胥小波，聶小明

（1.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041；2.中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，B/S構(gòu)架的Web應(yīng)用程序已被廣泛應(yīng)用于電子商務(wù)、網(wǎng)絡(luò)論壇、政府行政等網(wǎng)絡(luò)平臺，發(fā)揮了重要的經(jīng)濟、文化、政治作用，其安全性已直接關(guān)系到財產(chǎn)安全、社會穩(wěn)定等。但是，由于技術(shù)水平、安全意識等限制，現(xiàn)有的Web應(yīng)用平臺存在各種類型的系統(tǒng)漏洞或應(yīng)用程序漏洞，給攻擊者非法進入Web主機提供了機會。為達到長期控制Web主機的目的，攻擊者通常會在進入主機后將惡意腳本上傳至Web服務(wù)器，并將其隱藏在正常腳本文件夾中。通過這些惡意腳本，攻擊者能夠創(chuàng)建后門，從而達到長期控制Web主機的目的。這類通過Web應(yīng)用控制Web主機的惡意腳本，通常被稱為WebShell。國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》[1]指出，2016年CNCERT共監(jiān)測到境內(nèi)82 072個網(wǎng)站被植入WebShell，其中商業(yè)機構(gòu)網(wǎng)站占62.3%，網(wǎng)絡(luò)組織類占4.8%，政府類網(wǎng)站占2.9%。

WebShell通常具備很強的隱藏性，及時檢測發(fā)現(xiàn)其蹤跡難度較大。目前，傳統(tǒng)殺毒軟件主要采用特征碼匹配的方法檢測WebShell。這種方法通過分析已知WebShell代碼樣本提取其文本特征作為惡意特征碼，并形成惡意特征碼庫。這種方法對已知類型的WebShell檢測準確率能達到90%以上，但對于未知、變種等類型的WebShell，準確率甚至不到60%。通過高隱蔽性的WebShell，攻擊者能夠長期控制Web主機，并利用其進行信息竊取、商業(yè)勒索、組建僵尸網(wǎng)絡(luò)等違法活動，而其危害程度很大程度上取決于Web主機被控制的時長。因此，研究能夠及時檢測已知、未知及變種等各類WebShell的方法具有非常重要的意義。

1 相關(guān)研究

傳統(tǒng)的WebShell檢測方法主要分為三類：靜態(tài)分析、動態(tài)分析和日記分析。

靜態(tài)分析在腳本運行前進行，傳統(tǒng)檢測方法主要通過匹配文件中的特征碼字符串（如常見惡意代碼塊、高危函數(shù)名eval、system等）檢測惡意腳本。這類基于特征碼匹配的方法一般通過正則表達式匹配實現(xiàn)。但是，由于正則表達式在本質(zhì)上為有限狀態(tài)自動機，無法完備地定義行為特征并完整覆蓋風險模型，因此在降低檢測漏報率和誤報率上存在無法跨越的瓶頸。實際上，Hansen等[2]已經(jīng)在理論上證明了基于正則表達式的匹配方式必然存在漏報和誤報。

動態(tài)分析在腳本運行時進行，傳統(tǒng)檢測方法主要通過分析腳本執(zhí)行過程中的動態(tài)特性檢測惡意腳本，如分析eval執(zhí)行上下文、文件讀寫操作、網(wǎng)絡(luò)流量等動態(tài)行為。例如，Wrench等[3]使用基于行為相似性的方法動態(tài)檢測WebShell，能有效檢測處于活動狀態(tài)的惡意行為；杜海章等[4]基于PHP擴展對PHP代碼的編譯過程進行檢測，實現(xiàn)了對WebShell的實時動態(tài)檢測；馬艷發(fā)等[5]使用網(wǎng)絡(luò)流量分析的方法在WAF（Web Application Firewall）端檢測WebShell，避免了傳統(tǒng)檢測方法需要在所有Web服務(wù)器上單獨安裝檢測模塊的弊端。該類方法的優(yōu)點是能有效識別各類未知樣本、變形樣本、加密樣本等，但也存在誤報率高等問題。

日記分析在腳本運行后進行，傳統(tǒng)檢測方法主要通過分析Web服務(wù)器日志文件檢測惡意腳本，如利用頁面請求特征、訪問統(tǒng)計特征和頁面關(guān)聯(lián)特征等進行檢測[6]。這種檢測方法在日志數(shù)據(jù)量較大時比較有效，但存在誤報率高等問題。

由于傳統(tǒng)檢測方法存在的缺陷，研究者們開始從新的角度尋找檢測方案。目前，較為前沿的檢測方法有基于文本統(tǒng)計特性和基于文本語義特征的檢測方法。

基于文本統(tǒng)計特性的方法主要是基于統(tǒng)計理論，嘗試利用各類統(tǒng)計量作為特征檢測惡意腳本，如開源程序NeoPI[7]使用文件內(nèi)容的信息熵、重合指數(shù)、最長單詞、壓縮比等特征檢測WebShell。胡建康等[8]提取內(nèi)容屬性（單詞數(shù)量、最大單詞長度等）、基本屬性（evel類函數(shù)調(diào)用數(shù)量、函數(shù)參數(shù)的最大長度等）和高級屬性（文件操作、數(shù)據(jù)庫操作）做為分類特征，使用決策樹C4.5分類器構(gòu)建檢測模型，并輔以集成學習算法Boosting，實現(xiàn)了WebShell檢測。

基于文本語義特性的方法嘗試采用自然語言處理（Nature Language Processing，NLP）技術(shù)在語義層面發(fā)現(xiàn)惡意代碼行為。例如，葉飛等[9]提取腳本的結(jié)構(gòu)特性和內(nèi)容特性（頁面標題、元信息、關(guān)鍵字）作為分類特征，使用支持向量機（SVM）作為分類算法構(gòu)建檢測模型；Deng等[10]使用詞法分析進行特征提取，從語法角度對WebShell進行識別與檢測；易楠等[11]提出了一種基于語義的惡意代碼檢測方法，從語義角度對文件行為進行描述和風險評估。該方法首先根據(jù)代碼文件構(gòu)建抽象語法樹（AST），通過節(jié)點風險評估表從完整樹中提取污點子樹，并將其與惡意行為特征圖進行圖匹配得到風險值，最后通過閾值判定是否為惡意代碼文件。這類方法的優(yōu)點是實現(xiàn)相對簡單，對已知的惡意代碼檢測準確率高，但其缺點明顯，如對未知樣本、變種樣本等檢測效果較差。

可見，現(xiàn)有的WebShell檢測算法更多在源碼文本層面展開研究，易受到代碼注釋法、代碼混淆法等WebShell逃逸方法的影響。此外，現(xiàn)有檢測模型多采用傳統(tǒng)的分類器算法。這些分類器算法泛化能力較弱，從而導致檢測模型在面對未知模式的樣本時檢測性能急劇下降，甚至完全無法檢測。

2 基于多層神經(jīng)網(wǎng)絡(luò)的WebShell檢測方法

為解決上述問題，本文提出了基于多層神經(jīng)網(wǎng)絡(luò)的WebShell檢測方法。

相對于傳統(tǒng)方法更多停留在源碼層面，本文創(chuàng)新性地在源碼編譯結(jié)果層面展開研究，能有效避免代碼注釋法、代碼混淆法等WebShell逃逸方法的影響。此外，在樣本特征選取方面，傳統(tǒng)方法多基于字符特征碼，因此僅能覆蓋單條代碼語句，而本文方法采用字節(jié)碼序列作為樣本特征，有效利用了代碼的上下文語境信息，大幅提升了模型檢測準確率。

為進一步提高檢測準確度，本文算法還將神經(jīng)網(wǎng)絡(luò)分類算法——多層感知器（Multi-Layer Perceptron，MLP）應(yīng)用于檢測模型。相對于傳統(tǒng)的分類算法，MLP具有更強的非線性擬合能力，同時具備強大的泛化能力，能有效檢測傳統(tǒng)方法難以處理的未知樣本。

據(jù)統(tǒng)計，在已知的WebShell中，使用PHP語言編寫的WebShell占絕大多數(shù)。因此，本文主要研究PHP類型WebShell的檢測方法。

本節(jié)將首先分析PHP代碼編譯執(zhí)行流程，并設(shè)計PHP代碼編譯結(jié)果——字節(jié)碼的提取方法，之后將介紹如何使用特征工程方法提取字節(jié)碼序列用作樣本特征，最后將介紹如何使用MLP算法訓練WebShell檢測模型。

2.1 字節(jié)碼獲取

PHP是解釋型語言，其代碼執(zhí)行流程可分為詞法分析（Lexical Analysis）階段、語法分析（Syntax Analysis）階段、字節(jié)碼（OpCodes）編譯階段和代碼執(zhí)行階段。執(zhí)行流程圖如圖1中的實線部分所示。

在詞法分析階段，詞法分析器（Lexer）依次讀入源碼字符序列，并按照PHP語法規(guī)則將其切分為標記（Token）序列。在語法分析階段，詞法分析器（Parser）讀入標記（Token）序列，對其進行語法檢查后生成抽象語法樹（Abstract Syntax Tree，AST）。在字節(jié)碼編譯階段，PHP虛擬機Zend讀入抽象語法樹，并將其上的操作符節(jié)點翻譯成相應(yīng)的字節(jié)碼。在代碼執(zhí)行階段，PHP虛擬機Zend根據(jù)代碼要求加載相應(yīng)模塊，初始化運行環(huán)境，最后執(zhí)行字節(jié)碼并輸出結(jié)果。

圖1 PHP源碼字節(jié)碼提取流程

從流程來看，如果要獲得PHP代碼的編譯結(jié)果字節(jié)碼，需要在Executing階段為PHP虛擬機Zend添加相應(yīng)的字節(jié)碼輸出功能。此時，有兩種方式可以實現(xiàn)：修改源碼和添加插件。修改源碼方式需要重新編譯PHP運行環(huán)境，因此在實際應(yīng)用中較少被采用。而添加插件方式由于采用了統(tǒng)一的插件框架，因此只需單獨編譯插件本身，且能通過修改配置文件方便完成功能添加。此外，添加插件方式還能夠在不同系統(tǒng)的PHP運行環(huán)境中分發(fā)部署，具有極大的便利性。

基于上述考慮，本文使用插件方式實現(xiàn)字節(jié)碼集中輸出功能。添加字節(jié)碼提取功能后，原PHP虛擬機Zend在執(zhí)行至字節(jié)碼編譯時會額外輸出字節(jié)碼樣本，如圖1中虛線連接的實心框部分所示。

2.2 特征提取

在使用字節(jié)碼樣本集訓練檢測模型前，需要對字節(jié)碼樣本進行特征提取，以確定能最大程度區(qū)分正常樣本和WebShell樣本的特征。

為了利用字節(jié)碼的上下文信息，本文采用二元語法模型（BiGram）類似的方法切分字節(jié)碼樣本集，即將相鄰的兩個字節(jié)碼劃分到一個詞組中，同時統(tǒng)計該詞組在字節(jié)碼樣本中出現(xiàn)的次數(shù)，以此表示字節(jié)碼樣本。也就是說，在詞組切分完成后，每個字節(jié)碼樣本都被表示成一個詞頻向量。

采用上述方式切分的字節(jié)碼樣本集可能包含數(shù)量巨大的各類字節(jié)碼詞組，即表征字節(jié)碼樣本的詞頻向量可能維度非常高，會給后續(xù)模型訓練帶來巨大的計算壓力。因此，需要對字節(jié)碼詞組進行篩選，過濾其中對樣本分類幫助不大的部分。本文采用詞頻閾值的方法過濾分類能力較弱的特征，即先統(tǒng)計各字節(jié)碼詞組在整個樣本集中出現(xiàn)的頻率，然后去掉出現(xiàn)頻率低于30%的詞組，用剩下的詞組組成字節(jié)碼詞組詞典，并根據(jù)其描述各樣本特征，得到字節(jié)碼樣本集的詞頻矩陣。

在獲得字節(jié)碼樣本集詞頻矩陣后，本文采用 TF-IDF（Term Frequency-Inverse Document Frequency）算法對其進行詞頻分析，以獲得各樣本在樣本集中的重要程度。TF-IDF的主要思想是：如果某個詞或詞組在一篇文檔中出現(xiàn)的TF（Term Frequency，頻率）高，且在其他文檔中很少出現(xiàn)，則認為此詞或者短語具有很好的類別區(qū)分能力，適合用來分類。其中，TF指的是某個詞或詞組在某篇文檔中出現(xiàn)的次數(shù)，IDF（Inverse Document Frequency，逆文檔頻率）則是詞或詞組“權(quán)重”的度量。如果某個詞在多篇文檔中TF低，但卻頻繁出現(xiàn)在某篇文檔，則這個詞IDF值越大。相對地，某個詞越常見，IDF越低。將某個詞的TF值和IDF值相乘即得到TF-IDF值。當這個值越大時，表明該詞在文檔中的重要性越大，越能代表該文檔。

使用TF-IDF算法處理樣本集詞頻矩陣，將獲得能夠反映各個樣本重要程度的字節(jié)碼特征矩陣。矩陣中的每一個列向量對應(yīng)一個字節(jié)碼樣本。

對字節(jié)碼樣本的特征提取的流程圖如圖2所示。

圖2 字節(jié)碼特征提取流程

2.3 模型訓練

完成對字節(jié)碼樣本集的特征提取后，即可將特征矩陣作為輸入，將標注結(jié)果作為預(yù)期輸出，使用分類器進行訓練。

在分類器選擇上，現(xiàn)有的WebShell檢測模型一般采用傳統(tǒng)的分類算法對樣本進行訓練，如線性回歸、決策樹、樸素貝葉斯分類器等。這些分類算法存在共同的缺點：難以對復雜的非線性關(guān)系進行擬合，同時泛化能力較弱，即難以甚至無法處理未知模式的樣本。為解決這類問題，本文采用多層感知器（Multi-layer Perceptron，MLP）神經(jīng)網(wǎng)絡(luò)算法對樣本進行學習。

MLP神經(jīng)網(wǎng)絡(luò)是一種前向結(jié)構(gòu)的人工神經(jīng)網(wǎng)絡(luò)，使用反向傳播算法進行訓練。網(wǎng)絡(luò)由輸入層、隱藏層、輸出層組成。其中，輸入層用于接收輸入數(shù)據(jù)；隱藏層可以有多層，用于對數(shù)據(jù)進行學習，并存儲訓練結(jié)果；輸出層用于輸出結(jié)果。每一層的節(jié)點全連接到下一層，除輸入節(jié)點外，其他所有節(jié)點都將輸入與自身權(quán)重因子w相乘，再加上偏置b，然后結(jié)果自身的非線性激活函數(shù)產(chǎn)生輸出。各層采用的激活函數(shù)不同，如中間層節(jié)點使用Sigmoid函數(shù)作為激活函數(shù)：

輸出層節(jié)點使用Softmax函數(shù)作為激活函數(shù)：

其中，xi表示來自前一層的輸入，N表示前一層節(jié)點總數(shù)。

MLP是感知器的推廣，克服了感知器不能對線性不可分數(shù)據(jù)進行識別的弱點。MLP在數(shù)學上被證明能對任意復雜度的非線性關(guān)系進行擬合，同時具備強大的泛化能力。由于上述優(yōu)點，在引入MLP神經(jīng)網(wǎng)絡(luò)后，WebShell檢測模型的檢測性能將獲得大幅提升。

本文構(gòu)建的MLP神經(jīng)網(wǎng)絡(luò)共包含兩層隱含層。第一隱含層包含5個節(jié)點，第二隱含層包含2個節(jié)點。使用L-BFGS算法調(diào)整各節(jié)點權(quán)值，網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

圖3 MLP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

2.4 樣本檢測

模型訓練好后，即可用于對未知樣本的檢測。在將源碼樣本輸入模型前，需要經(jīng)過預(yù)處理步驟。即先對其進行字節(jié)碼提取獲得字節(jié)碼樣本，再進行詞組切分獲得詞組集，最后利用模型輸出的字節(jié)碼詞組詞典對詞組集進行過濾統(tǒng)計，形成對應(yīng)與源碼樣本的字節(jié)碼特征向量。將特征向量輸入檢測模型，根據(jù)其結(jié)果即可判斷輸入的未知樣本是否為惡意。樣本檢測流程如圖4所示。

圖4 對未知樣本的檢測流程

3 實驗結(jié)果及分析

本文通過實驗對比的方式驗證了所提方法的有效性。實驗環(huán)境為：scikit-learn 0.19；訓練樣本集大小為6 000，其中3 000個WebShell負例樣本來源于GitHub的WebShell收集項目，另外3 000個正例樣本來源于PHPWind、PHPCMS等流行開源項目。

為了準確對比各類檢測方法的性能，本文采用混淆矩陣作為量化評價標準?；煜仃囍饕褂萌N指標度量檢測方法的性能：召回率（Recall）、精度（Precision）及準確率（Accuracy）。其中，召回率表示測試集中正樣本部分被正確預(yù)測的比例，精度表示預(yù)測結(jié)果為正的測試樣本被正確預(yù)測的比例，準確率表示整個樣本集中被預(yù)測正確的比例。

在驗證各檢測模型性能時，本文采用交叉驗證（Cross-Validation）的方式。即將源碼樣本集分成若干子集，其中一部分作為訓練集（Train Set）用于訓練各檢測模型，剩余部分作為驗證集（Validation Set）用于對訓練的結(jié)果模型進行性能驗證。為減少實驗測試過程中的測量誤差，本文對所有測試模型都進行了10次交叉驗證，并取各性能指標的平均值作為最后的性能結(jié)果。

表1對比了3種類型的WebShell檢測模型：文本層面的基于樸素貝葉斯的檢測模型、字節(jié)碼層面的基于樸素貝葉斯的檢測模型和字節(jié)碼層面的基于MLP的檢測模型?？梢姡瑯邮腔跇闼刎惾~斯的檢測模型，當檢測對象從源碼（文本層面）換到編譯結(jié)果（字節(jié)碼層面）時，模型的檢測準確率從0.797提升至0.834，表明在字節(jié)碼層面進行檢測的效果更好。另外，當采用神經(jīng)網(wǎng)絡(luò)分類算法MLP替換傳統(tǒng)的樸素貝葉斯分類算法時，模型的準確率從0.834提升至0.944，精度從0.761提升至0.932，召回率從0.771提升至0.968，大幅提升了檢測模型性能，表明基于神經(jīng)網(wǎng)絡(luò)的檢測模型具有更好的擬合能力和更好的對未知樣本的檢測能力。

表1 各類WebShell檢測模型性能對比

4 結(jié) 語

本文介紹了WebShell的危害及特點，詳細分析了現(xiàn)有WebShell的檢測方法，指出了存在的兩個共性問題：通常在源碼層面展開研究，導致容易受到代碼注釋、代碼混淆等傳統(tǒng)WebShell逃逸手段的影響；檢測模型通常使用傳統(tǒng)的分類器如線性回歸、決策樹、樸素貝葉斯等對樣本進行學習，一方面限制了模型的檢測準確度，另一方面導致模型難以處理未知類型的WebShell。為解決上述問題，本文提出了基于多層神經(jīng)網(wǎng)絡(luò)的WebShell檢測方法。該方法在代碼編譯結(jié)果中提取特征，有效解決了傳統(tǒng)WebShell逃逸手段的影響。此外，使用字節(jié)碼序列作為樣本特征，有效利用了代碼的上下文關(guān)系，提高了模型的檢測效率。本文方法還使用神經(jīng)網(wǎng)絡(luò)分類算法中的多層感知器（Multiply Layer Perception）算法對樣本進行學習，有效提高了檢測模型的泛化能力，即檢測未知類型WebShell的能力更強。

下一步準備將檢測范圍從字節(jié)碼擴展至數(shù)據(jù)，即結(jié)合指令和數(shù)據(jù)兩方面的信息構(gòu)建檢測模型，以提高檢測精度。

參考文獻：

[1] 國家互聯(lián)網(wǎng)應(yīng)急中心.2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[EB/OL].(2017-05-27)[2018-01-12].http://www.cert.org.cn/publish/main/46/2017/201705271512289088 22757/20170527151228908822757_.html.National Internet Emergency Center.China Internet Network Security Report in 2016[EB/OL].(2017-05-27)[2018-01-12].http://www.cert.org.cn/publish/main/46/2 017/20170527151228908822757/20170527151228908 822757_.html.

[2] Hansen R J,Patterson M L.Guns and Butter:Towards Formal Axioms of Input Validation[J].Black Hat USA,2005(08):1-6.

[3] Wrench P M,Irwin B V W.Towards a PHP Webshell Taxonomy Using Deobfuscation-assisted Similarity Analysis[C].2015 Information Security for South Africa(ISSA),2015.

[4] 杜海章,方勇.PHP webshell實時動態(tài)檢測[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(12):120-121.DU Hai-zhang,FANG Yong.PHP Webshell Real-Time Dynamic Detection[J].Network Security Technology &Application,2014(12):120-121.

[5] 馬艷發(fā).基于WAF入侵檢測和變異WebShell檢測算法的Web安全研究[D].天津:天津理工大學,2016.MA Yan-fa.The Research on Web Security based on WAF Intrustion Detection and Variant WebShell Detection Algorithm[D].Tianjin:Tianjin University of Technology,2016.

[6] 石劉洋,方勇.基于Web日志的Webshell檢測方法研究[J].信息安全研究,2016(01):66-73.SHI Liu-yang,FANG Yong.Webshell Detection Method Research Based on Web Log[J].Journal of Information Security Research,2016(01):66-73.

[7] Neohapsis.NeoPI[EB/OL].[2018-01-12].https://github.com/Neohapsis/NeoPI.

[8] 胡建康,徐震,馬多賀等.基于決策樹的Webshell檢測方法研究[J].網(wǎng)絡(luò)新媒體技術(shù),2012(06):15-19.HU Jian-kang,XU Zhen,MA Duo-he,et al.Research of Webshell Detection Based on Decision Tree[J].Network New Media,2012(06):15-19.

[9] 葉飛,龔儉,楊望.基于支持向量機的Webshell黑盒檢測[J].南京航空航天大學學報,2015(06):924-930.YE Fei,GONG Jian,YANG Wang.Black Box Detection of Webshell Based on Support Vector Machine[J].Journal of Nanjing University of Aeronautics &Astronautics,2015(06):924-930.

[10] Deng L Y,Lee D L,Chen Y H,et al.Lexical Analysis for the Webshell Attacks[C].2016 International Symposium on Computer,Consumer and Control(IS3C),2016.

[11] 易楠,方勇,黃誠等.基于語義分析的Webshell檢測技術(shù)研究[J].信息安全研究,2017(02):145-150.YI Nan,FANG Yong,HUANG Cheng,et al.Semantics-Based Webshell Detection Method Research[J].Journal of Informaion Security Research,2017(02):145-150.