| 摘要 | 第4-5页 |
| ABSTRACT | 第5页 |
| 1 绪论 | 第9-16页 |
| 1.1 研究背景和意义 | 第9-10页 |
| 1.2 研究现状 | 第10-13页 |
| 1.2.1 Webshell的静态检测研究现状 | 第10-12页 |
| 1.2.2 Webshell的动态检测研究现状 | 第12-13页 |
| 1.2.3 基于日志的Webshell检测 | 第13页 |
| 1.3 论文研究内容 | 第13-14页 |
| 1.4 论文组织结构 | 第14-16页 |
| 2 Webshell相关技术 | 第16-22页 |
| 2.1 Webshell简介 | 第16页 |
| 2.2 Webshell分类 | 第16-19页 |
| 2.3 Webshell对抗 | 第19-20页 |
| 2.4 本章小结 | 第20-22页 |
| 3 Webshell的通信研究 | 第22-31页 |
| 3.1 中国菜刀简介 | 第22-24页 |
| 3.2 一句话Webshell的通信模式 | 第24-26页 |
| 3.3 大马Webshell的通信模式 | 第26-30页 |
| 3.3.1 C99 Shell通信分析 | 第26-27页 |
| 3.3.2 phpspy通信分析 | 第27-28页 |
| 3.3.3 b374k通信分析 | 第28-29页 |
| 3.3.4 Silic通信分析 | 第29-30页 |
| 3.4 本章小结 | 第30-31页 |
| 4 基于流量的Webshell通信识别方案设计 | 第31-37页 |
| 4.1 方案设计 | 第31-33页 |
| 4.2 基于通信规律的Webshell检测 | 第33-35页 |
| 4.2.1 基于参数名的Webshell判断 | 第33-34页 |
| 4.2.2 基于参数值的Webshell判断 | 第34页 |
| 4.2.3 基于参数名和参数值的Webshell判断 | 第34-35页 |
| 4.3 基于机器学习的Webshell通信检测 | 第35-36页 |
| 4.4 本章小结 | 第36-37页 |
| 5 Webshell通信识别实验 | 第37-56页 |
| 5.1 通信数据说明 | 第37页 |
| 5.2 通信数据清洗 | 第37-43页 |
| 5.3 通信数据识别 | 第43-53页 |
| 5.3.1 基于参数值的特征值的Webshell判断 | 第44页 |
| 5.3.2 基于参数名的特征值的Webshell判断 | 第44-45页 |
| 5.3.3 基于参数名和值的特征值的综合Webshell判断 | 第45-49页 |
| 5.3.4 基于机器学习的Webshell识别 | 第49-53页 |
| 5.4 机器学习算法综合Webshell识别 | 第53-54页 |
| 5.5 实验结果分析 | 第54-55页 |
| 5.6 本章小结 | 第55-56页 |
| 6 总结和展望 | 第56-58页 |
| 6.1 总结 | 第56页 |
| 6.2 展望 | 第56-58页 |
| 参考文献 | 第58-61页 |
| 致谢 | 第61-64页 |
