期刊论文

Cao, Y.

中文

网络与信息安全学报

2096-109X

2022

8

4

119-130

10.11959/j.issn.2096-109x.2022055

收稿日期：2021−11−18；修回日期：2022−01−07 通信作者：陈伟，chenwei@njupt.edu.cn 基金项目：国家重点研发计划（2019YFB2101704）；湖北省自然科学基金（2020CFB761） Foundation Items: The National Key R&D Program of China (2019YFB2101704)，The National Science Foundation of Hubei Province (2020CFB761)

本校为其他机构

WebShell是一种常见的Web脚本入侵工具.随着流量加密和代码混淆等技术的逐渐发展,使用传统的文本内容特征和网络流特征进行匹配的检测手段越来越难以防范生产环境下复杂的WebShell恶意攻击事件,特别是对于对抗性样本、变种样本或0Day漏洞样本的检测效果不够理想.搭建网络采集环境,在高速网络环境中利用数据平面开发套件(DPDK,data plane development kit)技术捕获网络数据包,标注了一套由1万余条不同平台、不同语言、不同工具、不同加密混淆方式的WebShell恶意流量与3万余条正常流量组成的数据集;通过异步流量分析系统框架和轻量型日志采集组件快速地解析原始流量,并融合专家知识深度分析几种流...

With the gradual development of traffic encryption and text obfuscation technologies, it is increasingly difficult to prevent complicated and malicious WebShell attack events in production environment using traditional detection methods based on text content and network flow features, especially for adversarial samples, variant samples and 0Day vulnerability samples. With the established network traffic collection environment, DPDK technology was used to capture network traffic in the high-speed network environment, and a dataset was marked wit...