webshell是Web攻击中常见的一种木马形式,目前主流的检测方法都是基于HTTP请求和响应流量的内容特征,然而在HTTPS协议下,很多webshell 检测机制是无能为力的。冰蝎这类加密型webshell的出现更是增加了检测难度,尤其是冰蝎3.0版本采用预共享密钥机制,即使在HTTP场景中的检测也是有一定难度的。本文通过提取网络流量中的若干特征,主要针对访问同一HTTPS网站的正常加密流量和webshell加密流量的分类进行了探索,实现了在HTTPS加密流量中webshell通信流量的识别,无论对于冰蝎2.0还是3.0升级版,都能够达到很好的识别效果。