第十九章：web安全之webshell知识分享——webshell木马的的检测（二）

②动态特征检查

动态特征检查，楠神搜索到的都是理论性知识，可实际操作性差，下面是我零零散散地收集的一些资料，大家以了解为主。

动态特征检测通过Webshell运行时使用的系统命令或者网络流量及状态的异常来判断动作的威胁程度，Webshell通常会被加密从而避免静态特征的检测，当Webshell运行时就必须向系统发送系统命令来达到控制系统或者操作数据库的目的，通过检测系统调用来监测甚至拦截系统命令被执行，从行为模式上深度检测脚本文件的安全性。

使用Webshell一般不会在系统日志中留下记录，但是会在网站的web日志中留下Webshell页面的访问数据和数据提交记录。日志分析检测技术通过大量的日志文件建立请求模型从而检测出异常文件，称之为：HTTP异常请求模型检测。例如：一个平时是GET的请求突然有了POST请求并且返回代码为200、某个页面的访问者IP、访问时间具有规律性等。

优点：采用了一定数据分析的方式，网站的访问量达到一定量级时这种检测方法的结果具有较大参考价值。

在真实的环境中webshell样本缺少，基本在数万条的http流量中，都难有一条webshell所产生的流量。因此对于机器学习来说，高质量、多数量的的样本将会是个挑战。为了解决这个样本难的棘手问题，我们特意模拟搭建了webshell入侵的环境，按照webshell的种类、攻击的行为写好自动化脚本，运行时产生大量webshell流量，使用网络嗅探工具（如Wireshark，Tcpdump等）收集了Webshell流量。

https://cloud.tencent.com/developer/news/300491

基于机器学习的webshell检测