Một webshell là một tệp chứa mã độc được tải lên trên hệ thống nhằm hỗ trợ các hacker chiếm quyền quản lý các hệ thống, cho phép điều khiển từ xa các máy tính bị lây nhiễm. Các hacker sẽ tìm hiểu các lỗ hổng bảo mật bằng các công cụ thăm dò để đưa webshell có thể thực thi được vào bên trong hệ thống.
Để phát hiện tấn công bằng webshell, ta sẽ kiểm soát mọi tệp đầu vào được tải lên hệ thống, Điều này có thể sử dụng các công cụ quét mã độc hoặc kiểm tra các tệp có tên không tuân theo các quy định đặt tên nào trong hệ thống, định dạng kì lạ tại nơi tệp được tải lên và một số hành vi khác. Do hacker không thể nắm hết cấu trúc, quy định bên trong hệ thống, và việc lợi dụng các lỗ hổng bảo mật cũng chỉ giúp cho hacker truy cập vào các không gian nhất định, nên những đặc trưng này sẽ chỉ ra điểm bất thường khi có ai đó muốn xâm nhập hệ thống.
Trong trường hợp này, việc quét nội dung là khía cạnh kiến thức chuyên sâu về an ninh mạng nên tôi sẽ không xét đến, tôi sẽ xét theo các đặc trưng về tên của tệp. Tên của tệp sẽ theo các quy tắc đặt tên như tùy theo ngôn ngữ lập trình hay tuân theo lịch sử của thư mục đó. Qua đó, ta có những đặc trưng như sau: độ dài của tệp, định dạng của tệp. Với những đặc trưng này ta có thể xét các yếu tố như: khoảng độ dài thường thấy ở thư mục này, lịch sử các định dạng ở thư mục chứa,
41 tên đặt có ngữ nghĩa, tên tuân theo quy ước đặt tên chung của đội ngũ phát triển nội bộ,..
Với những đặc trưng đã nêu, các kĩ thuật có thể áp dụng đó là tạo profile cho định dạng của tệp theo từng thư mục, tạo profile theo độ dài của tệp theo từng thư mục, xác định tên của tệp có ngữ nghĩa bằng các model học máy. Khi tất cả các đặc trưng này đều bình thường thì tệp được tải lên ở thư mục đó sẽ được coi là bình thường.