Webshell是一种以网页文件形式存在的命令执行环境,常被攻击者恶意利用、伪装成正常文件存放于网站Web目录下,成为黑客通过浏览器远程控制服务器的后门文件。由于Webshell恶意代码通过80端口访问服务器,因此不会被防火墙拦截,同时也不会在系统日志中留下记录,具有很强的隐蔽性,是Web系统中的重要安全威胁。如何有效且精准地在Web服务器庞大的文件系统中检测出Webshell恶意代码,已经成为整个互联网安全领域的研究热点之一。本文重点研究Webshell恶意代码的检测方法,设计了一种基于综合策略的Webshell检测方案,并通过实验分析验证了该方案的有效性。目前主流的Webshell检测方法主要有基于Webshell特征码匹配的检测方法,如“Safe Dog”、“D Shield”等检测工具。但是,由于特征码匹配是依赖特征恶意代码库进行检测的,所以导致了这类方法在攻击者将Webshell混淆和加密后很难被检测到。因此基于特征码匹配的检测方法在准确率和召回率方面都不够理想。本课题研究的目标是通过分析Webshell恶意代码中代码层和底层Opcode序列的特征,设计出基于代码层规则检测技术的静态检测方法和基于Opcode序列与机器学习算法结合的Webshell恶意代码检测方法,并将代码层特征与底层特征相融合,设计出基于综合策略的Webshell检测方法。实现对Webshell恶意代码的可配置全方位检测,达到较高的检测效率。通过对大量Webshell的检测训练和预测,以实现较高准确率和召回率。本文主要工作如下:一、在代码层模块,搜集了互联网上出现的各种形式的Webshell文件,其中包括大量加密型和混淆型Webshell文件,并对主流Webshell恶意代码检测工具的原理及准确率等评价指标进行分析和比较。通过对混淆型Webshell文件的多样性与复杂性的研究,设计了近十种基于规则的检测模块,可以对未混淆和常见的Webshell恶意代码检测达到良好的检测效果。另外提取了样本中所有PHP代码,将得到的数据进行数据预处理,并对其进行机器学习算法的训练和预测。二、在底层Opcode模块,对所有Opcode序列进行数据的采集、数据清理和数据处理,设计了基于Opcode序列的机器学习检测方法。通过对实验的测试和分析,分别测试了随机森林算法、决策树算法、K近邻、朴素贝叶斯等算法在单独检测与综合检测方面的性能情况。三、将上述两个模块分别通过大量样本进行实验和分析,优化文本特征提取算法,以便提升机器学习的准确率和召回率,并将两个模块整合在一起,验证检测效果。通过对模型实验与分析,得出基于综合策略的Webshell检测方法的检测准确率达到了98.8%。论证了基于综合策略的Webshell检测方案不仅可以识别已知的Webshell,并且可以对已经混淆和未知的Webshell达到良好的检测性能。未来工作目标是将拓展研究ASP,JSP等其他脚本语言,并且扩大数据收集的数量,提高样本的类型。