主機層檢測 webshell 方法有哪些

主機層檢測webshell方法有以下這些：

• 靜態檢測：靜態檢測通過匹配特征碼，特征值，危險函數函數來查找webshell的方法，只能查找已知的webshell。靜態檢測通過匹配特征碼，特征值，危險函數函數來查找webshell的方法，只能查找已知的webshell，并且誤報率漏報率會比較高，但是如果規則完善，可以減低誤報率，但是漏報率必定會有所提高。優點是快速方便，對已知的webshell查找準確率高，部署方便，一個腳本就能搞定。缺點漏報率、誤報率高，無法查找0day型webshell，而且容易被繞過。

• 動態檢測：webshell傳到服務器了，在執行函數時這些對于系統調用、系統配置、數據庫、文件的操作動作都是可以作為判斷依據。webshell傳到服務器了，黑客總要去執行它吧，webshell執行時刻表現出來的特征，我們稱為動態特征。先前我們說到過webshell通信是HTTP協議。只要我們把webshell特有的HTTP請求/響應做成特征庫，加到IDS里面去檢測所有的HTTP請求就好了。webshell起來如果執行系統命令的話，會有進程。Linux下就是nobody用戶起了bash，Win下就是IIS User啟動cmd，這些都是動態特征

• 日志檢測：使用webshell一般不會在系統日志中留下記錄，但是會在網站的web日志中留下webshell頁面的訪問數據和數據提交記錄。使用Webshell一般不會在系統日志中留下記錄，但是會在網站的web日志中留下Webshell頁面的訪問數據和數據提交記錄。日志分析檢測技術通過大量的日志文件建立請求模型從而檢測出異常文件，稱之為HTTP異常請求模型檢測

• 語法檢測：語法語義分析形式，是根據php語言掃描編譯的實現方式，進行剝離代碼、注釋，分析變量、函數、字符串、語言結構的分析方式，來實現關鍵危險函數的捕捉方式這樣可以完美解決漏報的情況但誤報上仍然存在問題。

• 變形、竊密型webshell檢測：變形webshell可以由上面所說的統計學NeoPI工具檢測，也可以動態檢測。比如，一個正常的程序員如果使用eval、system是不會刻意的轉換隱藏的，如果發現某個函數執行了，代碼中卻找不到這個函數名，我們認為這是一個異常行為。

• 統計學檢測：webshell由于往往經過了編碼和加密，會表現出一些特別的統計特征，根據這些特征統計學習。

回答所涉及的環境：聯想天逸510S、Windows 10。