哪些方法可以對 webshell 進行檢測

對webshell進行檢測的方法：

• 基于流量的Webshell檢測

  基于流量的Webshell檢測方便部署，我們可通過流量鏡像直接分析原始信息。基于payload的行為分析，我們不僅可對已知的Webshell進行檢測，還可識別出未知的、偽裝性強的Webshell，對Webshell的訪問特征（IP/UA/Cookie）、payload特征、path特征、時間特征等進行關聯分析，以時間為索引，可還原攻擊事件。

• 基于文件的Webshell檢測

  我們通過檢測文件是否加密（混淆處理），創建Webshell樣本hash庫，可對比分析可疑文件。對文件的創建時間、修改時間、文件權限等進行檢測，以確認是否為Webshell。

• 基于日志的Webshell檢測

  對常見的多種日志進行分析，可幫助我們有效識別Webshell的上傳行為等。通過綜合分析，可回溯整個攻擊過程。

回答所涉及的環境：聯想天逸510S、Windows 10。