WebShell是一种基于Web站点的网页后门。攻击者在植入后门后可以通过特定管理工具或直接访问大马等方式发起攻击,给网站带来严重危害。现有的机器学习等检测方法在该领域得到广泛应用,但对于不同种类WebShell,其检测效果还有待提升。同时现有的基于流量的检测方法虽在WebShell是否攻击成功方面有所研究,但检测的准确率较低,且在识别到攻击成功的流量后未对其攻击行为进行研究,导致无法彻底解决WebShell。为解决上述问题,本文面向HTTP请求和响应流量,分别构建相应WebShell检测方案,并对攻击成功的WebShell进行行为研究。具体来说:提出WebShell请求流量检测方案。将当下主流的一句话类WebShell流量与大马类分离,研究一句话类WebShell特征并提出基于规则的检测方法,提高检测的准确率。对大马类WebShell,通过切分流量字段,并从统计、结构、内容等多角度提取特征,构建基于机器学习的检测方法。通过特征研究构建XG-Boost模型进行检测并与其他模型对比,实验结果显示该模型在准确率、召回率和F1等评价指标方面均有显著效果。提出WebShell响应流量检测方案。在请求流量基础上,对一句话类研究其响应流量特征,并构建基于规则的检测方法判定是否攻击成功。对大马类WebShell提出一种基于字符匹配与机器学习的综合检测方法:研究并提取每类大马的功能型和输出型字符特征,并对现有机器学习模型从内容维度提出特征优化和改进,通过两种方案的综合检测,有效解决仅依靠模型检测准确率低的问题。提出WebShell攻击行为研究方案。针对攻击成功的WebShell,本文提出一种半自动化攻击行为研究流程,并对流程中的全流量过滤、行为相关重点流量提取的两个核心工作提出相关方案。通过模拟攻击的实验数据,评估各过滤方案的重要性。并对重点流量提取后的数据进行研究,确定其具体攻击行为,从而修补相关漏洞。