CN111159708B - 检测服务器中网页木马的装置、方法及存储介质 - Google Patents
检测服务器中网页木马的装置、方法及存储介质 Download PDFInfo
- Publication number
- CN111159708B CN111159708B CN201911212960.3A CN201911212960A CN111159708B CN 111159708 B CN111159708 B CN 111159708B CN 201911212960 A CN201911212960 A CN 201911212960A CN 111159708 B CN111159708 B CN 111159708B
- Authority
- CN
- China
- Prior art keywords
- file
- newly added
- modified
- server
- trojan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/5033—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering data affinity
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Biology (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种检测服务器中网页木马的装置、方法及存储介质,涉及网络信息安全技术领域。所述装置包括:文件内容获取模块,用于获取集群中当前服务器的新增/修改文件的文件内容;可疑文件识别模块,用于根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件;指令下发模块,用于下发集群指令给所述集群中除所述当前服务器之外的其他服务器,以指示所述其他服务器检查各自是否有与所述可疑文件相同的文件;木马识别模块,用于在存在与所述可疑文件相同文件的服务器的数量与所述集群中服务器的总数量的比值小于设定阈值时,识别所述可疑文件为木马文件。本发明能够在保障服务器正常业务运行的情况下快速准确识别各种网页木马。
Description
技术领域
本发明涉及网络信息安全技术领域,具体而言,涉及一种检测服务器中网页木马的装置、方法及存储介质。
背景技术
网页木马作为一种脚本型木马,一般存在于网站服务器上,是突破内外网网络边界的重要手段之一,危害极大。一旦网页木马突破边界,将很快在相对薄弱的内网种植后门,留下长久隐患,特别是在各级别的攻防演练及真实的网络战中将导致内网核心系统的沦陷。
现有网页木马的检测方法主要有:主机agent方式,该方式在检测时会耗费大量的CPU和内存,甚至会抢占服务器的服务资源从而导致生产事件;特征码识别方式,该方式完全依赖于服务器本地的特征库,无法及时识别变种网页木马,并且在特征计算与匹配时也耗费大量的服务器计算资源;全盘查杀方式,该方式每次查杀都要遍历服务器所有的文件,耗时长,无法在较短时间内识别出网页木马,并且也需要占用大量的服务器计算资源;定时查杀方式,该方式也需扫描大量的文件,为避免影响生产业务的正常运行,通常只能在非业务高峰时进行定时查杀,无法进行实时查杀。
上述网页木马检测方式在检测时需要占用大量的服务器资源,影响服务器本身正常的生产业务运行,无法在保证服务器提供正常服务的前提下进行快速有效的查杀。并且,现有的检测方式通常是各服务器单独查杀,各服务器经常会重复识别同一个木马文件,造成资源浪费。
发明内容
为解决现有技术中的上述技术问题,本发明提供了一种检测服务器中网页木马的装置、方法及存储介质,以在保证服务器提供正常服务的前提下进行快速有效的查杀。
本发明实施方式的第一方面提供一种检测服务器中网页木马的装置,其中,多个所述服务器以集群方式部署在同一集群中,所述装置部署于云端并且包括:
文件内容获取模块,用于获取所述集群中当前服务器的新增/修改文件的文件内容;
可疑文件识别模块,用于根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件;
指令下发模块,用于在所述新增/修改文件为可疑文件时,下发集群指令给所述集群中除所述当前服务器之外的其他服务器,以指示所述其他服务器检查各自是否有与所述新增/修改文件相同的文件;
木马识别模块,用于在存在与所述新增/修改文件相同文件的服务器的数量与所述集群中服务器的总数量的比值小于设定阈值时,识别所述新增/修改文件为木马文件。
在本发明的一种实施方式中,所述装置还包括:
预判模块,用于执行如下操作:获取所述新增/修改文件的文件内容的唯一标识;识别所述唯一标识是否存在于预先存储的文件识别结果库中;若不存在,则触发所述文件内容获取模块获取所述新增/修改文件的文件内容。
在本发明的一种实施方式中,所述可疑文件识别模块根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件包括:
将所述新增/修改文件的文件内容与已知木马库匹配,识别所述新增/修改文件是否为木马文件;
若无法识别,则识别所述新增/修改文件为可疑文件。
在本发明的一种实施方式中,所述木马识别模块在识别所述新增/修改文件是否为木马文件后,将识别结果下发给所述当前服务器。
本发明实施方式的第二方面提供一种检测服务器中网页木马的装置,其中,所述装置部署在所述服务器上,多个所述服务器以集群的方式部署在同一集群中,所述装置包括:
文件变更检查模块,用于检查指定目录,以识别出当前服务器在设定时间段内的新增/修改文件;
文件内容上传模块,用于获取所述新增/修改文件的文件内容,将所述新增/修改文件的文件内容上传给上述实施方式所述的任意一种部署在云端的装置,以便根据所述文件内容识别所述新增/修改文件是否为木马文件;
处理模块,用于接收所述部署在云端的装置的识别结果,若所述新增/修改文件为木马文件,则将所述新增/修改文件进行重命名或移出网站目录,以阻止所述新增/修改文件的执行。
在本发明的一种实施方式中,所述装置还包括:
文件标识上传模块,用于获取所述新增/修改文件的文件内容的唯一标识,将所述唯一标识上传给所述部署在云端的装置,以便根据所述唯一标识识别所述新增/修改文件是否为木马文件,在无法识别所述新增/修改文件是否为木马文件时,触发文件内容上传模块进行将所述新增/修改文件的文件内容上传给所述部署在云端的装置的处理。
本发明实施方式的第三方面提供一种检测服务器中网页木马的系统,所述系统包括:
部署在云端的上述实施方式的第一方面所述的任意一种装置;以及
部署在所述服务器上的上述实施方式的第二方面所述的任意一种装置,其中,多个所述服务器以集群的方式部署在同一集群中。
本发明实施方式的第四方面提供一种检测服务器中网页木马的方法,其中,多个所述服务器以集群的方式部署在同一集群中,所述方法应用于云端并且包括:
获取所述集群中当前服务器的新增/修改文件的文件内容;
根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件;
若所述新增/修改文件为可疑文件,则下发集群指令给所述集群中除所述当前服务器之外的其他服务器,以指示所述其他服务器检查各自是否有与所述新增/修改文件相同的文件;
若存在与所述新增/修改文件相同文件的服务器的数量与所述集群中服务器的总数量的比值小于设定阈值,则识别所述新增/修改文件为木马文件。
在本发明的一种实施方式中,在获取所述新增/修改文件的文件内容之前,
获取所述新增/修改文件的文件内容的唯一标识;
识别所述唯一标识是否存在于预先存储的文件识别结果库中;
若不存在,进行所述获取集群中当前服务器的新增/修改文件的文件内容的处理。
在本发明的一种实施方式中,根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件包括:
将所述新增/修改文件的文件内容与已知木马库匹配,识别所述新增/修改文件是否为木马文件;
若无法识别,则识别所述新增/修改文件为可疑文件。
在本发明的一种实施方式中,在识别所述新增/修改文件为木马文件后,将识别结果下发给所述当前服务器。
本发明实施方式的第五方面提供一种检测服务器中网页木马的方法,其特征在于,多个所述服务器以集群的方式部署在同一集群中,所述方法应用于服务器端并且包括:
从指定目录下获取当前服务器在设定时间段内的新增/修改文件,上传所述新增/修改文件的文件内容,以通过上述实施方式的第四方面所述的任意一种方法识别所述新增/修改文件是否为木马文件;
接收识别结果,若所述新增/修改文件为木马文件,则将所述新增/修改文件进行重命名或移出网站目录,以阻止所述新增/修改文件的执行。
在本发明的一种实施方式中,在上传所述新增/修改文件的文件内容之前,
上传所述新增/修改文件的文件内容的唯一标识,以通过上述实施方式的第四方面所述的任意一种方法识别所述新增/修改文件是否为木马文件;
在无法识别时,进行所述上传当前服务器新增/修改文件的文件内容的处理。
本发明实施方式的第六方面提供一种计算机存储介质,其上存储计算机指令,该计算机指令能够被处理器执行以实现上述实施方式的第四方面所述的任意一种方法。
本发明实施方式的第七方面提供一种计算机存储介质,其上存储有计算机指令,该计算机指令能够被处理器执行以实现上述实施方式的第五方面所述的任意一种方法。
本发明实施方式的第八方面提供一种检测服务器中网页木马的装置,所述装置包括:
存储器,其上存储有计算机程序;
处理器,用于运行所述计算机程序,以实现上述实施方式的第四方面所述的任意一种方法。
本发明实施方式的第九方面提供一种检测服务器中网页木马的装置,所述装置包括:
存储器,其上存储有计算机程序;
处理器,用于运行所述计算机程序,以实现上述实施方式的第五方面所述的任意一种方法。
本发明相对于现有技术具有如下有益技术效果:
根据上述本实施方式,本发明在服务器端不做木马的检测操作与判定,不存储特征数据库,仅计算服务器在设定时间段内的新增/修改文件,将新增/修改文件直接上传给云端进行检测,然后根据云端检测装置的检测识别结果来进行处理。云端获取所述新增/修改文件后,通过下发集群指令给与当前服务器属于同一集群的其他服务器,指示其他服务器检查各自是否有与所述新增/修改文件相同的文件,根据存在相同文件的服务器的数量来识别所述新增/修改文件是否为木马文件。通过上述方式,本发明能够减少服务器的资源消耗,在保障服务器正常业务运行的情况下,快速、有效、精确的查杀各种未知木马及各种未知木马的变种。
附图说明
图1是根据本发明一种实施方式的部署在云端的检测服务器中网页木马的装置模块示意图;
图2是根据本发明一种实施方式的部署在服务器上的检测服务器中网页木马的装置模块示意图;
图3是根据本发明一种实施方式的检测服务器中网页木马的系统示意图;
图4示出了根据本发明一种实施方式的木马检查系统检测服务器中网页木马的例子;
图5示出了根据本发明一种实施方式的云端检测服务器中网页木马的方法流程图;
图6示出了根据本发明一种实施方式的服务器端检测服务器中网页木马的方法流程图。
具体实施方式
为了便于理解本发明技术方案的各个方面、特征以及优点,下面结合附图对本发明进行具体描述。应当理解,下述的各种实施方式只用于举例说明,而非用于限制本发明的保护范围。
本发明实施方式的第一方面提供一种部署在云端的检测服务器中网页木马的装置。图1示出了根据本发明一种实施方式的部署在云端的检测服务器中网页木马的装置示意图。如图1所示,部署在云端的检测服务器中网页木马的装置(下文简称为云端检测装置)10用于检测以集群方式部署在同一集群中的服务器中的网页木马,云端检测装置10可以包括但不限于文件内容获取模块11、可疑文件识别模块12、指令下发模块13、木马识别模块14。
其中,文件内容获取模块11可以获取集群中当前服务器的新增/修改文件的文件内容;可疑文件识别模块12可以根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件;指令下发模块13可以在所述新增/修改文件为可疑文件时,下发集群指令给所述集群中除所述当前服务器之外的其他服务器,以指示所述其他服务器检查各自是否有与所述新增/修改文件相同的文件;木马识别模块14可以在存在与所述新增/修改文件相同文件的服务器的数量与所述集群中服务器的总数量的比值小于设定阈值时,识别所述新增/修改文件为木马文件。
本实施方式在云端获取集群环境下当前服务器的新增/修改文件,通过下发集群指令给与当前服务器属于同一集群的其他服务器,指示其他服务器检查各自是否有与所述新增/修改文件相同的文件,进而根据存在相同文件的服务器的数量来识别所述新增/修改文件是否为木马文件。对于以集群方式部署在同一集群中的各服务器而言,各服务器之间正常运维部署的文件均相同。而黑客从外部利用漏洞入侵网站系统时,通常只会在集群中的某台服务器上放置网页木马,集群中的其他服务器因负载均衡保持的特性,并不会被攻击者访问到,因此,集群中的其他服务器并不存在该网页木马。通过指示同一集群中的其他服务器检查是否有与当前服务器的新增/修改文件相同的文件,本实施方式无需规则库即可精准、快速的识别各种恶意网页木马及网页木马的变种,降低服务器的资源占用。
在本发明的一种实施方式中,文件内容获取模块11在获取当前服务器的新增/修改文件的文件内容时,也可以获取所述新增/修改文件的文件路径。指令下发模块13下发集群指令时,可以指示集群中的其他服务器根据所述文件路径检查各自是否有与所述新增/修改文件相同的文件。上述实施方式可以进一步提高检测效率。
在本发明的一种实施方式中,获取所述新增/修改文件的文件内容后,可疑文件识别模块12可以将所述新增/修改文件的文件内容与已知木马库匹配,从而识别所述新增/修改文件是否为木马文件;若无法识别,则识别所述新增/修改文件为可疑文件。例如,可以将新增/修改文件的文件内容与已知木马库中匹配。若所述新增/修改文件的文件内容与已知木马库中的某一已知木马文件的文件内容一致,判断所述新增/修改文件是木马文件;若所述新增/修改文件的文件内容与已知木马库中的任何一个已知木马文件的文件内容都不一致,判断所述新增/修改文件为可疑文件。
在本发明的一种实施方式中,在判断出所述新增/修改文件为可疑文件后,指令下发模块13可以下发集群指令给集群中除当前服务器之外的其他服务器,以指示其他服务器来检查各自是否有与所述新增/修改文件(即可疑文件)相同的文件。木马识别模块14可以接收所述其他服务器的检查结果,统计存在与所述可疑文件相同文件的服务器数量,并获取该集群中服务器的总数量,然后判断存在与所述可疑文件相同文件的服务器数量与集群中服务器的总数量的比值是否小于设定阈值,若小于,判断所述可疑文件为木马文件。在识别所述可疑文件是否木马文件后,可以将识别结果下发给当前服务器,以便当前服务器对所述新增/修改文件进行处理。
在可选实施方式中,可以通过判断(1-n/m)是否大于设定阈值来判断所述可疑文件是否为木马文件。若(1-n/m)大于设定阈值,则判定所述可疑文件为木马文件。其中,n表示存在与所述可疑文件相同文件的服务器数量,m表示集群中服务器的总数量,n/m表示n与m的比值,所述阈值可以设定为0.5~1之间的一个值。
在本发明的一种实施方式中,云端检测装置10还包括预判模块15,预判模块15可以获取所述新增/修改文件的文件内容的唯一标识,例如,文件内容的MD5(一种摘要算法)散列;识别所述唯一标识是否存在于预先存储的文件识别结果库中;若不存在,则触发所述文件内容获取模块11获取所述新增/修改文件的文件内容。其中,文件识别结果库可以存储文件的历史识别结果,预判模块15获取文件内容的唯一标识后,可以查询所述文件识别结果库,若查找到所述唯一标识的识别结果,则将识别结果下发给当前服务器,若未查找到所述唯一标识的识别结果,则触发文件内容获取模块11获取所述新增/修改文件的文件内容。根据这种实施方式,本发明能够避免重复识别,从而避免资源浪费,提高检测效率。
本发明实施方式的第二方面提供一种部署在服务器上的检测服务器中网页木马的装置。图2示出了根据本发明一种实施方式的部署在服务器上的检测服务器中网页木马的装置模块示意图。如图2所示,部署在服务器上的检测服务器中网页木马的装置(下文简称为服务器端检测装置)20包括但不限于文件变更检查模块21、文件内容上传模块22以及处理模块23。
文件变更检查模块21可以检查指定目录,以识别出当前服务器在设定时间段内的新增/修改文件。例如可以检查网站根目录,识别最近N秒内服务器新增了哪些文件或修改了哪些文件。在识别出新增/修改文件后,文件内容上传模块22可以获取所述新增/修改文件的文件内容,将所述新增/修改文件的文件内容上传给上述任意一种实施方式所述的云端检测装置10,以便云端检测装置10根据所述文件内容识别所述新增/修改文件是否为木马文件;处理模块23可以接收云端检测装置10的识别结果,若所述新增/修改文件为木马文件,则将所述新增/修改文件进行重命名或移出网站目录,以阻止所述新增/修改文件的执行。
根据上述实施方式,服务器端检测装置在本地不做检测操作与判定,不存储特征数据库,仅计算服务器在设定时间段内的新增/修改文件,将新增/修改文件直接上传给云端检测装置进行检测,然后根据云端检测装置的检测识别结果来进行处理。由此,本实施方式可以降低服务器的资源消耗,保障服务器上正常业务的运行。
在本发明的一种实施方式中,除上述实施方式所述的文件变更检查模块21、文件内容上传模块22、处理模块23外,服务器端检测装置20还可以包括文件标识上传模块24。文件标识上传模块24可以获取所述新增/修改文件的文件内容的唯一标识,将所述唯一标识上传给实施方式的云端检测装置10,以便云端检测装置10根据所述唯一标识识别所述新增/修改文件是否为木马文件,在云端检测装置10无法根据所述唯一标识识别所述新增/修改文件是否为木马文件时,触发文件内容上传模块21进行将所述新增/修改文件的文件内容上传给云端检测装置10的处理。通过这种方式,可以避免重复识别所造成的资源浪费。
在本发明的一种实施方式中,在上传新增/修改文件的文件内容或上传文件内容的唯一标识时,可以同时上传所述新增/修改文件的文件路径,以便云端检测装置10指示同一集群中的其他服务器根据所述文件路径来检查各自是否有与所述新增/修改文件相同的文件。
本发明实施方式所述的第三方面提供一种检测服务器中网页木马的系统。图3示出了根据本发明一种实施方式的检测服务器中网页木马的系统模块示意图。如图3所示,检测服务器中网页木马的系统(下文简称为木马检测系统)30用于检测集群环境下服务器中的网页木马。该木马检测系统30可以包括但不限于上述任意一种实施方式所述的云端检测装置10以及上述任意一种实施方式所述的服务器端检测装置20,其中,各服务器端检测装置20分别部署在以集群方式部署在同一集群中的各服务器上。
在本发明的一种实施方式中,服务器端检测装置20可以采用轻量级的Python脚本实现,并通过云端检测装置10下发。各级管理员可以在云端检测装置10下发的基础版本的基础上对自己管理的脚本进行定制,如指定网站根目录、文件上传目录、文件上次变更时间等信息,从而使下发的脚本适应服务器的特点,从而精准、快速的识别网页木马。
图4示出了本发明一种实施方式所述的木马检查系统检测服务器中网页木马的例子。在图4中,所述服务器器均位于集群环境中,该集群环境中有m台服务器,即服务器1、服务器2、服务器3…服务器m,这m台服务器以集群的方式部署在同一集群中。下面以检测集群环境下服务器1上的网页木马为例进一步说明本发明所述的木马检测系统及其检测过程。
如图4所示,检测服务器1上的网页木马的过程可以为:
S41:服务器1上的服务器端检测装置421发现服务器1在最近N秒新增了n个文件,分别获取这n个新增文件的MD5散列,将这n新增文件的MD5散列上传给云端检测装置41。
S42:云端检测装置41接收这n个新增文件的MD5散列,通过查找文件识别结果库,查找到存在散列1~散列n,发现散列1、散列6~散列n,其识别结果均为正常文件,但未查找到散列2、散列3、散列4、散列5,即云端检测装置41之前未识别过散列2、散列3、散列4、散列5。云端检测装置41将文件1、文件6~文件n的识别结果置为OK,将文件2、文件3、文件4、文件5的识别结果置为未知,并将识别结果返回给服务器端检测装置421。
S43:服务器端检测装置421接收到识别结果,根据所述识别结果获取文件2、文件3、文件4、文件5的文件内容,将文件2、文件3、文件4、文件5的文件内容上传给云端检测装置41。
S44:云端检测装置41接收到文件2、文件3、文件4、文件5的文件内容后,通过匹配已知木马库,识别出文件2为正常文件,文件3为木马文件,文件4、文件5未知。云端检测装置41将文件2的识别结果置为OK,将文件3的识别结果置为木马,返回给服务器端检测装置421。服务器端检测装置421根据云端检测装置41的识别结果文件3重命名或移出网站目录。
S45:云端检测装置41下发集群指令给同一集群中除服务器1以外的其他服务器(即服务器2、服务器3…服务器m,其中,集群中服务器的总数量为m),指令服务器2、服务器3…服务器m检查其是否有文件3、文件4。
S46:服务器2、服务器3…服务器m都回应存在文件4,不存在文件5。
S47:云端检测装置41根据服务器2、服务器3…服务器m的回应判断文件4为正常文件,文件5为木马文件,将文件4的识别结果置为OK,将文件5的识别结果置为可疑木马,返回给服务器端检测装置421。服务器端检测装置421根据云端检测装置41的识别结果文件5重命名或移出网站目录。
本发明实施方式的第四方面提供一种云端检测服务器中网页木马的方法。图5示出了根据本发明一种实施方式的云端检测服务器中网页木马的方法流程图。如图5所示,云端检测服务器中网页木马的方法可以包括以下处理:
S51:获取所述集群中当前服务器的新增/修改文件的文件内容;
S52:根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件;
S53:若所述新增/修改文件为可疑文件,则下发集群指令给所述集群中除所述当前服务器之外的其他服务器,以指示所述其他服务器检查各自是否有与所述新增/修改文件相同的文件;
S54:若存在与所述新增/修改文件相同文件的服务器的数量与所述集群中服务器的总数量的比值小于设定阈值,则识别所述新增/修改文件为木马文件。
在本发明的一种实施方式中,在获取所述新增/修改文件的文件内容之前,可以获取所述新增/修改文件的文件内容的唯一标识;识别所述唯一标识是否存在于预先存储的文件识别结果库中;若不存在,进行所述获取集群中当前服务器的新增/修改文件的文件内容的处理。
在本发明的一种实施方式中,在处理S52中,根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件可以包括:将所述新增/修改文件的文件内容与已知木马库匹配,识别所述新增/修改文件是否为木马文件;若无法识别,则识别所述新增/修改文件为可疑文件。
在本发明的一种实施方式中,在处理S54中,在识别所述新增/修改文件为木马文件后,将识别结果下发给所述当前服务器。
本发明实施方式的第五方面提供一种服务器端检测服务器中网页木马的方法。图6示出了根据本发明一种实施方式的服务器端检测服务器中网页木马的方法流程图。如图6所示,服务器端检测服务器中网页木马的方法可以包括如下处理:
S61:从指定目录下获取当前服务器在设定时间段内的新增/修改文件,上传所述新增/修改文件的文件内容,以通过上述实施方式所述的任意一种云端检测服务器中网页木马的方法识别所述新增/修改文件是否为木马文件;
S62:接收识别结果,若所述新增/修改文件为木马文件,则将所述新增/修改文件进行重命名或移出网站目录,以阻止所述新增/修改文件的执行。
在本发明的一种实施方式中,在上传所述新增/修改文件的文件内容之前,所述方法还可以包括:上传所述新增/修改文件的文件内容的唯一标识,以通过上述实施方式中所述的任意一种云端检测服务器中网页木马的方法识别所述新增/修改文件是否为木马文件;在无法识别时,进行所述上传当前服务器新增/修改文件的文件内容的处理。
本发明实施方式的第六方面提供一种计算机存储介质,如ROM/RAM、磁碟、光盘等,其上存储计算机指令,该计算机指令能够被处理器执行以实现上述实施方式的第四方面所述的任意一种云端检测服务器中网页木马的方法。
本发明实施方式的第七方面提供一种计算机存储介质,如ROM/RAM、磁碟、光盘等,其上存储有计算机指令,该计算机指令能够被处理器执行以实现上述实施方式的第五方面所述的任意一种服务器端检测服务器中网页木马的方法。
本发明实施方式的第八方面提供一种检测服务器中网页木马的装置,所述装置包括:
存储器,其上存储有计算机程序;
处理器,用于运行所述计算机程序,以实现上述实施方式的第四方面所述的任意一种云端检测服务器中网页木马的方法。
本发明实施方式的第九方面提供一种检测服务器中网页木马的装置,所述装置包括:
存储器,其上存储有计算机程序;
处理器,用于运行所述计算机程序,以实现上述实施方式的第五方面所述的任意一种服务器端检测服务器中网页木马的方法。
本领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述云端检测服务器中网页木马的方法、服务器端检测服务器中网页木马的方法,可以参考前述系统实施方式中对应的过程,在此不再赘述。
虽然本文举例描述了一些实施方式,但是,在不脱离本发明实质的前提下,可以对这些实施方式进行各种变形,所有这些变形仍属于本发明的构思,并且落入本发明权利要求所限定的保护范围。例如,在本发明各实施方式中,多个模块中的部分模块的功能可以组合或集成为由一个模块实现,或者,某个模块的功能可以分成由多个模块实现。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施方式或者实施方式的某些部分所述的方法。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施方式的基本原理的前提下,对上述实施方式中的各细节可进行各种变化。因此,本发明的保护范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (15)
1.一种检测服务器中网页木马的装置,其特征在于,多个所述服务器以集群方式部署在同一集群中,各服务器中正常运维部署的文件相同,所述检测服务器中网页木马的装置部署于云端并且包括:
文件内容获取模块,用于获取所述集群中当前服务器的新增/修改文件的文件内容;
可疑文件识别模块,用于根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件;
指令下发模块,用于在所述新增/修改文件为可疑文件时,下发集群指令给所述同一集群中除所述当前服务器之外的其他服务器,以指示所述其他服务器检查各自是否有与所述新增/修改文件相同的文件;
木马识别模块,用于接收所述其他服务器的检查结果,根据所述检查结果统计所述同一集群中存在与所述新增/修改文件相同文件的服务器数量,根据所述同一集群中存在与所述新增/修改文件相同文件的服务器的数量来识别所述新增/修改文件是否为木马文件,并将识别结果下发给所述当前服务器;
其中,根据所述同一集群中存在与所述新增/修改文件相同文件的服务器的数量来识别所述新增/修改文件是否为木马文件包括:
如果所述同一集群中存在与所述新增/修改文件相同文件的服务器的数量为0,则识别所述新增/修改文件为木马文件。
2.根据权利要求1所述的检测装置,其特征在于,所述装置还包括:
预判模块,用于执行如下操作:获取所述新增/修改文件的文件内容的唯一标识;识别所述唯一标识是否存在于预先存储的文件识别结果库中;若不存在,则触发所述文件内容获取模块获取所述新增/修改文件的文件内容。
3.根据权利要求1所述的检测装置,其特征在于,所述可疑文件识别模块根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件包括:
将所述新增/修改文件的文件内容与已知木马库匹配,识别所述新增/修改文件是否为木马文件;
若无法识别,则识别所述新增/修改文件为可疑文件。
4.一种检测服务器中网页木马的装置,其特征在于,所述装置部署在所述服务器上,多个所述服务器以集群的方式部署在同一集群中,所述部署在所述服务器上的装置包括:
文件变更检查模块,用于检查指定目录,以识别出当前服务器在设定时间段内的新增/修改文件;
文件内容上传模块,用于获取所述新增/修改文件的文件内容,将所述新增/修改文件的文件内容上传给部署在云端的权利要求1-3中任意一项所述的装置,以便部署在云端的装置根据所述文件内容识别所述新增/修改文件是否为木马文件;
处理模块,用于接收所述部署在云端的装置的识别结果,若所述新增/修改文件为木马文件,则将所述新增/修改文件进行重命名或移出网站目录,以阻止所述新增/修改文件的执行。
5.根据权利要求4所述的装置,其特征在于,所述装置还包括:
文件标识上传模块,用于获取所述新增/修改文件的文件内容的唯一标识,将所述唯一标识上传给所述部署在云端的装置,以便根据所述唯一标识识别所述新增/修改文件是否为木马文件,在无法识别所述新增/修改文件是否为木马文件时,触发文件内容上传模块进行将所述新增/修改文件的文件内容上传给所述部署在云端的装置的处理。
6.一种检测服务器中网页木马的系统,其特征在于,所述系统包括:
部署在云端的权利要求1-3中任意一项权利要求所述的装置;以及
部署在所述服务器上的权利要求4或5中所述的装置,其中,多个所述服务器以集群的方式部署在同一集群中。
7.一种检测服务器中网页木马的方法,其特征在于,多个所述服务器以集群的方式部署在同一集群中,各服务器中正常运维部署的文件相同,所述方法应用于云端并且包括:
获取所述集群中当前服务器的新增/修改文件的文件内容;
根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件;
若所述新增/修改文件为可疑文件,则下发集群指令给所述同一集群中除所述当前服务器之外的其他服务器,以指示所述其他服务器检查各自是否有与所述新增/修改文件相同的文件;
接收所述其他服务器的检查结果,根据所述检查结果统计所述同一集群中存在与所述新增/修改文件相同文件的服务器数量;
根据所述同一集群中存在与所述新增/修改文件相同文件的服务器的数量来是识别所述新增/修改文件是否为木马文件;
将识别结果下发给所述当前服务器;
其中,根据所述同一集群中存在与所述新增/修改文件相同文件的服务器的数量来是识别所述新增/修改文件是否为木马文件包括:
如果所述同一集群中存在与所述新增/修改文件相同文件的服务器的数量为0,则识别所述新增/修改文件为木马文件。
8.根据权利要求7所述的方法,其特征在于,在获取所述新增/修改文件的文件内容之前,
获取所述新增/修改文件的文件内容的唯一标识;
识别所述唯一标识是否存在于预先存储的文件识别结果库中;
若不存在,进行所述获取集群中当前服务器的新增/修改文件的文件内容的处理。
9.根据权利要求7所述的检测方法,其特征在于,根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件包括:
将所述新增/修改文件的文件内容与已知木马库匹配,识别所述新增/修改文件是否为木马文件;
若无法识别,则识别所述新增/修改文件为可疑文件。
10.一种检测服务器中网页木马的方法,其特征在于,多个所述服务器以集群的方式部署在同一集群中,所述方法应用于服务器端并且包括:
从指定目录下获取当前服务器在设定时间段内的新增/修改文件,上传所述新增/修改文件的文件内容,以通过权利要求7-9中任意一项权利要求所述的方法识别所述新增/修改文件是否为木马文件;
接收识别结果,若所述新增/修改文件为木马文件,则将所述新增/修改文件进行重命名或移出网站目录,以阻止所述新增/修改文件的执行。
11.根据权利要求10所述的方法,其特征在于,在上传所述新增/修改文件的文件内容之前,
上传所述新增/修改文件的文件内容的唯一标识,以通过权利要求8-9中任意一项权利要求所述的方法识别所述新增/修改文件是否为木马文件;
在无法识别时,进行所述上传当前服务器新增/修改文件的文件内容的处理。
12.一种计算机存储介质,其上存储计算机指令,该计算机指令能够被处理器执行以实现权利要求7-9中任意一项权利要求所述的方法。
13.一种计算机存储介质,其上存储有计算机指令,该计算机指令能够被处理器执行以实现权利要求10或11所述的方法。
14.一种检测服务器中网页木马的装置,所述装置包括:
存储器,其上存储有计算机程序;
处理器,用于运行所述计算机程序,以实现权利要求7-9中任意一项权利要求所述的方法。
15.一种检测服务器中网页木马的装置,所述装置包括:
存储器,其上存储有计算机程序;
处理器,用于运行所述计算机程序,以实现权利要求10或11所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911212960.3A CN111159708B (zh) | 2019-12-02 | 2019-12-02 | 检测服务器中网页木马的装置、方法及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911212960.3A CN111159708B (zh) | 2019-12-02 | 2019-12-02 | 检测服务器中网页木马的装置、方法及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111159708A CN111159708A (zh) | 2020-05-15 |
| CN111159708B true CN111159708B (zh) | 2022-08-19 |
Family
ID=70556299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911212960.3A Active CN111159708B (zh) | 2019-12-02 | 2019-12-02 | 检测服务器中网页木马的装置、方法及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111159708B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111931169A (zh) * | 2020-07-03 | 2020-11-13 | 中国建设银行股份有限公司 | 木马检测方法、装置及存储介质 |
| CN113992409A (zh) * | 2021-10-28 | 2022-01-28 | 上海钧正网络科技有限公司 | WebShell拦截方法、系统、介质及计算机设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827104A (zh) * | 2010-04-27 | 2010-09-08 | 南京邮电大学 | 一种基于多反病毒引擎的网络病毒联合防御方法 |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN102810138A (zh) * | 2012-06-19 | 2012-12-05 | 北京奇虎科技有限公司 | 一种用户端文件的修复方法和系统 |
| CN103150511A (zh) * | 2013-03-18 | 2013-06-12 | 珠海市君天电子科技有限公司 | 一种安全防护系统 |
| CN104537304A (zh) * | 2014-12-31 | 2015-04-22 | 北京奇虎科技有限公司 | 文件查杀方法、装置及系统 |
| CN108898019A (zh) * | 2018-08-17 | 2018-11-27 | 广州瀚华建筑设计有限公司 | Cad病毒查杀方法、系统、计算机设备和可读存储介质 |
| US10397250B1 (en) * | 2016-01-21 | 2019-08-27 | F5 Networks, Inc. | Methods for detecting remote access trojan malware and devices thereof |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8726387B2 (en) * | 2011-02-11 | 2014-05-13 | F-Secure Corporation | Detecting a trojan horse |
| CN103366117B (zh) * | 2012-03-31 | 2017-08-01 | 深圳市腾讯计算机系统有限公司 | 一种感染型病毒修复方法及系统 |
| CN102945348B (zh) * | 2012-10-19 | 2016-08-03 | 北京奇虎科技有限公司 | 文件信息收集方法与装置 |
| CN102945349B (zh) * | 2012-10-19 | 2016-06-22 | 北京奇虎科技有限公司 | 未知文件处理方法与装置 |
| CN106304067B (zh) * | 2016-07-29 | 2019-12-24 | 成都轻车快马网络科技有限公司 | 用于移动互联网的云端数据处理方法 |
| CN108900492B (zh) * | 2018-06-21 | 2021-11-05 | 杭州安恒信息技术股份有限公司 | 物联网病毒识别与自适应远程查杀方法及系统 |
-
2019
- 2019-12-02 CN CN201911212960.3A patent/CN111159708B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827104A (zh) * | 2010-04-27 | 2010-09-08 | 南京邮电大学 | 一种基于多反病毒引擎的网络病毒联合防御方法 |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN102810138A (zh) * | 2012-06-19 | 2012-12-05 | 北京奇虎科技有限公司 | 一种用户端文件的修复方法和系统 |
| CN103150511A (zh) * | 2013-03-18 | 2013-06-12 | 珠海市君天电子科技有限公司 | 一种安全防护系统 |
| CN104537304A (zh) * | 2014-12-31 | 2015-04-22 | 北京奇虎科技有限公司 | 文件查杀方法、装置及系统 |
| US10397250B1 (en) * | 2016-01-21 | 2019-08-27 | F5 Networks, Inc. | Methods for detecting remote access trojan malware and devices thereof |
| CN108898019A (zh) * | 2018-08-17 | 2018-11-27 | 广州瀚华建筑设计有限公司 | Cad病毒查杀方法、系统、计算机设备和可读存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| Trojan Detection Based on Network Flow Clustering;Xiaochen Zhang 等;《2012 Fourth International Conference on Multimedia Information Networking and Security》;20130111;第947-950页 * |
| 页面木马及其安全威胁的监测与防范;李洋;《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》;20121015(第10期);第I139-277页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111159708A (zh) | 2020-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10891378B2 (en) | Automated malware signature generation | |
| US9680848B2 (en) | Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and API flow-based dynamic analysis | |
| US9715589B2 (en) | Operating system consistency and malware protection | |
| US9965630B2 (en) | Method and apparatus for anti-virus scanning of file system | |
| CN102647421B (zh) | 基于行为特征的web后门检测方法和装置 | |
| US9208323B1 (en) | Classifier-based security for computing devices | |
| CN105553917B (zh) | 一种网页漏洞的检测方法和系统 | |
| Rathnayaka et al. | An efficient approach for advanced malware analysis using memory forensic technique | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| US9147067B2 (en) | Security method and apparatus | |
| US20090287641A1 (en) | Method and system for crawling the world wide web | |
| JP6039826B2 (ja) | 不正アクセスの検知方法および検知システム | |
| CN107426196B (zh) | 一种识别web入侵的方法及系统 | |
| US10776487B2 (en) | Systems and methods for detecting obfuscated malware in obfuscated just-in-time (JIT) compiled code | |
| CN111159708B (zh) | 检测服务器中网页木马的装置、方法及存储介质 | |
| US8347393B2 (en) | Method and system for detecting a state of a web application using a signature | |
| CN116938600B (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
| CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
| CN110210221B (zh) | 一种文件风险检测方法和装置 | |
| CN108256327B (zh) | 一种文件检测方法及装置 | |
| CN113992378B (zh) | 一种安全监测方法、装置、电子设备及存储介质 | |
| CN113378172B (zh) | 用于识别敏感网页的方法、装置、计算机系统和介质 | |
| US10372513B2 (en) | Classification of application events using call stacks | |
| CN108900492B (zh) | 物联网病毒识别与自适应远程查杀方法及系统 | |
| CN111191234A (zh) | 一种病毒信息检测的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |