Webshell研究綜述：檢測與逃逸之間的博弈

龍嘯 方勇 黃誠 劉亮

摘 要：Webshell是Web攻擊中常見的一種木馬形式，在整個(gè)攻擊鏈中，Webshell被用于權(quán)限維持并作為下一步入侵的跳板。針對不斷發(fā)展的檢測與逃逸技術(shù)，尤其是人工智能影響下的新興技術(shù)，綜述了近年來Webshell檢測和逃逸方面的研究進(jìn)展。論文介紹了隨著互聯(lián)網(wǎng)發(fā)展而不斷演化的攻擊方式以及應(yīng)對攻擊的檢測模型，闡述了包括靜態(tài)規(guī)則匹配、異常行為分析、動(dòng)態(tài)執(zhí)行和基于深度學(xué)習(xí)等檢測方法，從博弈的角度重點(diǎn)討論了檢測與逃逸相互之間所產(chǎn)生的影響。最后總結(jié)了現(xiàn)有的研究難題，展望了Webshell未來的研究方向。

關(guān)鍵詞：Webshell；檢測技術(shù)；逃逸技術(shù)

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A

A survey on webshell： game of detection and escape

Abstract： Webshell is a common trojan in Web attacks. It is always used for permission maintenance and next step attacks. In this paper， the researches on the detection and escape of Webshell had been reviewed especially the emerging technologies under the influence of artificial intelligence. This paper introduced the evolution of attack methods and detection model with the development of the Internet. Meanwhile， it expounded several detections such as static rules matching， abnormal behavior analysis， dynamic analysis and deep learning. The important is to illustrate the interaction between detection and escape in the game. Finally it summarized the existing research problems and put forward the research direction.

Key words： webshell； detection technique； escape technique

1 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷更新，網(wǎng)絡(luò)應(yīng)用能夠提供的交互功能越來越強(qiáng)大，豐富的功能擴(kuò)大了網(wǎng)絡(luò)攻擊面，使得個(gè)人、企業(yè)甚至是國家的敏感信息暴露在風(fēng)險(xiǎn)中。而在網(wǎng)絡(luò)攻擊鏈中，Webshell作為一種可以進(jìn)行文件操作和命令執(zhí)行的惡意程序，被大量攻擊者用于控制Web服務(wù)主機(jī)[1]。根據(jù)綠盟科技2017年上半年發(fā)布的《2017上半年DDoS與Web應(yīng)用攻擊態(tài)勢報(bào)告》指出，2017年上半年攻擊者對該公司所防御的Web站點(diǎn)發(fā)起了2465萬次Web應(yīng)用層攻擊，占所管理網(wǎng)站總數(shù)的82%，其中教育、政府、金融等領(lǐng)域成為主要的攻擊目標(biāo)[2]。作為黑客的常用工具，Webshell可以用于非法訪問網(wǎng)站資源，甚至用于控制具有Web功能的關(guān)鍵設(shè)施，嚴(yán)重威脅著國家網(wǎng)絡(luò)空間安全。

2 Webshell的定義以及攻擊原理

2.1 定義

Webshell是指攻擊者基于Web編程語言特性編寫的一類惡意腳本，當(dāng)攻擊者攻陷Web應(yīng)用程序后，使用這樣的惡意腳本來持久化訪問權(quán)限或者提升訪問權(quán)限[3]。由于Webshell本身一般并不具有攻擊或者利用遠(yuǎn)程漏洞的能力，所以往往由攻擊者利用遠(yuǎn)程漏洞攻陷Web應(yīng)用后，再將惡意文件注入失陷主機(jī)進(jìn)行使用。

一個(gè)典型的Webshell腳本如圖1所示，通常包含一個(gè)腳本語言類型聲明，執(zhí)行用戶代碼的指令以及用戶需要執(zhí)行的代碼。主流的腳本語言類型包括PHP、ASP、ASP.NET、JSP等，如圖2所示，展示了攻擊者向漏洞應(yīng)用添加惡意后門的過程。

Webshell以代碼展現(xiàn)形式分類可以分為三類。

（1）非編碼Webshell，惡意源代碼直接寫在普通文件中，可以直接閱讀的Webshell形式。

（2）編碼Webshell，源代碼經(jīng)過編碼后存儲于文件之中，無法直接人工辨認(rèn)，需要經(jīng)過解碼處理，常見的編碼方式為base64編碼、混淆編碼。攻擊者通常會使用編碼后門的方式來進(jìn)行逃逸。

（3）無文件Webshell，無文件Webshell是由于Web應(yīng)用程序代碼中使用了危險(xiǎn)的命令執(zhí)行函數(shù)而產(chǎn)生的，攻擊者利用漏洞傳遞可控變量進(jìn)入危險(xiǎn)函數(shù)，就可以發(fā)動(dòng)Webshell攻擊。

Webshell從用途分類可以分為五類。

（1）通用型Webshell，具有Web木馬所需的復(fù)雜功能，包括文件上傳、文件操作、數(shù)據(jù)庫訪問、權(quán)限提升、系統(tǒng)命令執(zhí)行、內(nèi)網(wǎng)掃描等功能。

（2）數(shù)據(jù)庫型Webshell，專門用于數(shù)據(jù)庫數(shù)據(jù)竊取的惡意程序。

（3）上傳型Webshell，只具有上傳接口的惡意程序，可以為其他惡意程序的上傳提供通道，常用于隱蔽權(quán)限維持。

（4）一句話Webshell，只具有簡單的腳本執(zhí)行語句，通常需要配合木馬管理端工具，如Shellstack、Cknife等。

（5）穿透型Webshell，專門提供內(nèi)網(wǎng)穿透的惡意程序，可以將內(nèi)網(wǎng)服務(wù)器轉(zhuǎn)發(fā)到公網(wǎng)，擴(kuò)大網(wǎng)絡(luò)邊界攻擊面。

2.2 攻擊原理

Webshell的種類有很多，不同的腳本語言所實(shí)現(xiàn)的惡意代碼結(jié)構(gòu)也不盡相同。這些代碼能夠發(fā)動(dòng)攻擊的根本原因來自于Web應(yīng)用交互方式和編程語言本身所具有的特點(diǎn)，這里將從遠(yuǎn)程參數(shù)傳遞和本地函數(shù)調(diào)用兩個(gè)層面來進(jìn)行分析。

2.2.1 遠(yuǎn)程參數(shù)傳遞

由于Web應(yīng)用程序的交互特性，用戶通過客戶端發(fā)送攜帶有參數(shù)的請求，常見的HTTP請求有GET型和POST型兩種。這些請求被特定的代碼接受并處理后，會將結(jié)果返回給請求者，基于這種遠(yuǎn)程傳遞機(jī)制，用戶可以發(fā)送攜帶有特定參數(shù)的請求。如果攻擊者通過應(yīng)用漏洞將Webshell植入服務(wù)器，就可以利用該機(jī)制訪問惡意文件完成遠(yuǎn)程參數(shù)傳遞。

2.2.2 本地函數(shù)調(diào)用

Web應(yīng)用中常用的編程語言都提供文件操作、系統(tǒng)命令執(zhí)行、數(shù)據(jù)庫操作等接口。一次完整的Webshell攻擊由攻擊者遠(yuǎn)程傳遞命令參數(shù)給木馬文件，木馬文件根據(jù)不同的參數(shù)執(zhí)行相應(yīng)的函數(shù)，再將執(zhí)行結(jié)果返回給攻擊者。在整個(gè)攻擊過程中，參數(shù)傳遞屬于正常的HTTP協(xié)議交互，所執(zhí)行的函數(shù)也是編程語言本身的功能，這些特性給Webshell的檢測帶來了很大的難度。

3 Webshell攻擊檢測技術(shù)

對Webshell的檢測識別主要分為基于后門文件的檢測方式、基于交互流量的檢測方式以及基于Web日志的檢測方式。這三種檢測方式分別對應(yīng)了攻擊發(fā)生前、攻擊發(fā)生時(shí)和攻擊發(fā)生后三個(gè)階段。Webshell攻擊發(fā)生前，攻擊者需要向服務(wù)器傳遞相應(yīng)的惡意文件，因此基于文件的檢測方式主要針對惡意文件本身進(jìn)行檢測，阻止文件的傳遞；而基于流量的檢測方式主要在攻擊者與服務(wù)器交互過程中，通過協(xié)議層面的流量分析來標(biāo)記識別惡意行為；基于日志的檢測方式通常是在攻擊發(fā)生后，通過全面的分析入侵日志，還原整個(gè)攻擊過程，以此來定位識別惡意后門。

3.1 基于文件的檢測技術(shù)

這種檢測技術(shù)通過文件特征、文件哈希、文件動(dòng)態(tài)行為、文件訪問時(shí)間、訪問頻率、文件權(quán)限等屬性來鑒別惡意文件。

由于檢測速度快、檢測特征明顯，相關(guān)領(lǐng)域針對惡意攻擊的研究多集中在基于文件的檢測方法上。其中被廣泛提到的是Ben Hagen于2011年設(shè)計(jì)實(shí)現(xiàn)的NeoPI[4]。NeoPI是一款文件惡意性定量工具，它從文件字符長度、信息熵和重合因子等角度綜合分析待檢測文件，但是該款工具只做定量檢測，并不對文件做定性評價(jià)。另一款相似的PHP后門檢測工具是Luczko的PHP shell detector[5]，它主要通過比較未知文件和已知Webshell文件的MD5值來判斷惡意程序是否存在，由于MD5的HASH特性，這種方法存在極大的漏報(bào)率。胡健康等人使用基于決策樹的檢測方法[6]，將一個(gè)完整的文件特征分為文檔屬性、基本屬性和高級屬性三類，對三類屬性使用C4.5算法分類識別，準(zhǔn)確率可以達(dá)到98.03%。Dinh Tu， Truong等人綜合上述研究成果[7]，給出了Webshell不同構(gòu)成結(jié)構(gòu)更加細(xì)致的量化指標(biāo)。孟正等人在對比了SVM和決策樹算法后[8]，認(rèn)為使用SVM進(jìn)行特征匹配擁有更好的泛化能力。除了基于靜態(tài)特征進(jìn)行檢測之外，研究者們還希望通過動(dòng)態(tài)特征來識別Webshell行為，杜海章等人利用PHP鉤子機(jī)制[9]，從PHP編程語言的編譯底層出發(fā)，對敏感數(shù)據(jù)和敏感函數(shù)進(jìn)行劫持檢測，提出了一種動(dòng)態(tài)檢測的思路。

隨著Webshell檢測技術(shù)研究的不斷深入，普通的惡意文件可以輕易的被檢測算法所識別，攻擊者在這種情況下，利用腳本語言的一些特性對惡意文件進(jìn)行編碼混淆。針對這一情況，朱魏魏等人將最近鄰分類引入SVM之中[10]，提出了一種NN-SVM模型，利用最近鄰特征來抵抗混淆逃逸。馬艷發(fā)在研究中特別對比了不同特征在普通檢測和變異檢測中的差異性[11]，論文指出特殊字符信息熵和引號信息熵特征在變異檢測上表現(xiàn)較好，但是在檢測普通Webshell時(shí)不夠理想。與研究領(lǐng)域共同發(fā)展的還有工程界用于實(shí)際防護(hù)的主機(jī)檢測引擎，Le等人在論文中使用了50多種國內(nèi)外不同公司提供的檢測引擎[12]，對Webshell文件進(jìn)行檢測，從結(jié)果中可以看出，基于靜態(tài)特征檢測的工程實(shí)現(xiàn)還不夠理想。鑒于此，研究者們進(jìn)行了新的嘗試，易楠等人在語義層將PHP語言提取為抽象語法樹[13]，進(jìn)而利用巴科斯范式對不同的PHP代碼作無歧義轉(zhuǎn)義，最后在語義層進(jìn)行惡意檢測。賈文超等人采用隨機(jī)森林改進(jìn)算法[14]，針對不同功能的三種Webshell，提出了公共特征和獨(dú)有特征，結(jié)合RASP技術(shù)采集動(dòng)態(tài)行為構(gòu)成特征空間，利用改進(jìn)算法進(jìn)行導(dǎo)向式特征隨機(jī)選擇，準(zhǔn)確率達(dá)到97.2%。而Sun等人提出了一種矩陣分解模型[15]，對文件進(jìn)行矩陣分解后做邏輯回歸預(yù)測。

基于文件的Webshell檢測直觀的對惡意文件本身進(jìn)行分析，一方面建立已有文件的樣本庫，另一方面采集惡意文件在系統(tǒng)層面或者文件內(nèi)容層面的靜態(tài)特征，同時(shí)可以結(jié)合動(dòng)態(tài)分析技術(shù)。然而，基于Webshell文件的檢測需要能夠取得惡意文件，這使得該技術(shù)在針對無文件Webshell進(jìn)行檢測時(shí)存在瓶頸。

3.2 基于流量的檢測技術(shù)

基于流量的檢測主要分析攻擊者與Webshell交互時(shí)的流量，在HTTP協(xié)議的請求和響應(yīng)中尋找可疑信息。

Yang等人在入侵檢測研究中提到了基于流量層面對Webshell進(jìn)行檢測[16]，他們在研究中使用Snort結(jié)合ModSecurity模塊對流量中的關(guān)鍵字進(jìn)行檢測，以此來識別Web攻擊。葉飛等人使用SVM算法[17]，通過檢測流量中傳遞的HTML文檔的網(wǎng)頁編碼方式、網(wǎng)頁元信息等特征，判斷是否存在Webshell攻擊，該模型的準(zhǔn)確率達(dá)到75.67%。Starov等人在2016年的論文中從流量層面對Webshell本身進(jìn)行了一次全面的評估[18]，他們收集了1449個(gè)惡意樣本，涵蓋c99、r57、WSD等多個(gè)樣本家族。他們的論文從隱匿性、接口特性和逃逸檢測等方面進(jìn)行分析，利用蜜罐對惡意樣本進(jìn)行觀察，總結(jié)了不同惡意樣本在執(zhí)行時(shí)的客戶端行為和服務(wù)端行為，更為重要的是，他們對惡意樣本中存在的隱藏后門進(jìn)行了細(xì)致的研究，通過流量分析找到那些以Webshell使用者作為目標(biāo)的攻擊者。

由于流量在傳遞過程中復(fù)雜而又龐大，針對流量的檢測技術(shù)面臨著流量還原、實(shí)時(shí)性能、特征維度、流量噪音等多方面的制約因素，但是，深度學(xué)習(xí)技術(shù)的日趨成熟將會為這種檢測方式帶來技術(shù)變革。

3.3 基于日志的檢測技術(shù)

服務(wù)器往往會以日志的形式記錄全部的Web請求，通過分析系統(tǒng)日志，可以對整個(gè)攻擊過程進(jìn)行溯源分析，特別適合于分析未被發(fā)現(xiàn)的Webshell繞過策略。

Xie等人通過KNN算法來聚類日志中的Webshell行為與正常訪問行為[19]，通過無監(jiān)督學(xué)習(xí)的方法發(fā)現(xiàn)日志中的異常攻擊。潘杰在基于機(jī)器學(xué)習(xí)的Webshell檢測關(guān)鍵技術(shù)研究中提出了使用OneClass-SVM[20]進(jìn)行聚類分析，與此同時(shí)，論文中還使用了人工神經(jīng)網(wǎng)絡(luò)檢測上傳之后的文件。前述的研究主要針對日志文本特征進(jìn)行無監(jiān)督機(jī)器學(xué)習(xí)，而石劉洋等人在檢測日志文本特征的同時(shí)[21]，提出結(jié)合統(tǒng)計(jì)特征以及文件訪問之間的關(guān)聯(lián)特征，他通過研究發(fā)現(xiàn)日志中對Webshell的訪問頻率記錄與正常記錄存在明顯的差異，利用這種差異可以有效提升日志檢測的準(zhǔn)確率。

基于日志的檢測技術(shù)可以有效還原整個(gè)攻擊鏈過程，利用日志中的上下文信息可以獲取黑客的攻擊行為和攻擊意圖，但是完整的日志信息一般需要在攻擊完成后才能獲取到，存在一定的檢測滯后性，因此需要研究如何利用機(jī)器學(xué)習(xí)技術(shù)對交互過程中的日志進(jìn)行分析甚至預(yù)測攻擊者的下一步行為，通過預(yù)測下一行為可以提前終止可疑攻擊。

4 Webshell檢測逃逸技術(shù)

早在2011年，Sasi等人在安全會議上對當(dāng)時(shí)的Webshell攻擊、檢測和逃逸方法進(jìn)行了演講，展示使用字符拼接和多參數(shù)混淆來繞過當(dāng)時(shí)已經(jīng)存在的NeoIP等早期檢測工具?？梢钥吹剑瑢W(xué)術(shù)界對于Webshell逃逸技術(shù)進(jìn)行的研究相對較少[22]，而黑客技術(shù)圈，如t00ls論壇、Reddit安全話題圈等更熱衷于逃逸技術(shù)的討論。通過總結(jié)分析，常用的檢測逃逸技術(shù)有五種。

4.1 字符串加密技術(shù)

通過對字符串中的敏感特征進(jìn)行加密處理，將其可逆的映射到另一個(gè)字符串，在訪問時(shí)再進(jìn)行解密執(zhí)行。這種逃逸技術(shù)廣泛用于各種免殺Webshell中，以PHP語言為例，內(nèi)置有base64、rot13等加密方式。為了更好的抵御檢測，有些惡意程序使用自定義加解密函數(shù)進(jìn)行逃逸，其中Weevely就是一款著名的Webshell加密工具[23]。表1展示了加密前后的Webshell?？梢钥吹酵ㄟ^使用正則替換、base64編碼之后，惡意文件的敏感特征得到了很好的隱藏。

針對加密技術(shù)，學(xué)者們提出使用密碼學(xué)中的重合因子進(jìn)行分析，結(jié)合信息熵來做判斷。這種方法在一定程度上可以起到檢測效果，但是出于保護(hù)知識產(chǎn)權(quán)和防止源碼泄露的目的，許多正常的應(yīng)用也會使用加密混淆技術(shù)來處理代碼，這種情況下，基于上述手段的檢測就存在誤報(bào)的可能性。

4.2 字符串拆分構(gòu)造技術(shù)

利用ASCII碼特性由兩個(gè)不同的字符運(yùn)算得到新的字符，再結(jié)合字符串拼接特性即可完成代碼混淆。如表2所示。通過對“#”、“|”、“～”等特殊符號的異或計(jì)算，可以得到“POST”，以此類推，可以構(gòu)造出相應(yīng)的Webshell。

基于語義層面的檢測技術(shù)能夠有效應(yīng)對這種逃逸方式，無論代碼中的構(gòu)造方式如何，編譯到底層的opcode都會表現(xiàn)出同樣的結(jié)構(gòu)形式。

4.3 流量加密技術(shù)

流量加密是一種能有效對抗流量檢測的逃逸技術(shù)，與字符串加密不同的是，這種技術(shù)利用Webshell中的加解密函數(shù)解密接收到的攻擊指令，加密發(fā)送的回復(fù)給攻擊者的信息。

4.4 文件包含技術(shù)

文件包含技術(shù)通過將惡意程序差分成多個(gè)文本或圖片，再通過包含操作進(jìn)行整合。由于惡意特征被分散到不同的文件中，會影響檢測模型的評估。針對這種情況，通過分析不同文件之間的調(diào)用關(guān)系以及流量層面的可疑特征能夠提高模型的檢測效果。

4.5 其他逃逸技術(shù)

其他逃逸技術(shù)還包括在隱蔽位置隱藏攻擊載荷、加載其他腳本組件以及無文件攻擊等方法，這些方法往往針對某一個(gè)檢測特征具有很好的逃逸效果。

5 結(jié)束語

本文系統(tǒng)概括了網(wǎng)絡(luò)安全領(lǐng)域?qū)ebshell的定義以及攻擊原理，收集總結(jié)了近10年來安全研究人員針對Webshell檢測的研究成果，分類比對了不同檢測方式在作用域、檢測特征以及實(shí)際效果之間的差異。另外，從相互博弈的角度分析了黑客圈中常用的Webshell檢測逃逸技術(shù)，通過分析我們可以看出檢測和逃逸永遠(yuǎn)是不斷對抗進(jìn)步的過程。

經(jīng)過整理研究，對該領(lǐng)域有三個(gè)展望。

（1）傳統(tǒng)的機(jī)器學(xué)習(xí)已經(jīng)被廣泛用于檢測技術(shù)中，但是傳統(tǒng)的機(jī)器學(xué)習(xí)受到檢測特征的制約，這使得我們需要人為挖掘不同的特征來進(jìn)行選擇。而深度學(xué)習(xí)擁有特征的自學(xué)習(xí)功能，那么，是否能夠?qū)⑸疃葘W(xué)習(xí)在文本、語音、圖像領(lǐng)域的成功模型遷移到安全檢測中？我們認(rèn)為深度學(xué)習(xí)遷移的難度首先在于樣本，安全領(lǐng)域的樣本收集存在著一定的難度；其次，深度學(xué)習(xí)模型更側(cè)重對具有局部關(guān)聯(lián)性的數(shù)據(jù)做關(guān)聯(lián)性建模，如何將Webshell數(shù)據(jù)處理成為合適的數(shù)學(xué)結(jié)構(gòu)也是值得我們思考的。

（2）在被動(dòng)檢測的基礎(chǔ)上，我們?nèi)绾卫靡延械纳鐣こ虒W(xué)、蜜罐技術(shù)、指紋跟蹤技術(shù)來實(shí)現(xiàn)主動(dòng)的Webshell攻擊源追蹤、Webshell攻擊源污染以及Webshell攻擊誘捕，將網(wǎng)絡(luò)犯罪行為抵擋在萌芽階段。

（3）將研究領(lǐng)域的檢測算法用于工程界的檢測引擎中時(shí)，受到檢測時(shí)間、檢測效率、實(shí)現(xiàn)成本等多種因素的影響，因此需要學(xué)者們和工程師們一同設(shè)計(jì)更具有實(shí)踐價(jià)值的檢測模型。

參考文獻(xiàn)

[1] Markus J， Zulfikar R. Crimeware： Understanding New Attacks and Defenses[J]. Upper Saddle River， 2008.

[2] NSFOCUS. 2017上半年DDoS與Web應(yīng)用攻擊態(tài)勢報(bào)告[EB/OL] （2017-08）[2017-11-6].

http：//blog.nsfocus.net/wp-content/uploads/2017/08/201701-NSFOCUS-DDoS-Web%E6%8A%A5%E5%91%8A0802.pdf 2017.11.

[3] Starov O， Dahse J， Ahmad S S， et al. No honor among thieves： A large-scale analysis of malicious web shells[C]//Proceedings of the 25th International Conference on World Wide Web. International World Wide Web Conferences Steering Committee， 2016： 1021-1032.

[4] Behrens S， Hagen B. Web shell detection using NeoPI [EB/OL]. （2012-04-13）[2017-11-6].

http： //resources.infosecinstitute.com/web-shell-detection/

[5] Luczko P， Thornton J. PHP shell detector[EB/OL].（2012-06-12）[2013-10-10].

https：//github.com/emposha/PHP-Shell-Detector.

[6] 胡建康，徐震，馬多賀，楊婧. 基于決策樹的Webshell檢測方法研究[J].網(wǎng)絡(luò)新媒體技術(shù)，2012，1（06）：15-19.

[7] Tu T D， Guang C， Xiaojun G， et al. Webshell detection techniques in web applications[C]//Computing， Communication and Networking Technologies （ICCCNT）， 2014 International Conference on. IEEE， 2014： 1-7.

[8] 孟正，梅瑞，張濤，文偉平. Linux下基于SVM分類器的WebShell檢測方法研究[J]. 信息網(wǎng)絡(luò)安全，2014，（05）：5-9.

[9] 杜海章，方勇. PHP Webshell實(shí)時(shí)動(dòng)態(tài)檢測[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（12）：120-121+125

[10] 朱魏魏，胡勇.基于NN-SVM的Webshell檢測方法[J].通信與信息技術(shù)， 2015 （2）： 55-58.

[11] 馬艷發(fā). 基于WAF入侵檢測和變異WebShell檢測算法的Web安全研究[D].天津理工大學(xué)，2016.

[12] Le V G， Nguyen H T， Lu D N， et al. A Solution for Automatically Malicious Web Shell and Web Application Vulnerability Detection[C]//International Conference on Computational Collective Intelligence. Springer International Publishing， 2016： 367-378.

[13] 易楠，方勇，黃誠，劉亮.基于語義分析的Webshell檢測技術(shù)研究[J].信息安全研究，2017，3（02）：145-150.

[14] 賈文超，戚蘭蘭，施凡，胡榮貴.采用隨機(jī)森林改進(jìn)算法的Webshell檢測方法[J/OL].計(jì)算機(jī)應(yīng)用研究，2018，（04）：（2017-04-01）.

[15] Sun X， Lu X， Dai H. A Matrix Decomposition based Webshell Detection Method[C]//Proceedings of the 2017 International Conference on Cryptography， Security and Privacy. ACM， 2017： 66-70.

[16] Yang C H， Shen C H. Implement web attack detection engine with snort by using modsecurity core rules[C]//Fourth the E-Learning and Information Technology Symposium （EITS 09）. 2009.

[17] 葉飛，龔儉，楊望.基于支持向量機(jī)的Webshell黑盒檢測[J].南京航空航天大學(xué)學(xué)報(bào)，2015，47（06）：924-930.

[18] Starov O， Dahse J， Ahmad S S， et al. No honor among thieves： A large-scale analysis of malicious web shells[C]//Proceedings of the 25th International Conference on World Wide Web. International World Wide Web Conferences Steering Committee， 2016： 1021-1032.

[19] Xie M， Hu J. Evaluating host-based anomaly detection systems： A preliminary analysis of adfa-ld[C]//Image and Signal Processing （CISP）， 2013 6th International Congress on. IEEE， 2013， 3： 1711-1716.

[20] 潘杰.基于機(jī)器學(xué)習(xí)的WebShell檢測關(guān)鍵技術(shù)研究[D].中國民航大學(xué)，2015

[21] 石劉洋，方勇.基于Web日志的Webshell檢測方法研究[J].信息安全研究，2016，2（01）：66-73.

[22] 王亞麗. Webshell 查殺逃逸技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2017， 9： 044.

[23] Kali Tools. Weevely. [EB/OL]. https：//tools.kali.org/maintaining-access/weevely.