1.一種WebShell檢測方法，其特征在于：所述方法包括以下步驟：

步驟1：用戶訪問Web服務器，產生Web日志，通過ftp將Web日志傳送到hadoop集群檢測服務器，hadoop集群檢測服務器中的NameNode結點協調DataNode對Web日志進行分析處理；

步驟2：根據處理結果，將Web日志中的IP字段作為訪問用戶的唯一標識符計算入侵訪問頻次和最大訪問連續度，取入侵訪問頻次的值最大的N個訪問URL，取最大訪問連續度的值最大的N個URL；

步驟3：以入侵訪問頻次的值最大的N個訪問URL和最大訪問連續度的值最大的N個URL作為疑似WebShell的URL；

步驟4：以疑似WebShell的URL在Web日志中定位，獲得疑似攻擊IP，以文件形式傳到安保服務器，安保服務器根據疑似WebShell和訪問IP對應的攻擊時間，進行復查，對攻擊行為進行取證；

步驟5：輸出結果文件。