基于Web日志的Webshell檢測方法研究

石劉洋方 勇

(四川大學(xué)電子信息學(xué)院 成都 610064)(470862999@qq.com)

?

基于Web日志的Webshell檢測方法研究

石劉洋方 勇

(四川大學(xué)電子信息學(xué)院 成都 610064)(470862999@qq.com)

提出了一種基于Web日志的輕量級的Webshell檢測方法，通過對服務(wù)器日志文本文件進(jìn)行分析，從文本特征、統(tǒng)計(jì)特征和頁面關(guān)聯(lián)特征3個(gè)角度檢測Webshell，并通過實(shí)驗(yàn)對方法的可行性進(jìn)行了驗(yàn)證.文本特征方面主要是對文件訪問路徑和提交的參數(shù)進(jìn)行特征匹配，實(shí)驗(yàn)證明正常網(wǎng)頁文件和Webshell文件在文件訪問路徑特征和提交的參數(shù)特征上有明顯區(qū)別.在統(tǒng)計(jì)特征方面，首先是對比網(wǎng)頁文件的訪問頻率，實(shí)驗(yàn)證明通過統(tǒng)計(jì)網(wǎng)頁文件訪問頻率，結(jié)合網(wǎng)頁文件目錄深度、起始時(shí)間段和單位時(shí)間獨(dú)立訪客數(shù)，可準(zhǔn)確識別異常文件.頁面關(guān)聯(lián)特征是通過計(jì)算網(wǎng)頁文件的出入度找出孤立文件，實(shí)驗(yàn)表明，Webshell通常為孤立文件，和正常網(wǎng)頁文件區(qū)分明顯.

網(wǎng)站后門；Webshell；Web日志；Web安全；入侵檢測

奇虎360公司安全播報(bào)平臺2015年初發(fā)布的《2014年中國網(wǎng)站安全報(bào)告》*2014年中國網(wǎng)站安全報(bào)告(http://bobao.#/news/detail/1118.html， 2015.1.13 )顯示，在 199.6 萬個(gè)檢測網(wǎng)站中，存在后門(Webshell)的網(wǎng)站占比高達(dá) 41.2%，中國網(wǎng)站安全形勢嚴(yán)峻.Webshell大多由網(wǎng)頁腳本語言編寫，具有動態(tài)交互的特性[1]，常被入侵者用作對網(wǎng)站服務(wù)器操作的后門程序，網(wǎng)站被植入Webshell說明網(wǎng)站已被入侵[2].傳統(tǒng)的Webshell檢測手段通常采取在服務(wù)器部署WAF等防護(hù)設(shè)備或者運(yùn)行后門查殺工具[3]，對網(wǎng)站流量和本地文件進(jìn)行檢查代價(jià)較大,且對網(wǎng)站的訪問性能有影響.而Web日志記錄了網(wǎng)站被訪問的情況，在Web安全的應(yīng)用中，Web日志常被用來進(jìn)行攻擊事件的回溯和取證[4].針對上述情況，本文提出了一種基于Web日志的輕量級的Webshell檢測方法，通過對服務(wù)器日志文本文件進(jìn)行分析，從文本特征、統(tǒng)計(jì)特征和頁面關(guān)聯(lián)特征3個(gè)角度檢測Webshell.

1 Web日志與Webshell的關(guān)聯(lián)

Web日志是 Web 服務(wù)器(如IIS,Apache)記錄用戶訪問行為產(chǎn)生的文件，標(biāo)準(zhǔn)的 Web 日志是純文本格式，每行一條記錄，對應(yīng)客戶端瀏覽器對服務(wù)器資源的一次訪問，典型的日志包括來源地址、訪問日期、訪問時(shí)間、訪問 URL 等豐富的信息[5]，對日志數(shù)據(jù)進(jìn)行分析不僅可以檢測到可疑的攻擊行為，還可以提取特定時(shí)間段特定 IP 對應(yīng)用的訪問行為.

Web日志的格式雖略有不同，但記錄的內(nèi)容基本一致.這里以IIS服務(wù)器下W3C格式的日志為例，如圖1所示：

圖1 日志示例

本文實(shí)驗(yàn)數(shù)據(jù)來自一臺曾被入侵的IIS服務(wù)器脫敏后的日志文件(W3C格式)，本文比較關(guān)注的幾個(gè)字段說明如下[5].

date：發(fā)出請求日期.

time：發(fā)出請求時(shí)間.

s-ip：服務(wù)器IP地址.

cs-method：請求中使用的HTTP方法.

cs-uri-stem：URI資源，統(tǒng)一資源標(biāo)識符(URI)，即訪問的頁面文件.

cs-uri-query：URI查詢，即訪問網(wǎng)址的附帶參數(shù).

s-port：為服務(wù)配置的服務(wù)器端口號.

cs-username：用戶名，訪問服務(wù)器的已經(jīng)過驗(yàn)證用戶的名稱.

c-ip：客戶端IP地址.

cs(User-Agent)：用戶代理，客戶端瀏覽器、操作系統(tǒng)等情況.

sc-status：協(xié)議狀態(tài)，記錄HTTP狀態(tài)代碼，如200表示成功，403表示沒有權(quán)限，404表示找不到該頁面.

通過Web日志我們可以知道,在某一個(gè)時(shí)刻某個(gè)訪客訪問了服務(wù)器的某個(gè)文件[6].經(jīng)過分析可以從文本模式特征、訪問頻率特征、是否為孤立頁面等角度檢測Webshell.

2 檢測方法設(shè)計(jì)

本文對基于Web日志的Webshell檢測方法的設(shè)計(jì)思路如下:在對日志文件進(jìn)行預(yù)處理后，分別對日志記錄進(jìn)行文本特征匹配、統(tǒng)計(jì)特征計(jì)算與文件關(guān)聯(lián)性分析，最后對檢測結(jié)果匯總，列出疑似的Webshell文件.

檢測流程如圖2所示.

圖2 檢測流程示意圖

2.1 日志預(yù)處理

基于檢測Webshell的目的，需要對原始的Web日志記錄進(jìn)行提取、分解、過濾、刪除和合并，再轉(zhuǎn)化成適合進(jìn)行程序處理的格式.

日志預(yù)處理的步驟如下.

1) 數(shù)據(jù)清理

首先，需要刪除訪問失敗的記錄，比如sc-status字段值為404，刪除不相關(guān)的日志字段，包括空字段以及sc-substatus和sc-win32-status等.

其次，由于Webshell通常為腳本頁面，因此可刪除靜態(tài)的網(wǎng)站文件訪問記錄，如后綴為html，jpg，ico，css，js的文件[7].

但需注意，當(dāng)網(wǎng)站存在文件包含漏洞或服務(wù)器解析漏洞時(shí)，需要注意異常文件名或URL，如“bg.asp:.jpg”和“databackup1.aspimgespage_1.html”，此類文件名或URL也能具備Webshell功能，因此需對此類特征記錄進(jìn)行保留.

2) 訪客識別

訪客識別的目的是從每條日志記錄里把訪客和被訪問頁面關(guān)聯(lián)起來[7]，通常情況下可以通過cs-username，c-ip和cs(User-Agent)標(biāo)識一個(gè)訪客，網(wǎng)站未設(shè)置登錄功能時(shí)，可以采用IP和User-Agent來標(biāo)識一個(gè)訪客.初步分析，可以認(rèn)為不同的IP地址代表不同的訪客，當(dāng)同一IP下可能存在多個(gè)訪客，可以結(jié)合User-Agent進(jìn)行判斷，User-Agent通常會因?yàn)椴僮飨到y(tǒng)版本和瀏覽器版本而有所變化.如果IP地址和User-Agent都一樣，也可以通過分析頁面訪問的規(guī)律來分析是否存在多個(gè)訪客.在訪客識別中可以排除爬蟲程序，如cs(User-Agent)字段為“Baiduspider”，可以認(rèn)為是百度爬蟲.

3) 會話識別

會話(session)識別的目的是為了分析訪客在瀏覽站點(diǎn)期間的一系列活動[7]，比如訪客首先訪問了什么頁面，其次訪問了什么頁面，在某個(gè)頁面提交了哪些參數(shù)、停留時(shí)間等.通過分析用戶的訪問序列，可以判斷頁面之間的關(guān)聯(lián)性[8].

2.2 文本特征匹配

文本特征匹配的思路是，通過本地搭建服務(wù)器環(huán)境，對多種Webshell頁面進(jìn)行訪問測試和記錄，提取日志信息，建立文本特征庫.

在所有文本信息中，主要提取Webshell在Web日志訪問中的URI資源(對應(yīng)字段cs-uri-stem)特征和URI查詢(對應(yīng)字段cs-uri-query)特征[9].特征示例如表1所示：

表1 模式匹配特征示例

為了提高匹配覆蓋率，通常將一類靜態(tài)特征歸納成正則表達(dá)式的方式進(jìn)行匹配，例如正則表達(dá)式“[0-9]{1,5}。asp”表示匹配文件名為1～5位阿拉伯?dāng)?shù)字的后綴為asp的文件[10].

除了基本的特征庫的檢測，為提高對未知Webshell的檢測能力，可采用支持向量機(jī)(support vector machine, SVM)機(jī)器學(xué)習(xí)算法[11]，通過對正常網(wǎng)站文件的訪問特征集和Webshell文件訪問特征集進(jìn)行訓(xùn)練，來提高從Web日志中檢測Webshell的能力[12].

對于Web日志中特征字段的分類學(xué)習(xí)，本質(zhì)上是一種文本分類，文本分類是一個(gè)有指導(dǎo)的學(xué)習(xí)過程，它根據(jù)一個(gè)已經(jīng)被標(biāo)注的訓(xùn)練文本集合，找到文本屬性(特征)和文本類別之前的關(guān)系模型(分類器)，然后利用這種關(guān)系模型對新的文本進(jìn)行類判定[13].

對于本文所要解決的問題，SVM算法可描述為將輸入空間中的樣本通過一種非線性函數(shù)關(guān)系映射到一個(gè)高維度特征空間中，使樣本在該高維特征空間中線性可分，并找到樣本在該維特征空間中的最優(yōu)線性分類超平面[14].如式(1)[14]:

(1)

其中，k(χ,χi)表示核函數(shù).

在SVM的多種核函數(shù)中，本文采用性能較優(yōu)的徑向基核函數(shù)作為SVM核函數(shù)，如式(2)[14]:

(2)

因此，基于SVM算法的分類器見式(3)[14]:

(3)

其中，σ表示核函數(shù)密度，ai表示拉格朗日乘子.

2.3 基于統(tǒng)計(jì)特征的異常文件檢測

在統(tǒng)計(jì)特征中，主要考慮網(wǎng)頁文件的訪問頻率，訪問頻率指的是一個(gè)網(wǎng)頁文件在單位時(shí)間內(nèi)的訪問次數(shù)，通常正常的網(wǎng)站頁面由于向訪客提供服務(wù)因此受眾較廣，所以訪問頻率相對較高.而Webshell是由攻擊者植入，通常只有攻擊者清楚訪問路徑，訪問頻率相對較低[15].

網(wǎng)站開始運(yùn)營時(shí)就會存在一定數(shù)量的正常頁面，而Webshell通常在一段時(shí)間后才會出現(xiàn)，因此統(tǒng)計(jì)和計(jì)算頁面訪問頻率時(shí)，針對某一頁面，要采用該頁面首次被訪問到最后一次被訪問的時(shí)間段作為統(tǒng)計(jì)區(qū)間，然后計(jì)算單位時(shí)間內(nèi)的訪問次數(shù)，得到訪問頻率.需要說明的是，單憑訪問頻率特征只能找出異常文件，無法確定一定是Webshell，一些正常頁面的訪問頻率也會較低，比如后臺管理頁面或者網(wǎng)站建設(shè)初期技術(shù)人員留下的測試頁面.

這里用f(A) 表示計(jì)算后的網(wǎng)站頁面A的訪問頻率，Tfirst(A)表示網(wǎng)站頁面A首次被訪問的時(shí)間，Tend(A) 表示網(wǎng)站頁面A最后一次被訪問的時(shí)間，COUNTFE(A)表示網(wǎng)站頁面A在時(shí)間Tfirst(A)到Tend(A)期間的被訪問次數(shù).

因此，網(wǎng)站頁面A的訪問頻率計(jì)算如式(4)：

(4)

時(shí)間單位可根據(jù)需要選擇小時(shí)、天、星期、月等.

2.4 基于文件出入度的文件關(guān)聯(lián)性檢測

文件關(guān)聯(lián)性主要是指網(wǎng)頁文件之間是否有交互，即是否通過超鏈接關(guān)聯(lián)起來引導(dǎo)用戶訪問.而孤立文件通常是指沒有與其他頁面存在交互的頁面，一個(gè)網(wǎng)頁文件的入度衡量的是訪客是否從其他頁面跳轉(zhuǎn)到該頁面，同理，一個(gè)網(wǎng)頁文件的出度衡量的是訪客是否會從該頁面跳轉(zhuǎn)到其他頁面.正常網(wǎng)站頁面會互相鏈接，因此會有一定的出入度，而Webshell通常與其他網(wǎng)站頁面沒有超鏈接，通常出入度為0[16].

需要注意的是，什么是孤立，與其他頁面的交互度為多少算孤立，其都是相對的.而且，有的Webshell也會有一定的出入度，比如當(dāng)Webshell采用超鏈接列出網(wǎng)站目錄中的文件時(shí)就會產(chǎn)生與其他頁面的交互.當(dāng)需要多個(gè)腳本協(xié)同作用的Webshell 也會產(chǎn)生交互.同樣，單憑文件出入度特征只能找出異常文件，無法確定一定是Webshell，一些正常頁面的出入度也會較低，比如特意隱藏的獨(dú)立后臺管理頁面或者網(wǎng)站建設(shè)初期技術(shù)人員留下的獨(dú)立測試頁面.

網(wǎng)頁文件相互鏈接示意圖如圖3所示:

圖3 網(wǎng)頁文件鏈接示意

如圖3所示，本文對上述網(wǎng)頁文件出入度的統(tǒng)計(jì)如下，

index.asp：出度為2，入度為1；

Article_Show.asp：出度為1，入度為1；

Photo_View.asp：出度為0，入度為1；

test.asp：出度為0，入度為0 ，為孤立文件.

3 檢測方法可行性驗(yàn)證

本節(jié)通過對比正常網(wǎng)頁文件與Webshell在文本特征、統(tǒng)計(jì)特征和文件關(guān)聯(lián)性特征上的區(qū)別，對第2節(jié)提出的檢測方法進(jìn)行可行性驗(yàn)證.本文實(shí)驗(yàn)數(shù)據(jù)來自一臺曾被入侵的IIS服務(wù)器脫敏后的日志文件與Web目錄文件.

首先采用第三方的基于本地文件特征的Webshell查殺工具“D盾Webshell查殺工具”，對測試的Web目錄文件進(jìn)行檢測，檢測結(jié)果如圖4所示.

圖4 D盾查殺結(jié)果示例截圖

在“D盾Webshell查殺工具”檢測結(jié)果的基礎(chǔ)上，結(jié)合人工判斷，最終選取10個(gè)確定的Webshell文件作為Webshell文件組.然后根據(jù)對網(wǎng)站目錄的分析，基于涵蓋不同目錄深度和頁面功能的考慮，人工選取10個(gè)正常網(wǎng)頁文件作為正常文件組.正常文件組和Webshell文件組選取情況如表2所示:

表2 實(shí)驗(yàn)文件組的選取

3.1 文本特征對比

分別統(tǒng)計(jì)正常文件組和Webshell文件組的URI資源(對應(yīng)字段cs-uri-stem)特征和URI查詢(對應(yīng)字段cs-uri-query)特征，看是否有較為明顯的區(qū)別.如表3所示：

由實(shí)驗(yàn)數(shù)據(jù)可知，正常網(wǎng)頁文件在URI資源特征和URI查詢特征上，通常采取有意義的文件名和參數(shù)，文件路徑和提交方式通常遵循編碼規(guī)范；而Webshell文件的URI資源特征和URI查詢特征呈現(xiàn)簡短、隨意、雜亂的特征，且常常出現(xiàn)畸形字符串.因此可判斷Webshell文件和正常網(wǎng)頁文件在日志中的訪問特征有較為明顯的區(qū)別，采用模式匹配和機(jī)器學(xué)習(xí)的方式進(jìn)行分類檢測思路可行，且便于實(shí)施.

3.2 統(tǒng)計(jì)特征計(jì)算和對比

本文分別統(tǒng)計(jì)正常文件組和Webshell文件組的訪問頻率，看是否有較為明顯的區(qū)別.如表4所示：

表4 訪問頻率計(jì)算

通過對實(shí)驗(yàn)數(shù)據(jù)進(jìn)行分析可得出如下結(jié)論.

1) 在目錄深度一致、起始時(shí)間段較長的情況下(以大于30 d為判斷依據(jù))，正常網(wǎng)頁文件的訪問頻率明顯高于Webshell文件.

3) 單從Webshell文件的訪問頻率來看，有的數(shù)據(jù)呈現(xiàn)訪問頻率較高的特征，仔細(xì)分析日志發(fā)現(xiàn)，該類Webshell往往是被攻擊者當(dāng)作一次性后門使用，而且訪客單一，且有時(shí)攻擊者會對自己上傳的Webshell文件進(jìn)行自動化地利用和掃描，導(dǎo)致較短時(shí)間內(nèi)出現(xiàn)大量訪問行為，呈現(xiàn)高頻訪問特征，如bg.asp;.jpg.經(jīng)過分析和思考，為了準(zhǔn)確判斷此類Webshell，需要再結(jié)合文件的起始時(shí)間段和單位時(shí)間的獨(dú)立訪客數(shù)進(jìn)行綜合判斷，當(dāng)某個(gè)網(wǎng)頁文件的呈現(xiàn)起始時(shí)間段較短、單位時(shí)間獨(dú)立訪客數(shù)較少的特征時(shí)，可首先判定為異常文件，再結(jié)合訪問頻率進(jìn)行分析.這樣便能有效解決誤報(bào)問題.

通過測試數(shù)據(jù)可以看出，在基于Web日志進(jìn)行Webshell檢測的過程中，單憑網(wǎng)頁文件訪問頻率特征，誤報(bào)率較高.需要結(jié)合網(wǎng)頁文件目錄深度、起始時(shí)間段和單位時(shí)間獨(dú)立訪客數(shù)等特征進(jìn)行綜合判斷.

綜上所述，基于文件訪問頻率，結(jié)合網(wǎng)頁文件目錄深度、起始時(shí)間段和單位時(shí)間獨(dú)立訪客數(shù)等特征的Webshell檢測方法可行.

3.3 頁面關(guān)聯(lián)性分析對比

本文分別統(tǒng)計(jì)正常文件組和Webshell文件組文件是否能從Web日志中發(fā)現(xiàn)多次出現(xiàn)的訪問序列，訪問序列反映當(dāng)前頁面與網(wǎng)站其他頁面的關(guān)聯(lián)性，若無，則判斷為孤立文件.如表5所示：

表5 孤立文件判斷

需要說明的是，從Web日志中發(fā)現(xiàn)出現(xiàn)過Shell.asp->9.asp,lpt4.000.asp->999.asp,9.asp.asp->.998.asp的訪問序列，但均只出現(xiàn)過一次，經(jīng)分析，均為攻擊者先上傳了一個(gè)Webshell然后再利用該Webshell上傳后續(xù)后門文件形成的訪問序列

實(shí)驗(yàn)數(shù)據(jù)顯示，正常網(wǎng)頁文件通常存在互相關(guān)聯(lián)，而Webshell文件通常不存在文件之間的關(guān)聯(lián)，關(guān)聯(lián)性區(qū)分明顯.

通過對Web日志進(jìn)行分析發(fā)現(xiàn)，Web日志中保留了曾經(jīng)存在過但是之后被刪除的Webshell的訪問記錄，使得通過Web日志檢測Webshell文件更加全面，彌補(bǔ)了本地Webshell文件檢測無法追溯歷史攻擊的不足.

綜上所述，通過從Web日志中分析頁面關(guān)聯(lián)性來檢測Webshell文件的方法可行.

4 結(jié) 語

本文首先闡述了Web日志和Webshell的關(guān)聯(lián)，然后提出了一種基于Web日志檢測Webshell的輕量級檢測方法，對日志記錄的字段數(shù)據(jù)進(jìn)行信息提取與分析處理，從文本特征、統(tǒng)計(jì)特征和頁面關(guān)聯(lián)特征3個(gè)角度對正常網(wǎng)頁文件和Webshell文件進(jìn)行區(qū)分和判斷，在初期方法設(shè)計(jì)的基礎(chǔ)上，通過多次實(shí)驗(yàn)分析，驗(yàn)證了本文設(shè)計(jì)的基于Web日志的Webshell檢測方法的可行性和有效性.

[1]Hou Y T, Chang Y, Chen T, et al. Malicious Web content detection by machine learning[J]. Expert Systems with Applications, 2010, 37(1): 55-60

[2]丁輝. 網(wǎng)站被黑中毒W(wǎng)ebShell木馬的解決方案[J]. 計(jì)算機(jī)與網(wǎng)絡(luò), 2014, 40(3): 68-68

[3]杜海章, 方勇. PHP webshell實(shí)時(shí)動態(tài)檢測[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2014, 12(12): 120-121

[4]李萬新. Web日志數(shù)據(jù)挖掘在服務(wù)器安全方面的應(yīng)用[J]. 邏輯學(xué)研究, 2007, 27(5): 116-118

[5]范春榮, 張戰(zhàn)勇, 肖新華. 充分利用Web日志分析檢測黑客入侵[J]. 石家莊鐵路職業(yè)技術(shù)學(xué)院學(xué)報(bào), 2009, 1(1): 84-88

[6]齊建軍. 竊密型 WebShell 檢測方法[J]. 計(jì)算機(jī)與網(wǎng)絡(luò), 2015, 41(13): 38-39

[7]彭薇. 網(wǎng)站W(wǎng)eb日志數(shù)據(jù)預(yù)處理模型的建立[J]. 企業(yè)科技與發(fā)展: 下半月, 2010 (9): 28-31

[8]胡宏智, 王華. Web日志挖掘技術(shù)的應(yīng)用研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2011 (5): 77-78

[9]段娟. 基于Web應(yīng)用安全日志審計(jì)系統(tǒng)的研究與設(shè)計(jì)[D]. 北京: 北京郵電大學(xué), 2015

[10]Xu Mingkun, Chen Xi, Hu Yan. Design of software to search ASP Web shell[J]. Procedia Engineering, 2012, 29: 123-127

[11]劉曉亮, 丁世飛, 朱紅,等. SVM用于文本分類的適用性[J]. 計(jì)算機(jī)工程與科學(xué), 2010, 32(6): 106-108

[12]孟正, 梅瑞, 張濤,等. Linux下基于SVM分類器的WebShell檢測方法研究[J]. 信息網(wǎng)絡(luò)安全, 2014 (5): 5-9

[13]熊志斌, 劉冬. 樸素貝葉斯在文本分類中的應(yīng)用[J]. 軟件導(dǎo)刊, 2013, 20(2): 49-51

[14]張曉明, 付強(qiáng). SVM算法在Web服務(wù)蜜罐日志分析中的應(yīng)用[J]. 沈陽大學(xué)學(xué)報(bào): 自然科學(xué)版, 2013, 25(1): 35-38

[15]劉志宏, 孫長國. 基于Web訪問日志的異常行為檢測[J]. 計(jì)算機(jī)與網(wǎng)絡(luò), 2015, 41(13): 62-64

[16]陳寶國, 鄭麗英. 基于Web日志文件的孤立點(diǎn)檢測算法[J]. 計(jì)算機(jī)與數(shù)字工程, 2010, 38(5): 35-37

石劉洋碩士研究生，主要研究方向?yàn)閃eb安全.

470862999@qq.com

方 勇

博士，教授，主要研究方向?yàn)樾畔踩?、網(wǎng)絡(luò)信息對抗.

yfang@scu.edu.cn

附錄A 原始實(shí)驗(yàn)數(shù)據(jù).

Webshell Detection Method Research Based on Web Log

Shi Liuyang and Fang Yong

(CollegeofElectronicInformation,SichuanUniversity,Chengdu610064)

In this paper, a new method of Webshell detection based on Web log is proposed, which is based on the analysis of the server log text file, and the Webshell is detected from three angles: text feature, statistical feature and correlation feature. In the text feature, it is mainly to match the file access path and the parameters that are submitted. The experimental results show that the normal Web documents and Webshell files have obvious differences in the characteristics of the file access path and the parameters. In the statistical characteristics, the first is the comparison of the frequency of access to the file, and the experiment proved that the frequency of the Web page file access, combined with the depth of the Web page file directory, the starting time and the number of individual visitors, can accurately identify abnormal file. Page correlation is found by calculating the access of Web documents, the experiment shows that the Webshell is usually a solitary file, and the normal Web documents are clearly distinguished.

Website backdoor; Webshell; Web log; Web security; intrusion detection

表A1 訪問頻率計(jì)算比

續(xù)表A1

表A2 孤立文件判斷

2015-12-25

TP393