WebShell概述

WebShell是以PHP等网页文件形式存在的一种命令行执行环境，也可以将其称为一种网页后门。黑客入侵一个网站后，会将PHP后门文件与网站服务器Web目录下的 网页文件混在一起，就可以使用浏览器访问PHP后门，得到一个命令执行环境，达到控制网站服务器的目的。
shell的含义是取得服务器某种程度上的操作权限。WebShell大多以动态脚本的形式出现。黑客可以通过WebShell进一步渗透。
一旦系统被安装WebShell并能执行，说明系统已经沦陷，属于高危安全事件。
基于WebShell的文本特征进行WebShell的检测。
数据：互联网上搜集到的WebShell作为黑样本；当前最新的wordpress源码作为白样本。
使用1-gram或2-gram算法提取特征，使用朴素贝叶斯方法训练分类器。结果表明，使用1-grame算法的效果好。