基于文本特征和日志分析的Webshell檢測(cè)

◆常昊 陳岑 張錚 李鳴巖

基于文本特征和日志分析的Webshell檢測(cè)

◆常昊 陳岑 張錚 李鳴巖

（國(guó)網(wǎng)河南省電力公司電力科學(xué)研究院 河南 450000）

Webshell植入后門攻擊是目前網(wǎng)絡(luò)入侵的常用手段之一，有著隱蔽性高，危害性大的特點(diǎn)，攻擊者通過混淆代碼等免殺技術(shù)會(huì)繞過目前檢測(cè)手段，導(dǎo)致現(xiàn)有方法無法及時(shí)地檢測(cè)出Webshell。本文提出了一種將文本特征分析和日志分析結(jié)合的方法，利用Webshell和正常頁面在文本特征上的顯著差異與訪問時(shí)產(chǎn)生的行為模式異常的特點(diǎn)對(duì)Webshell進(jìn)行檢測(cè)。

Webshell；網(wǎng)絡(luò)入侵；文本特征；日志分析

Webshell是一種常見的網(wǎng)站服務(wù)器被入侵后留下的后門程序，指的是以PHP、JSP、ASP等以動(dòng)態(tài)網(wǎng)頁腳本形式存在的命令執(zhí)行環(huán)境。如果入侵者通過網(wǎng)站的命令執(zhí)行或上傳文件等漏洞上傳后門頁面，在服務(wù)器上植入了Webshell，那么就可以對(duì)服務(wù)器上的文件執(zhí)行上傳、修改、查看、刪除操作，甚至可以在服務(wù)器上運(yùn)行系統(tǒng)命令，從而使用它進(jìn)一步展開攻擊，例如：篡改網(wǎng)頁、獲取數(shù)據(jù)、內(nèi)部掃描、植入木馬等，在整個(gè)攻擊鏈中，Webshell通常被用于權(quán)限維持并作為下一步入侵的跳板[1]。網(wǎng)站后門植入仍然是目前主要的網(wǎng)絡(luò)安全攻擊手段之一，由于其有著極強(qiáng)的隱藏性以及可以實(shí)現(xiàn)靈活的操作，許多入侵者通過Webshell長(zhǎng)期穩(wěn)定地控制系統(tǒng)，同時(shí)用戶對(duì)此也毫無察覺，因此其危害不容小覷。在2020年一年的時(shí)間內(nèi)，CNCERT/CC總共檢測(cè)到我國(guó)境內(nèi)有53171個(gè)網(wǎng)站被植入了后門，其中政府機(jī)構(gòu)的網(wǎng)站有256個(gè)[2]。2016年至2020年的幾年中，我國(guó)境內(nèi)被植入后門網(wǎng)站的數(shù)量呈周期性變化趨勢(shì)，峰值最高達(dá)到84850，如果快速而精準(zhǔn)地識(shí)別Webshell是當(dāng)前網(wǎng)絡(luò)安全的一大難題。

通常情況下，攻擊者利用Webshell展開網(wǎng)絡(luò)攻擊是最重要的一環(huán)，也是開始展開攻擊的信號(hào)，因此如何快速地定位和檢測(cè)Webshell文件是目前急需解決的問題。目前而言，檢測(cè)Webshell的技術(shù)多種多樣，但單使用某一種檢測(cè)方法局限性較大，準(zhǔn)確率或系統(tǒng)資源開銷方面無法同時(shí)得到保障。因此，本文提出了一種將網(wǎng)頁文本特征和網(wǎng)站日志結(jié)合分析的檢測(cè)Webshell的方法，旨在提高檢測(cè)準(zhǔn)確率降低系統(tǒng)資源開銷，提高系統(tǒng)安全性。

1 相關(guān)研究

目前，主流的檢測(cè)Webshell的方式有靜態(tài)分析、動(dòng)態(tài)檢測(cè)、日志分析、機(jī)器學(xué)習(xí)檢測(cè)大致四類。

1.1 靜態(tài)分析

靜態(tài)分析可以通過對(duì)文本的語義、語法分析，從而判斷是否為高危文件，如易楠進(jìn)行的基于語義分析的Webshell檢測(cè)方法[3]。也可以根據(jù)文本屬性特征去判斷是否為Webshell，屬性特征包括文本的特征碼、危險(xiǎn)函數(shù)、文件關(guān)聯(lián)度、信息熵、函數(shù)調(diào)用等，當(dāng)特征屬性滿足條件時(shí)則判斷為Webshell，Truong Dinh Tu等人將文本惡意特征作為判斷依據(jù)的方法[4]，Ben Hagen等人使用NeoPI工具計(jì)算特征值的方法[5]。此種判斷方法檢測(cè)方便，檢測(cè)速度較快，但缺點(diǎn)也十分明顯，只能檢測(cè)當(dāng)前已知的Webshell，對(duì)于0day或混淆過的文件仍舊可以避開Webshell的檢測(cè)，導(dǎo)致漏報(bào)率較高。

1.2 動(dòng)態(tài)檢測(cè)

動(dòng)態(tài)檢測(cè)方式是對(duì)網(wǎng)站流量、系統(tǒng)進(jìn)程或系統(tǒng)調(diào)用的異常行為進(jìn)行檢測(cè)。當(dāng)Webshell被訪問時(shí)，產(chǎn)生的網(wǎng)絡(luò)流量和正常頁面產(chǎn)生的網(wǎng)絡(luò)流量有著較大差別，通過流量的差異可以對(duì)Webshell進(jìn)行檢測(cè)[6]，也可以通過擴(kuò)展PHP對(duì)代碼進(jìn)行hook從而對(duì)Webshell的危險(xiǎn)函數(shù)進(jìn)行捕獲[7]。此種判斷方法檢測(cè)實(shí)時(shí)性較高，當(dāng)有Webshell被訪問時(shí)可以及時(shí)將其檢測(cè)出來，但由于需要開啟掃描和監(jiān)控系統(tǒng)，進(jìn)程和流量需要消耗額外的系統(tǒng)資源或設(shè)備，部署成本較高。

1.3 日志分析

日志分析檢測(cè)的方法是通過分析網(wǎng)站訪問日志的方式來檢測(cè)Webshell。Webshell通常有訪問頻率低、訪問時(shí)間異常、url異?；驘o意義等特點(diǎn)，因此可以根據(jù)網(wǎng)站運(yùn)行期間產(chǎn)生的日志進(jìn)行模式匹配從而對(duì)Webshell進(jìn)行檢測(cè)，如石劉洋使用的基于Web日志對(duì)Webshell進(jìn)行檢測(cè)的方法[8]。但此類方法實(shí)時(shí)性較低，無法及時(shí)發(fā)現(xiàn)Webshell。

1.4 機(jī)器學(xué)習(xí)檢測(cè)

機(jī)器學(xué)習(xí)檢測(cè)Webshell的方式是目前較為熱門的Webshell檢測(cè)方式，以PHP代碼為例，通常需要先將代碼轉(zhuǎn)為AST抽象語法樹或者OPCODE，之后使用TF-IDF進(jìn)行特征提取[9]，挑選特征集使用機(jī)器學(xué)習(xí)模型進(jìn)行訓(xùn)練，最終對(duì)Webshell進(jìn)行預(yù)測(cè)。如Handong Cui等人使用隨機(jī)森林模型檢測(cè)Webshell方法[10]和Longchen Qi等人使用深度學(xué)習(xí)檢測(cè)Webshell方法[11]對(duì)Webshell都有著較好的鑒別能力，機(jī)器學(xué)習(xí)檢測(cè)的方法目前對(duì)于大部分的Webshell檢測(cè)都有著較好的檢測(cè)效果，但也存在一些缺點(diǎn)，例如需要訓(xùn)練樣本多，模型調(diào)參困難，部署成本高等因素，且對(duì)于代碼混淆或冗余代碼過多的Webshell檢測(cè)效果仍舊不是很理想。

2 本文方法

本文中主要使用文本特征分析的方法結(jié)合Web日志對(duì)Webshell進(jìn)行檢測(cè)。當(dāng)兩類檢測(cè)結(jié)果有任何一個(gè)被檢測(cè)為是Webshell時(shí)，則認(rèn)為被檢測(cè)對(duì)象為Webshell，同時(shí)檢測(cè)該頁面或行為所關(guān)聯(lián)的頁面，降低漏報(bào)率。由于正常的代碼文件和Webshell文件的文本特征有著明顯的差距，許多Webshell有著代碼混淆、文本長(zhǎng)度過短、孤島文件等特點(diǎn)，對(duì)此可以使用文本特征分析法，文本特征分析主要根據(jù)文件的信息熵、文本長(zhǎng)度、引用數(shù)量、壓縮比、重合指數(shù)等參數(shù)對(duì)文件進(jìn)行Webshell的分類，但由于此種方法為靜態(tài)分析，可能會(huì)對(duì)0day或做免殺處理的Webshell無法判斷造成漏報(bào)，因此可以和日志中的用戶訪問的行為模式相結(jié)合，判斷所訪問頁面是否為Webshell，從而提升檢測(cè)的準(zhǔn)確率。檢測(cè)流程如圖1所示。

圖1 檢測(cè)流程

檢測(cè)流程可以分為文本特征分析和日志分析兩部分。

2.1 文本特征分析

正常頁面和Webshell在文本特征方面有著顯著的區(qū)別，例如：正常頁面的代碼可讀性較好，文件的格式較為整潔，文件的長(zhǎng)度適中或較長(zhǎng)，大部分文件都會(huì)相互引用，而Webshell文件長(zhǎng)度較短，孤島文件情況較多，在代碼經(jīng)過混淆的情況下，可讀性極差。首先對(duì)文本進(jìn)行預(yù)處理，接下來根據(jù)這些文本特征，對(duì)文本文件進(jìn)行統(tǒng)計(jì)學(xué)相關(guān)的特征分析。最后將特征結(jié)果放入使用正常代碼訓(xùn)練的LightGBM模型中進(jìn)行預(yù)測(cè)。

（1）文本預(yù)處理

在進(jìn)行特征計(jì)算之前需要對(duì)待檢測(cè)頁面進(jìn)行文本的預(yù)處理，通常情況下，頁面中的標(biāo)簽、注釋等內(nèi)容對(duì)于文件實(shí)際執(zhí)行的結(jié)果不會(huì)產(chǎn)生影響，但注釋的內(nèi)容可能會(huì)有額外的含義，因此，在進(jìn)行特征計(jì)算前，需要先將待檢測(cè)文本中的標(biāo)簽去除掉，并將注釋的內(nèi)容進(jìn)行分詞處理，為后續(xù)特征計(jì)算的內(nèi)容做準(zhǔn)備。

（2）文本特征計(jì)算

本文提出的文本特征分析方法中，主要選取以下幾個(gè)特征值：文件信息熵、文件文本長(zhǎng)度、文件引用數(shù)量、文本壓縮比、重合指數(shù)、關(guān)鍵詞匹配、文件名含義、字符數(shù)量比等在內(nèi)的十多種文本特征。文件引用的數(shù)量可以被稱為文件的出度，自身被引用的數(shù)量可以被稱為入度，當(dāng)文件出度與入度均為0時(shí)，稱之為孤島文件，通常情況下木馬文件的入度與出度均為0，即不被其他文件所引用，自身也不引用其他文件，如果某文件疑似Webshell，且出現(xiàn)出度不為0的情況，應(yīng)加倍注意，此時(shí)可能存在當(dāng)前Webshell去引用植入的另外一個(gè)后門的情況。下面以編碼過的php一句話Webshell為例，其文件入度與最長(zhǎng)語句長(zhǎng)度兩個(gè)特征值可以充分反映Webshell的特征。

代碼1 編碼后的一句話木馬 ');include('user_aut4.php')；?>

經(jīng)過編碼后的代碼如果使用普通的靜態(tài)檢測(cè)技術(shù)是無法進(jìn)行特征匹配的，因?yàn)樘卣鲙鞜o法涵蓋所有的混淆或加密過的PHP代碼，除此之外還有運(yùn)算符號(hào)變形、字符串拼接、編碼等繞過防御手段，此時(shí)如果使用文本特征值去分析則可以很好地分辨出Webshell的特征。

以上特征從不同方面較為完整地反映了文本的結(jié)構(gòu)信息。將待檢測(cè)文本計(jì)算出以上特征值后，交給LightGBM模型進(jìn)行Webshell的預(yù)測(cè)。

（3）LightGBM模型

GBDT是機(jī)器學(xué)習(xí)中一個(gè)一直比較熱門的模型，核心思想是使用弱分類器迭代訓(xùn)練得到最優(yōu)化的模型，此類模型具有不易過擬合、預(yù)測(cè)效果準(zhǔn)確的特點(diǎn)。

LightGBM是一個(gè)GBDT算法的實(shí)現(xiàn)框架，具有更快的訓(xùn)練速度、更低的內(nèi)存消耗、更好的準(zhǔn)確率的特點(diǎn)，在當(dāng)前的實(shí)際工作當(dāng)中有著較好的應(yīng)用，根據(jù)文本特征對(duì)文本進(jìn)行分類的效果十分優(yōu)秀。

2.2 日志分析

日志是Web服務(wù)器運(yùn)行時(shí)產(chǎn)生的記錄文件，該文件記錄了所有訪客訪問的頁面、時(shí)間、訪客IP、請(qǐng)求狀態(tài)碼等信息。下列以一條Apache的NCSA日志為例進(jìn)行分析，日志數(shù)據(jù)字段如表1所示。

Apache服務(wù)器日志 58.61.122.14 - - [22/Feb/2020：09：51：46 +0800] “GET /HTTP/1.1″ 206 6326”http://www.google.cn/search?q=webdataanalysis” “Mozilla/4.0（compatible；MSIE 6.0；Windows NT 5.1）

>表1 日志字段

字段名稱實(shí)例 訪問者IP58.61.164.141 訪問時(shí)間22/Feb/2020：09：51：46 +0800 請(qǐng)求方法GET 訪問路徑/ 協(xié)議HTTP/1.1 狀態(tài)碼206 數(shù)據(jù)大小6326 來源頁面http://www.google.cn/search?q=webdataanalysis 用戶代理Mozilla/4.0 （compatible； MSIE 6.0； Windows NT 5.1）

日志中保留了許多有用的訪問信息，通過對(duì)日志進(jìn)行清洗、預(yù)處理和行為模式分析，便可以判斷訪問頁面是否為Webshell。

（1）日志預(yù)處理

日志預(yù)處理需要先將日志里和Webshell檢測(cè)時(shí)無關(guān)的條目去除掉，首先需要將日志中訪問狀態(tài)碼為不是200的條目去除掉，絕大多數(shù)情況下只有狀態(tài)為200的訪問才是有效的訪問，其次由于入侵者植入后門時(shí)也可以將php文件偽裝成圖片類的文件或?qū)hp文件修改后綴為php3或phtml等后綴，因此僅將后綴為html、js、css等靜態(tài)資源文件的訪問記錄也進(jìn)行清理。此時(shí)，清理過的日志記錄中僅保留以php、jpg、png、gif、phtml等為后綴的訪問記錄。

（2）日志行為模式分析

通過對(duì)已有的Web日志做分析發(fā)現(xiàn)，正常頁面的訪問模式和Webshell的訪問模式有著較大的差別。正常頁面的文件名一般情況下均有實(shí)際意義，訪問頻次非常高，且通常情況下訪問時(shí)間都為非休息時(shí)間，數(shù)據(jù)大小因?yàn)轫撁鎯?nèi)容的原因，通常情況下會(huì)比較大，用戶代理也為正常的瀏覽器代理信息；Webshell頁面通常情況下文件命名雜亂無實(shí)際意義，訪問頻次非常低，且訪問時(shí)間通常異于正常頁面，因?yàn)椴恍枰~外的內(nèi)容顯示，數(shù)據(jù)大小也明顯會(huì)小很多，如果仔細(xì)觀察Webshell產(chǎn)生的日志信息還會(huì)發(fā)現(xiàn)，來源頁面的信息通常為空，因?yàn)閃ebshell大部分情況下均為孤島文件。

以上僅為對(duì)日志中單個(gè)屬性分析觀察得到的正常頁面和Webshell之間的差距，當(dāng)將日志文件當(dāng)作數(shù)據(jù)流，把每一個(gè)日志條目當(dāng)作一個(gè)行為的話，還可以對(duì)Webshell的行為模式進(jìn)行匹配，例如：用戶訪問的文件后綴與文件路徑不符；用戶訪問的文件名為非法文件名后綴。當(dāng)日志中匹配到以上行為模式時(shí)，均可以認(rèn)為已經(jīng)被植入了Webshell。此時(shí)結(jié)合之前進(jìn)行的文本特征分析，將用戶行為模式分析結(jié)果和文本特征分析結(jié)果聯(lián)合起來檢測(cè)Webshell。此外檢測(cè)結(jié)果的準(zhǔn)確率會(huì)隨著Webshell的訪問行為模式匹配規(guī)則的優(yōu)化而提高，應(yīng)時(shí)常維護(hù)行為模式匹配庫。

3 實(shí)驗(yàn)驗(yàn)證

3.1 實(shí)驗(yàn)數(shù)據(jù)源

文本特征分析的代碼數(shù)據(jù)分為正常的樣本和Webshell樣本，其中，正常樣本選取目前Github上最受歡迎的五個(gè)框架，分別是：Laravel、Symfony、Codelgniter、Yii和cakephp，而Webshell代碼則從選取來自Github的部分代碼倉(cāng)庫和從網(wǎng)絡(luò)上搜集的各種類型的樣本，數(shù)據(jù)來源如表2所示。

表2 數(shù)據(jù)來源

樣本類別來源 正常樣本https://github.com/laravel/laravel 正常樣本https://github.com/symfony/symfony 正常樣本https://github.com/bcit-ci/CodeIgniter 正常樣本https://github.com/yiisoft/yii2 正常樣本https://github.com/cakephp/cakephp Webshellhttps://github.com/tennc/webshell Webshellhttps://github.com/JohnTroony/php-webshells Webshellhttps://github.com/xl7dev/WebShell Webshellhttps://github.com/BlackArch/webshells

Webshell數(shù)據(jù)集中包含了jsp、asp、php等多種語言的惡意代碼，其攻擊邏輯類似，本文僅針對(duì)php代碼生成的Webshell做檢測(cè)。

日志分析樣本采用蜜罐系統(tǒng)產(chǎn)生的日志，截取包含有Webshell攻擊記錄前后的部分日志，所截取的日志條目的數(shù)量大致在10萬條數(shù)據(jù)，用以分析攻擊者行為模式。

實(shí)驗(yàn)驗(yàn)證分析待檢測(cè)數(shù)據(jù)使用公司遭受到網(wǎng)絡(luò)攻擊的服務(wù)器的日志和全部代碼，截取其中大致20萬條的日志數(shù)據(jù)。

3.2 實(shí)驗(yàn)參數(shù)

對(duì)于文本特征分析，主要選用文件信息熵、文件文本長(zhǎng)度、文件引用數(shù)量、文本壓縮比、重合指數(shù)等多種文本特征值，如表3所示。

表3 文本特征

序號(hào)特征序號(hào)特征 1信息熵10注釋段關(guān)鍵詞匹配數(shù)量 2文本長(zhǎng)度11最長(zhǎng)語句長(zhǎng)度 3文件引用數(shù)量12符號(hào)與數(shù)字、字母數(shù)量比 4文件被引用數(shù)量13代碼是否二次編碼 5文本壓縮比14死循環(huán)邏輯數(shù)量 6重合指數(shù)15使用$變量名調(diào)用函數(shù)的次數(shù) 7特殊符號(hào)數(shù)量16字符串拼接次數(shù)與代碼長(zhǎng)度比 8代碼段關(guān)鍵詞匹配數(shù)量17文件后綴是否異常 9代碼段關(guān)鍵詞匹配位置18文件名是否有意義

使用全部正常樣本和Webshell樣本數(shù)據(jù)作為訓(xùn)練集，對(duì)訓(xùn)練集預(yù)處理后進(jìn)行特征屬性計(jì)算，最后使用LightGBM機(jī)器學(xué)習(xí)模型算法進(jìn)行訓(xùn)練，然后對(duì)待檢測(cè)數(shù)據(jù)中的所有文本文件進(jìn)行預(yù)測(cè)。

LightGBM模型的訓(xùn)練，學(xué)習(xí)率設(shè)置為0.1，由于訓(xùn)練樣本相對(duì)較小，為了防止過擬合，將樹的深度設(shè)置為3。

日志分析，需要將日志中Webshell訪問的行為模式進(jìn)行分析和總結(jié)，對(duì)蜜罐系統(tǒng)日志所截取的10萬數(shù)據(jù)進(jìn)行分析后，得到Webshell訪問模式的特點(diǎn)，行為模式總結(jié)如表4所示，Webshell的訪問特點(diǎn)一般情況下滿足以表中的模式組合。

表4 Webshell訪問行為模式

序號(hào)行為模式 1同一個(gè)IP連續(xù)使用多個(gè)不同用戶代理，或使用antSword/v2.0等字段的用戶代理 2訪問以php3、phtml、php大小寫混寫為后綴的頁面 3訪問以.php、.jpg等類型為后綴的文件（或png、gif等） 4訪問如http://www.xx.com/test.php/1.jpg 5同一IP連續(xù)使用GET和POST方法請(qǐng)求無含義文件名文件 6訪問時(shí)間明顯異于其他文件 7使用POST方法請(qǐng)求返回?cái)?shù)據(jù)包大小明顯不同于其他文件 8頁面來源為空 9訪問文件類型與路徑不符（如在靜態(tài)資源文件夾下訪問php文件）

本文中所做實(shí)驗(yàn)將使用部分行為模式的組合進(jìn)行檢測(cè)。

3.3 實(shí)驗(yàn)結(jié)果

將數(shù)據(jù)源中的正常樣本和Webshell樣本預(yù)處理后，對(duì)其計(jì)算文本特征值，以其中五個(gè)特征值為例，計(jì)算結(jié)果的平均值如表5所示。

表5 文本特征值計(jì)算結(jié)果

類別數(shù)據(jù)集信息熵最長(zhǎng)語句長(zhǎng)度被引用次數(shù)文本壓縮比重合指數(shù) 正常樣本laravel4.73475.5361.3640.4520.0861 正常樣本symfony4.99860.1723.0930.4070.0785 正常樣本CodeIgniter5.21096.41600.3840.0423 正常樣本yii25.13070.2232.2860.3790.0719 正常樣本cakephp5.00652.1013.1830.4240.0735 Webshelltennc/webshell5.53710513.7900.5450.0404 WebshellJohnTroony/php-webshells5.5478328.08500.3900.0418 Webshellxl7dev/WebShell5.6047711.61700.4020.0421 WebshellBlackArch/webshells5.6223213.93200.3430.0382

觀察可以看出，正常樣本的信息熵特征值普遍小于Webshell樣本集，正常樣本重合指數(shù)普遍大于Webshell樣本，文件被引用數(shù)量普遍具有明顯差異，樣本集中Webshell被引用數(shù)量均為0，最長(zhǎng)語句長(zhǎng)度特征值差異最大。

經(jīng)過訓(xùn)練后，使用LightGBM模型對(duì)實(shí)驗(yàn)數(shù)據(jù)中的20萬余條日志條目和系統(tǒng)代碼進(jìn)行分析預(yù)測(cè)，配合Web日志進(jìn)行分析后，準(zhǔn)確率可以達(dá)到96.71%。

使用目前較為流行的Webshell檢測(cè)軟件D盾可以對(duì)經(jīng)過語法特征匹配的Webshell輕松檢測(cè)出，但并不能檢測(cè)出經(jīng)過部分代碼編碼或免殺處理的Webshell。如代碼1中所示的代碼段，通過計(jì)算，在進(jìn)行文本特征分析階段就可以將其檢測(cè)出。經(jīng)過驗(yàn)證使用該方法對(duì)目前較為難檢測(cè)的經(jīng)過代碼編碼的Webshell和免殺處理的Webshell都有著較好的檢測(cè)結(jié)果。

該方法結(jié)合用戶訪問產(chǎn)生的日志中的行為模式對(duì)Webshell進(jìn)行綜合判斷，彌補(bǔ)了單使用靜態(tài)文件分析的靈活性不足的問題，綜上所述，使用文本特征分析結(jié)合日志分析檢測(cè)Webshell的方法可行。

4 結(jié)束語

本文首先說明了目前存在的多種Webshell的檢測(cè)方法的優(yōu)點(diǎn)與缺點(diǎn)，單獨(dú)使用某一種方法都無法十分準(zhǔn)確地識(shí)別Webshell，然后提出了一種使用文本特征分析和Web日志分析相結(jié)合的Webshell檢測(cè)方法，將靜態(tài)文本分析的實(shí)時(shí)性與日志分析的動(dòng)態(tài)檢測(cè)相結(jié)合，降低檢測(cè)方法的漏報(bào)率，最后經(jīng)過實(shí)驗(yàn)驗(yàn)證，該方法擁有者較好的準(zhǔn)確率，證明了本文提出的方法具有可行性。

[1]龍嘯，方勇，黃誠(chéng)，等.Webshell研究綜述：檢測(cè)與逃逸之間的博弈[J].網(wǎng)絡(luò)空間安全，2018，9（01）：62-68.

[2]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2020年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[EB/OL].https://www.cert.org.cn/publish/main/upload/File/2020%20Annual%20Report.pdf.2021-07-21.

[3]易楠，方勇，黃誠(chéng)，等.基于語義分析的Webshell檢測(cè)技術(shù)研究[J].信息安全研究，2017，3（02）：145-150.

[4]T. Dinh Tu，C. Guang，G. Xiaojun and P. Wubin， "Webshell detection techniques in web applications，"Fifth International Conference on Computing，Communications and Networking Technologies（ICCCNT），Hefei，China，2014，pp. 1-7. doi：10.1109/ICCCNT.2014.6963152.

[5]Scott Behrens，Ben Hagen. Web Shell Detection Using NeoPI.2011-4-14.[EB/OL]https://resources.infosecin stitute.com/topic/web-shell-detection/

[6]趙運(yùn)弢，徐春雨，薄波，等.基于流量的WebShell行為分析與檢測(cè)方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（04）：8-9.

[7]康志輝.基于PHP擴(kuò)展的webshell檢測(cè)研究[J].科技傳播，2015，7（19）：123-124.

[8]石劉洋，方勇.基于Web日志的Webshell檢測(cè)方法研究[J].信息安全研究，2016，2（01）：66-73.

[9]趙瑞杰，施勇，張涵，等.基于TF-IDF的Webshell文件檢測(cè)[J].計(jì)算機(jī)科學(xué)，2020，47（S2）：363-367.

[10]H. Cui，D. Huang，Y. Fang，L. Liu and C. Huang， "Webshell Detection Based on Random Forest–Gradient Boosting Decision Tree Algorithm，"2018 IEEE Third International Conference on Data Science in Cyberspace（DSC），Guangzhou， China，2018，pp. 153-160. doi：10.1109/DSC.2018.00030.

[11]L. Qi，R. Kong，Y. Lu and H. Zhuang，"An End-to-End Detection Method for WebShell with Deep Learning，"2018 Eighth International Conference on Instrumentation & Measurement，Computer，Communication and Control （IMCCC），Harbin，China，2018，pp. 660-665.doi： 10.1109/IMCCC.2018.00143.