安全比赛总结

参加阿里巴巴安全挑战赛尘埃落定，最后一天跌出50名开外。所得粮票仅能换一个杯子。。。:(

总结如下：

1.webshell题目的准确率和召回率为：

提取了信息熵、重合指数（参考了NeoPI的部分思路）等5个特征，然后使用了随机森林预测出来的。

在网上也看到了纯粹按照特征值（代码中含有关键的exec等特征）打分的，据说第一赛季准确率召回率都0.9X;我也试了下，准确率很高超过0.95，召回率在第二个数据集里只有0.6x，看到不少选手都是这个分。但我觉得不具有普适性，所以并未采用此思路。最后排名出来，发现这些选手都在我队前面。不过我还是坚持自己的意见，觉得是不具有普适性的。

2.钓鱼题

钓鱼题准确率和召回率都。。。。主要是用的所有特征都没效果。期待看到冠军队的答辩PPT。

目前说一句，国内外网上几乎所有能查到的钓鱼检测论文里的URL特征和页面特征准确率召回率都堪忧（除了基于搜索引擎、Whois、域名注册时间的那些，因为天池运行的程序不允许联网），论文里的实验结果那些声称准确率高达0.9x都是非常不靠谱的。