WebShell是一种常见的Web脚本入侵工具.随着流量加密和代码混淆等技术的逐渐发展,使用传统的文本内容特征和网络流特征进行匹配的检测手段越来越难以防范生产环境下复杂的WebShell恶意攻击事件,特别是对于对抗性样本、变种样本或0Day漏洞样本的检测效果不够理想.搭建网络采集环境,在高速网络环境中利用数据平面开发套件(DPDK,data plane development kit)技术捕获网络数据包,标注了一套由1万余条不同平台、不同语言、不同工具、不同加密混淆方式的WebShell恶意流量与3万余条正常流量组成的数据集;通过异步流量分析系统框架和轻量型日志采集组件快速地解析原始流量,并融合专家知识深度分析几种流...