目前Web应用层攻击层出不穷,尤其以WebShell为代表的网络安全威胁最为致命。攻击者借助HTTP请求上传和执行WebShell,以此控制被入侵的站点。而现有的WebShell扫描检测方案存在着漏检率高、无法主动防御、容易被绕过等各种缺陷。因此对WebShell的检测与防御技术需要进一步的深入研究。设计一款高性能的WebShell扫描检测系统有利于预防Web应用的恶意攻击,减少Web安全事件的发生。为了解决针对Web应用层的攻击,有效分类识别恶意请求,深入研究有监督的学习方法,针对请求文本内容不足、特征稀疏的缺陷,提出了一种基于非重复多N-Gram的TF-IDF分词策略和随机森林方法构建的恶意请求分类模型。为了有效识别站点WebShell后门,设计了一款拥有指纹识别、特征匹配、贝叶斯分类模型的三层扫描识别系统。通过对从Secrepo安全数据样本库等来源采集到的大量样本数据进行特征提取后对模型进行训练,并在测试集上验证模型和系统的可靠性。实验结果表明:短文本、低语义的请求内容通过字母形式在多N-Gram的分词下构造的随机森林分类模型,最终在测试集上的准确率、召回率和F1值达到了98%以上。三层WebShell扫描系统对采集的WebShell样本的识别率达到了90%以上。对照同类产品,具有较好的WebShell检出率和稳定性。