CN106911635B - 一种检测网站是否存在后门程序的方法及装置 - Google Patents
一种检测网站是否存在后门程序的方法及装置 Download PDFInfo
- Publication number
- CN106911635B CN106911635B CN201510976042.3A CN201510976042A CN106911635B CN 106911635 B CN106911635 B CN 106911635B CN 201510976042 A CN201510976042 A CN 201510976042A CN 106911635 B CN106911635 B CN 106911635B
- Authority
- CN
- China
- Prior art keywords
- backdoor
- website
- uniform resource
- fingerprint
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种检测网站是否存在后门程序的方法及装置。所述方法包括:提取预先确定的所述后门文件中包含的后门指纹,得到包含所述后门指纹的后门指纹库;基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL;通过所述可疑统一资源定位符URL请求网页,获得与返回的网页内容对应的网页代码;判断所述网页代码中是否包含所述后门指纹库包含的后门指纹;若是,判定所述待检测网站存在后门。本申请实施例可以实现对网站的后门程序的自动检测,进而提高网站的安全等级。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种检测网站是否存在后门程序的方法及装置。
背景技术
随着互联网技术的发展,信息资源出现了爆炸式增长,随之而来的则是信息资源的安全问题。位于互联网环境下的信息资源可能面临各方面的威胁。通常情况下,从起源上看,这种威胁可能来自于恶意程序或代码有目的性的主动攻击,比如,黑客、病毒等;也有可能来自信息资源自身所依赖的载体(比如,应用软件、客户端程序、网页/网站等)存在“先天性”的安全漏洞,而这种漏洞具有极大的可能被不正当分子非法利用,进而对信息资源造成威胁。“后门程序”带来的威胁即是后一种情形下的一种较为常见的现象。
比如,在软件的开发阶段,为了方便对软件进行修改、调试、升级等操作,程序员可能会在软件内创建或预留适当的接口,以便通过它修改程序设计中的某些缺陷或完善某些功能。但是,这些接口程序如果被其他人知道,或是在发布软件之前未被及时删除,那么它就可能被黑客等恶意者通过这些接口绕过安全性控制而获取对相关程序或系统的访问权,从事搜集信息等非法操作。这种在可能被信息资源的安全带来威胁的接口一般称为后门程序,后门程序一旦被利用可能造成严重后果。因此,有必要在信息资源存在的载体中通过适当的方法对是否存在后门程序进行检测,然后对其进行删除等操作,从而降低安全风险。
在现有技术中的某些场景中,后门程序可以被较好的发现,得到及时处理。比如,对于潜伏在客户端程序中的后门程序(通常存在于后门文件中),可通过现有的杀毒软件进行检测,在检测出来后及时进行查杀处理。但是,对于潜伏在网站中的后门程序,目前还没有一种有效的后门程序检测方式,以提高网站的安全等级。
发明内容
本申请实施例提供一种克服上述问题或者至少部分地解决上述问题的检测网站是否存在后门的方法及装置。
本申请实施例采用下述技术方案:
一种检测网站是否存在后门程序的方法,包括:
提取预先确定的所述后门文件中包含的后门指纹,得到包含所述后门指纹的后门指纹库,所述后门指纹用于指示目标代码是否为后门程序;
基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL;
通过所述可疑统一资源定位符URL请求网页,获得与返回的网页内容对应的网页代码;
判断所述网页代码中是否包含所述后门指纹库包含的后门指纹;
若是,判定所述待检测网站存在后门。
优选地,提取预先确定的后门文件中包含的后门指纹,得到包含所述后门指纹的后门指纹库,具体包括:
提取预先确定的后门文件中包含的按照预设代码行数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库;或,
提取预先确定的后门文件中包含的按照预设字节数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库。
优选地,判断所述网页代码中是否包含所述后门指纹库包含的后门指纹,具体包括:
判断所述网页代码中是否至少包含两个在所述后门指纹库中包含的后门指纹;
若所述网页代码中包含所述后门指纹库包含的后门指纹,判定所述待检测网站存在后门,具体包括:
若所述网页代码中至少包含两个在所述后门指纹库中包含的后门指纹,判定所述待检测网站存在后门。
优选地,基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL之前,所述方法还包括:
提取与所述后门文件对应的统一资源定位符URL中包含的后门URL特征,得到包含所述后门URL特征的后门URL特征库;
基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL,具体包括:
判断待检测网站的访问日志中的统一资源定位符URL是否包含所述后门URL特征库中的所述后门URL特征;
若是,确定该统一资源定位符URL为可疑统一资源定位符URL。
优选地,基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL,具体包括:
基于待检测网站的访问日志数据,获取待检测网站在第一统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第一集合;
基于待检测网站的访问日志数据,获取待检测网站在所述第一统计时长之后的第二统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第二集合;
将所述第二集合中包含的且所述第一集合中未包含的统一资源定位符URL确定为可疑统一资源定位符URL。
一种检测网站是否存在后门程序的装置,包括:
后门指纹提取单元,用于提取预先确定的所述后门文件中包含的后门指纹,得到包含所述后门指纹的后门指纹库,所述后门指纹用于指示目标代码是否为后门程序;
可疑URL确定单元,用于基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL;
网页请求单元,用于通过所述可疑统一资源定位符URL请求网页,获得与返回的网页内容对应的网页代码;
判断单元,用于判断所述网页代码中是否包含所述后门指纹库包含的后门指纹;若是,判定所述待检测网站存在后门。
优选地,所述后门指纹提取单元具体用于:
提取预先确定的所述后门文件中包含的按照预设代码行数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库;或,
提取预先确定的所述后门文件中包含的按照预设字节数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库。
优选地,所述判断单元具体用于:
判断所述网页代码中是否至少包含两个在所述后门指纹库中包含的后门指纹;若所述网页代码中至少包含两个在所述后门指纹库中包含的后门指纹,判定所述待检测网站存在后门。
优选地,所述装置还包括:
后门URL特征提取单元,用于提取与所述后门文件对应的统一资源定位符URL中包含的后门URL特征,得到包含所述后门URL特征的后门URL特征库;
所述可疑URL确定单元具体用于:
判断待检测网站的访问日志中的统一资源定位符URL是否包含所述后门URL特征库中的所述后门URL特征;若是,确定该统一资源定位符URL为可疑统一资源定位符URL。
优选地,所述可疑URL确定单元具体包括:
第一获取单元,用于基于待检测网站的访问日志数据,获取待检测网站在第一统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第一集合;
第二获取单元,用于基于待检测网站的访问日志数据,获取待检测网站在所述第一统计时长之后的第二统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第二集合;
可疑确定单元,用于将所述第二集合中包含的且所述第一集合中未包含的统一资源定位符URL确定为可疑统一资源定位符URL。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
通过提取预先确定的后门文件中包含的后门指纹,来建立包含上述后门指纹的后门指纹库,然后基于待检测网站的访问日志数据,确定上述访问日志数据中包含的可疑统一资源定位符URL。在确定到可疑统一资源定位符URL后,利用该可疑统一资源定位符URL请求网页,以得到与返回的网页内容对应的网页代码,最终通过判断上述网页代码中是否包含上述后门指纹库中包含的后门指纹,来确定该待检测网站是否存在后门。基于上述过程,本申请实施例可以利用预先从后门文件中提取到的后门指纹,对上述待检测网站中的可疑URL对应的网页代码进行匹配检测,若匹配结果是上述网页代码中包含上述后门指纹,则判定该网站存在后门,从而可以实现对网站的后门程序的自动检测,进而提高网站的安全等级。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请一实施例提供的检测网站是否存在后门的方法的流程图;
图2为本申请一实施例提供的检测网站是否存在后门的装置的模块图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请一实施例提供的检测网站是否存在后门的方法的流程,包括如下步骤:
S101:提取预先确定的所述后门文件中包含的后门指纹,得到包含所述后门指纹的后门指纹库。
本申请实施例中,可以利用已经确定属于网站后门的若干后门文件(样本)进行特征提取,以提取这些后门文件中普遍包含的特征代码字段,最终将提取得到的特征代码字段确定为后门文件的后门指纹。也就是说,上述后门指纹是众多后门文件样本所携带的身份信息,可以用于指示目标代码是否为后门程序。在确定上述后门指纹的过程中,提取得到的后门指纹必须精准,宁可漏报也不能误报,可以在确定到某个后门指纹后,通过进一步的验证来确定该后门指纹是否正确。通过提取得到的若干后门指纹,可以建立包含上述后门指纹的后门指纹库,以作为判定后门程序的基准。
本申请实施例中,为提升判定后门程序的准确性,可以提取至少两个不连续的后门指纹,上述步骤S101可以具体包括:
提取预先确定的所述后门文件中包含的按照预设代码行数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库。
举例而言,某个后门文件样本的代码如下:
pUdphdr->SrcPort=htons(SRCPORT);
pUdphdr->DestPort=htons(DESTPORT);
pUdphdr->Checksum=0;
char*pData=&buf[sizeof(IP_HEADER)+sizeof(UDP_HEADER)];
memcpy(pData,szMsg,nMsgLen);
UdpCheckSum(pIphdr,pUdphdr,pData,nMsgLen);
SOCKADDR_IN addr={0};//
假设预设代码行数是3,则可以获取以3行代码进行偏移的后门指纹例如是:pUdphdr->Checksum=0和UdpCheckSum(pIphdr,pUdphdr,pData,nMsgLen)。当然,上述进行偏移的预设代码行数和提取的不连续的后门指纹的数目均并不作限制。通过获取多段不连续的后门指纹后,可以使得最终获取的后门指纹库内的后门指纹更加准确,识别后门程序的精确度更高。
在替代的实施例中,为提升判定后门程序的准确性,上述步骤S101可以具体包括:
提取预先确定的所述后门文件中包含的按照预设字节数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库。
举例而言,预设字节数可以例如是20个字节,则可以以该20个字节进行偏移,则从后门文件的代码中提取到第一个后门指纹后,然后至少偏移20个字节,得到第二个后门指纹。通过这样,可以使得最终获取的后门指纹库内的后门指纹更加准确,识别后门程序的精确度更高。
S102:基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL。
本申请一实施例中,上述步骤S102之前,所述方法还包括:
提取与所述后门文件对应的统一资源定位符URL中包含的后门URL特征,得到包含所述后门URL特征的后门URL特征库。
如上所述,在采用预先确定的若干后门文件样本进行特征提取的过程中,对于每个后门文件样本,每个后门文件均对应一个统一资源定位符(Uniform Resource Locator,URL),从而在形式后门文件样本库的同时,也可以形成一个与之对应的由若干后门URL组成的后门URL样本库。在具体的实施例中,可以提取上述后门URL中包含的URL参数构成样本库,并进行特征提取。举例来说,预先确定的某个后门文件对应的后门URL是:http://www.xxx.com/cgi-bin/phf?Qname=root%,通过特征提取,可以确定其中包含的后门URL特征是:cgi-bin/,则可以将该后门URL特征放入到后门URL特征库中。最终,可以得到包含多个由后门样本携带的后门URL特征的后门URL特征库,并可以利用该后门URL特征库进行特征匹配,以检测到某个URL是否属于可疑的后门URL。
相应地,通过建立上述后门URL特征库后,上述步骤S102可以具体包括如下步骤:
判断待检测网站的访问日志中的统一资源定位符URL是否包含所述后门URL特征库中的所述后门URL特征。若是,确定该统一资源定位符URL为可疑统一资源定位符URL。
上述待检测网站可以是任意可以被用户通过浏览器进行访问的网站。计算机可以通过查看待检测网站的日志数据来获取该待检测网站被访问过的统一资源定位符(Uniform Resource Locator,URL)。上述日志数据可以包括:host、时间、IP地址、统一资源定位符URL、网页参数等信息,并且可以将上述日志数据按照时间进行标记,这样便可以获取在一定的统计时长内的日志数据。通过进行URL特征匹配,可以识别出上述待检测网站的日志数据中的可疑URL。
S103:通过所述可疑统一资源定位符URL请求网页,获得与返回的网页内容对应的网页代码。
具体地,可通过网络爬虫或者其他的应用程序获取与所述可疑统一资源定位符URL对应的网页文件的网页代码(源代码)。
S104:判断所述网页代码中是否包含所述后门指纹库包含的后门指纹,若所述网页代码中包含所述后门指纹库包含的后门指纹,则判定所述待检测网站存在后门。
本申请实施例中,上述步骤S104具体包括如下步骤:
判断所述网页代码中是否至少包含两个在所述后门指纹库中包含的后门指纹;若所述网页代码中至少包含两个在所述后门指纹库中包含的后门指纹,判定所述待检测网站存在后门。
举例而言,假设待检测网站的某可疑URL是:http://www.xxx.com/cgi-bin/phf?Qname=root%,通过动态请求网页,得到网页代码中某个代码片段例如是:
pUdphdr->SrcPort=htons(SRCPORT);
pUdphdr->DestPort=htons(DESTPORT);
pUdphdr->Checksum=0;
char*pData=&buf[sizeof(IP_HEADER)+sizeof(UDP_HEADER)];
memcpy(pData,szMsg,nMsgLen);
UdpCheckSum(pIphdr,pUdphdr,pData,nMsgLen);
SOCKADDR_IN addr={0};//
假设检查上述代码发现包含三段后门指纹分别是:
pUdphdr->DestPort=htons(DESTPORT);
char*pData=&buf[sizeof(IP_HEADER)+sizeof(UDP_HEADER)];
UdpCheckSum(pIphdr,pUdphdr,pData,nMsgLen);
则可以判定上述待检测网站存在后门程序。
基于上述方法实施例,通过提取预先确定的后门文件中包含的后门指纹,来建立包含上述后门指纹的后门指纹库,然后基于待检测网站的访问日志数据,确定上述访问日志数据中包含的可疑统一资源定位符URL。在确定到可疑统一资源定位符URL后,利用该可疑统一资源定位符URL请求网页,以得到与返回的网页内容对应的网页代码,最终通过判断上述网页代码中是否包含上述后门指纹库中包含的后门指纹,来确定该待检测网站是否存在后门。基于上述过程,本申请实施例可以利用预先从后门文件中提取到的后门指纹,对上述待检测网站中的可疑URL对应的网页代码进行匹配检测,若匹配结果是上述网页代码中包含上述后门指纹,则判定该网站存在后门,从而可以实现对网站的后门程序的自动检测,进而提高网站的安全等级。
值得述及的是,上述确定可疑URL的方式并不限于上述实施例,例如,在本申请替代的实施例中,上述步骤S102可以具体包括:
S1021:基于待检测网站的访问日志数据,获取待检测网站在第一统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第一集合。
S1022:基于待检测网站的访问日志数据,获取待检测网站在所述第一统计时长之后的第二统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第二集合。
S1023:将所述第二集合中包含的且所述第一集合中未包含的统一资源定位符URL确定为可疑统一资源定位符URL。
其中,可以根据统计周期(上述第一统计时长或第二统计时长)去定时获取上述待检测网站的在相应的统计周期内的日志数据,从而发现该待检测网站可能属于后门文件的统一资源定位符URL。也就是说,上述第一统计时长和上述第二统计时长是相等的。举例而言,上述第一统计时长和第二统计时长是一天,这样,上述步骤S101便是获取待检测网站在前一天的时间内被访问的URL,而上述步骤S102便是获取待检测网站在后一天的时间内被访问的URL。当然,在本申请其他实施例中,上述第一、第二统计时长也可以是不相等的,上述第一、第二统计时长也可以是其他任意时长。
本申请实施例中,上述第一集合Q1是上述待检测网站在第一统计时长内被访问的URL的集合,上述第二集合Q2是上述待检测网站在第二统计时长内被访问的URL的集合。一般地,上述待检测网站上的各个网页页面可以是目录结构。例如:某待检测网站的主页的URL是:www.sina.com.cn;以该主页的URL为目录的第一级,则假设在该第一级URL下的第二级URL可以包括:www.sports.sina.com.cn;www.book.sina.com.cn;www.game.sina.com.cn;等等;假设在上述第二级URL“www.sports.sina.com.cn”下的第三级URL可以包括:www.sports.sina.com.cn/g/laliga/;假设在上述第三级URL“www.sports.sina.com.cn/g/laliga/”下的第四级URL可以包括:www.sports.sina.com.cn/g/laliga/2015-12-16/doc-ifxmpnuk1614789.shtml;依次类推,总之,在待检测网站上的URL可以是类如上述描述的目录结构。本实施例中,以上述统计时长为一天为例,待检测网站上每个URL在每天被访问的流量(或次数)是基本持平的,若发现在某天中上述待检测网站上某个URL被访问的流量(或次数)发现变化,则可以确定该URL是可疑URL。
图2为本申请一实施例提供的检测网站是否存在后门的装置的模块图。其中,该装置中包含的各个单元所实现的功能与上述方法中包含的各个步骤所实现的功能是相同的,故该装置涉及的具体技术细节可以参照上述方法实施例中的内容,本文不再予以赘述。该装置包括:
后门指纹提取单元101,用于提取预先确定的所述后门文件中包含的后门指纹,得到包含所述后门指纹的后门指纹库,所述后门指纹用于指示目标代码是否为后门程序;
可疑URL确定单元102,用于基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL;
网页请求单元103,用于通过所述可疑统一资源定位符URL请求网页,获得与返回的网页内容对应的网页代码;
判断单元104,用于判断所述网页代码中是否包含所述后门指纹库包含的后门指纹;若是,判定所述待检测网站存在后门。
基于上述装置实施例,通过提取预先确定的后门文件中包含的后门指纹,来建立包含上述后门指纹的后门指纹库,然后基于待检测网站的访问日志数据,确定上述访问日志数据中包含的可疑统一资源定位符URL。在确定到可疑统一资源定位符URL后,利用该可疑统一资源定位符URL请求网页,以得到与返回的网页内容对应的网页代码,最终通过判断上述网页代码中是否包含上述后门指纹库中包含的后门指纹,来确定该待检测网站是否存在后门。基于上述过程,本申请实施例可以利用预先从后门文件中提取到的后门指纹,对上述待检测网站中的可疑URL对应的网页代码进行匹配检测,若匹配结果是上述网页代码中包含上述后门指纹,则判定该网站存在后门,从而可以实现对网站的后门程序的自动检测,进而提高网站的安全等级。
本申请实施例中,所述后门指纹提取单元101具体用于:
提取预先确定的所述后门文件中包含的按照预设代码行数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库;或,
提取预先确定的所述后门文件中包含的按照预设字节数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库。
本申请实施例中,所述判断单元104具体用于:
判断所述网页代码中是否至少包含两个在所述后门指纹库中包含的后门指纹;若所述网页代码中至少包含两个在所述后门指纹库中包含的后门指纹,判定所述待检测网站存在后门。
本申请实施例中,所述装置还包括:
后门URL特征提取单元,用于提取与所述后门文件对应的统一资源定位符URL中包含的后门URL特征,得到包含所述后门URL特征的后门URL特征库。本申请实施例通过建立后门URL特征库,可以提高识别可疑URL访问请求的准确性。
相应地,所述可疑URL确定单元102具体用于:
判断待检测网站的访问日志中的统一资源定位符URL是否包含所述后门URL特征库中的所述后门URL特征;若是,确定该统一资源定位符URL为可疑统一资源定位符URL。
本申请另一实施例中,所述可疑URL确定单元102具体包括:
第一获取单元,用于基于待检测网站的访问日志数据,获取待检测网站在第一统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第一集合;
第二获取单元,用于基于待检测网站的访问日志数据,获取待检测网站在所述第一统计时长之后的第二统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第二集合;
可疑确定单元,用于将所述第二集合中包含的且所述第一集合中未包含的统一资源定位符URL确定为可疑统一资源定位符URL。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (8)
1.一种检测网站是否存在后门程序的方法,其特征在于,包括:
提取预先确定的后门文件中包含的后门指纹,得到包含所述后门指纹的后门指纹库,所述后门指纹用于指示目标代码是否为后门程序;
基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL;其中,提取与所述后门文件对应的统一资源定位符URL中包含的后门URL特征,得到包含所述后门URL特征的后门URL特征库;判断待检测网站的访问日志中的统一资源定位符URL是否包含所述后门URL特征库中的所述后门URL特征;若是,确定该统一资源定位符URL为可疑统一资源定位符URL;
通过所述可疑统一资源定位符URL请求网页,获得与返回的网页内容对应的网页代码;
判断所述网页代码中是否包含所述后门指纹库包含的后门指纹;
若是,判定所述待检测网站存在后门程序。
2.如权利要求1所述的方法,其特征在于,提取预先确定的所述后门文件中包含的后门指纹,得到包含所述后门指纹的后门指纹库,具体包括:
提取预先确定的后门文件中包含的按照预设代码行数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库;或,
提取预先确定的后门文件中包含的按照预设字节数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库。
3.如权利要求1所述的方法,其特征在于,判断所述网页代码中是否包含所述后门指纹库包含的后门指纹,具体包括:
判断所述网页代码中是否至少包含两个在所述后门指纹库中包含的后门指纹;
若所述网页代码中包含所述后门指纹库包含的后门指纹,判定所述待检测网站存在后门,具体包括:
若所述网页代码中至少包含两个在所述后门指纹库中包含的后门指纹,判定所述待检测网站存在后门。
4.如权利要求1所述的方法,其特征在于,基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL,具体包括:
基于待检测网站的访问日志数据,获取待检测网站在第一统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第一集合;
基于待检测网站的访问日志数据,获取待检测网站在所述第一统计时长之后的第二统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第二集合;
将所述第二集合中包含的且所述第一集合中未包含的统一资源定位符URL确定为可疑统一资源定位符URL。
5.一种检测网站是否存在后门程序的装置,其特征在于,包括:
后门指纹提取单元,用于提取预先确定的后门文件中包含的后门指纹,得到包含所述后门指纹的后门指纹库,所述后门指纹用于指示目标代码是否为后门程序;
后门URL特征提取单元,用于提取与所述后门文件对应的统一资源定位符URL中包含的后门URL特征,得到包含所述后门URL特征的后门URL特征库;
可疑URL确定单元,用于基于待检测网站的访问日志数据,确定该待检测网站的访问日志数据中包含的可疑统一资源定位符URL;其中,判断待检测网站的访问日志中的统一资源定位符URL是否包含所述后门URL特征库中的所述后门URL特征;若是,确定该统一资源定位符URL为可疑统一资源定位符URL;
网页请求单元,用于通过所述可疑统一资源定位符URL请求网页,获得与返回的网页内容对应的网页代码;
判断单元,用于判断所述网页代码中是否包含所述后门指纹库包含的后门指纹;若是,判定所述待检测网站存在后门程序。
6.如权利要求5所述的装置,其特征在于,所述后门指纹提取单元具体用于:
提取预先确定的后门文件中包含的按照预设代码行数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库;或,
提取预先确定的所述后门文件中包含的按照预设字节数进行偏移的至少两段后门指纹,得到包含所述至少两段后门指纹的后门指纹库。
7.如权利要求5所述的装置,其特征在于,所述判断单元具体用于:
判断所述网页代码中是否至少包含两个在所述后门指纹库中包含的后门指纹;若所述网页代码中至少包含两个在所述后门指纹库中包含的后门指纹,判定所述待检测网站存在后门。
8.如权利要求5所述的装置,其特征在于,所述可疑URL确定单元具体包括:
第一获取单元,用于基于待检测网站的访问日志数据,获取待检测网站在第一统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第一集合;
第二获取单元,用于基于待检测网站的访问日志数据,获取待检测网站在所述第一统计时长之后的第二统计时长内被访问的统一资源定位符URL,得到包含统一资源定位符URL的第二集合;
可疑确定单元,用于将所述第二集合中包含的且所述第一集合中未包含的统一资源定位符URL确定为可疑统一资源定位符URL。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510976042.3A CN106911635B (zh) | 2015-12-22 | 2015-12-22 | 一种检测网站是否存在后门程序的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510976042.3A CN106911635B (zh) | 2015-12-22 | 2015-12-22 | 一种检测网站是否存在后门程序的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106911635A CN106911635A (zh) | 2017-06-30 |
| CN106911635B true CN106911635B (zh) | 2020-07-28 |
Family
ID=59200172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510976042.3A Active CN106911635B (zh) | 2015-12-22 | 2015-12-22 | 一种检测网站是否存在后门程序的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106911635B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106992981B (zh) * | 2017-03-31 | 2020-04-07 | 北京知道创宇信息技术股份有限公司 | 一种网站后门检测方法、装置和计算设备 |
| CN107360192A (zh) * | 2017-08-29 | 2017-11-17 | 四川长虹电器股份有限公司 | 提高漏洞扫描效率和精度的指纹识别方法 |
| CN109194632B (zh) * | 2018-08-20 | 2022-07-15 | 中国平安人寿保险股份有限公司 | 网页后门程序的检测方法、装置、计算机设备和存储介质 |
| CN114430348B (zh) * | 2022-02-07 | 2023-12-05 | 云盾智慧安全科技有限公司 | 一种web网站搜索引擎优化后门识别方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045360A (zh) * | 2010-12-27 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 恶意网址库的处理方法及装置 |
| CN102158499A (zh) * | 2011-06-02 | 2011-08-17 | 国家计算机病毒应急处理中心 | 基于http流量分析的挂马网站检测方法 |
| CN102377583A (zh) * | 2010-08-09 | 2012-03-14 | 百度在线网络技术(北京)有限公司 | 统计网站流量的方法及系统 |
| CN103297435A (zh) * | 2013-06-06 | 2013-09-11 | 中国科学院信息工程研究所 | 一种基于web日志的异常访问行为检测方法与系统 |
| CN103607413A (zh) * | 2013-12-05 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
| CN103902476A (zh) * | 2013-12-27 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种基于非授信的网页后门检测方法及系统 |
| US8826426B1 (en) * | 2011-05-05 | 2014-09-02 | Symantec Corporation | Systems and methods for generating reputation-based ratings for uniform resource locators |
| CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090328208A1 (en) * | 2008-06-30 | 2009-12-31 | International Business Machines | Method and apparatus for preventing phishing attacks |
-
2015
- 2015-12-22 CN CN201510976042.3A patent/CN106911635B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377583A (zh) * | 2010-08-09 | 2012-03-14 | 百度在线网络技术(北京)有限公司 | 统计网站流量的方法及系统 |
| CN102045360A (zh) * | 2010-12-27 | 2011-05-04 | 成都市华为赛门铁克科技有限公司 | 恶意网址库的处理方法及装置 |
| US8826426B1 (en) * | 2011-05-05 | 2014-09-02 | Symantec Corporation | Systems and methods for generating reputation-based ratings for uniform resource locators |
| CN102158499A (zh) * | 2011-06-02 | 2011-08-17 | 国家计算机病毒应急处理中心 | 基于http流量分析的挂马网站检测方法 |
| CN103297435A (zh) * | 2013-06-06 | 2013-09-11 | 中国科学院信息工程研究所 | 一种基于web日志的异常访问行为检测方法与系统 |
| CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及系统 |
| CN103607413A (zh) * | 2013-12-05 | 2014-02-26 | 北京奇虎科技有限公司 | 一种网站后门程序检测的方法及装置 |
| CN103902476A (zh) * | 2013-12-27 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种基于非授信的网页后门检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106911635A (zh) | 2017-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101083311B1 (ko) | 악성 스크립트 분석 시스템 및 그를 이용한 악성 스크립트 분석 방법 | |
| US10193929B2 (en) | Methods and systems for improving analytics in distributed networks | |
| WO2015096528A1 (zh) | 网络购物环境安全性检测方法及装置 | |
| CN106911635B (zh) | 一种检测网站是否存在后门程序的方法及装置 | |
| CN107689940B (zh) | WebShell检测方法及装置 | |
| CA2674327C (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
| CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
| CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
| JP6859518B2 (ja) | サーバへの攻撃を防ぐ方法及びデバイス | |
| US20190180032A1 (en) | Classification apparatus, classification method, and classification program | |
| CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及系统 | |
| CN107103243B (zh) | 漏洞的检测方法及装置 | |
| CN112600797A (zh) | 异常访问行为的检测方法、装置、电子设备及存储介质 | |
| WO2015188604A1 (zh) | 钓鱼网页的检测方法和装置 | |
| CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| CN114024761B (zh) | 网络威胁数据的检测方法、装置、存储介质及电子设备 | |
| CN106911636B (zh) | 一种检测网站是否存在后门程序的方法及装置 | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| CN106611118B (zh) | 申请登录凭证的方法和装置 | |
| Srivastava et al. | Detecting code injection by cross-validating stack and VAD information in windows physical memory | |
| CN106778276B (zh) | 一种检测无实体文件恶意代码的方法及系统 | |
| CN107229865B (zh) | 一种解析Webshell入侵原因的方法及装置 | |
| CN114021115A (zh) | 恶意应用程序的检测方法、装置、存储介质及处理器 | |
| CN106446687B (zh) | 恶意样本的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee after: Beijing Qizhi Business Consulting Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220323 Address after: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Beijing Qizhi Business Consulting Co.,Ltd. |
|
| TR01 | Transfer of patent right |