计算机入侵行为检测模型的训练方法、检测方法与流程

1.本发明涉及计算机技术领域，尤其涉及一种计算机入侵行为检测模型的训练方法、检测方法。


背景技术：

2.webshell就是以web应用等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将后门文件与网站服务器web目录下正常的网站应用文件混在一起，然后就可以使用浏览器来访问web应用程序后门，得到一个命令执行环境，以达到控制网站服务器的目的。
3.传统webshell 检测主要有静态检测方法、动态检测方法等；静态检测通过匹配特征码，特征值，执行函数来查找webshell；动态检测主要通过匹配webshell 执行时刻表现出来的特征来判断；这些webshell检测方法存在漏报和误报的问题。


技术实现要素：

4.本发明提供了一种计算机入侵行为检测模型的训练方法、检测方法、训练装置、检测装置、电子设备以及存储介质。
5.根据本发明的第一方面，提供了一种计算机入侵行为检测模型的训练方法。该方法包括：获取样本数据以及对应的标签，其中，所述样本数据包括运行web请求时对应的函数在内存中的分布情况，所述标签包括web服务器中是否存在webshell；基于所述样本数据以及对应的标签对预设的检测模型进行训练，得到计算机入侵行为检测模型。
6.在第一方面的一些实现方式中，当所述标签为web服务器中存在webshell时，所述样本数据为web请求访问web服务器中的webshell文件时，web请求对应的函数在内存中的分布情况。
7.在第一方面的一些实现方式中，所述对应的函数在内存中的分布情况，包括使用内存快照的方式获取运行web请求时，对应的一个或多个函数在内存中的地址。
8.在第一方面的一些实现方式中，一个web请求对应的函数在内存中的分布情况作为一个样本；所述样本数据包括多个样本，每个样本包括所有样本中的函数；每个样本中还包括对应的web请求对应的函数在内存中的地址，当样本中包括对应的web请求对应的函数之外的其他函数时，其他函数的地址为空。
9.在第一方面的一些实现方式中，所述预设的检测模型包括预设的随机森林模型；所述基于所述样本数据以及对应的标签对预设的检测模型进行训练，得到计算机入侵行为检测模型，包括：基于预设的随机森林模型，对所述样本数据进行识别，得到识别结果；
基于所述样本数据对应的标签以及所述识别结果，对所述预设的随机森林模型中的参数进行调节；当基于调节参数后的随机森林模型对所述样本数据进行识别，得到识别结果与对应的标签之间的差值小于预设阈值时，将调节参数后的随机森林模型作为计算机入侵行为检测模型。
10.根据本发明的第二方面，提供了一种计算机入侵行为检测方法，所述方法包括：从目标机系统内存中获取待检测的特征数据，其中，所述待检测的特征数据包括目标机系统内存中运行web请求时对应的函数在内存中的分布情况；基于计算机入侵行为检测模型，对所述待检测的特征数据进行识别，得到检测结果；其中，所述计算机入侵行为检测模型是基于第一方面以及第一方面的一些实现方式中的训练方法得到的。
11.在第一方面的一些实现方式中，方法还包括：接收人工根据所述检测结果确定的调参数据；基于所述调参数据，对所述计算机入侵行为检测模型中的参数进行调节，得到调整后的计算机入侵行为检测模型。
12.根据本发明的第三方面，提供了一种计算机入侵行为检测模型的训练装置，该装置包括：获取模块，用于获取样本数据以及对应的标签，其中，所述样本数据包括运行web请求时对应的函数在内存中的分布情况，所述标签包括web服务器中是否存在webshell；训练模块，用于基于所述样本数据以及对应的标签对预设的检测模型进行训练，得到计算机入侵行为检测模型。
13.根据本发明的第四方面，提供了一种计算机入侵行为检测装置，该所述装置包括：获取模块，用于从目标机系统内存中获取待检测的特征数据，其中，所述待检测的特征数据包括目标机系统内存中运行web请求时对应的函数在内存中的分布情况；检测模块，用于基于计算机入侵行为检测模型，对所述待检测的特征数据进行识别，得到检测结果；其中，所述计算机入侵行为检测模型是基于第一方面以及第一方面的一些实现方式中的训练方法得到的。
14.根据本发明的第五方面，提供了一种电子设备。该电子设备包括：存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。
15.根据本发明的第六方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如根据本发明的第一方面和/或第二方面的方法。
16.应当理解，本发明包括获取样本数据以及对应的标签，其中，所述样本数据包括运行web请求时对应的函数在内存中的分布情况，所述标签包括web服务器中是否存在webshell；基于所述样本数据以及对应的标签对预设的检测模型进行训练，得到计算机入侵行为检测模型。本发明基于训练得到的检测模型可以基于内存情况，对webshell进行检测，所以可以对计算机中是否存在webshell进行准确确定。
17.发明内容部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征，
亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。
附图说明
18.结合附图并参考以下详细说明，本发明各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案，不构成对本发明的限定在附图中，相同或相似的附图标记表示相同或相似的元素，其中：图1是本发明实施例提供的一种计算机入侵行为检测模型的训练方法的流程示意图；图2是本发明实施例提供的一种计算机入侵行为检测方法的流程示意图；图3是本发明实施例提供的一种计算机入侵行为检测模型的训练装置的框图；图4是本发明实施例提供的一种计算机入侵行为检测装置的框图；图5是本发明实施例提供的一种示例性电子设备的方框图。
具体实施方式
19.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本发明保护的范围。
20.另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
21.webshell 就是以web 应用等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将后门文件与网站服务器web 目录下正常的网站应用文件混在一起，然后就可以使用浏览器来访问web 应用程序后门，得到一个命令执行环境，以达到控制网站服务器的目的。
22.传统webshell 检测主要有静态检测方法、动态检测方法等；静态检测通过匹配特征码，特征值，执行函数来查找webshell；动态检测主要通过匹配webshell 执行时刻表现出来的特征来判断；但这些现有的webshell 检测方法，可能因为不能检测到一些异常的特征，但实际目标机不存在webshell，或者因为检测到一些异常的特征，但实际目标机并不存在webshell，从而存在漏报和误报的问题。
23.本发明中，提供了一种计算机入侵行为检测模型的训练方法、检测方法、训练装置、检测装置、电子设备以及存储介质，包括获取样本数据以及对应的标签，其中，样本数据包括运行web请求时对应的函数在内存中的分布情况，标签包括web服务器中是否存在webshell；基于样本数据以及对应的标签对预设的检测模型进行训练，得到计算机入侵行为检测模型。本发明基于包括运行web请求时对应的函数在内存中的分布情况的样本数据以及对应的标签训练得到的检测模型，对webshell进行检测，因为基于本发明训练得到的检测模型可以基于内存情况，对webshell进行检测，所以可以对计算机中是否存在webshell进行准确确定。
24.图1示出了一种计算机入侵行为检测模型的训练方法的流程示意图，该方法的执
行主体可以是计算机中的处理器。
25.如图1所示，计算机入侵行为检测模型的训练方法可以包括：s101：获取样本数据以及对应的标签，其中，样本数据包括运行web请求时对应的函数在内存中的分布情况，标签包括web服务器中是否存在webshell。
26.s102：基于样本数据以及对应的标签对预设的检测模型进行训练，得到计算机入侵行为检测模型。
27.在一个实施例中，当上述标签为web服务器中存在webshell时，所述样本数据为web请求访问web服务器中的webshell文件时，web请求对应的函数在内存中的分布情况。此时，该样本数据为正样本。
28.当然，上述的样本数据也可以为负样本，即为当上述标签为web服务器中不存在webshell，web请求访问web服务器中的webshell文件时，web请求对应的函数在内存中的分布情况。
29.在一个实施例中，上述对应的函数在内存中的分布情况，具体可以包括使用内存快照的方式获取运行web请求时，对应的一个或多个函数在内存中的地址。
30.具体地，上述的函数具体可以为系统调用的命令执行函数， 例如eval 、system、cmd_shell、assert等；还可以包括系统调用的文件操作函数，例如fopen、fwrite、readdir等；此外还可以包括构建的测试数据中对应的函数，例如自己模拟构建的带有webshell的web请求中对应的函数。
31.在一个实施例中，一个web请求对应的函数在内存中的分布情况作为一个样本；所述样本数据包括多个样本，每个样本包括所有样本中的函数，以使得每个样本的格式相同，以便后续的训练和检测；每个样本中还包括对应的web请求对应的函数在内存中的地址，当样本中包括对应的web请求对应的函数之外的其他函数时，其他函数的地址为空。
32.为了更加清楚的表示上述包括运行web请求时对应的函数在内存中的分布情况的样本数据以及对应的标签，示例性地，样本数据的形式以及对应的标签可以如表1所示。
33.表1
函数evalsystemcmd_shell
…
是否有webshell样本1内存分布情况，例如（0x0000到0x000a）内存分布情况，例如（0x000b到0x001a）
……
是样本2内存分布情况，例如（0x000c到0x000d）内存分布情况，例如（0x000e到0x002a）
……
否样本3内存分布情况，例如（0x00c0到0x00d0）空
……
是
在一个实施例中，预设的检测模型可以包括预设的随机森林模型；所述基于所述样本数据以及对应的标签对预设的检测模型进行训练，得到计算机入侵行为检测模型，包括：基于预设的随机森林模型，对所述样本数据进行识别，得到识别结果；基于所述样本数据对应的标签以及所述识别结果，对所述预设的随机森林模型中的参数进行调节；当基于调节参数后的随机森林模型对所述样本数据进行识别，得到识别结果与对应的标签之间的差值小于预设阈值时，将调节参数后的随机森林模型作为计算机入侵行为检测模型。
34.此外，为了使机器可以对函数进行识别，在一个实施例中，可以对函数中的关键词
以及特征数据进行识别，以实现对函数的识别，以识别函数为system函数为例，因为system函数需加头文件《stdlib.h》后方可调用，所以对加头文件《stdlib.h》进行识别，进而确定该函数为system函数，此外，还可以将识别的函数的结果进行归一化处理，以使得机器可以进行后续学习以及识别。
35.还需要说明的是，payload为机器中存在并运行webshell的一种流量，webshell在上传至机器以及web请求的形式访问web服务器中的webshell文件时会涉及payload。
36.因为当机器中存在并运行webshell时，机器中处理器的内存所运行的函数会出现一些特殊的分布，基于本发明训练得到的检测模型可以基于内存情况，对webshell进行检测，所以可以对计算机是否存在webshell进行准确确定，从而解决漏报和误报的问题。
37.图2示出了一种计算机入侵行为检测方法的流程示意图，该方法的执行主体可以是处理器。
38.如图2所示，计算机入侵行为检测方法可以包括：s201：从目标机系统内存中获取待检测的特征数据，其中，待检测的特征数据包括目标机系统内存中运行web请求时对应的函数在内存中的分布情况。
39.s202：基于计算机入侵行为检测模型，对待检测的特征数据进行识别，得到检测结果；其中，所述计算机入侵行为检测模型是基于图1中的训练方法得到的。
40.在一个实施例中，为了使得检测结果更加准确，还可以接收人工根据所述检测结果确定的调参数据；之后基于所述调参数据，对所述计算机入侵行为检测模型中的参数进行调节，得到调整后的计算机入侵行为检测模型。
41.因为当机器中存在并运行webshell时，机器中处理器的内存所运行的函数会出现一些特殊的分布，基于本发明训练得到的检测模型可以基于内存情况，对webshell进行检测，所以可以对计算机是否存在webshell进行准确确定，从而解决漏报和误报的问题。
42.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本发明所必须的。
43.以上是关于方法实施例的介绍，以下通过装置实施例，对本发明所述方案进行进一步说明。
44.与图1中的训练方法相对应，图3示出了根据本发明的实施例的计算机入侵行为检测模型的训练装置300的方框图。如图3所示，装置300包括：获取模块301，用于获取样本数据以及对应的标签，其中，所述样本数据包括运行web请求时对应的函数在内存中的分布情况，所述标签包括web服务器中是否存在webshell；训练模块302，用于基于所述样本数据以及对应的标签对预设的检测模型进行训练，得到计算机入侵行为检测模型。
45.在一个实施例中，当所述标签为web服务器中存在webshell时，所述样本数据为web请求访问web服务器中的webshell文件时，web请求对应的函数在内存中的分布情况。
46.在一个实施例中，所述对应的函数在内存中的分布情况，包括使用内存快照的方式获取运行web请求时，对应的一个或多个函数在内存中的地址。
47.在一个实施例中，一个web请求对应的函数在内存中的分布情况作为一个样本；所述样本数据包括多个样本，每个样本包括所有样本中的函数；每个样本中还包括对应的web请求对应的函数在内存中的地址，当样本中包括对应的web请求对应的函数之外的其他函数时，其他函数的地址为空。
48.在一个实施例中，所述预设的检测模型包括预设的随机森林模型；训练模块302，还用于基于预设的随机森林模型，对所述样本数据进行识别，得到识别结果；基于所述样本数据对应的标签以及所述识别结果，对所述预设的随机森林模型中的参数进行调节；当基于调节参数后的随机森林模型对所述样本数据进行识别，得到识别结果与对应的标签之间的差值小于预设阈值时，将调节参数后的随机森林模型作为计算机入侵行为检测模型。
49.因为当机器中存在并运行webshell时，机器中处理器的内存所运行的函数会出现一些特殊的分布，基于本发明的训练装置训练得到的检测模型可以基于内存情况，对webshell进行检测，所以可以对计算机是否存在webshell进行准确确定，从而解决漏报和误报的问题。
50.与图2中的检测方法相对应，图4示出了根据本发明的实施例的计算机入侵行为检测装置400的方框图。如图4所示，装置400包括：获取模块401，用于从目标机系统内存中获取待检测的特征数据，其中，所述待检测的特征数据包括目标机系统内存中运行web请求时对应的函数在内存中的分布情况；检测模块402，用于基于计算机入侵行为检测模型，对所述待检测的特征数据进行识别，得到检测结果；其中，所述计算机入侵行为检测模型是基于图1中所示的训练方法得到的。
51.因为当机器中存在并运行webshell时，机器中处理器的内存所运行的函数会出现一些特殊的分布，基于本发明的检测装置可以基于内存情况，对webshell进行检测，所以可以对计算机是否存在webshell进行准确确定，从而解决漏报和误报的问题。
52.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，且产生的效果也可以参考前述方法实施例，在此不再赘述。
53.根据本发明的实施例，本发明还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
54.图5示出了可以用来实施本发明的实施例的电子设备500的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。
55.电子设备500包括计算单元501，其可以根据存储在只读存储器（rom）502中的计算机程序或者从存储单元508加载到随机访问存储器（ram）503中的计算机程序，来执行各种
适当的动作和处理。在ram503中，还可存储设备500操作所需的各种程序和数据。计算单元501、rom 502以及ram 503通过总线504彼此相连。输入/输出（i/o）接口505也连接至总线504。
56.设备500中的多个部件连接至i/o接口505，包括：输入单元506，例如键盘、鼠标等；输出单元507，例如各种类型的显示器、扬声器等；存储单元508，例如磁盘、光盘等；以及通信单元509，例如网卡、调制解调器、无线通信收发机等。通信单元509允许设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
57.计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501的一些示例包括但不限于中央处理单元（cpu）、图形处理单元（gpu）、各种专用的人工智能（ai）计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器（dsp）、以及任何适当的处理器、控制器、微控制器等。计算单元501执行上文所描述的各个方法和处理，例如计算机入侵行为检测模型的训练方法，或计算机入侵行为检测方法。例如，在一些实施例中，计算机入侵行为检测模型的训练方法，或计算机入侵行为检测方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元508。在一些实施例中，计算机程序的部分或者全部可以经由rom 502和/或通信单元509而被载入和/或安装到设备500上。当计算机程序加载到ram 503并由计算单元501执行时，可以执行上文描述的计算机入侵行为检测模型的训练方法的一个或多个步骤，或者是计算机入侵行为检测方法的一个或多个步骤。备选地，在其他实施例中，计算单元501可以通过其他任何适当的方式（例如，借助于固件）而被配置为执行计算机入侵行为检测模型的训练方法，或计算机入侵行为检测方法。
58.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列（fpga）、专用集成电路（asic）、专用标准产品（assp）、芯片上系统的系统（soc）、负载可编程逻辑设备（cpld）、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
59.用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
60.在本发明的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器（ram）、只读存储器（rom）、可擦除可编程只读存储器（eprom
或快闪存储器）、光纤、便捷式紧凑盘只读存储器（cd-rom）、光学储存设备、磁储存设备、或上述内容的任何合适组合。
61.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置（例如，crt（阴极射线管）或者lcd（液晶显示器）监视器）；以及键盘和指向装置（例如，鼠标或者轨迹球），用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈（例如，视觉反馈、听觉反馈、或者触觉反馈）；并且可以用任何形式（包括声输入、语音输入或者、触觉输入）来接收来自用户的输入。
62.可以将此处描述的系统和技术实施在包括后台部件的计算系统（例如，作为数据服务器）、或者包括中间件部件的计算系统（例如，应用服务器）、或者包括前端部件的计算系统（例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互）、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信（例如，通信网络）来将系统的部件相互连接。通信网络的示例包括：局域网（lan）、广域网（wan）和互联网。
63.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。
64.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明公开的技术方案所期望的结果，本文在此不进行限制。
65.上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。