Web系统的广泛使用使得其安全性越来越被重视。攻击者对Web系统攻击成功后,通常会上传Webshell达到长久控制服务器的目的。因此,如何高效的检测Webshell成为Web安全领域热门的课题。本文从实验入手,选取十个使用率高的开源项目,并爬取了 1233个Webshell随机放置在这些项目中,然后分别利用动态和静态检测算法对Webshell进行检测。最终,得出当前检测算法的两个不足:泛化防御问题,无法对不同的Web系统进行针对性的防御,导致算法不同项目之间成功率差别很大;单层次防御问题,只在单一层面做防御,很容易被Webshell逃逸,导致检测率降低。针对这两个问题,本文提出基于Web知识库的多层次检测理论。从建立Web知识库入手,首先选取功能测试阶段产生的测试数据作为原始数据,然后,建立针对请求与响应的请求响应树,最后,在文件树的基础上扩展请求响应树形成描述该Web系统的知识库。围绕Web知识库,文章又从前期加固,中期防御和后期审计三个层次,建立对应的不同防御方法。实现了多层次防御系统。最后,利用对开源漏洞平台DVWA的防御,进行了本系统与其它检测算法的准确性对比,在准确性上能够提高15%左右,在误报率上能够降低5%左右。