用機器學習方法檢測基于PHP的web shell進展回顧

◆戴夢杰 羅 穎 劉真巖 彭夕茈 張金全

?

用機器學習方法檢測基于PHP的web shell進展回顧

◆戴夢杰 羅 穎 劉真巖 彭夕茈 張金全

（成都信息工程大學網絡空間安全學院 四川 610225）

本文簡述了web shell分類和基于PHP的web shell的變形及檢測方法，回顧了用機器學習方法檢測基于PHP的web shell的現狀，最后從樣本準備、特征提取和實現方法等方面給出了提高機器學習算法檢測效果的改進方向。

機器學習；web shell；PHP

0 引言

web shell又叫網站后門，是一種基于Web服務的程序，以網頁文件存在的命令執行環境[1]。它原本是為網站管理者遠程管理系統提供方便。但是，入侵者也可以通過網頁文件的代碼漏洞獲得上傳權限，再將包含后門的網頁文件上傳至服務器。

這種后門網頁文件與正常網頁具有相同的運行環境和服務端口，都通過80端口進行數據交換，加上各種用于反檢測特征技術應用到后門網頁文件上，使得傳統基于特征碼匹配的檢測方式很難及時檢測出新的變種，因此能夠繞過很多防火墻。

1 web shell的分類

根據web shell的大小和功能，可以將web shell分成大馬、小馬和一句話木馬。大馬功能全面，小馬體積小、隱蔽性強，但所擁有的功能較少，通常只能用于文件上傳以及為數據庫提權；一句話木馬是指僅有一行代碼完成的可動態接收腳本指令并執行的腳本，多用于代碼執行一些關鍵函數，比如中國菜刀用的一句話PHP木馬。攻擊者在發現漏洞后，往往先上傳一句話木馬，配合相關工具獲得更多權限，然后上傳大馬，實現對服務器的控制。

web開發語言有很多，常用到的包括ASP、JSP、Python、Perl和PHP等。與其他web開發語言相比，使用PHP進行web開發具有高性能、可擴展性、低成本等優勢。因而被廣泛地用來開發網站。用PHP開發的網站，服務器也更適合運行PHP的web shell。

2 基于PHP的web shell的變形

web shell本質上是可以執行惡意功能的PHP代碼文件，其代碼結構主要由數據傳遞和數據執行兩部分組成[1]。比如一句話木馬，數據執行部分為eval()，數據傳遞部分為$_POST['pwd']。web shell為了逃避檢測，會對數據傳遞部分和數據執行部分進行修改。

另外，在形式上，為保證web shell不被服務器的管理員發現，入侵者需要在上傳web shell的同時對其采取如下的一系列保護措施[2]。比如：在web shell代碼中插入一些注釋；對控制代碼(或數據)在發送或使用前進行加密，在運行前再進行解密；對特征函數或參數進行多重編碼，使頁面存在的一些規律發生改變，降低被檢測到的概率；在不影響功能的前提下，入侵者將函數名、變量名、常量名等標識進行分拆，在使用的時候再將名字拼接起來以起到躲避檢測的作用等等。

3 機器學習方法檢測基于PHP的web shell的現狀

百度安全web防護產品線負責人劉焱在其著作《Web安全之機器學習入門》中，提到了用樸素貝葉斯來進行檢測。其中黑樣本從網上收集，白樣本來自WordPress源碼、PHPCMS源碼、phpMyAdmin源碼、PHP的一個框架YII的源碼和smarty源碼。對于樸素貝葉斯而言，需要假設樣本的特征各維度兩兩獨立。如果維度高，一個可能問題就是維度之間的獨立性會變差，造成樸素貝葉斯的假設不成立，從而不可行。

在其后的著作《web安全之深度學習實戰》中，作者使用了深度學習的MLP和CNN算法來實現web shell的檢測。其中，基于詞袋&TF-IDF模型的MLP準確率和召回率綜合表現較佳，基于opcode序列模型的CNN準確率較高。

石劉洋等提出了一個基于web日志的web shell檢測方法，該方法利用了支持向量機（SVM）模型，對日志記錄的字段數據進行信息提取與分析處理，從文本特征、統計特征和負面關聯特征3個角度對正常網頁文件和web shell文件進行區分和判斷，驗證了方法的可行性和有效性。

變形的web shell無非是隱藏了執行數據部分或者數據傳遞部分，不過無論怎么變形本質上還是去調用eval、調用system、exec等命令執行函數。杜海章等通過PHP擴展來實現hook，hook這些PHP函數或語法結構。不過web承受著大量的訪問請求，增加PHP擴展的性能和穩定性是一個嚴峻的考驗，另外在服務器比較多的公司存在推廣和部署成本問題。

Behrens等的檢測程序NeoPI針對5種常見web shell的混淆特征進行檢測，包括：信息熵、最長單詞、重合指數、特征和壓縮比。該檢測方法可以完成一些變體的標記，但沒有從惡意代碼的根本特征上解決web shell檢測問題，需要管理員人工分析以便做出是否web shell的決定。Luczko等的web shell Detector是一個PHP腳本，使用一個較大的web shell特征庫，可以用來識別PHP/cgi/asp/aspx的web shell，識別率高，但對于新的web shell，如果特征庫沒有及時更新，則不能檢測出來。

4 用機器學習方法檢測基于PHP的web shell的改進方向

為了提高算法檢測的準確性，可以從以下幾個方面進行改進。

（1）在樣本準備方面，收集大量的基于PHP的web shell及各種變形，進行合理的分類，減少不必要的重復。由于沒有統一的樣本庫，因而樣本的來源各異，樣本數量的差異也很大。一些研究者是從github網站下載別人準備的黑樣本，一些研究者沒有說明樣本來源。比如，朱魏魏等采集了420個web shell和從CMS中提取的480個正常PHP頁面作為實驗數據。戴樺等使用了1200個不存在Web Shell 的PHP頁面和447個存在web Shell的PHP頁面。Truong Dinh Tu等用了12982正常頁面和169web shell頁面。

由于在機器學習中，持有大量的數據是非常重要的。在下載網上的web shell樣本的同時，需要對樣本進行分類，同時去掉重復的樣本，因為重復的代碼會影響數據出現的頻率。確保現有的web shell類型在訓練樣本中都存在，尤其是web shell的各種變形文件。如果對樣本進行合理分類，包含到現有每一個已知類型的web shell變形，應該有助于算法的準確性。

（2）在特征提取方面，研究者廣泛使用機器學習的詞袋和TF-IDF模型。該模型直接作為web shell檢測，有研究者提出了異義。詞袋&TF-IDF模型提取的特征，可以作為參考特征之一，但在專業的安全人員看來不夠好，同時詞袋&TF-IDF模型沒有考慮詞語出現的位置。在信息安全中，詞條出現在文檔的不同位置時，對文檔的區分度的貢獻大小是不一樣的。又如，TF&IDF模型沒有考慮到特征項在類間和類內的分布情況。另外，在web shell檢測中，詞頻的意義和作用與通常的自然語言處理也不盡相同。

結合PHP的特性，在特征提取階段，對常規的詞袋&TF-IDF模型進行修改，使之更適合完成web shell的檢測，包括詞條出現的位置、詞頻的意義在web shell檢測中的作用。緊密結合web shell程序的特征，提高算法分類的準確度。

（3）在實現上，只有少數研究者在使用機器學習進行web shell檢測時，考慮了web shell的PHP特性，尤其是動態特性。在現有檢測PHP的web shell的方法中，機器學習方法更多是針對web shell的靜態特征進行的。實際上，PHP網頁包括靜態特性和動態特性。在靜態特征方面，基于PHP的web shell與使用其他腳本語言在語法等方面有一定差異性。在PHP代碼執行過程中，由于PHP是解釋型語言，代碼需要被翻譯成字節碼后由ZEND引擎進行解析執行。只有少數研究者簡單的利用了字節碼進行web shell的檢測。在研究PHP的內核實現機制和PHP擴展的基礎上，深挖web shell的原理和執行機制，結合機器學習進行檢測。這樣可以把PHP的這些特點和機器學習結合起來進行web shell的檢測。

5 結束語

本文回顧了機器學習用于檢測用PHP語言編寫的webshell的現狀，并結合機器學習算法檢測web shell的特點，給出了提高檢測準確度的改進方向。

[1]杜海章，方勇.PHP web shell實時動態檢測[J].網絡安全技術與應用，2014(12)：120-121.

[2]戴樺，李景，盧新岱，孫歆.智能檢測web Shell的機器學習算法[J].網絡與信息安全學報，2017，3(4)：51-57.

[3]劉焱.Web安全之機器學習入門[M].機械工業出版社，2017.9.

[4]劉焱.Web安全之深度學習實戰[M].機械工業出版社，2017.12.

[5]石劉洋，方勇.基于Web日志的web shell檢測方法研究[J].信息安全研究，2016，2(1)：66-73.

[6]朱魏魏，胡勇.基于NN_SVM的webshell檢測方法[J].通信與信息技術，2015(2)：55-58.

[7]Truong Dinh Tu，Cheng Guang，Guo Xiaojun，Pan Wubin. Evil-hunter：a novel web shell detection system base-d on scoring scheme[J].Journal of Southeast University(Engli-sh Edition)，Vo1.30，No.3，pp. 278-284.

[8]Behrens S，Hagen B. Web shell detection using NeoPI. http：//resources. infosec- institute.com/web-shell-detection/.

[9]王亞麗.webshell 查殺逃逸技術研究[J].網絡安全技術與應用，2017，(9)：75-76.

[10]龍嘯，方勇，黃誠，劉亮.webshell研究綜述：檢測與逃逸之間的博弈[J].網絡空間安全，2018，9(1)：62-68.