CN110008688A - 一种网站防挂马检测方法 - Google Patents

一种网站防挂马检测方法 Download PDF

Info

Publication number
CN110008688A
CN110008688A CN201910171962.6A CN201910171962A CN110008688A CN 110008688 A CN110008688 A CN 110008688A CN 201910171962 A CN201910171962 A CN 201910171962A CN 110008688 A CN110008688 A CN 110008688A
Authority
CN
China
Prior art keywords
code
code segment
website
extension horse
user name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910171962.6A
Other languages
English (en)
Other versions
CN110008688B (zh
Inventor
胡磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huaan Putt Network Technology Co Ltd
Original Assignee
Beijing Huaan Putt Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huaan Putt Network Technology Co Ltd filed Critical Beijing Huaan Putt Network Technology Co Ltd
Priority to CN201910171962.6A priority Critical patent/CN110008688B/zh
Publication of CN110008688A publication Critical patent/CN110008688A/zh
Application granted granted Critical
Publication of CN110008688B publication Critical patent/CN110008688B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开一种网站防挂马检测方法,包括以下步骤:获取网页对应的网页代码并备份;对代码进行划分,构成代码段集合;获取挂马特征库中所有的挂马网站,将挂马网站中所有的挂马特征进行提取,构成挂马特征集合;接收人员的用户名和密码,判断用户名和密码是否与数据库中存储的用户名以及用户名对应的密码相一致,若相同,提取修改后的网页代码,构成修改代码段集合,对比修改代码段集合与代码段集合中的代码是否相同,若不相同,则将代码与挂马特征集合中的挂马代码进行对比,确定是否挂马,若挂马则将备份的代码段替换被挂马的代码段。本发明采用多重检测,提高了防挂马的准确性和效率,有效避免了网站被挂马,提高了用户访问网站的满意度。

Description

一种网站防挂马检测方法
技术领域
本发明属于网站检测技术领域,涉及到一种网站防挂马检测方法。
背景技术
挂马是网络安全的主要威胁之一。所谓挂马,就是黑客通过SQL注入、服务器漏洞等方法获取网站管理员账号,然后在网站的后台通过数据库“备份/恢复”或者上传漏洞获取一个webshe l l,利用该webshe l l修改网站内容,向页面中加入恶意转向代码,也可以直接通过弱口令获得服务器或网站传输协议(FTP),然后直接对网站页面直接进行修改。当访问被植入恶意代码的页面时,就会自动访问被转向的地址或下载木马病毒。
目前,网站挂马防范大多是通过上传一个挂马网站的特征库,然后在内网用户上网时防火墙会将统一资源定位符(URL)与挂马网站特征库中的每一项进行匹配,如果URL中的某一部分与挂马网站特征库中的某一项相同,那么防火墙会判定该URL为挂马网站,从而进行拦截,存在检测效率低、耗时长以及成本高的问题。
为了解决以上问题,现设计一种网站防挂马检测方法,提高了网站挂马检测的效率、准确性,大大降低了检测的成本,有效地避免了网站被挂马,提高了用户访问网站的满意度。
发明内容
本发明的目的在于提供的网站防挂马检测方法,通过对登录网站的人员身份进行认证以及对修改的网页代码进行检测,判断是否存在挂马,一旦出现挂马,则将未挂马的代码段替换挂马的代码段,解决了现有技术中存在的问题。
本发明的目的可以通过以下技术方案实现:
一种网站防挂马检测方法,包括以下步骤:
S1、获取网站对应的所有网页,并事先提取网站内所有网页对应的网页代码,并对网站代码进行备份;
S2、以设定的特定代码段对各网站代码进行划分,划分成若干代码段,划分的代码段作为标准代码段,并将标准代码段按照代码段排序顺序进行编号,分别为1,2,...,i,...,n,n表示为网页代码划分的代码段数量,划分后的代码段构成代码段集合X(x1,x2,...,xi,...,xn),xi表示为第i个代码段对应的代码;
S3、事先获取挂马特征库中所有的挂马网站,将挂马网站中所有的挂马特征进行提取,构成挂马特征集合A(a1,a2,...,af,...,ah),af表示为第f个挂马对应的代码;
S4、实时接收网站登陆工作人员的用户名和密码,判断用户名以及该用户名对应的密码是否与数据库中存储的用户名以及用户名对应的密码相一致,若相同,则执行步骤S5,否则,持续验证用户名和密码,直至验证的次数超过预设的次数;
S5、以固定时间段T对网页代码进行检测,并将检测的网页代码以特定代码段进行划分,构成修改代码段集合X′(x′1,x′2,...,x′i,...,x′n),x′i表示为工作人员登录后第i个代码段对应的代码,并将修改代码段集合与代码段集合进行逐一对比,若修改代码段集合中某一代码段对应的代码与代码段集合中该代码段对应的代码不完全相同,存储至突变代码段集合Y(y1,y2,...,yj,...,ym),yj表示为第j个修改的代码段,反之,则将修改后的代码段替换备份数据库中存储的修改前的代码段;
S6、提取突变代码段集合Y中的各代码段,并将各代码段逐一与挂马特征集合中各挂马对应的代码进行对比,若突变代码集合中各代码段与挂马特征集合中任意一挂马对应的代码相同,则表明该网页被挂马;
S7、自动启动数据库,并将备份数据库中存储的代码段替换被挂马的代码段。
进一步地,所述挂马特征为挂马网站对应的代码。
进一步地,所述步骤S4中对用户名的标记,包括以下步骤:
R1、持续验证用户名以及用户名对应的密码,每验证一次统计累计验证的次数;
R2、判断验证次数是否超过预设的次数,若超过,则执行步骤S3,否则,持续验证,直至验证的次数超过预设的次数;
R3、对验证次数超过预设次数的所有用户名以及输入的用户名对应的密码进行统计,并对该用户名进行标记;
R4、将标记后的用户名存储至身份认证数据库。
进一步地,所述备份数据库设有登录账号和登录密码,所述备份数据库的登录账号和登录密码不同于网站登陆工作人员的用户名和密码。
本发明的有益效果:
本发明提供的网站防挂马检测方法,通过对登录网站的人员身份认证以及修改后的网页代码与原有代码进行对比,以确定网页代码中修改的代码段,并将修改的代码段与挂马特征集合中的挂马对应的代码进行对比,以确定修改的代码段中是否存在挂马代码,一旦出现挂马,则将未挂马的代码段替换挂马的代码段,采用多重检测,提高了防挂马的准确性和效率,有效避免了网站被挂马的问题,大大提高了用户访问网站的满意度。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
一种网站防挂马检测方法,包括以下步骤:
S1、获取网站对应的所有网页,并事先提取网站内所有网页对应的网页代码,并对网站代码进行备份;
S2、以设定的特定代码段对各网站代码进行划分,划分成若干代码段,划分的代码段作为标准代码段,并将标准代码段按照代码段排序顺序进行编号,分别为1,2,...,i,...,n,n表示为网页代码划分的代码段数量,划分后的代码段构成代码段集合X(x1,x2,...,xi,...,xn),xi表示为第i个代码段对应的代码;
S3、事先获取挂马特征库中所有的挂马网站,将挂马网站中所有的挂马特征进行提取,构成挂马特征集合A(a1,a2,...,af,...,ah),af表示为第f个挂马对应的代码,所述挂马特征为挂马网站对应的代码;
S4、实时接收网站登陆工作人员的用户名和密码,判断用户名以及该用户名对应的密码是否与数据库中存储的用户名以及用户名对应的密码相一致,若相同,则执行步骤S5,否则,持续验证用户名和密码,直至验证的次数超过预设的次数;
S5、以固定时间段T对网页代码进行检测,并将检测的网页代码以特定代码段进行划分,构成修改代码段集合X′(x′1,x′2,...,x′i,...,x′n),x′i表示为工作人员登录后第i个代码段对应的代码,并将修改代码段集合与代码段集合进行逐一对比,若修改代码段集合中某一代码段对应的代码与代码段集合中该代码段对应的代码不完全相同,存储至突变代码段集合Y(y1,y2,...,yj,...,ym),yj表示为第j个修改的代码段,反之,则将修改后的代码段替换备份数据库中存储的修改前的代码段;
S6、提取突变代码段集合Y中的各代码段,并将各代码段逐一与挂马特征集合中各挂马对应的代码进行对比,若突变代码集合中各代码段与挂马特征集合中任意一挂马对应的代码相同,则表明该网页被挂马;
S7、自动启动数据库,并将备份数据库中存储的代码段替换被挂马的代码段;
所述步骤S4中对用户名的标记,包括以下步骤:
R1、持续验证用户名以及用户名对应的密码,每验证一次统计累计验证的次数;
R2、判断验证次数是否超过预设的次数,若超过,则执行步骤S3,否则,持续验证,直至验证的次数超过预设的次数;
R3、对验证次数超过预设次数的所有用户名以及输入的用户名对应的密码进行统计,并对该用户名进行标记;
R4、将标记后的用户名存储至身份认证数据库。
所述备份数据库设有登录账号和登录密码,所述备份数据库的登录账号和登录密码不同于网站登陆工作人员的用户名和密码,提高了备份数据库的安全性。
本发明提供的网站防挂马检测方法,通过对登录网站的人员身份认证以及修改后的网页代码与原有代码进行对比,以确定网页代码中修改的代码段,并将修改的代码段与挂马特征集合中的挂马对应的代码进行对比,以确定修改的代码段中是否存在挂马代码,一旦出现挂马,则将未挂马的代码段替换挂马的代码段,采用多重检测,提高了防挂马的准确性和效率,有效避免了网站被挂马的问题,大大提高了用户访问网站的满意度。
以上内容仅仅是对本发明的构思所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的构思或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。

Claims (4)

1.一种网站防挂马检测方法,其特征在于,包括以下步骤:
S1、获取网站对应的所有网页,并事先提取网站内所有网页对应的网页代码,并对网站代码进行备份;
S2、以设定的特定代码段对各网站代码进行划分,划分成若干代码段,划分的代码段作为标准代码段,并将标准代码段按照代码段排序顺序进行编号,分别为1,2,...,i,...,n,n表示为网页代码划分的代码段数量,划分后的代码段构成代码段集合X(x1,x2,...,xi,...,xn),xi表示为第i个代码段对应的代码;
S3、事先获取挂马特征库中所有的挂马网站,将挂马网站中所有的挂马特征进行提取,构成挂马特征集合A(a1,a2,...,af,...,ah),af表示为第f个挂马对应的代码;
S4、实时接收网站登陆工作人员的用户名和密码,判断用户名以及该用户名对应的密码是否与数据库中存储的用户名以及用户名对应的密码相一致,若相同,则执行步骤S5,否则,持续验证用户名和密码,直至验证的次数超过预设的次数;
S5、以固定时间段T对网页代码进行检测,并将检测的网页代码以特定代码段进行划分,构成修改代码段集合X′(x′1,x′2,...,x′i,...,x′n),x′i表示为工作人员登录后第i个代码段对应的代码,并将修改代码段集合与代码段集合进行逐一对比,若修改代码段集合中某一代码段对应的代码与代码段集合中该代码段对应的代码不完全相同,存储至突变代码段集合Y(y1,y2,...,yj,...,ym),yj表示为第j个修改的代码段,反之,则将修改后的代码段替换备份数据库中存储的修改前的代码段;
S6、提取突变代码段集合Y中的各代码段,并将各代码段逐一与挂马特征集合中各挂马对应的代码进行对比,若突变代码集合中各代码段与挂马特征集合中任意一挂马对应的代码相同,则表明该网页被挂马;
S7、自动启动数据库,并将备份数据库中存储的代码段替换被挂马的代码段。
2.根据权利要求1所述的一种网站防挂马检测方法,其特征在于:所述挂马特征为挂马网站对应的代码。
3.根据权利要求1所述的一种网站防挂马检测方法,其特征在于:所述步骤S4中对用户名的标记,包括以下步骤:
R1、持续验证用户名以及用户名对应的密码,每验证一次统计累计验证的次数;
R2、判断验证次数是否超过预设的次数,若超过,则执行步骤S3,否则,持续验证,直至验证的次数超过预设的次数;
R3、对验证次数超过预设次数的所有用户名以及输入的用户名对应的密码进行统计,并对该用户名进行标记;
R4、将标记后的用户名存储至身份认证数据库。
4.根据权利要求1所述的一种网站防挂马检测方法,其特征在于:所述备份数据库设有登录账号和登录密码,所述备份数据库的登录账号和登录密码不同于网站登陆工作人员的用户名和密码。
CN201910171962.6A 2019-03-07 2019-03-07 一种网站防挂马检测方法 Active CN110008688B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910171962.6A CN110008688B (zh) 2019-03-07 2019-03-07 一种网站防挂马检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910171962.6A CN110008688B (zh) 2019-03-07 2019-03-07 一种网站防挂马检测方法

Publications (2)

Publication Number Publication Date
CN110008688A true CN110008688A (zh) 2019-07-12
CN110008688B CN110008688B (zh) 2020-10-13

Family

ID=67166525

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910171962.6A Active CN110008688B (zh) 2019-03-07 2019-03-07 一种网站防挂马检测方法

Country Status (1)

Country Link
CN (1) CN110008688B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101630325A (zh) * 2009-08-18 2010-01-20 北京大学 一种基于脚本特征的网页聚类方法
CN101820419A (zh) * 2010-03-23 2010-09-01 北京大学 一种挂马网页中网页木马挂接点自动定位方法
US20110072262A1 (en) * 2009-09-23 2011-03-24 Idan Amir System and Method for Identifying Security Breach Attempts of a Website
US20110173677A1 (en) * 2002-05-10 2011-07-14 Mcafee, Inc., A Delaware Corporation Detecting malware carried by an e-mail message
US20120096516A1 (en) * 2010-10-19 2012-04-19 Symantec Corporation Software Signing Certificate Reputation Model
CN102843271A (zh) * 2011-11-14 2012-12-26 哈尔滨安天科技股份有限公司 恶意url的形式化检测方法和系统
CN103281177A (zh) * 2013-04-10 2013-09-04 广东电网公司信息中心 对Internet信息系统恶意攻击的检测方法及系统
TW201602832A (zh) * 2014-07-09 2016-01-16 Softnext Technologies Corp 提高附檔備份完整度的加密網頁郵件備份方法及其裝置
US20160125185A1 (en) * 2013-06-27 2016-05-05 Huawei Device Co., Ltd. Web Application Security Access Method, Server, and Client
CN108229166A (zh) * 2017-12-08 2018-06-29 重庆邮电大学 一种使用引导型搜索的网页木马检测系统及方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110173677A1 (en) * 2002-05-10 2011-07-14 Mcafee, Inc., A Delaware Corporation Detecting malware carried by an e-mail message
CN101630325A (zh) * 2009-08-18 2010-01-20 北京大学 一种基于脚本特征的网页聚类方法
US20110072262A1 (en) * 2009-09-23 2011-03-24 Idan Amir System and Method for Identifying Security Breach Attempts of a Website
CN101820419A (zh) * 2010-03-23 2010-09-01 北京大学 一种挂马网页中网页木马挂接点自动定位方法
US20120096516A1 (en) * 2010-10-19 2012-04-19 Symantec Corporation Software Signing Certificate Reputation Model
CN102843271A (zh) * 2011-11-14 2012-12-26 哈尔滨安天科技股份有限公司 恶意url的形式化检测方法和系统
CN103281177A (zh) * 2013-04-10 2013-09-04 广东电网公司信息中心 对Internet信息系统恶意攻击的检测方法及系统
US20160125185A1 (en) * 2013-06-27 2016-05-05 Huawei Device Co., Ltd. Web Application Security Access Method, Server, and Client
TW201602832A (zh) * 2014-07-09 2016-01-16 Softnext Technologies Corp 提高附檔備份完整度的加密網頁郵件備份方法及其裝置
CN108229166A (zh) * 2017-12-08 2018-06-29 重庆邮电大学 一种使用引导型搜索的网页木马检测系统及方法

Also Published As

Publication number Publication date
CN110008688B (zh) 2020-10-13

Similar Documents

Publication Publication Date Title
CN103607385B (zh) 基于浏览器进行安全检测的方法和装置
CN103929440B (zh) 基于web服务器缓存匹配的网页防篡改装置及其方法
CN102891897B (zh) 网页分享方法和服务器及客户端
CN104301302B (zh) 越权攻击检测方法及装置
CN102710645B (zh) 一种钓鱼网站检测方法及其检测系统
CN102724186B (zh) 一种钓鱼网站检测系统和检测方法
CN107634967B (zh) 一种CSRF攻击的CSRFToken防御系统和方法
CN104468553B (zh) 一种公共账号登录的方法、装置及系统
CN104519018A (zh) 一种防止针对服务器的恶意请求的方法、装置和系统
US20130055386A1 (en) Apparatus and method for preventing falsification of client screen
US9787696B2 (en) Brute force attack prevention system
CN108259502A (zh) 用于获取接口访问权限的鉴定方法、服务端及存储介质
CN102073822A (zh) 防止用户信息泄漏的方法及系统
CN102868702B (zh) 系统登录装置和系统登录方法
CN107276986B (zh) 一种通过机器学习保护网站的方法、装置和系统
CN106506462B (zh) 一种基于表单置乱的网站安全保护方法与装置
CN105046150A (zh) 防止sql注入的方法及系统
CN106331042B (zh) 一种异构用户系统的单点登录方法及其装置
CN110602021A (zh) 一种基于http请求行为与业务流程相结合的安全风险值评估方法
CN107612926A (zh) 一种基于客户端识别的一句话WebShell拦截方法
CN106330972A (zh) 一种保护用户网站密码的方法
CN106209907A (zh) 一种检测恶意攻击的方法及装置
CN108476199A (zh) 一种基于令牌机制的检测和防御cc 攻击的系统和方法
CN105721387A (zh) 防止网络劫持的方法
CN112235306A (zh) 一种基于云安全的电子商务账户验证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant