【开源项目1】基于机器学习木马查杀引擎项目

最近在研究一些开放的查杀引擎，看到一个项目刚刚开源了，并且测试下效果，故写下使用感受
如果有下一步的话，可以针对其项目进行查杀逻辑梳理，和深度剖析（有时间搞时哈哈哈哈）

项目地址：sheildml木马查杀引擎
项目简介

免费的木马查杀引擎 bt-ShieldML是一款基于机器学习的堡塔木马查杀引擎，主要针对Web服务器环境中的恶意代码文件进行检测。 项目第一阶段聚焦于PHP文件的检测，后续将扩展支持更多语言，引擎将以Go语言实现，并编译为独立可执行文件，可集成到堡塔面板功能或作为独立工具使用。 安装即可使用！

项目亮点

• 支持docker部署
• 提供多种可视化平台：检测平台、检测报告生成
• 检测效果不错，可以用来做二开，自个服务器文件检测

项目下一步发展规划【官方说的】

• 将扩展支持ASP、JSP等多语言webshell检测
• 持续优化检测引擎，新增深度学习预测模型

Ⅰ 功能介绍

木马查杀工作原理图

AST通信逻辑图

Ⅱ 使用指南

① docker部署

直接拉取即可，然后访问 http://ip:6528/shieldml_scan.html，这个就很方便了，下载就可以用了

docker run -d \--name btshieldml \-p 6528:6528 \btpanel/btshieldml:latest

②本地搭建

直接看官方指南文档，里面写得十分详细

执行命令

./shieldml_server

就可以访问了 http://ip:6528/shieldml_scan.html

Ⅲ 测试效果

值得注意：项目支持自己本地部署检测平台，建议是内网部署，记住不要把这个平台开放出去

拿了自个的网站进行测试，6000+个php文件，其中夹杂了两份php后门

检测效果1：命令行测试

比较习惯使用命令行执行,这样子，就会输出一份检测报告

./bt-shieldml -path /www/wwwroot/xxxxxxxx/  -output report.html

效果中等，基本的木马文件都会查杀出来，除非是一些极其混淆的后门文件，每次检测出来后，还可以查看详细

测试效果2：检测平台

直接拖文件进去，改了下代码，可以直接拖拽文件夹进行检测

检测效果：存在一定误报，但误报较低，有详情可查阅，这个还好
还有就是这个界面真滴好看，检测起来特别丝滑