Webshell也善于伪装 ， 以PHPWebshell为例 ， 其本身也是一段PHP代码 ， 由于脚本语言的灵活性 ， 导致Webshell的变形非常容易操作同时不易检测 。 在基于关键字判断时 ， PHP中的花操作和注释 ， 也给企业机构带来更大的检测难度 。

----企鹅被假辣椒酱骗了！安博通如何识别网络安全领域的“伪装者”？//----

为了更好保障网络安全和业务连续性 ， 防守方针对PHPWebshell开发了多种技术检测方式 ， 比如特征检测(MD5)、统计分析(文件关键特征提取)、流量特征检测(元数据+特征)、动态语义检测(代码模拟执行和语义污点分析) ， 以及最新的机器学习等 。

安博通应用先进的机器学习技术 ， 实现PHPWebshell检测 ， 下面就一起来看看如何识别网络安全领域的“伪装者” 。

这是一段使用weevely工具编写的、看似毫无意义的Webshell代码 ， 它具有一定的伪装性 。

----企鹅被假辣椒酱骗了！安博通如何识别网络安全领域的“伪装者”？//----

为了降低噪声 ， 我们将PHP转换为字节码Opcode ， Opcode是一种PHP脚本编译后的中间语言 ， 噪声有一定降低 。

----企鹅被假辣椒酱骗了！安博通如何识别网络安全领域的“伪装者”？//----

搜集合适的黑白样本 ， 利用转换工具将Webshell转换为Opcode ， 将转换后的字符串写入list中 ， 再转换为词频矩阵 ， 并进行打标记操作 。 将黑白样本提取到的词频矩阵整合在一起 ， 把数值矩阵泛化为TF-IDF值 。

----企鹅被假辣椒酱骗了！安博通如何识别网络安全领域的“伪装者”？//----

构建随机森林模型 ， 通过样本的随机抽取 ， 输入模型进行长时间训练 ， 最终可以得到基于关键字信息判断的检测模型 。

安博通实现PHPWebshell检测的主要流程如下：

----企鹅被假辣椒酱骗了！安博通如何识别网络安全领域的“伪装者”？//----

企鹅被假辣椒酱骗了！安博通如何识别网络安全领域的“伪装者”？。通过人工、工具构建及搜集大量变形Webshell进行测试验证 ， 这一流程的检出率可提升至75%以上 ， 大幅增强了针对性检测能力 ， 让网络安全攻防领域的“伪装者”显露原形 ， 有效减少其对关键业务与核心数据的威胁 。

• 胖小企鹅|看完这两点，我赶紧扔下手机去和宝宝聊聊天！
• 顶厨速递|自制2款辣椒酱的秘方，简单好学，比老干妈好吃，10分钟端上桌
• 马铃薯懂你|继老干妈之后，中国又一辣椒酱火了，一天热销2000瓶，味道好极了
• IT之家 发生了啥？腾讯QQ悄悄删除企鹅牌辣椒酱表情
• 穿越火线官方号|先遣服快讯：老夫的少女心呐！动态饰品冰冰企鹅套装鉴赏
• 穿越火线官方号|【CF】先遣服快讯：老夫的少女心呐！动态饰品冰冰企鹅套装鉴赏
• 科技一哥 你个憨憨，辣酱拌饭吃多了上火，酱拌企鹅更营养，今天的企鹅更香
• 西红柿小生 微鲸创服｜腾讯被骗？辣椒酱与鹅背后的营销思维更值得我们深思
• 企鹅科技 试用荣耀新机后，发现设计方向错了，小米高管讽刺大挖孔
• 企鹅科技小米高管讽刺大挖孔，试用荣耀新机后，发现设计方向错了