CN103607413A - 一种网站后门程序检测的方法及装置 - Google Patents
一种网站后门程序检测的方法及装置 Download PDFInfo
- Publication number
- CN103607413A CN103607413A CN201310651822.1A CN201310651822A CN103607413A CN 103607413 A CN103607413 A CN 103607413A CN 201310651822 A CN201310651822 A CN 201310651822A CN 103607413 A CN103607413 A CN 103607413A
- Authority
- CN
- China
- Prior art keywords
- source code
- website
- backdoor programs
- behavior database
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种网站后门程序检测的方法和装置,用以提高网站的安全等级。该方法包括:获取待检测网站的日志数据的网页参数;将所述网页参数与本地保存的行为数据库中的特征数据进行匹配;当所述行为数据库中存在与所述网页参数匹配的第一特征数据时,获取对应网页文件的源代码;通过所述源代码确定出所述待检测网站中的后门程序。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种网站后门程序检测的方法及装置。
背景技术
后门程序一般是指那些绕过安全性控制而获取对程序或***访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击。因此,后门程序又称特洛依木马,其用途在于潜伏在***中,从事搜集信息或便于黑客进入的动作。
目前,对于潜伏在客户端中的后门程序,可通过现有的杀毒软件进行检测以及查杀处理,但是,对于潜伏在网站中的后门程序,目前还没有有效的检测方式,并且,若这种后门程序为攻击者控制,就会给网站带来极大的危害,包括:发布垃圾消息,影响网站形象;或者,携带恶意病毒程序,传播病毒;或者,通过后门程序获取***级权限,进一步将危害扩展到局域网络。
因此,急需一种针对网站中网页后门程序(webshell)的检测方法,用以提高网站的安全等级。
发明内容
本发明提供一种网站后门程序检测的方法和装置,用以提高网站的安全等级。
本发明提供一种网站后门程序检测的方法,包括:
获取待检测网站的日志数据的网页参数;
将所述网页参数与本地保存的行为数据库中的特征数据进行匹配;
当所述行为数据库中存在与所述网页参数匹配的第一特征数据时,获取对应网页文件的源代码;
通过所述源代码确定出所述待检测网站中的后门程序。
本发明提供了一种网站后门程序检测的装置,包括:
解析单元,用于获取待检测网站的日志数据的网页参数;
匹配单元,用于将所述网页参数与本地保存的行为数据库中的特征数据进行匹配;
获取单元,用于当所述行为数据库中存在与所述网页参数匹配的第一特征数据时,根据所述网页参数获取对应网页文件的源代码;
确定单元,用于通过所述源代码确定出所述待检测网站中的后门程序。
本发明对待检测网站的日志数据进行分析,提取出日志数据中的网页参数,并当本地保存的行为数据库中存在与网页参数匹配的第一特征数据,获取对应网页文件的源代码,最后根据源代码确定出待检测网站中的后门程序。这样,及时检测出网站中的后门程序后,可对其进行有效的处理,从而,减少了给网站带来危害的几率,提高网站的安全等级。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明实施例一中后门程序检测的流程图;
图2为本发明实施例二中行为数据库本地保存的流程图;
图3为本发明实施例三中后门程序检测的流程图;
图4为本发明实施例四中后门程序检测的装置的结构图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明实施例中,本地保存了行为数据库,这样,对网站的日志数据进行分析,从中提取出网页参数后,可将提取出的网页参数与本地保存的行为数据库中的特征数据进行匹配,当行为数据库中存在与网页参数匹配的第一特征数据,获取对应网页文件的源代码,最后根据源代码确定出待检测网站中的后门程序。
实施例一:参见图1,后门程序检测的过程包括:
步骤101:获取待检测网站的日志数据的网页参数。
一般,网站的日志数据包括:host、时间、IP地址、统一资源定位符(UniformResource Locator,URL)、网页参数等信息。可将待检测网站的日志数据的网页参数提取出来。
步骤102:将获取的网页参数与本地保存的行为数据库中的特征数据进行匹配。
本发明实施例中本地已经保存了行为数据库,行为数据库中的特征数据都是根据已公开的后门程序而形成的,因此,可将网页参数与本地保存的行为数据库中的特征数据进行匹配。
步骤103:当行为数据库中存在与网页参数匹配的第一特征数据时,获取对应网页文件的源代码。
当确定行为数据库中存在与网页参数匹配的第一特征数据时,可通过网络爬虫或者其他的应用程序获取与第一特征数据对应的网页文件的源代码。
步骤104:通过源代码确定出待检测网站中的后门程序。
获得源代码后,可手动比对或者自动比对确定源代码是否为恶意程序,从而确定出待检测网站中的后门程序。具体的方法有多种,其中一种自动确定源代码是否为网络攻击的恶意程序的过程包括:
将源代码与保存的恶意代码数据库中的每段恶意源代码进行比对,当恶意代码数据库中存在与源代码匹配的第一恶意源代码时,确认与源代码对应的网页文件为后门程序。
较佳地,可当恶意代码数据库中存在与源代码完全匹配的第一恶意源代码时,确认与源代码对应的网页文件为后门程序。这样,可以确保发现后门程序的正确率。
本发明实施例中,本地记录的是网站的网络日志文件,较佳地,通过内容分发网络(Content Delivery Network,CDN)记录多个网站的网站日志文件,可从中确定出待检测网站的日志文件,然后对该日志文件进行分析,识别出每条日志数据,最后对日志数据进行分析,确定出后门程序,因此,在获取待检测网站的日志数据的网页参数之前,还包括:对待检测网站的网站日志文件进行分析,识别出网站日志文件中的每条日志数据。然后依据上述过程对每条日志数据进行分析,从而确定出对应的后门程序。
本发明实施例中,对待检测网站的日志数据进行分析,提取出日志数据中的网页参数,并当本地保存的行为数据库中存在与网页参数匹配的第一特征数据,获取对应网页文件的源代码,最后根据源代码确定出待检测网站中的后门程序。这样,检测出网站中的后门程序后,可对其进行处理,例如:删除。将网站中后门程序处理后,可减少给网站带来危害的几率,提高网站的安全等级。
实施例二:在检测后门程序的过程中需用到本地保存的行为数据库,这个行为数据库可根据已公开的后门程序而形成。参见图2,本实施例中行为数据库的本地保存过程包括:
步骤201:获取已公开的多个后门程序。
很多常见的后门程序一般已公开,或者,一些后门程序一旦被检测出就会被公开,这样,就会存在很多已公开的后门程序,自动或手动获取这些已公开的多个后门程序。
步骤202:将获取的每个后门程序逐一作为后门样本进行执行,获取对应的行为数据。
获取后门程序后,需将其作为后门样本进行执行,这样就能获得对应的行为数据了。
对获取的每个后门程序都可逐一执行,获取对应的行为数据。
步骤203:从获取的行为数据中提取对应的特征数据,并将提取出的特征数据形成行为数据库进行本地保存。
执行后门程序后对应获得行为数据,从行为数据中提取对应的特征数据,然后将提取出的特征数据形成行为数据库,最后,进行本地保存。
由于本发明实施例后门程序的检测过程中,需与本地保存的行为数据库中特征数据进行匹配,因此,这种方式下的行为数据库非常关键,需根据新的网络攻击行为及特征的出现,不断地进行更新以及补充。因此,本实施例还包括:根据新获取的已公开的后门程序,对行为数据库进行更新。即及时获取新的已公开的后门程序,并执行该后门程序,获得对应的行为数据,提取该行为数据中的特征数据,然后加入到已保存的行为数据库中。
本实施例仅仅是一种本地保存行为数据库的过程,但本发明不限于此,其他的行为数据库保存过程也可应用。例如:直击获取已知的行为数据库进行保存。
本发明实施例中有了本地保存的行为数据库后,就可根据该行为数据库对待检测网站的日志数据进行分析,从而检测出该待检测网站的后门程序。这样,减少网站潜伏后门程序的几率,提高网站的安全等级。
实施例三:本实施中,对待检测网站的日志数据进行分析,确定待检测网站中的后门程序,具体过程参见图3,包括:
步骤301:对待检测网站的网站日志文件进行分析,识别出网站日志文件中的每条日志数据。
例如:通过CDN记录待检测网站的网站日志件,对网站日志文件进行分析,识别出该网站日志文件中的每条日志数据。
步骤302:将识别出的一条日志数据作为当前日志数据。
日志数据中包括host、时间、IP地址、URL、网页参数等这些基本信息,较佳地,还可包括cookie信息。
可按照设定规则,将识别出的日志数据中的一条日志数据作为当前日志数据,例如:按照时间顺序,或者,设定的host顺序等。
步骤303:对当前日志数据进行提取,获取当前日志数据中的网页参数。
日志数据中包括网页参数,从中提取即可获取当前日志数据中的网页参数。
例如:当前日志数据中包括如下URL数据:http://www.xxx.com/cgi-bin/phf?Qname=root%0Asome%20command%20here
可提取网页参数:cgi-bin/phf?Qname=root%0Asome%20command%20here
步骤304:本地保存的行为数据库中的特征数据中是否存在与获取的网页参数匹配的第一特征数据?若是,执行步骤305,否则,执行步骤308。
这里,需将获取的网页参数与本地保存的行为数据库中的特征数据进行匹配,并当行为数据库中存在与网页参数匹配的第一特征数据时,执行步骤305,否则,执行步骤307。
例如:本地保存的行为数据库中的一个特征数据中包含有字符串“/cgi-bin/phf?”,那么当获取的网页参数也包含有字符串“/cgi-bin/phf?”时,即可确定行为数据库中存在与网页参数匹配的第一特征数据,就可执行后续步骤305,进一步确定进行是否存在后门程序。
步骤305获取与第一特征数据对应的网页文件的源代码。
可通过网络爬虫或者其他的应用程序获取与第一特征数据对应的网页文件的源代码。
步骤306:恶意代码数据库中是否存在与源代码匹配的第一恶意源代码?若是,执行步骤307,否则执行步骤308。
将源代码与保存的恶意代码数据库中的每段恶意源代码进行比对,当恶意代码数据库中存在与源代码匹配的第一恶意源代码时,执行步骤307,否则,执行步骤308。
这里,较佳地,可将源代码与保存的恶意代码数据库中的每段恶意源代码进行完全匹配,当第一恶意源代码与源代码完全匹配时,执行步骤307,这样能提高检测后门程序的正确率。
步骤307:将与源代码对应的网页文件确定为后门程序。
源代码已经被确认为恶意程序,因此,将与源代码对应的网页文件确定为后门程序。
步骤308:确定是否还有识别出的日志数据未进行分析?若是,返回步骤303,若不是,则检测流程结束。
需对识别出的每条日志数据进行分析,确定对应的源代码是否为恶意代码,从而,确定出网站中的后门程序,因此,若还有识别出的日志数据未进行分析,则需返回步骤303进行分析,若识别出的每条日志数据都被分析了,则检测流程结束。
本实施例中,对待检测网站的日志数据进行分析,提取出日志数据中的网页参数,并当本地保存的行为数据库中存在与网页参数匹配的第一特征数据,获取对应网页文件的源代码,最后根据源代码确定出待检测网站中的后门程序。这样,检测出网站中的后门程序后,可对其进行处理,这样,及时将网站中后门程序处理后,减少网站潜伏后门程序的几率,进一步减少给网站带来危害的几率,提高网站的安全等级。
实施例四:根据上述后门程序检测的过程,可构建一种后门程序检测的装置,如图4所示,该装置包括:解析单元410、匹配单元420,获取单元430以及确定单元430。其中,
解析单元410,用于获取待检测网站的日志数据的网页参数。
匹配单元420,用于将解析单元410获取的网页参数与本地保存的行为数据库中的特征数据进行匹配。
获取单元430,用于当匹配单元420确定行为数据库中存在与网页参数匹配的第一特征数据时,根据网页参数获取对应网页文件的源代码.
确定单元440,用于通过源代码确定出待检测网站中的后门程序。
本实施例的是基于本地保存的行为数据库来对日志数据进行分析,最终确定后门程序,因此,后门程序检测的装置还包括:
行为数据库建立单元,用于获取已公开的多个后门程序,将获取的每个后门程序逐一作为后门样本进行执行,获取对应的行为数据,从行为数据中提取对应的特征数据,并将提取出的特征数据形成行为数据库进行本地保存。
由于日志数据中提取的网页参数需与本地保存的行为数据库中特征数据进行匹配,因此,这种方式下的行为数据库非常关键,需根据新的网络攻击行为及特征的出现,不断地进行更新以及补充。因此,该装置还包括:行为数据库更新单元,用于根据新获取的已公开的后门程序,对行为数据库进行更新。该行为数据库更新单元及时获取新的已公开的后门程序,并执行该后门程序,获得对应的行为数据,提取该行为数据中的特征数据,然后加入到已保存的行为数据库中。
当然,上述后门程序检测的装置可通过上述过程对每条日志数据进行分析,确定是否对应后门程序,但是每条日志数据是从网络日志文件中识别出来的,因此,该装置还可包括:识别单元,用于对待检测网站的网站日志文件进行分析,识别出网站日志文件中的每条日志数据。识别单元识别出来的每条日志数据逐一通过解析单元410、匹配单元420,获取单元430以及确定单元430,最终确定是否对应后门程序。
确定单元430在通过源代码确定出待检测网站中的后门程序的过程中,可手动比对或者自动比对确定源代码是否为恶意程序。具体的方法有多种,其中一种自动确定源代码是否为恶意程序的过程包括:
将源代码与保存的恶意代码数据库中的每段恶意源代码进行比对,当恶意代码数据库中存在与源代码匹配的第一恶意源代码时,确认与源代码对应的网页文件为后门程序。
本实施例中,后门程序检测的装置对待检测网站的日志数据进行分析,提取出日志数据中的网页参数,并当本地保存的行为数据库中存在与网页参数匹配的第一特征数据,获取对应网页文件的源代码,最后根据源代码确定出待检测网站中的后门程序。这样,检测出网站中的后门程序后,可对其进行处理,这样,及时将网站中后门程序处理后,减少网站潜伏后门程序的几率,进一步减少给网站带来危害的几率,提高网站的安全等级。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网站后门程序检测的方法,其特征在于,包括:
获取待检测网站的日志数据的网页参数;
将所述网页参数与本地保存的行为数据库中的特征数据进行匹配;
当所述行为数据库中存在与所述网页参数匹配的第一特征数据时,获取对应网页文件的源代码;
通过所述源代码确定出所述待检测网站中的后门程序。
2.如权利要求1所述的方法,其特征在于,所述行为数据库的本地保存过程包括:
获取已公开的多个后门程序;
将获取的每个后门程序逐一作为后门样本进行执行,获取对应的行为数据;
从所述行为数据中提取对应的特征数据,并将提取出的所述特征数据形成行为数据库进行本地保存。
3.如权利要求2所述的方法,其特征在于,还包括:
根据新获取的已公开的后门程序,对所述行为数据库进行更新。
4.如权利要求1所述的方法,其特征在于,所述获取待检测网站的日志数据的网页参数之前,还包括:
对所述待检测网站的网站日志文件进行分析,识别出所述网站日志文件中的每条日志数据。
5.如权利要求1所述的方法,其特征在于,所述通过所述源代码确定出所述待检测网站中的后门程序包括:
将所述源代码与恶意代码数据库中的每段恶意源代码进行比对;
当所述恶意代码数据库中存在与所述源代码匹配的第一恶意源代码时,确认与所述源代码对应的网页文件为后门程序。
6.一种网站后门程序检测的装置,其特征在于,包括:
解析单元,用于获取待检测网站的日志数据的网页参数;
匹配单元,用于将所述网页参数与本地保存的行为数据库中的特征数据进行匹配;
获取单元,用于当所述行为数据库中存在与所述网页参数匹配的第一特征数据时,根据所述网页参数获取对应网页文件的源代码;
确定单元,用于通过所述源代码确定出所述待检测网站中的后门程序。
7.如权利要求6所述的装置,其特征在于,还包括:
行为数据库建立单元,用于获取已公开的多个后门程序,将获取的每个后门程序逐一作为后门样本进行执行,获取对应的行为数据,从所述行为数据中提取对应的特征数据,并将提取出的所述特征数据形成行为数据库进行本地保存。
8.如权利要求7所述的装置,其特征在于,还包括:
行为数据库更新单元,用于根据新获取的已公开的后门程序,对所述行为数据库进行更新。
9.如权利要求6所述的装置,其特征在于,还包括:
识别单元,用于对所述待检测网站的网站日志文件进行分析,识别出所述网站日志文件中的每条日志数据。
10.如权利要求6所述的装置,其特征在于,
所述确定单元,具体用于将所述源代码与恶意代码数据库中的每段恶意源代码进行比对,当所述恶意代码数据库中存在与所述源代码匹配的第一恶意源代码时,确认与所述源代码对应的网页文件为后门程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310651822.1A CN103607413B (zh) | 2013-12-05 | 2013-12-05 | 一种网站后门程序检测的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310651822.1A CN103607413B (zh) | 2013-12-05 | 2013-12-05 | 一种网站后门程序检测的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103607413A true CN103607413A (zh) | 2014-02-26 |
| CN103607413B CN103607413B (zh) | 2017-01-18 |
Family
ID=50125613
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310651822.1A Active CN103607413B (zh) | 2013-12-05 | 2013-12-05 | 一种网站后门程序检测的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103607413B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104484603A (zh) * | 2014-12-31 | 2015-04-01 | 北京奇虎科技有限公司 | 网站后门的检测方法及装置 |
| CN105812196A (zh) * | 2014-12-30 | 2016-07-27 | ***通信集团公司 | 一种WebShell检测方法及电子设备 |
| CN106301974A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站后门检测方法和装置 |
| CN106911635A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种检测网站是否存在后门程序的方法及装置 |
| CN106911636A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种检测网站是否存在后门程序的方法及装置 |
| CN107302586A (zh) * | 2017-07-12 | 2017-10-27 | 深信服科技股份有限公司 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
| CN107689940A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | WebShell检测方法及装置 |
| CN107844702A (zh) * | 2017-11-24 | 2018-03-27 | 杭州安恒信息技术有限公司 | 基于云防护环境下网站木马后门检测方法及装置 |
| CN107888571A (zh) * | 2017-10-26 | 2018-04-06 | 江苏省互联网行业管理服务中心 | 一种基于HTTP日志的多维度webshell入侵检测方法及检测*** |
| CN108156131A (zh) * | 2017-10-27 | 2018-06-12 | 上海观安信息技术股份有限公司 | Webshell检测方法、电子设备和计算机存储介质 |
| CN108932189A (zh) * | 2018-06-30 | 2018-12-04 | 平安科技(深圳)有限公司 | 保存服务器日志的方法和装置 |
| CN110851840A (zh) * | 2019-11-13 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 基于网站漏洞的web后门检测方法及装置 |
| CN113434861A (zh) * | 2021-08-26 | 2021-09-24 | 杭州美创科技有限公司 | 一种WebShell检测方法及其*** |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090158430A1 (en) * | 2005-10-21 | 2009-06-18 | Borders Kevin R | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
| CN101546367A (zh) * | 2009-05-04 | 2009-09-30 | 电子科技大学 | 带预警功能的网络木马综合检测方法及其功能模块架构装置 |
| CN101656710A (zh) * | 2008-08-21 | 2010-02-24 | 中联绿盟信息技术(北京)有限公司 | 主动审计***及方法 |
| CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计***技术(北京)有限公司 | 木马监控审计方法及*** |
| CN102158499A (zh) * | 2011-06-02 | 2011-08-17 | 国家计算机病毒应急处理中心 | 基于http流量分析的挂马网站检测方法 |
| CN102426634A (zh) * | 2011-10-26 | 2012-04-25 | 中国信息安全测评中心 | 源代码后门发现方法 |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN103281177A (zh) * | 2013-04-10 | 2013-09-04 | 广东电网公司信息中心 | 对Internet信息***恶意攻击的检测方法及*** |
-
2013
- 2013-12-05 CN CN201310651822.1A patent/CN103607413B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090158430A1 (en) * | 2005-10-21 | 2009-06-18 | Borders Kevin R | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
| CN101656710A (zh) * | 2008-08-21 | 2010-02-24 | 中联绿盟信息技术(北京)有限公司 | 主动审计***及方法 |
| CN101546367A (zh) * | 2009-05-04 | 2009-09-30 | 电子科技大学 | 带预警功能的网络木马综合检测方法及其功能模块架构装置 |
| CN102045220A (zh) * | 2010-12-09 | 2011-05-04 | 国都兴业信息审计***技术(北京)有限公司 | 木马监控审计方法及*** |
| CN102158499A (zh) * | 2011-06-02 | 2011-08-17 | 国家计算机病毒应急处理中心 | 基于http流量分析的挂马网站检测方法 |
| CN102426634A (zh) * | 2011-10-26 | 2012-04-25 | 中国信息安全测评中心 | 源代码后门发现方法 |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN103281177A (zh) * | 2013-04-10 | 2013-09-04 | 广东电网公司信息中心 | 对Internet信息***恶意攻击的检测方法及*** |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105812196A (zh) * | 2014-12-30 | 2016-07-27 | ***通信集团公司 | 一种WebShell检测方法及电子设备 |
| CN104484603A (zh) * | 2014-12-31 | 2015-04-01 | 北京奇虎科技有限公司 | 网站后门的检测方法及装置 |
| CN106301974A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站后门检测方法和装置 |
| CN106911635A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种检测网站是否存在后门程序的方法及装置 |
| CN106911636A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种检测网站是否存在后门程序的方法及装置 |
| CN106911636B (zh) * | 2015-12-22 | 2020-09-04 | 北京奇虎科技有限公司 | 一种检测网站是否存在后门程序的方法及装置 |
| CN106911635B (zh) * | 2015-12-22 | 2020-07-28 | 北京奇虎科技有限公司 | 一种检测网站是否存在后门程序的方法及装置 |
| CN107689940A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | WebShell检测方法及装置 |
| CN107689940B (zh) * | 2016-08-04 | 2021-03-09 | 深信服科技股份有限公司 | WebShell检测方法及装置 |
| CN107302586B (zh) * | 2017-07-12 | 2020-06-26 | 深信服科技股份有限公司 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
| CN107302586A (zh) * | 2017-07-12 | 2017-10-27 | 深信服科技股份有限公司 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
| CN107888571B (zh) * | 2017-10-26 | 2020-08-28 | 江苏省互联网行业管理服务中心 | 一种基于HTTP日志的多维度webshell入侵检测方法及检测*** |
| CN107888571A (zh) * | 2017-10-26 | 2018-04-06 | 江苏省互联网行业管理服务中心 | 一种基于HTTP日志的多维度webshell入侵检测方法及检测*** |
| CN108156131B (zh) * | 2017-10-27 | 2020-08-04 | 上海观安信息技术股份有限公司 | Webshell检测方法、电子设备和计算机存储介质 |
| CN108156131A (zh) * | 2017-10-27 | 2018-06-12 | 上海观安信息技术股份有限公司 | Webshell检测方法、电子设备和计算机存储介质 |
| CN107844702A (zh) * | 2017-11-24 | 2018-03-27 | 杭州安恒信息技术有限公司 | 基于云防护环境下网站木马后门检测方法及装置 |
| CN108932189A (zh) * | 2018-06-30 | 2018-12-04 | 平安科技(深圳)有限公司 | 保存服务器日志的方法和装置 |
| CN108932189B (zh) * | 2018-06-30 | 2021-09-07 | 平安科技(深圳)有限公司 | 保存服务器日志的方法和装置 |
| CN110851840A (zh) * | 2019-11-13 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 基于网站漏洞的web后门检测方法及装置 |
| CN110851840B (zh) * | 2019-11-13 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 基于网站漏洞的web后门检测方法及装置 |
| CN113434861A (zh) * | 2021-08-26 | 2021-09-24 | 杭州美创科技有限公司 | 一种WebShell检测方法及其*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103607413B (zh) | 2017-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103607413A (zh) | 一种网站后门程序检测的方法及装置 | |
| US11188650B2 (en) | Detection of malware using feature hashing | |
| US8955124B2 (en) | Apparatus, system and method for detecting malicious code | |
| CN104125209B (zh) | 恶意网址提示方法和路由器 | |
| JP6624771B2 (ja) | クライアントベースローカルマルウェア検出方法 | |
| CN103279710B (zh) | Internet信息***恶意代码的检测方法和*** | |
| CN105760379B (zh) | 一种基于域内页面关联关系检测webshell页面的方法及装置 | |
| CN103595732B (zh) | 一种网络攻击取证的方法及装置 | |
| US20150089647A1 (en) | Distributed Sample Analysis | |
| CN107688743B (zh) | 一种恶意程序的检测分析方法及*** | |
| CN105184159A (zh) | 网页篡改的识别方法和装置 | |
| CN102413142A (zh) | 基于云平台的主动防御方法 | |
| US20090287641A1 (en) | Method and system for crawling the world wide web | |
| CN104573515A (zh) | 一种病毒处理方法、装置和*** | |
| CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及*** | |
| WO2014000537A1 (zh) | 一种钓鱼网站查找***及方法 | |
| CN109992969B (zh) | 一种恶意文件检测方法、装置及检测平台 | |
| KR102022058B1 (ko) | 웹 페이지 위변조 탐지 방법 및 시스템 | |
| WO2017063274A1 (zh) | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 | |
| Paturi et al. | Mobile malware visual analytics and similarities of attack toolkits (malware gene analysis) | |
| CN103942491A (zh) | 一种互联网恶意代码处置方法 | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| CN110135153A (zh) | 软件的可信检测方法及装置 | |
| CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及*** | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee after: Beijing Qizhi Business Consulting Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220329 Address after: 100016 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Beijing Qizhi Business Consulting Co.,Ltd. |