人工知能ベースのWebシェル検出モデルの研究と応用：文献レビュー

Webシェル検出の精度を向上させるためには、ソースコードデータの表現が最適と考えられます。ソースコードは、オペコードよりも多くの情報を含んでおり、オペコード変換時に失われる重要な情報を保持しています。ソースコードには、Webシェルの特徴をより多く含んでいるため、データ表現としては最も適しています。ただし、異なるスクリプト言語のソースコードを統一された形式に変換するためのカスタムトークン変換ルールを定義する必要があります。ソースコードベースの検出方法は、クロス言語およびモデルの汎化能力の問題に対処する必要があります。異なるスクリプト言語（例：PHP、JSP）は生成されるAST構造において大きな違いがあるため、統一された形式に変換するためのカスタムトークン変換ルールを定義する必要があります。

大規模データを適用するためには、新しい方法論的パラダイムとして、連続学習と終身学習が重要です。連続学習と終身学習は、Webシェルスクリプトの複雑な特性を考慮し、限られたトレーニングセットではすべての種類のWebシェルスクリプトをカバーするのに十分ではないため、重要です。終身学習は、現在のトレーニングセットに含まれるWebシェルの特徴だけでなく、新しいWebシェルの特徴を継続的に補完することができます。また、終身学習は、モデルが現在のタスクの検出能力を維持しながら、モデルをより複雑なタスクに調整および拡張し、将来のために古い知識を向上させ、新しい知識を保存することができます。

機械学習: 長所: 手動の特徴エンジニアリングに依存せずに、特徴を抽出できる。 比較的シンプルなモデル構造であり、計算リソースの消費が少ない。 短所: 人間の定義に基づく規則による制限があり、Webシェルの特徴の一部を失う可能性がある。 汎化能力が限られており、新しいWebシェルに対応できない可能性がある。 深層学習: 長所: 非線形計算特性により、Webシェルの抽象的な特徴を直接抽出できる。 人間の定義に基づく特徴エンジニアリングが不要である。 短所: 入力長に対する制約があり、長いWebシェルに対処するための適切な方法が必要。 計算リソースの需要が高く、過学習のリスクがある。 ハイブリッドモデル: 長所: 機械学習と深層学習の利点を組み合わせ、性能を向上させることができる。 複数のモデルを組み合わせることで、様々な側面からWebシェルを検出できる。 短所: 計算リソースの消費が増加し、トレーニングおよび実行のオーバーヘッドが増加する可能性がある。