随着近年来信息化的推进,大数据的迅猛发展,以及物联网的发展,越来越多的信息实现了网络化,web提供的服务也深入到生活的方方面面。从各种脱库事件到NASA的机密文档泄漏,无不显示出保障Web服务器安全的重要性。而对web服务器留后门最常见的方式就是植入Webshell,因此Webshell查杀是服务器安全的一个重要方面。目前Webshell检测主要分为基于源码的静态检测,基于行为的动态检测以及基于日志的检测。源码层静态审计通过匹配特征码以及危险函数来查杀Webshell,也可以结合语法解析,剥离代码、注释、分析变量以及函数字符串。静态审计由于不涉及函数执行时动态行为,混淆代码识别一直是其难点与重点,同时也带来了一定的误报。基于行为的动态检测,主要是基于payload的行为进行分析,对Webshell的访问特征(如IP、cookie等)、访问路径以及主机异常行为进行监控。基于日志的检测,主要结合Webshell访问特征(如页面访问次数,访问页面是否是孤立页面,日志中是否含有payload等)。动态检测与日志检测,产生大量的实时记录,对服务器的性能有比较大的影响,在实际中静态查杀相对使用更多,同时动态检测与日志检测均只能在攻击者实施攻击后,才能发现异常。本文详细分析了 Webshell得到实现机理、主流的检测技术以及对应的绕过技术。在此基础上,针对静态检测技术对未知Webshell识别率不高、难以识别混淆Webshell,动态检测对函数动态调用类Webshell识别率高但对系统性能影响较大,本文结合静态与动态检测技术优点,并在传统的基础上进行一定的改进,实现静态检测与动态检测的联动,提升Webshell检测指纹匹配抗混淆能力、代码混淆识别能力及准确率。静态检测上,本文引入了改进的污点分析技术,加入了编码函数及危险函数识别,并对危险函数进行危险分类标记,改进了现有数据流静态分析方法,提出了基于标识符分词的混淆检测算法、基于语法树的指纹算法。静态检测后得到存在函数动态调用类的可疑文件,构建函数动态调用位置与文件名的键值对列表,组成动态执行监控名单。基于以上检测技术,本文以PHPWebshell为主要对象,设计并实现了一套基于组合策略的Webshell检测框架。