Webshell es un tipo de puerta trasera de sitio web basada en lenguaje web, que suele ser utilizada por atacantes para controlar servidores web. Debido a su naturaleza peligrosa, cómo detectar Webshell de manera efectiva se ha convertido en un tema de investigación candente en la investigación actual de seguridad web. Con el rápido desarrollo de la tecnología de evasión de Webshell, los métodos de detección de Webshell existentes tienen el problema de una capacidad insuficiente para detectar Webshells desconocidos. Para resolver los problemas anteriores y lograr una detección efectiva de Webshell, este estudio propone un método de detección de Webshell basado en el árbol de sintaxis abstracta (AST) y el modelo de bosque profundo (DF) llamado AST-DF. AST-DF extrae primero el árbol de sintaxis abstracta del código PHP; luego, la secuencia del árbol de sintaxis abstracta se extrae y vectoriza utilizando N-gram y TF-IDF. Finalmente, los vectores se importan al modelo de bosque profundo para su clasificación y determinar si el código PHP a detectar es un Webshell o no. Los resultados experimentales muestran que AST-DF logra efectos notables en la tarea de detectar Webshells de tipo PHP, con una tasa de precisión del 99.61%, y los valores de precisión, recall y puntuación F1 son superiores al 99%.