1.一種WebShell的檢測方法，其特征在于，包括以下步驟:

A，收集服務器訪問日志，分析出可疑訪問行為的URL；

B，將分析出可疑訪問行為的URL結合WebShell特征庫進行本地檢測；

C，將分析出可疑訪問行為的URL結合WebShell特征庫進行遠程檢測；

D，根據(jù)檢測判斷如發(fā)現(xiàn)WebShell，則執(zhí)行步驟E；

E，上報WebShell路徑，同時將識別為WebShell的路徑補充到WebShell路徑庫；

其中，步驟B所述的本地檢測，包括配置目標服務器信息并遠程登錄到目標服務器進行源碼級WebShell檢查；

步驟C所述的遠程檢測，包括遠程檢測配置和網頁爬蟲及遠程檢測網頁代碼。

2.如權利要求1所述的方法，其特征在于，所述的源碼級WebShell檢查是結合來源于WebShell特征庫的本地檢測指紋庫通過指紋比對的方式對Web服務器根目錄文件及可疑訪問行為的URL文件中獲得的各種語言的源代碼進行WebShell檢查。

3.如權利要求1所述的方法，其特征在于，所述的網頁爬蟲是依據(jù)來源于WebShell特征庫的WebShell路徑庫及可疑訪問行為的URL為遠程檢測路徑并獲取該遠程檢測路徑中的應答數(shù)據(jù)。

4.如權利要求1所述的方法，其特征在于，所述的遠程檢測網頁代碼是結合來源于WebShell特征庫的遠程檢測指紋庫通過指紋比對的方式對遠程檢測路徑中獲得的應答數(shù)據(jù)進行WebShell檢測。

5.如權利要求1所述的方法，其特征在于，步驟A所述的可疑訪問行為的URL為按URL訪問的頻度及參數(shù)來分析的URL，所有出現(xiàn)過的URL，給定一個可疑級別為低；訪問頻度最少的URL，給定一個可疑級別為中；出現(xiàn)惡意內容的URL，給定一個可疑級別為高。

6.一種WebShell檢測系統(tǒng)，其特征在于，該系統(tǒng)包括：

日志審計模塊：用于收集服務器訪問日志，分析出可疑訪問行為的URL；

本地檢測模塊：用于將分析出可疑訪問行為的URL結合WebShell特征庫進行；

遠程檢測模塊：用于將分析出可疑訪問行為的URL結合WebShell特征庫進行；

結果輸出模塊：用于根據(jù)檢測判斷如發(fā)現(xiàn)WebShell，則上報WebShell路徑，同時將識別為WebShell的路徑補充到WebShell路徑庫；

其中，所述的本地檢測模塊，具體用于配置目標服務器信息并遠程登錄到目標服務器進行源碼級WebShell檢查；

所述的遠程檢測模塊，具體用于遠程檢測配置和網頁爬蟲及遠程檢測網頁代碼。

7.如權利要求6所述的系統(tǒng)，其特征在于，所述的源碼級WebShell檢查是結合來源于WebShell特征庫的本地檢測指紋庫通過指紋比對的方式對Web服務器根目錄文件及可疑訪問行為的URL文件中獲得的各種語言的源代碼進行WebShell檢查。

8.如權利要求6所述的系統(tǒng)，其特征在于，所述的網頁爬蟲是依據(jù)來源于WebShell特征庫的WebShell路徑庫及可疑訪問行為的URL為遠程檢測路徑并獲取該遠程檢測路徑中的應答數(shù)據(jù)。

9.如權利要求6所述的系統(tǒng)，其特征在于，所述的遠程檢測網頁代碼是結合來源于WebShell特征庫的遠程檢測指紋庫通過指紋比對的方式對遠程檢測路徑中獲得的應答數(shù)據(jù)進行WebShell檢測。

10.如權利要求6所述的系統(tǒng)，其特征在于，所述的可疑訪問行為的URL為按URL訪問的頻度及參數(shù)來分析的URL，所有出現(xiàn)過的URL，給定一個可疑級別為低；訪問頻度最少的URL，給定一個可疑級別為中；出現(xiàn)惡意內容的URL，給定一個可疑級別為高。