首次回归，居然发这个！！！

沉寂的时间长了

思考

已经有好长时间没有发文章了，也不是懒，总想做一些安全方面的积累，再进行输出，这样的产出可能更有价值。

最近一直在做PHP WebShell的检测，尝试了很多种办法，基于现有数据，大致是如下四种：

1. 基于静态特征检测
2. 基于行为分析检测
3. 基于统计学的检测
4. 基于语义 的检测

每一种方法都有它的优点和缺陷，尝试多种方法其实就是在维持误报和漏报的平衡。

基于行为分析的检测，使用动态监控函数的方式，是大幅度乃至消除漏报的。虽然动态监控函数非常有效，但是会偏向于函数和参数细节，无法整体分析，漏报少了，相应的误报可能就会很多，不过这是根本解决WebShell的途径。

基于静态特征，统计学和语义的检测，其实都是在静态分析PHP文件，可以整体来分析WebShell。虽然有局限，但是必不可少。

当然还有基于日志，基于流量的分析方式，因为没做过，所以不谈了。

等我将漏报和误报做的不错了，

我会搭个网站，提供一个上传接口，欢迎大家来挑战。

同时将我的总结分享出去。