随着5G技术的成熟,并逐渐商用的背景下,越来越多的web应用得到普及,随之而来的则是web端的安全问题变得日益突出。为了方便对于网站的深度入侵,大多数黑客会选择在进入web系统时,通过一切手段来获取Webshell从而实现对于网站的控制权。比较常见的获取Webshell的方式有:在网站前端直接上传Webshell文件、恶意代码注入、在传输远程文件时夹带恶意文件,有些入侵者会使用XSS来进行Webshell上传,还有就是针对一些防护意识较弱的网站,一些十分传统的攻击方式比如数据库备份等都会被用来进行Webshell攻击。Webshell是一种基于Web服务的后门程序。在Webshell检测领域中已经使用了一些机器学习和深度学习方法,但是在发现新的攻击和性能方面需要进一步探索当前的方法。为了有效解决Webshell在混淆加密后特征较难提取和检测效率低下的问题,本文研究了基于贝叶斯网络的Webshell检测模型。主要研究内容和贡献主要包含以下三点:(1)基于数据自动构建贝叶斯网络结构和CPT(条件概率表),而不是采用专家知识(先验概率),使得贝叶斯网络构建更能贴合数据本身,可以更深层次的挖掘特征之间的关联找到更高效的网络结构。(2)本文以Neo Pi、文件操作属性为基础提出两种对Webshell特征提取方法。分析Webshell文件文档属性和操作属性,构建特征矩阵,提升了贝叶斯网络对于Webshell检测性能。通过与传统机器学习和检测方法相比,有效的解决了其特征意义不明确、不能对混淆和加密的Webshell进行有效识别等问题。(3)提出了基于贝叶斯网络的检测方法。针对一些机器算法必须在大量样本的前提下才能训练得到较好的分类模型,本文使用的贝叶斯网络算法可在数量较小的样本下得到效果较好的模型,有效识别恶意Webshell文件。在相同条件下,本文研究的模型相比于一些经典的机器学习算法模型在一些评价指标上得到了相对较好的效果。