码语言识别,结合工程精
5、细化语言特征,搭配流式处理检测机制,保障分析处理完整避免绕过和高性能检测。有效识别请求语句的真实意图,降低误判,提高 Web 应用防护能力。1 概论随着网络空间安全日益受到重视,各种大规模的红蓝对抗赛事方兴未艾,Web 攻防对抗也与日俱增,各种攻击的绕过手法层出不穷,呈现隐蔽化、高级化的特点。由于 Open-source 精神的普及,这些高级的攻击手法也被大量分享。传统的 Web 应用防火墙(WAF)主要采用规则来识别并阻断攻击,但由于表达能力有限,规则已经无法应对这些高级的绕过攻击:攻击者只需对 Payload 稍加变化,就能绕过规则引擎。1.1 传统方案难以应对高级攻击如下语句所示,是一个
6、简单的 XSS 攻击1。规则可以通过 alert(d)来匹配 alert(1)这个字符串。然而,攻击者可以使用特殊字符来干扰正则匹配,从而导致原有规则失效。一个绕过案例如下所示:此外,随着 Web 技术发展和业务的扩张,业务变得日益复杂。规则如果写得宽松,容易造成漏报,如果稍微放开,则容易导致误报业务。因此,规则无法在误报与漏报的抉择中保持平衡。规则的失效,归根结底是其描述能力存在先天不足。如图 1 所示,不同技术的表达能力与性能开销的对比,由于正则的表达能力有限,如无法描述括号是否配对,无法描绘四则运算表达式是否合法,对于 Webshell、命令执行这类脚本语言更难以应对。因此业界探索了描9
7、6软 件第 44 卷 第 8 期SOFTWARE述能力更强的两种防御机制语义引擎及机器学习。1.2 语义引擎与机器学习技术语义引擎利用编译原理技术,能够判断流量中是否含有可执行的代码。收益于其更强大的表达能力,语义引擎的防御效果相比规则提升了一个量级。然而,现有的语义引擎仍然面临着以下挑战:为了逃避检测,攻击者的绕过手法日趋隐蔽化、正常化。即,攻击者有意识地使用正常业务也会使用的操作来达成其恶意目的。此种情况下,现有的语义引擎可能就无法应对。Web 技术高速发展,其底层的语言也多种多样(如 PHP、Java、Python、ASP 等),甚至同一语言也存在诸多版本。不同语言、不同版本的语法特性也
8、会造成不同的攻击点2。现有的语义引擎无法兼容这些差异性,从而存在漏报的可能。随着计算机算力的升级和基础理论的丰富快速发展,人工智能(Artificial Intelligence,简称 AI)近年来迅速崛起。AI 凭借强大的拟合能力使得其在许多场景下都能得到很好的应用,但在防御 Web 攻击(如SQL/XSS)上,AI 暂时还没有给出令人惊叹的结果。主要原因在于:AI 对样本的质量要求极高。然而 Web攻击的样本多样性却很难保证。通过汇聚了大量的 XSS攻击样本,总结后发现攻击类型仅有数十种,而且数量最多的种类大多由工具、扫描器发起的请求,数据几乎一模一样。因此,AI 模型对于高价值样本将永远
9、保持饥渴状态。AI 面临着一个可解释性差的问题,在 WAF 层面上对应的就是:为什么会拦截?为什么不会拦截?这个问题往往连建模的人员都无法解释,用户就更难以理解。1.3 WISE 智能语义引擎WISE 引擎全称是 Web Intelligent and Semantic Engine,即 Web 智能语义引擎。WISE 引擎在现有语义分析的基础上,具备更强大、更智能的检测能力。WISE引擎工作流程如图 2 所示,WISE 引擎通过构建多级检测机制,在性能和效果间取得了良好的平衡。其工作流程如下所示:(1)通过深入分析漏洞原理,WISE 引擎使用了高效的字符串匹配算法,过滤掉大量正常流量。(2)
10、WISE 引擎利用内置的多种 Web 语言的轻量级编译器,对进入的流量进行词法分析及语法分析。如果不符合设定语言的词法或者语法描述,则无需再进行下一步处理。(3)利用语义分析技术,提取可疑的攻击特征。若存在可疑特征,则继续进行虚拟执行。(4)自底向上遍历语法树,执行可疑的操作,还原攻击者刻意构造隐藏的恶意代码。Raw trafficString filteringIexical/syntax analysisSemantic analysisVirtual execution if neededWISE FrameworkMulti-LayerFilteringMechanism图 2 WIS
11、E 引擎工作流程Fig.2 WISE engine workflowWISE 引擎通过技术创新突破了诸多业界难题,从而能够更智能地识别检测恶意攻击。图 1 不同技术的表达能力与性能开销的对比Fig.1 Comparison of expressive power and performance overhead of different technologies2 GB/s360 MB/s250 MB/s100 MB/s20 MB/s1 MB/s内存拷贝加速,如memcpy()等字符串匹配正则式支持高级特性的正则表达式语法/语义引擎虚拟执行技术字符串匹配算法DFA/NFADFA+栈DFA+栈+
12、符号表DFA+栈+符号表+语法树遍历速度快,但描述能力低下,一般用于简单的过滤速度和效果折中,在工业上普遍应用。描述能力差带有捕获、前瞻等特性,规则表达能力优于经典正则式,但效率和内存使用要差于经典正则式。描述能力差描述更加灵活,能达到静态语义分析的程度,速度相对较慢描述能力更强大,内存开销大,虚拟执行未必能够完全模拟真实环境技术核心原理优缺点97侯尚武 原生芾 侯振堂等:基于 WISE 的 Webshell 检测技术研究2 WISE 智能语义引擎核心技术2.1 按需虚拟执行高精度语义引擎只能根据危险的语法操作特征来进行判黑。然而,正如前所述,随着攻防对抗的日趋激烈,攻击者会采用“白特征”(即
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 WISE Webshell 检测 技术研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。