公开(公告)号：CN109240922A

公开(公告)日：2019-01-18

申请号：CN201811002803.5

申请日：2018-08-30

Applicant: 北京大学

Inventor： 文伟平 ,  叶晓亮

IPC: G06F11/36

Abstract: 本发明公布了一种基于RASP技术提取webshell软件基因的方法，通过部署标记探针和部署检测探针提取webshell软件基因，可用于webshell检测；包括：对现有的webshell提取webshell具有共性的软件基因；确定待检测系统代码的参数输入点，提取输入参数，提取其软件基因并进行完善，作为待检测系统代码的静态基因；部署RASP：确定待检测系统代码的参数输入点，通过插入标记探针标记参数输入；确定待检测系统的函数插入点，部署检测探针；获取被插入检测探针的待检测代码的上下文，同时根据检测探针检测结果，形成待检测代码的行为基因；软件基因可与webshell基因库、病毒木马基因库进行比对，判断是否是webshell。本发明能够提高检测webshell的准确率和效率，可广泛应用。

公开(公告)号：CN108985061A

公开(公告)日：2018-12-11

申请号：CN201810734942.0

申请日：2018-07-05

Applicant: 北京大学

Inventor： 文伟平 ,  李孟霖

IPC: G06F21/56 ,  G06N99/00

Abstract: 本发明公布了一种基于模型融合的webshell检测方法，通过建立多个webshell检测模型并进行模型融合，再利用融合后得到的新模型进行webshell检测，识别是否是webshell；包括：训练基于静态特征的webshell检测模型和基于神经网络的webshell检测模型，通过支持向量机生成svmShell模型，通过神经网络生成nnShell模型；抽取训练数据集中数据的抽象语法树，将抽象语法树进行剪枝，作为长短时记忆网络的输入，生成lstmShell模型；将得到模型进行融合；对待测代码进行webshell检测。本发明方法能够提高检测效果，提高检测webshell的准确率，降低误报率。