2020年上半年我国境内约3.59万个网站被植入后门,数量较2019年上半年增长36.9%,可见,目前信息科技企业依旧面临着广泛的Webshell攻击。工业界对于Webshell的检测主要依靠安全设备告警,建设一体化安全纵深防御体系。学术上,对Webshell的检测研究主要包括文本内容、文本特征两种形式,主流算法有决策树、SVM、CNN、LSTM等。不论工业应用还是学术研究,检测方式上都是以内容检测和误用检测为核心的。主流Webshell检测形式以内容检测和误用检测为检测核心,忽视了异常检测、行为检测,对于对抗性样本、变种样本或0Day漏洞样本的效果不够理想。本文旨在研究基于异常行为的Webshell行为特征检测。一方面,本文实现了以异常行为作为核心检测点的双层网络全局池化CNN Webshell检测模型,这一过程中的核心是寻找合适的行为特征,并将这些行为特征量化为行为特征矩阵。采用双层网络全局池化模型,通过双层网络解决了行为特征矩阵数据稀疏的问题,使得模型有较好的命中率和准确率。同步使用3种不同的卷积核,使得模型局部感受野能够覆盖不同尺寸的上下文,捕获更多特征集合。同时,通过全局池化模型,减少了全连接层特征数量,解决了不同尺寸卷积核带来的过拟合问题。另一方面,进一步实现了面向CNN检测模型的改进主动学习算法,通过主动学习的策略,缓解了基于异常检测样本标注成本过高,难以适应企业的实际安全运营需求的问题。在CNN检测模型的基础上,寻找合适的选择函数Q和主动学习算法终止策略,实现模型对样本的主动选择,减少噪声样本对模型的影响,降低模型对于标注数据的依赖性。使用改进的最大特征距离算法作为样本选择函数,使用改进的最小估计风险策略,综合考虑样本间的特征距离和模型预测值,利用模型自动对样本进行标注,减少人工标注成本,提升算法的检测速度。本文实验采集了某银行业务忙时随机选定时间窗口内的真实业务流量,实现了以异常行为特征的CNN Webshell检测模型,本实验最优结果精确度达可以达到96%,命中率为96%,误报率为6.00%,AUC为96.70%;且模型在对抗性Webshell攻击中表现较好,命中安全监控设备未告警攻击流量占比41%;攻击者捕获率高达98.3%,能够对安全监控体系进行有效补充。面向CNN Webshell检测模型的改进主动学习算法能够发挥其主动选择的优势,当LU为60%的时候模型学习效果最好,精确度达可以达到96.8%,命中率为97%,误报率为7.74%,AUC为97.30%,可节约人工成本40%,实现了科技降本增效。