Netflow Analysis 流量分析

恶意流量分析

一个强有力的意识就是:遇到可疑,就来RFC查询它们的合法解释,如果未找到合法的行为解释,显而易见,它属于非法。遇事不决,RFC文档。

Webshell流量检测

Webshell分类

Webshell主要分为三种类型,分别是:大马、小马、一句话木马。

主流的Webshell检测方式

  • 基于Webshell流量的检测:在流量中检测具备Webshell恶意行为特点的流量;适用于在线实时检测流量,精准度要求比较高。
  • 基于Webshell文件的检测:在主机上进行文件检测从而找出攻击者留下的Webshell后门文件;适用于主动对主机进行文件扫描并检测后门文件。
  • 基于日志分析检测Webshell:通过流量行为日志进行分析,关联用户行为等从而找出Webshell恶意攻击行为;适用于在离线情况下对攻击者进行溯源和攻击线索发现。

目标

通过基于Webshell流量的检测方式对在线流量进行实时检测,利用机器学习技术找出流量中的Webshell异常行为,并通过实践应用的方式证明算法的可行性和有效性,找到了利用人工智能技术对Webshell流量进行检测的解决办法。

Webshell流量检测模型

常见的检测思路是利用Webshell流量的特点人工构建特征,采用监督学习算法对Webshell流量进行检测,实现对正常流量以及恶意流量的分类识别。

在学术届现有的研究实验上,对Webshell流量的识别准确率可以达到90%以上。

扩展