CN112182561B - 一种后门的检测方法、装置、电子设备和介质 - Google Patents
一种后门的检测方法、装置、电子设备和介质 Download PDFInfo
- Publication number
- CN112182561B CN112182561B CN202011017465.XA CN202011017465A CN112182561B CN 112182561 B CN112182561 B CN 112182561B CN 202011017465 A CN202011017465 A CN 202011017465A CN 112182561 B CN112182561 B CN 112182561B
- Authority
- CN
- China
- Prior art keywords
- back door
- detected
- sample
- backdoor
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 50
- 238000012795 verification Methods 0.000 claims abstract description 145
- 238000000034 method Methods 0.000 claims abstract description 79
- 244000035744 Hura crepitans Species 0.000 claims abstract description 48
- 230000008569 process Effects 0.000 claims abstract description 29
- 238000012544 monitoring process Methods 0.000 claims abstract description 24
- 230000006399 behavior Effects 0.000 claims description 86
- 230000006870 function Effects 0.000 claims description 57
- 238000012545 processing Methods 0.000 claims description 25
- 230000015654 memory Effects 0.000 claims description 19
- 235000014510 cooky Nutrition 0.000 claims description 13
- 230000008859 change Effects 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000003068 static effect Effects 0.000 abstract description 8
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 14
- 230000008901 benefit Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种后门的检测方法、装置、电子设备和介质,涉及云平台技术。具体实现方案为:获取待检测后门样本;在沙箱环境中启动运行待检测后门样本,向待检测后门样本传入验证参数,其中,验证参数用于提供获取隐私数据的路径入口或权限信息;在待检测后门样本的运行过程中,监听待检测后门样本操作验证参数的关联行为;根据监听到的关联行为,对待检测后门样本进行后门识别。本申请的方案,解决了现阶段通过静态检测方式很难实现后门的精准检测的问题,实现了在沙箱环境中动态地对后门样本进行检测,可以准确地对后门进行检测,并且可以准确地识别出后门的类别。
Description
技术领域
本申请涉及计算机技术领域,具体涉及云平台技术。
背景技术
在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法,通常为实现一定功能的程序,因此也可称为后门程序。后门检测是企业安全防线的重要一环,在众多后门类型中,由于web(网页)服务器直接暴露在公网,且开发的语言十分灵活,因此,web后门是最常见的,也是最难检测的。
现阶段,对于web服务器的web后门仅能通过静态检测的方式进行检测。但是,由于开发语言的灵活性,很难确定web后门的大量样本,导致通过静态检测方式很难实现web后门的准确检测。
发明内容
本申请提供了一种后门的检测方法、装置、电子设备和介质。
根据本申请的一方面,提供了一种后门的检测方法,包括:
获取待检测后门样本;
在沙箱环境中启动运行所述待检测后门样本,向所述待检测后门样本传入验证参数,其中,所述验证参数用于提供获取隐私数据的路径入口或权限信息;
在所述待检测后门样本的运行过程中,监听所述待检测后门样本操作所述验证参数的关联行为;
根据所述监听到的关联行为,对所述待检测后门样本进行后门识别。
根据本申请的另一方面,提供了一种后门的检测装置,包括:
后门样本获取模块,用于获取待检测后门样本;
验证参数传入模块,用于在沙箱环境中启动运行所述待检测后门样本,向所述待检测后门样本传入验证参数,其中,所述验证参数用于提供获取隐私数据的路径入口或权限信息;
关联行为监听模块,用于在所述待检测后门样本的运行过程中,监听所述待检测后门样本操作所述验证参数的关联行为;
后门识别模块,用于根据所述监听到的关联行为,对所述待检测后门样本进行后门识别。
根据本申请的另一方面,提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本申请中任一实施例所述的后门的检测方法。
根据本申请的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行本申请中任一实施例所述的后门的检测方法。
上述申请中的一个实施例具有如下优点或有益效果:可以解决现阶段通过静态检测方式很难实现web后门的精准检测的问题,实现了在沙箱环境中动态地对后门样本进行检测,可以准确地对web后门进行检测,并且可以准确地识别出web后门的类别。
上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是根据本申请实施例的一种后门的检测方法的示意图;
图2是根据本申请实施例的另一种后门的检测方法的示意图;
图3是根据本申请实施例的另一种后门的检测方法的示意图;
图4是根据本申请实施例的另一种后门的检测方法的示意图;
图5是根据本申请实施例的另一种后门的检测方法的示意图;
图6是根据本申请实施例的一种后门的检测装置的框图;
图7是用来实现本申请实施例的后门的检测方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本申请实施例的一种后门的检测方法的示意图,本实施例适用于在沙箱环境中运行待检测后门样本,并对待检测后门样本进行后门识别的情况,该方法可以通过后门的检测装置执行,该装置可以通过软件和/或硬件的方式实现,并具体配置于电子设备中,该电子设备中可以为计算机、web服务器或者平板电脑等,本实施例中对其不加以限定。具体的,参考图1,后门的检测方法具体包括如下:
S110、获取待检测后门样本。
其中,在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法,通常为实现一定功能的程序,因此也可称为后门程序。常见的后门程序有web后门、线程插入后门以及账号后门等。
可选的,本实施例中涉及到的待检测后门样本可以为web后门,也可以为线程后门或者插入后门,本实施例中对其不加以限定。例如,可以为从web服务器获取到的脚本文件(例如,PHP(Hypertext Preprocessor,超文本预处理器)文件或者JSP(Java ServerPages,JAVA服务器页面)文件);还可以是从服务器中获取到的复制账号文件等,本实施例中对其不加以限定。示例性的,如果在web服务器的运行过程中,获取到了一个新增的PHP文件,则可以将这个PHP文件作为待检测后门样本。向web服务器新增的文件,可能包括了正常需要上传到web服务器的文件,也可能是恶意上传的后门文件。
S120、在沙箱环境中启动运行待检测后门样本,向待检测后门样本传入验证参数。
其中,验证参数用于提供获取隐私数据的路径入口或权限信息。在本实施例中,隐私数据可以为web服务器中存储的用户数据,用户数据可以包括网页内容数据或者用户个人数据,例如,用户名、用户身份信息或者登录密码等,本实施例中对其不加以限定;可选的,本实施例中可以通过验证参数获取隐私数据的路径入口或者权项信息;例如,可以通过验证参数获取用户的身份信息的路径入口,或者通过验证参数获取访问用户的身份信息的权限信息。示例性的,验证参数可以为:GET请求参数或者POST请求参数等,本实施例中对其不加以限定。
在本实施例中,沙箱环境可以是web服务器中的一个虚拟系统程序,它是一个独立的作业环境,在其内部运行的程序并不能对web服务器产生永久性的影响,因此,可以在沙箱环境的内部运行上述步骤中获取到的待检测后门样本。
在本实施例的一个可选实现方式中,在获取到待检测后门样本之后,可以在沙箱环境中启动运行获取到的待检测后门样本,并向待检测后门样本中传入验证参数。示例性的,在web服务器的运行过程中,监听到了一个新增的PHP文件,并将这个PHP文件作为待检测后门样本之后,可以在沙箱环境中启动运行PHP文件,并向PHP文件中传入GET请求参数、POST请求参数或者同时传入GET请求参数和POST请求参数。
S130、在待检测后门样本的运行过程中,监听待检测后门样本操作验证参数的关联行为。
其中,待检测后门样本操作验证参数的关联行为可以为:当前执行命令的命令参数、所执行动态变更代码(例如,eval代码)或者当前写入文件的文件正文内容等区域中包括验证参数,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在沙箱环境中启动运行待检测后门样本,并向待检测后门样本传入验证参数之后,可以进一步的在待检测后门样本的运行过程中,待检测后门样本将会不断的产生命令执行以及读取文件等行为,此时,即可监听待检测后门样本操作验证参数的关联行为。
示例性的,在沙箱环境中启动运行PHP文件(待检测后门样本),并向PHP文件中传入GET请求参数之后,则在PHP文件的运行过程中,监听到PHP文件操作验证参数的关联行为可以是在当前执行命令的命令参数中包含GET请求参数;也可以是当前写入文件的文件正文内容中包含GET请求参数等。
S140、根据监听到的关联行为,对待检测后门样本进行后门识别。
在本实施例的一个可选实现方式中,在待检测后门样本的运行过程中,监听待检测后门样本操作验证参数的关联行为之后,可以进一步的根据所监听到的关联行为,对待检测后门样本进行后门识别,即确定待检测后门样本是否为后门,以及后门的类别。
示例性的,如上述例子中,若监听到PHP文件(待检测后门样本)操作验证参数的关联行为是在当前执行命令的命令参数中包含GET请求参数,则可以确定PHP文件为命令执行后门;若监听到PHP文件操作验证参数的关联行为是当前写入文件的文件正文内容中包含GET请求参数,则可以确定PHP文件为文件内容后门等。
本实施例的方案,通过获取待检测后门样本;在沙箱环境中启动运行待检测后门样本,向待检测后门样本传入验证参数,其中,验证参数用于提供获取隐私数据的路径入口或权限信息;在待检测后门样本的运行过程中,监听待检测后门样本操作验证参数的关联行为;根据监听到的关联行为,对待检测后门样本进行后门识别,解决了现阶段通过静态检测方式很难实现后门的精准检测的问题,实现了在沙箱环境中动态地对后门样本进行检测,可以准确地对后门进行检测,并且可以准确地识别出后门的类别。
图2是根据本申请实施例的另一种后门的检测方法的示意图,本实施例是对上述技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图2所示,后门的检测方法包括如下:
S210、从web服务器中监听获取新增文件,作为待检测后门样本。
其中,待检测后门样本的形式为可执行程序,例如,PHP文件、JSP文件或者JSPX文件等,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,可以实时的对web服务器进行监听,一旦监听到新增的可执行程序,则将其作为待检测的后门样本。示例性的,若对web服务器的监听过程中,监听到新增一个命名为“a”的JSP文件,则可以将这个JSP文件确定为待检测后门样本。
在本实施例的另一个可选实现方式中,可以实时的对web服务器的根目录进行监听,当有新的文件写入web服务器的根目录时,将获取该文件,并将其作为待检测的后门样本。
S220、在沙箱环境中启动运行待检测后门样本,在待检测后门样本请求获取输入参数时,向待检测后门样本传入验证参数。
其中,验证参数与输入参数相同或不同;其中,验证参数可以包括GET请求参数、POST请求参数、Cookie(储存在用户本地终端上的数据)和Header(请求头)等参数,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在web服务器中监听获取到待检测后门样本之后,可以在沙箱环境中启动运行监听获取到的待检测后门样本,当待检测后门样本请求获取输入参数时,向待检测后门样本传入验证参数。待检测后门样本请求获取的目标输入参数可能并不是后续传入的验证参数,但沙箱环境依然可利用此请求输入参数的环节,将验证参数传入待检测后门样本中,以便进行检测;示例性的,当检测到后门样本请求获取第一GET请求参数,可以向待检测后门样本传入第一GET请求参数;也可以向待检测后门样本传入第二GET请求参数;其中,第一GET请求参数与第二GET请求参数是两个不同的GET请求参数,本实施例中对其具体形式和内容不作限定。
这样设置的好处在于,在待检测后门样本请求获取输入参数时,向待检测后门样本传入验证参数,可以为后续准确地确定待检测后门样本的后门类别提供依据。
S230、在待检测后门样本的运行过程中,监听待检测后门样本操作验证参数的关联行为。
S240、根据监听到的关联行为,对待检测后门样本进行后门识别。
本实施例的方案,实时的对web服务器进行监听,一旦监听到web服务器新增文件,即将其确定为待检测后门样本,并对其进行后续的检测,可以实现对web服务器的全监控,避免了web后门攻击web服务器。
图3是根据本申请实施例的另一种后门的检测方法的示意图,本实施例是对上述技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图3所示,后门的检测方法包括如下:
S310、从web服务器中监听获取新增文件,作为待检测后门样本。
S320、在沙箱环境中启动运行待检测后门样本,向待检测后门样本传入验证参数。
其中,验证参数用于提供获取隐私数据的路径入口或权限信息。
S330、在待检测后门样本的运行过程中,监听待检测后门样本操作验证参数的关联行为。
S340、根据监听到的关联行为,对待检测后门样本进行后门识别。
可选的,根据监听到的关联行为,对待检测后门样本进行后门识别,可以包括如下操作,下述操作可以独立实施,也可以结合实施;可以按照设定顺序串行实施,也可以并行实施。即实施顺序和组合方式不限。具体操作如下:
S341、如果监听到的关联行为是当前执行命令的命令参数包括验证参数,则确定待检测后门样本为命令执行后门。
在本实施例的一个可选实现方式中,在待检测后门样本的运行过程中,如果监听到的关联行为是当前执行命令的命令参数中包括向待检测后门样本传入的验证参数,则可以确定待检测后门样本为命令执行后门。
示例性的,如果向待检测后门样本传入验证参数中包含POST请求参数A,当监听到当前执行命令的命令参数中包含POST请求参数A,则可以确定待检测后门样本为命令执行后门时,并继续在沙箱环境中执行待检测后门样本。
S342、如果监听到的关联行为是所执行动态变更代码包括验证参数,则确定待检测后门样本为动态代码后门。
在本实施例的一个可选实现方式中,在待检测后门样本的运行过程中,如果监听到的关联行为是所执行动态变更代码(例如,eval代码)中包括向待检测后门样本传入的验证参数,则可以确定待检测后门样本为动态代码后门。
示例性的,如果向待检测后门样本传入的验证参数中包含POST请求参数A和GET请求参数A,当监听到所执行eval代码中包含POST请求参数A和GET请求参数A时,则可以确定待检测后门样本为动态代码后门,并继续在沙箱环境中执行待检测后门样本。
S343、如果监听到的关联行为是当前写入文件和/或文件内容中包括验证参数,则确定待检测后门样本为文件上传后门。
在本实施例的一个可选实现方式中,在待检测后门样本的运行过程中,如果监听到的关联行为是当前写入文件、当前写入文件的文件内容,或者当前写入文件和文件内容中包括向待检测后门样本传入的验证参数,则可以确定待检测后门样本为文件上传后门。
示例性的,如果向待检测后门样本传入的验证参数中包含第一Cookie文件,当监听到当前写入文件(例如,文件名称或者文件所存储的地址)和文件内容为第一Cookie文件时,则可以确定待检测后门样本为文件上传后门,并继续在沙箱环境中执行待检测后门样本。
S344、如果监听到的关联行为是当前访问网址为验证参数,则确定待检测后门样本为网络访问后门。
在本实施例的一个可选实现方式中,在待检测后门样本的运行过程中,监听待检测后门样本操作验证参数的关联行为,如果监听到的关联行为是当前访问网站为向待检测后门样本传入的验证参数,则可以确定待检测后门样本为网络访问后门。
示例性的,如果向待检测后门样本传入的验证参数中包含POST请求参数C,当监听到当前访问网址中包含POST请求参数C时,则可以确定待检测后门样本为网络访问后门,并继续在沙箱环境中执行待检测后门样本。
S345、如果监听到的关联行为是对验证参数进行反序列化处理,则确定待检测后门样本为反序列化后门。
在本实施例的另一个可选实现方式中,在待检测后门样本的运行过程中,如果监听到的关联行为是对向待检测后门样本传入的验证参数进行反序列化处理(即对验证参数进行重建操作),则可以确定待检测后门样本为反序列化后门,并继续在沙箱环境中执行待检测后门样本。
示例性的,如果向待检测后门样本传入的验证参数中包含第二Cookie文件,当监听到对第二Cookie文件的重建操作,得到新的第二Cookie文件时,则可以确定待检测后门样本为反序列化后门。
S346、如果监听到的关联行为是当前写入文件的文件正文内容中包括验证参数,则确定待检测后门样本为文件包含后门。
在本实施例的另一个可选实现方式中,在待检测后门样本的运行过程中,如果监听到的关联行为是当前文件的文件正文内容中包括传入待检测后门样本的验证参数,则可以确定待检测后门样本为文件包含后门,并继续在沙箱环境中执行待检测后门样本。
示例性的,如果向待检测后门样本传入的验证参数中包含GET请求参数A、POST请求参数B、Cookie文件C和请求Header D,并确认同时包含这些参数的文件为一个web后门,当监听到当前文件的文件正文内容中包含上述验证参数时,则可以确定待检测后门样本为文件包含后门。
S347、如果监听到的关联行为是当前删除文件中包括验证参数,则确定待检测后门样本为文件管理器后门。
在本实施例的另一个可选实现方式中,在待检测后门样本的运行过程中,如果监听到的关联行为是当前删除文件的文件中包括传入待检测后门样本的验证参数,则可以确定待检测后门样本为文件管理器后门,并继续在沙箱环境中执行待检测后门样本。
示例性的,如果向待检测后门样本传入的验证参数中包含第三Cookie文件,当监听到当前删除的文件中第三Cookie文件时,则可以确定待检测后门样本为文件管理器后门。
S348、如果监听到的关联行为是当前发送邮件的目的地址和/或邮件内容包括验证参数,则确定待检测后门样本为恶意邮件发送后门。
在本实施例的另一个可选实现方式中,在待检测后门样本的运行过程中,如果监听到的关联行为是当前发送邮件的目的地址、邮件内容,或者当前发送邮件的目的地址和邮件内容中包括传入待检测后门样本的验证参数,则可以确定待检测后门样本为恶意邮件发送后门,并继续在沙箱环境中执行待检测后门样本。
示例性的,如果向待检测后门样本传入的验证参数中包含GET请求参数A和POST请求参数B,当监听到当前发送邮件的目的地址中包含GET请求参数A和POST请求参数B时,则可以确定待检测后门样本为恶意邮件发送后门。
S349、如果监听到的关联行为是当前待访问数据库的链接地址、数据库账号、和/或数据库密码为验证参数,则确定待检测后门样本为数据库访问后门。
在本实施例的一个可选实现方式中,如果监听到的关联行为是当前待访问数据库的链接地址、数据库账号或者数据库密码为传入待检测后门样本的验证参数,则可以确定待检测后门样本为数据库访问后门,并继续在沙箱环境中执行待检测后门样本。
示例性的,如果向待检测后门样本传入的验证参数中包含数据库的链接地址A、数据库账号A以及数据库密码A,当监听到当前待访问数据库的连接地址为数据库的链接地址A、数据库账号为数据库账号A或者数据库密码为数据库密码A时,则可以确定待检测后门样本为数据库访问后门。
本实施例的方案,根据监听到的不同的关联行为,将待检测后门样本识别为不同类别的后门,可以准确地识别出web后门的类别,为后续对web后门文件的处理提供依据。
图4是根据本申请实施例的另一种后门的检测方法的示意图,本实施例是对上述技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图4所示,后门的检测方法包括如下:
S410、从web服务器中监听获取新增文件,作为待检测后门样本。
S420、在沙箱环境中启动运行待检测后门样本,向待检测后门样本传入验证参数。
S430、在待检测后门样本的运行过程中,如果监听到的关联行为是当前删除文件为待检测后门样本,则确定待检测后门样本为自删除后门。
在本实施例的一个可选实现方式中,在待检测后门样本的运行过程中,对待检测后门样本操作验证参数的关联行为进行监听,如果监听到的关联行为是当前删除样本为待检测后门文件,则可以确定待检测后门样本为自删除后门。
可以理解的是,正在运行的文件为待检测后门样本,如果监听到当前删除的样本文件为正在运行的待检测后门样本,那么待检测后门样本执行的是自删除操作。
这样设置的好处在于,可以准确地识别后门文件的自删除操作,为后续对后门文件的处理提供依据。
在本实施例的另一个可选实现方式中,在待检测后门样本的运行过程中,还可以包括:在监听到参数处理函数时,如果参数处理函数的目标参数包括验证参数,则向参数处理函数返回验证参数。
其中,参数处理函数包括解密函数或字符串反向函数。在本实施例中,解密函数可以为base64解密函数,也可以为openssl解密函数,本实施例中对其不加以限定。
需要说明的是,在本实施例中当解密函数为base64解密函数时,如果要解密的内容为传入待检测后门样本的验证参数,则将返回值设置为传入待检测后门样本的验证参数;当解密函数为openssl解密函数时,如果要解密的内容为传入待检测后门样本的验证参数,则将返回值设置为传入待检测后门样本的验证参数;针对字符串反向函数,如果要处理的字符串为传入待检测后门样本的验证参数,则将返回值设置为传入待检测后门样本的验证参数。
在本实施例的一个可选实现方式中,当待检测后门文件运行完毕后,会将所有的运行结果进行上传,以使web服务器根据运行结果对待检测后门样本进行删除;示例性的,若运行结果显示待检测后门样本为动态代码后门以及恶意邮件发送后门,则可以对待检测后门样本进行标记,并禁止其在web服务器中运行。
本实施例的方案,在监听到参数处理函数时,如果参数处理函数的目标参数包括验证参数,则向参数处理函数返回验证参数,可以准确地识别到解密函数,进一步的降低后门检测的误报率。
可以理解的是,本申请中涉及到的后门的检测方法由文件采集客户端、扫描任务队列服务以及扫描引擎组成。首先,用户将文件采集客户端安装到web服务器上,文件采集客户端读取服务器配置文件,并获取web服务器根目录路径。文件采集客户端使用操作系统提供的接口,对web服务器根目录进行监控,当有新的文件写入时候,操作系统将会通知客户端。当文件采集客户端收到通知后,会读取这个文件,并上报到后台任务扫描队列。
扫描引擎主动监听扫描任务队列;当有新的扫描任务到达时,扫描引擎会从队列里获取之前客户端上传的样本文件,并启动扫描。扫描引擎首先加载样本文件,并对GET请求参数、POST请求参数、Cookie、请求Header等输入参数进行填充。扫描引擎开始执行,在执行过程中,样本将会不断的产生命令执行、读取文件等行为。当扫描引擎检测到上述行为,将会作出如下判断:
1.命令执行。检测引擎将会判断执行的命令是否为启动阶段填充的内容;如果是,则判定为命令执行后门,并继续执行。
2.Eval代码执行。检测引擎将会判断执行的代码是否为启动阶段填充的内容;如果是,则判定为动态代码后门,并继续执行。
3.文件写入。检测引擎将会判断要写入的文件和文件内容是否为启动阶段填充的内容;如果是,则判定为文件上传后门,并继续执行。
4.网络访问。检测引擎将会判断要访问的地址是否为启动阶段填充的内容;如果是,则判定为网络访问后门,并继续执行。
5.反序列化。检测引擎将会判断要反序列化的内容是否为启动阶段填充的内容;如果是,则判定为反序列化后门,并继续执行。
6.文件包含。检测引擎将会判断要包含的内容是否为启动阶段填充的内容;如果是,则判定为文件包含后门,并继续执行。
7.文件删除。如果要删除的文件为当前样本文件,判定为自删除后门;如果要删除的文件为启动阶段填充的内容,则判定为文件管理器后门,并继续执行。
8.邮件发送。检测引擎将会判断要发送的地址和的内容是否为启动阶段填充的内容;如果是,则判定为恶意邮件发送后门,并继续执行。
9.数据库连接。检测引擎将会判断要连接地址、数据库账号、数据库密码三个内容是否为启动阶段填充的内容;如果是,则判定为数据库访问后门,并继续执行。
可选的,在样本运行过程中,如果遇到解密函数,将作出如下处理:
base64解密。如果要解密的内容为启动阶段填充的内容,将返回值设置为启动阶段填充的内容。
openssl解密。如果要解密的内容为启动阶段填充的内容,将返回值设置为启动阶段填充的内容。
字符串反向函数。如果要处理的字符串为启动阶段填充的内容,将返回值设置为启动阶段填充的内容。
可选的,在脚本执行完毕后,检测引擎会上报所有结果。
本实施例的方案,与使用词法分析方式,提取文件语义特征,并使用语法分析进行分类检测的不同之处在于:上述方案在处理web文件时并不是真的去执行,而是通过语法解析来跟踪变量。如果在分析语法时识别到高危函数的调用,它会根据变量追踪结果判断当前的函数的参数,是否为用户可控制的内容,如果是则判定为web后门。这种方案缺陷非常明显,它需要对Web服务器引擎进行完整的适配和解析,否则很容易漏报;而本实施例的方案,是在沙箱环境中运行web文件,可以准确地对后门进行检测,并且可以准确地识别出后门的类别。
为了更好地理解本申请实施例,图5是根据本申请实施例的另一种后门的检测方法的示意图;参考图5,该方法包括如下:
S510、从队列里获取web脚本文件,并启动沙箱执行该文件。
S520、沙箱案行解析并执行web脚本文件。
S530、应用获取请求参数等信息,沙箱返回动态填充的内容。
S540、web脚本文件触发高危函数调用。
S550、若高危函数参数是动态填充内容,判定为web后门。
S560、web脚本文件执行完毕,退出沙箱并上报结果。
本申请的方案,解决了现阶段通过静态检测方式很难实现web后门的精准检测的问题,实现了在沙箱环境中动态地对web后门样本进行检测,可以准确地对web后门进行检测,并且可以准确地识别出后门的类别。
图6是根据本申请实施例的一种后门的检测装置的框图,该装置可以执行本申请任一实施例中涉及到的后门的检测方法,并可以通过软件和/或硬件的方式实现。具体的,参考图6,该装置具体包括:后门样本获取模块610、验证参数传入模块620、关联行为监听模块630和后门识别模块640。
其中,后门样本获取模块610,用于获取待检测后门样本;
验证参数传入模块620,用于在沙箱环境中启动运行待检测后门样本,向待检测后门样本传入验证参数,其中,验证参数用于提供获取隐私数据的路径入口或权限信息;
关联行为监听模块630,用于在待检测后门样本的运行过程中,监听待检测后门样本操作验证参数的关联行为;
后门识别模块640,用于根据监听到的关联行为,对待检测后门样本进行后门识别。
本实施例的方案,通过后门样本获取模块获取待检测后门样本;通过验证参数传入模块在沙箱环境中启动运行待检测后门样本,向待检测后门样本传入验证参数,其中,验证参数用于提供获取隐私数据的路径入口或权限信息;通过关联行为监听模块在待检测后门样本的运行过程中,监听待检测后门样本操作验证参数的关联行为;通过后门识别模块根据监听到的关联行为,对待检测后门样本进行后门识别,解决了现阶段通过静态检测方式很难实现后门的精准检测的问题,实现了在沙箱环境中动态地对后门样本进行检测,可以准确地对后门进行检测,并且可以准确地识别出后门的类别。
可选的,后门样本获取模块610,具体用于从web服务器中监听获取新增文件,作为待检测后门样本;其中,待检测后门样本的形式为可执行程序。
可选的,验证参数传入模块620,具体用于在沙箱环境中启动运行待检测后门样本,在待检测后门样本请求获取输入参数时,向待检测后门样本传入验证参数;其中,验证参数与输入参数相同或不同。
可选的,隐私数据为web服务器中存储的用户数据,用户数据包括web内容数据、用户个人数据。
可选的,验证参数包括下述至少一项:GET请求参数、POST请求参数、Cookie和Header。
可选的,后门识别640模块,具体用于
如果监听到的关联行为是所执行动态变更代码包括验证参数,则确定待检测后门样本为动态代码后门;
如果监听到的关联行为是当前写入文件和/或文件内容中包括验证参数,则确定待检测后门样本为文件上传后门;
如果监听到的关联行为是当前访问网址为验证参数,则确定待检测后门样本为网络访问后门;
如果监听到的关联行为是对验证参数进行反序列化处理,则确定待检测后门样本为反序列化后门;
如果监听到的关联行为是当前写入文件的文件正文内容中包括验证参数,则确定待检测后门样本为文件包含后门;
如果监听到的关联行为是当前删除文件中包括验证参数,则确定待检测后门样本为文件管理器后门;
如果监听到的关联行为是当前发送邮件的目的地址和/或邮件内容包括验证参数,则确定待检测后门样本为恶意邮件发送后门;
如果监听到的关联行为是当前待访问数据库的链接地址、数据库账号、和/或数据库密码为验证参数,则确定待检测后门样本为数据库访问后门。
可选的,后门的检测装置还包括:自删除后门确定模块,用于如果监听到的关联行为是当前删除文件为待检测后门样本,则确定待检测后门样本为自删除后门。
可选的,后门的检测装置还包括:验证参数返回模块,用于在监听到参数处理函数时,如果参数处理函数的目标参数包括验证参数,则向参数处理函数返回验证参数,其中,参数处理函数包括解密函数或字符串反向函数。
可选的,解密函数为base64解密函数或openssl解密函数。
上述任务作业装置可执行本申请任意实施例所提供的后门的检测方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请任意实施例提供的后门的检测方法。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图7所示,是用来实现本申请实施例的后门的检测方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图7所示,该电子设备包括:一个或多个处理器701、存储器702,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图7中以一个处理器701为例。
存储器702即为本申请所提供的非瞬时计算机可读存储介质。其中,存储器存储有可由至少一个处理器执行的指令,以使至少一个处理器执行本申请所提供的后门的检测方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的后门的检测方法。
存储器702作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的后门的检测方法对应的程序指令/模块(例如,附图6所示的后门样本获取模块610、验证参数传入模块620、关联行为监听模块630和后门识别模块640)。处理器701通过运行存储在存储器702中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的后门的检测方法。
存储器702可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据后门的检测方法的电子设备的使用所创建的数据等。此外,存储器702可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器702可选包括相对于处理器701远程设置的存储器,这些远程存储器可以通过网络连接至后门的检测方法的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
用来实现后门的检测方法的电子设备还可以包括:输入装置703和输出装置704。处理器701、存储器702、输入装置703和输出装置704可以通过总线或者其他方式连接,图7中以通过总线连接为例。
输入装置703可接收输入的数字或字符信息,以及产生与后门的检测方法的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置704可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
根据本申请实施例的技术方案,通过获取待检测后门样本;在沙箱环境中启动运行待检测后门样本,向待检测后门样本传入验证参数,其中,验证参数用于提供获取隐私数据的路径入口或权限信息;在待检测后门样本的运行过程中,监听待检测后门样本操作验证参数的关联行为;根据监听到的关联行为,对待检测后门样本进行后门识别,解决了现阶段通过静态检测方式很难实现后门的精准检测的问题,实现了在沙箱环境中动态地对后门样本进行检测,可以准确地对后门进行检测,并且可以准确地识别出后门的类别。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (18)
1.一种后门的检测方法,包括:
获取待检测后门样本;其中,所述待检测后门样本包括:web后门、线程插入后门和账号后门;所述待检测后门样本的形式为可执行程序;
在沙箱环境中启动运行所述待检测后门样本,向所述待检测后门样本传入验证参数;其中,所述验证参数用于提供获取隐私数据的路径入口或权限信息;所述沙箱环境为web服务器中的一个虚拟系统程序;
在所述待检测后门样本的运行过程中,监听所述待检测后门样本操作所述验证参数的关联行为;
根据所述监听到的关联行为,对所述待检测后门样本进行后门识别包括下述至少一种:
如果监听到的关联行为是当前执行命令的命令参数包括所述验证参数,则确定所述待检测后门样本为命令执行后门;
如果监听到的关联行为是所执行动态变更代码包括所述验证参数,则确定所述待检测后门样本为动态代码后门;
如果监听到的关联行为是当前写入文件和/或文件内容中包括所述验证参数,则确定所述待检测后门样本为文件上传后门;
如果监听到的关联行为是当前访问网址为所述验证参数,则确定所述待检测后门样本为网络访问后门;
如果监听到的关联行为是对所述验证参数进行反序列化处理,则确定所述待检测后门样本为反序列化后门;
如果监听到的关联行为是当前写入文件的文件正文内容中包括所述验证参数,则确定所述待检测后门样本为文件包含后门;
如果监听到的关联行为是当前删除文件中包括所述验证参数,则确定所述待检测后门样本为文件管理器后门;
如果监听到的关联行为是当前发送邮件的目的地址和/或邮件内容包括所述验证参数,则确定所述待检测后门样本为恶意邮件发送后门;
如果监听到的关联行为是当前待访问数据库的链接地址、数据库账号、和/或数据库密码为所述验证参数,则确定所述待检测后门样本为数据库访问后门。
2.根据权利要求1所述的方法,其中,所述获取待检测后门样本,包括:
从网页web服务器中监听获取新增文件,作为所述待检测后门样本。
3.根据权利要求1所述的方法,其中,所述在沙箱环境中启动运行所述待检测后门样本,向所述待检测后门样本传入验证参数,包括:
在所述沙箱环境中启动运行所述待检测后门样本,在所述待检测后门样本请求获取输入参数时,向所述待检测后门样本传入验证参数;其中,所述验证参数与所述输入参数相同或不同。
4.根据权利要求1所述的方法,其中,所述隐私数据为web服务器中存储的用户数据,所述用户数据包括网页内容数据、用户个人数据。
5.根据权利要求1或3所述的方法,其中,所述验证参数包括下述至少一项:GET请求参数、POST请求参数、储存在用户本地终端上的数据Cookie和请求头Header。
6.根据权利要求1所述的方法,其中,所述在所述待检测后门样本的运行过程中,还包括:
如果监听到的关联行为是当前删除文件为所述待检测后门样本,则确定所述待检测后门样本为自删除后门。
7.根据权利要求1所述的方法,其中,所述在所述待检测后门样本的运行过程中,还包括:
在监听到参数处理函数时,如果所述参数处理函数的目标参数包括所述验证参数,则向所述参数处理函数返回所述验证参数;其中,所述参数处理函数包括解密函数或字符串反向函数。
8.根据权利要求7所述的方法,其中,所述解密函数为base64解密函数或openssl解密函数。
9.一种后门的检测装置,包括:
后门样本获取模块,用于获取待检测后门样本;其中,所述待检测后门样本包括:web后门、线程插入后门和账号后门;所述待检测后门样本的形式为可执行程序;
验证参数传入模块,用于在沙箱环境中启动运行所述待检测后门样本,向所述待检测后门样本传入验证参数;其中,所述验证参数用于提供获取隐私数据的路径入口或权限信息;所述沙箱环境为web服务器中的一个虚拟系统程序;
关联行为监听模块,用于在所述待检测后门样本的运行过程中,监听所述待检测后门样本操作所述验证参数的关联行为;
后门识别模块,用于根据所述监听到的关联行为,对所述待检测后门样本进行后门识别;
其中,所述后门识别模块,具体用于
如果监听到的关联行为是所执行动态变更代码包括所述验证参数,则确定所述待检测后门样本为动态代码后门;
如果监听到的关联行为是当前写入文件和/或文件内容中包括所述验证参数,则确定所述待检测后门样本为文件上传后门;
如果监听到的关联行为是当前访问网址为所述验证参数,则确定所述待检测后门样本为网络访问后门;
如果监听到的关联行为是对所述验证参数进行反序列化处理,则确定所述待检测后门样本为反序列化后门;
如果监听到的关联行为是当前写入文件的文件正文内容中包括所述验证参数,则确定所述待检测后门样本为文件包含后门;
如果监听到的关联行为是当前删除文件中包括所述验证参数,则确定所述待检测后门样本为文件管理器后门;
如果监听到的关联行为是当前发送邮件的目的地址和/或邮件内容包括所述验证参数,则确定所述待检测后门样本为恶意邮件发送后门;
如果监听到的关联行为是当前待访问数据库的链接地址、数据库账号、和/或数据库密码为所述验证参数,则确定所述待检测后门样本为数据库访问后门。
10.根据权利要求9所述的装置,其中,所述后门样本获取模块,具体用于
从网页服务器中监听获取新增文件,作为所述待检测后门样本。
11.根据权利要求9所述的装置,其中,所述验证参数传入模块,具体用于
在所述沙箱环境中启动运行所述待检测后门样本,在所述待检测后门样本请求获取输入参数时,向所述待检测后门样本传入验证参数;其中,所述验证参数与所述输入参数相同或不同。
12.根据权利要求9所述的装置,其中,所述隐私数据为网页服务器中存储的用户数据,所述用户数据包括网页内容数据、用户个人数据。
13.根据权利要求9或11所述的装置,其中,所述验证参数包括下述至少一项:GET请求参数、POST请求参数、Cookie和Header。
14.根据权利要求9所述的装置,其中,所述装置还包括:
自删除后门确定模块,用于如果监听到的关联行为是当前删除文件为所述待检测后门样本,则确定所述待检测后门样本为自删除后门。
15.根据权利要求9所述的装置,其中,所述装置还包括:
验证参数返回模块,用于在监听到参数处理函数时,如果所述参数处理函数的目标参数包括所述验证参数,则向所述参数处理函数返回所述验证参数;其中,所述参数处理函数包括解密函数或字符串反向函数。
16.根据权利要求15所述的装置,其中,所述解密函数为base64解密函数或openssl解密函数。
17.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的后门的检测方法。
18.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1-8中任一项所述的后门的检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011017465.XA CN112182561B (zh) | 2020-09-24 | 2020-09-24 | 一种后门的检测方法、装置、电子设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011017465.XA CN112182561B (zh) | 2020-09-24 | 2020-09-24 | 一种后门的检测方法、装置、电子设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112182561A CN112182561A (zh) | 2021-01-05 |
CN112182561B true CN112182561B (zh) | 2024-04-30 |
Family
ID=73955537
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011017465.XA Active CN112182561B (zh) | 2020-09-24 | 2020-09-24 | 一种后门的检测方法、装置、电子设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112182561B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113904796B (zh) * | 2021-08-27 | 2023-11-17 | 国家计算机网络与信息安全管理中心 | 网络流量安全检测的设备后门检测方法 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101373502A (zh) * | 2008-05-12 | 2009-02-25 | 公安部第三研究所 | 基于Win32平台下病毒行为的自动化分析系统 |
EP2584488A1 (en) * | 2011-09-20 | 2013-04-24 | Kaspersky Lab Zao | System and method for detecting computer security threats based on verdicts of computer users |
CN104331663A (zh) * | 2014-10-31 | 2015-02-04 | 北京奇虎科技有限公司 | web shell的检测方法以及web服务器 |
CN106301974A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站后门检测方法和装置 |
CN106295328A (zh) * | 2015-05-20 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 文件检测方法、装置及系统 |
CN106549980A (zh) * | 2016-12-30 | 2017-03-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意c&c服务器确定方法及装置 |
CN106713277A (zh) * | 2016-11-28 | 2017-05-24 | 北京奇虎科技有限公司 | 一种目标样本文件的检测方法和装置 |
CN106778246A (zh) * | 2016-12-01 | 2017-05-31 | 北京奇虎科技有限公司 | 沙箱虚拟化的检测方法及检测装置 |
CN107104924A (zh) * | 2016-02-22 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 网站后门文件的验证方法及装置 |
CN107241296A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 一种Webshell的检测方法及装置 |
CN108322420A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 后门文件的检测方法和装置 |
CN108768960A (zh) * | 2018-05-10 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、存储介质及计算机设备 |
CN109657459A (zh) * | 2018-10-11 | 2019-04-19 | 平安科技(深圳)有限公司 | 网页后门检测方法、设备、存储介质及装置 |
CN109684832A (zh) * | 2017-10-19 | 2019-04-26 | 卡巴斯基实验室股份制公司 | 检测恶意文件的系统和方法 |
CN109933977A (zh) * | 2019-03-12 | 2019-06-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种检测webshell数据的方法及装置 |
-
2020
- 2020-09-24 CN CN202011017465.XA patent/CN112182561B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101373502A (zh) * | 2008-05-12 | 2009-02-25 | 公安部第三研究所 | 基于Win32平台下病毒行为的自动化分析系统 |
EP2584488A1 (en) * | 2011-09-20 | 2013-04-24 | Kaspersky Lab Zao | System and method for detecting computer security threats based on verdicts of computer users |
CN104331663A (zh) * | 2014-10-31 | 2015-02-04 | 北京奇虎科技有限公司 | web shell的检测方法以及web服务器 |
CN106301974A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站后门检测方法和装置 |
CN106295328A (zh) * | 2015-05-20 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 文件检测方法、装置及系统 |
CN107104924A (zh) * | 2016-02-22 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 网站后门文件的验证方法及装置 |
CN107241296A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 一种Webshell的检测方法及装置 |
CN106713277A (zh) * | 2016-11-28 | 2017-05-24 | 北京奇虎科技有限公司 | 一种目标样本文件的检测方法和装置 |
CN106778246A (zh) * | 2016-12-01 | 2017-05-31 | 北京奇虎科技有限公司 | 沙箱虚拟化的检测方法及检测装置 |
CN106549980A (zh) * | 2016-12-30 | 2017-03-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意c&c服务器确定方法及装置 |
CN108322420A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 后门文件的检测方法和装置 |
CN109684832A (zh) * | 2017-10-19 | 2019-04-26 | 卡巴斯基实验室股份制公司 | 检测恶意文件的系统和方法 |
CN108768960A (zh) * | 2018-05-10 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、存储介质及计算机设备 |
CN109657459A (zh) * | 2018-10-11 | 2019-04-19 | 平安科技(深圳)有限公司 | 网页后门检测方法、设备、存储介质及装置 |
CN109933977A (zh) * | 2019-03-12 | 2019-06-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种检测webshell数据的方法及装置 |
Non-Patent Citations (1)
Title |
---|
一种新型"三无"隐形后门的构建与安全警示;汪彩萍;余刘琅;;电脑知识与技术;20130915(第26期);第5830-5832页 * |
Also Published As
Publication number | Publication date |
---|---|
CN112182561A (zh) | 2021-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10671726B1 (en) | System and method for malware analysis using thread-level event monitoring | |
US10277697B2 (en) | Method and system for pushing web application message | |
CN111416811B (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
US11503070B2 (en) | Techniques for classifying a web page based upon functions used to render the web page | |
US11068583B2 (en) | Management of login information affected by a data breach | |
US9292701B1 (en) | System and method for launching a browser in a safe mode | |
US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
CN114866358B (zh) | 一种基于知识图谱的自动化渗透测试方法及系统 | |
US20240104205A1 (en) | Malware detection based on user interactions | |
CN112541181A (zh) | 一种检测服务器安全性的方法和装置 | |
CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
CN112182561B (zh) | 一种后门的检测方法、装置、电子设备和介质 | |
WO2022100075A1 (zh) | 性能检测方法、装置、电子设备和计算机可读介质 | |
US11275833B2 (en) | System and method for detecting a malicious file using image analysis prior to execution of the file | |
CN113158195B (zh) | 一种基于poc脚本的分布式漏洞扫描方法及系统 | |
US10275596B1 (en) | Activating malicious actions within electronic documents | |
CN111538922A (zh) | 链接跳转方法、应用客户端、设备及存储介质 | |
CN113362173A (zh) | 防重机制验证方法、验证系统、电子设备及存储介质 | |
US10015181B2 (en) | Using natural language processing for detection of intended or unexpected application behavior | |
CN113839944B (zh) | 应对网络攻击的方法、装置、电子设备和介质 | |
CN115828256A (zh) | 一种越权与未授权逻辑漏洞检测方法 | |
US20230177142A1 (en) | Detecting sharing of passwords | |
US20230004638A1 (en) | Redirection of attachments based on risk and context | |
CN112351008B (zh) | 网络攻击分析方法、装置、可读存储介质及计算机设备 | |
CN111414525B (zh) | 小程序的数据获取方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |