CN107135199A - 网页后门的检测方法和装置 - Google Patents
网页后门的检测方法和装置 Download PDFInfo
- Publication number
- CN107135199A CN107135199A CN201710197494.0A CN201710197494A CN107135199A CN 107135199 A CN107135199 A CN 107135199A CN 201710197494 A CN201710197494 A CN 201710197494A CN 107135199 A CN107135199 A CN 107135199A
- Authority
- CN
- China
- Prior art keywords
- weights
- access
- file
- sub
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种网页后门的检测方法和装置。其中,该方法包括:根据预设条件,确定访问文件的权值,其中,访问文件用于对网页进行访问;判断权值是否大于等于预设阈值;在判断出权值大于等于预设阈值的情况下,确定访问文件为网页后门。本发明解决了相关技术中检测变形的网页后门,准确性较低的技术问题。
Description
技术领域
本发明涉及网页检测技术领域,具体而言,涉及一种网页后门的检测方法和装置。
背景技术
相关技术中,检测网页后门的方法主要是基于特征码的检测方法,通过收集已知网页后门的特征码,对每个网页内容进行扫描匹配,如果与特征码匹配上则判断是网页后门,而由于黑客可以利用语法技巧对网页后门代码进行变换、变形甚至加密,让安全工作人员根本无法提取特征码,或者虽然可提取特征码,但稍加修改又可绕过查杀,因此,对变形的网页后门无法及时有效的进行检测。
针对上述的相关技术中检测变形的网页后门,准确性较低的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种网页后门的检测方法和装置,以至少解决相关技术中检测变形的网页后门,准确性较低的技术问题。
根据本发明实施例的一个方面,提供了一种网页后门的检测方法,包括:根据预设条件,确定访问文件的权值,其中,所述访问文件用于对网页进行访问;判断所述权值是否大于等于预设阈值;在判断出所述权值大于等于预设阈值的情况下,确定所述访问文件为网页后门。
进一步地,根据预设条件,确定访问文件的权值包括:根据所述访问文件访问IP地址的数量,确定所述访问文件的第一子权值;计算所述访问文件访问同一个IP地址的访问频率,得到第一访问频率;根据所述第一访问频率,确定所述访问文件的第二子权值;判断所述访问文件的返回内容中是否存在与预设字符相同的内容;若判断出所述访问文件的返回内容中存在与预设字符相同的内容,确定所述访问文件的第三子权值;对所述第一子权值、所述第二子权值和所述第三子权值进行叠加,得到访问文件的权值。
进一步地,根据所述访问文件访问IP地址的数量,确定所述访问文件的第一子权值包括:统计所有文件访问IP地址的数量;统计通过搜索引擎爬虫的方式访问IP的地址的数量;根据所有文件访问IP地址的数量和通过搜索引擎爬虫的方式访问IP的地址的数量,计算出所述访问文件访问IP地址的数量;根据所述访问文件访问IP地址的数量,确定所述访问文件的第一子权值。
进一步地,根据所述访问文件访问IP地址的数量,确定所述访问文件的第一子权值包括:从多个预设数值范围中确定所述访问文件访问IP地址的数量所处的目标数值范围,其中,所述多个预设数值范围包括第一预设数值范围,第二预设数值范围和第三预设数值范围;若所述目标数值范围为所述第一预设数值范围,确定访问文件的权值增加第一数值;若所述目标数值范围为所述第二预设数值范围,确定访问文件的权值增加第二数值;若所述目标数值范围为所述第三预设数值范围,确定访问文件的权值增加第三数值。
进一步地,根据所述第一访问频率,确定所述访问文件的第二子权值包括:在所述第一访问频率满足预设子条件的情况下,从多个预设时间范围中确定所述第一访问频率所处的目标时间范围,其中,所述多个预设时间范围包括第四预设时间范围,第五预设时间范围和第六预设时间范围;若所述目标时间范围为所述第四预设时间范围,确定所述访问文件的权值增加所述第一数值;若所述目标时间范围为所述第五预设时间范围,确定所述访问文件的权值增加所述第二数值;若所述目标时间范围为所述第六预设时间范围,确定所述访问文件的权值增加所述第三数值。
进一步地,在对所述第一子权值、所述第二子权值和所述第三子权值进行叠加,得到访问文件的权值之后,所述方法还包括:判断所述访问文件的载体的IP地址来自服务器;若判断出所述访问文件的载体的IP地址不是来自服务器,确定所述访问文件的第四子权值;对所述第一子权值、所述第二子权值、所述第三子权值和所述第四子权值进行叠加,得到所述访问文件的权值。
根据本发明实施例的另一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时执行上述实施例中任意一项所述的网页后门的检测方法。
根据本发明实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述实施例中任意一项所述的网页后门的检测方法。
根据本发明实施例的另一方面,还提供了一种网页后门的检测装置,包括:第一确定单元,用于根据预设条件,确定访问文件的权值,其中,所述访问文件用于对网页进行访问;判断单元,用于判断所述权值是否大于等于预设阈值;第二确定单元,用于在判断出所述权值大于等于预设阈值的情况下,确定所述访问文件为网页后门。
进一步地,第一确定单元包括:第一确定子模块,用于根据所述访问文件访问IP地址的数量,确定所述访问文件的第一子权值;计算子模块,用于计算所述访问文件访问同一个IP地址的访问频率,得到第一访问频率;第二确定子模块,用于根据所述第一访问频率,确定所述访问文件的第二子权值;判断子模块,用于判断所述访问文件的返回内容中是否存在与预设字符相同的内容;第三确定子模块,用于若判断出所述访问文件的返回内容中存在与预设字符相同的内容,确定所述访问文件的第三子权值;叠加子模块,用于对所述第一子权值、所述第二子权值和所述第三子权值进行叠加,得到访问文件的权值。
在本发明实施例中,可以在根据预设条件得到访问文件的权值,该访问文件是用于对网页进行访问的文件,在得到访问文件的权值后,可以根据该权值判断权值是否大于等于预设阈值,在判断出权值大于等于预设阈值的情况下,确定出访问文件为网页后门,在判断出权值低于预设阈值的情况下,确定出访问文件不是网页后门。根据该实施方式,可以通过分析访问网页的访问文件的权值,来判断出访问文件是否为网页后门,并不需要依靠特征码来对网页后门进行检测,可以提高检测网页后门的效率和准确性,解决相关技术中检测变形的网页后门,准确性较低的技术问题,达到提高检测网页后门的准确度的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的网页后门的检测方法的示意图;
图2是根据本发明实施例的另一种可选的网页后门的检测方法的示意图;以及
图3是根据本发明实施例的另一种可选的网页后门的检测装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
爬虫是一种自动获取网页内容的程序,是搜索引擎的重要组成部分。按照一定的规则,自动的抓取万维网信息的程序或者脚本。
网页后门,是一段网页代码,主要以ASP和PHP代码为主,这些代码运行在服务器端,攻击者通过这段代码,在服务器端进行某些危险的操作,获得某些敏感的技术信息。
根据本发明实施例,提供了一种网页后门的检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的网页后门的检测方法的示意图,如图1所示,该方法包括如下步骤:
步骤S102,根据预设条件,确定访问文件的权值,其中,访问文件用于对网页进行访问。
步骤S104,判断权值是否大于等于预设阈值,其中,在判断出权值大于等于预设阈值的情况下,执行步骤S106,在判断出权值低于预设阈值的情况下,执行步骤S108。
步骤S106,确定访问文件为网页后门。
步骤S108,确定访问文件不是网页后门。
通过上述实施例,可以在根据预设条件得到访问文件的权值,该访问文件是用于对网页进行访问的文件,在得到访问文件的权值后,可以根据该权值判断权值是否大于等于预设阈值,在判断出权值大于等于预设阈值的情况下,确定出访问文件为网页后门,在判断出权值低于预设阈值的情况下,确定出访问文件不是网页后门。根据该实施方式,可以通过分析访问文件的权值,来判断出访问文件是否为网页后门,并不需要依靠特征码来对网页后门进行检测,可以提高检测网页后门的效率和准确性,解决相关技术中检测变形的网页后门,准确性较低的技术问题,达到提高检测网页后门的准确度的效果。
可选的,上述的实施方式可以应用于终端或服务器中,通过终端可以检测出哪些访问文件为网页后门,检测网页后门的准确度可以得到提高。
可选的,访问文件可以为访问网页的文件,该访问文件可以为多种类型的文件,例如,访问请求验证码或一段访问代码,通过该访问文件可以正常访问网页,而黑客或者其他人员可能通过该其他的代码直接进入到网页中,而不是正常的访问网页,其中,正常的访问网页,可能需要发送访问请求,以及只能浏览网页,而不能获取网页的内容,而通过网页后门可能直接进入到网页中,会直接获取到网页的内容。
其中,上述的预设阈值可能为多种数值,可以根据实际的情况设置,例如设置该预设阈值为0.6。
可选的,上述的权值为设置的用于评估访问文件是否为网页后门的数值,该权值的产生方式可以根据实际情况,设置不同的权值,根据不同的预设条件可以得到评估出的多种权值,最后,根据多种情况下的权值,确定出权值的大小。该权值可以为大于0小于1的数值。
另一种可选的实施方式,根据预设条件,确定访问文件的权值包括:根据访问文件访问IP地址的数量,确定访问文件的第一子权值;计算访问文件访问同一个IP地址的访问频率,得到第一访问频率;根据第一访问频率,确定访问文件的第二子权值;判断访问文件的返回内容中是否存在与预设字符相同的内容;若判断出访问文件的返回内容中存在与预设字符相同的内容,确定访问文件的第三子权值;对第一子权值、第二子权值和第三子权值进行叠加,得到访问文件的权值。
可选的,上述的访问文件访问IP地址可以为访问网页的文件的各个地址,该IP地址可以为多种,在访问者(如用户)访问某个网页后,服务器可以记录该访问者的IP地址,其中,单独的一个网页可能存在多个访问IP地址,单独的访问IP地址也可能访问多个网页。在上述实施例中,记载的是所有访问文件的访问IP地址的数量。
需要说明的是,上述实施例中的访问文件的返回内容中会包括获取到的网页中的内容,该返回内容中会包括访问者在访问网页时的内容,其中,通过网页后门访问网页后,在返回时,可以检测其是否携带有多种内容,例如,在返回内容中可能包括“.”、“rwxrwxrwx”等内容,这些可能为网页后门的字符中可能是在返回内容的前几个字符中。其中,上述的预设字符可以预先通过数据表存储起来,在检测到访问文件的返回内容后,可以检测其前几个字符中是否存在与预设字符相同的内容,若存在,确定第三子权值。其中,该第三子权值可以为增加的数值,该数值根据实际情况设置,如0.35。
可选的,根据访问文件访问IP地址的数量,确定访问文件的第一子权值包括:统计所有文件访问IP地址的数量;统计通过搜索引擎爬虫的方式访问IP的地址的数量;根据所有文件访问IP地址的数量和通过搜索引擎爬虫的方式访问IP的地址的数量,计算出访问文件访问IP地址的数量;根据访问文件访问IP地址的数量,确定访问文件的第一子权值。
对于上述实施例的访问文件访问IP地址的数量可以是将所有文件访问IP地址的数量减去搜索引擎爬虫的方式访问IP的地址的数量得到的,例如,设置所有文件访问IP地址的数量为A,设置搜索引擎爬虫的方式访问IP的地址的数量为B,设置访问文件访问IP地址的数量为C,则C=A-B。
在得到访问文件访问IP地址的数量之后,可以计算每天访问文件访问IP地址的数量在预定范围内的权值。该预定范围可以根据实际情况自行设定,在此不做限定。例如,可以将预定范围设置为25,即计算每天访问文件访问IP地址的数量为25的权值。
对于上述的实施例,根据访问文件访问IP地址的数量,确定访问文件的第一子权值包括:从多个预设数值范围中确定访问文件访问IP地址的数量所处的目标数值范围,其中,多个预设数值范围包括第一预设数值范围,第二预设数值范围和第三预设数值范围;若目标数值范围为第一预设数值范围,确定访问文件的权值增加第一数值;若目标数值范围为第二预设数值范围,确定访问文件的权值增加第二数值;若目标数值范围为第三预设数值范围,确定访问文件的权值增加第三数值。
可选的,第一预设数值范围、第二预设数值范围、第三预设数值范围、第一数值、第二数值、第散数值可以是根据上述的每天访问文件访问IP地址的数量确定的,例如,第一预设数值范围为1至8,即在第一预设数值范围在1至8时,可以设置权值的数值增加第一数值(如0.3),第二预设数值范围可以为8至16,可以设置权值的数值增加第二数值(如0.2),第三预设数值范围可以为16至25,可以设置权值的数值增加第三数值(如0.1)。
另一种可选的实施方式,根据第一访问频率,确定访问文件的第二子权值包括:在第一访问频率满足预设子条件的情况下,从多个预设时间范围中确定第一访问频率所处的目标时间范围,其中,多个预设时间范围包括第四预设时间范围,第五预设时间范围和第六预设时间范围;若目标时间范围为第四预设时间范围,确定访问文件的权值增加第一数值;若目标时间范围为第五预设时间范围,确定访问文件的权值增加第二数值;若目标时间范围为第六预设时间范围,确定访问文件的权值增加第三数值。
其中,上述的第一访问频率可以是同一个IP地址在一段时间(T)和该时间段内访问次数(N)的比值,如设置第一访问频率为G,则G=N/T。通过访问频率来检测网页后门,是由于黑客通过黑客工具连接网页后门时,网络包的频率大于正常人工访问网页的频率。通过检测访问频率可以得到该访问文件是否为网页后门的权值,根据该权值可以判断其是否为网页后门。
其中,上述的预设子条件可以为访问频率大于预设数值的条件,该预设数值是单独设置的针对访问频率的数值,例如1,即在访问频率G大于1的情况下,判断各个预设时间范围。在本申请中,可以设置在预设时间在0至1秒内,第一数值为0.3,即若满足上述的第一预设时间范围,可以将访问文件的权值增加0.3;可选的,可以设置在预设时间在1至10秒内,第二数值为0.2,即若满足上述的第二预设时间范围,可以将访问文件的权值增加0.2;可以设置在预设时间大于10秒,第三数值为0.1,即若满足上述的第三预设时间范围,可以将访问文件的权值增加0.1。
可选的,在对第一子权值、第二子权值和第三子权值进行叠加,得到访问文件的权值之后,方法还包括:判断访问文件的载体的IP地址是否来自服务器;若判断出访问文件的载体的IP地址来自服务器,确定出访问文件的第四子权值;对第一子权值、第二子权值、第三子权值和第四子权值进行叠加,得到访问文件的权值。
对于上述实施方式,可以对访问者(即上述访问文件的载体的IP)进行判断,根据访问文件的载体的IP地址判断搜索引擎IP是否为公共IP(如虚拟主机提供商的IP),在判断出IP地址为公共IP且其并不是搜索引擎爬虫,其可能为网页后门的概率加大,因为,大部分的黑客不会通过个人IP访问网页,一般会通过代理,这样通过服务器且不是搜索引擎爬虫的访问IP为网页后门的概率增加,在本申请中,可以设置第四子权值为上述权值增加0.25或0.27等数值。
可选的,在对第一子权值、第二子权值、第三子权值和第四子权值进行叠加,得到访问文件的权值之后,包括:通过预定时间内访问文件的IP重复频率,确定第五子权值,对第一子权值、第二子权值、第三子权值、第四子权值和第五子权值进行叠加,得到访问文件的权值。
可选的,上述的预定时间不固定,例如,10天,可以根据实际情况设置,在本申请中不做限定。统计10天内所有访问文件访问IP地址的数量A,统计出搜索引擎爬虫的数量B,计算出10天内访问文件的IP数量D,其中D=A-B。
另一种可选的实施方式,可以用U表示预定时间中访问文件访问网页的天数,该天数大于1小于10。则可以计算出第五子权值,其中,可以设置D=1时,权值增加第四数值,该第四数值可以为上述的预定时间中访问文件访问网页的天数U与第五数值的乘积,其中,该第五数值可以为0.05,即可以在D=1时,访问文件的权值增加U*0.05;可选的,可以设置D为1至10之间的数值,第四数值可以为上述的预定时间中访问文件访问网页的天数U与第六数值的乘积,其中,该第六数值可以为0.03,即可以在D为1至10中时,访问文件的权值增加U*0.03;可选的,可以设置D为大于10的数值,第四数值可以为上述的预定时间中访问文件访问网页的天数U与第七数值的乘积,其中,该第七数值可以为0.02,即可以在D大于10时,访问文件的权值增加U*0.02。
通过上述实施方式,可以计算出访问文件的各项权值,通过计算出的权值与预设阈值作比较,得到该访问文件是否为网页后门,通过权值的判断可以更加准确的判断出访问文件是否为网页后门。
图2是根据本发明实施例的另一种可选的网页后门的检测方法的示意图,如图2所示,该检测方法包括:
步骤S201,根据访问文件的访问IP地址,确定第一子权值。
可选的,网页后门一般只有黑客去访问,在一个网站中,某个文件每天访问的IP地址越少,该访问文件是网页后门的概率越大,根据访问IPDI地址计算不同的权值。
可选的,可以计算所有文件的访问IP的个数X,通过程序判断搜索引擎爬虫的IP个数为Y,统计出每天除了搜索引擎爬虫外访问网站文件的IP个数Z(Z=X-Y),统计每天访问文件的IP(除了搜索引擎爬虫的IP的个数)个数不大于20的进行权值计算。
当1<Z<=5时,权值增加0.3;
当5<Z<=10时,权值增加0.2;
当11<Z<=20时,权值增加0.1。
通过上述实施方式,可以计算出第一子权值。
步骤S203,计算同一个IP地址访问文件的访问频率,根据该访问频率确定出第二子权值。
可选的,正常访问文件的频率和黑客通过工具连接网页后门的频率是不同的,其访问的频率大于正常的访问频率,可以基于上述原理确定出第二子权值。
可选的,可以计算同一个IP访问文件的频率(H),即同一个IP在一段时间(T)(秒)内访问次数(N),H=N/T;(黑客通过黑客工具连接后门时,网络包的频率大于正常人工访问网页的频率),例如,当0<T<=1时,H>1时,权值增加0.3;当1<T<=10时,H>1时,权值增加0.2;当T>10时,H>1时,权值增加0.1。
通过上述实施方式,可以计算出第二子权值。
步骤S205,对访问者的IP地址进行判断,确定其是否来自服务器,以确定出第三子权值。
可选的,大部分黑客连接网页后门(webshell)通过服务器连接,在确定出该访问文件的访问IP地址来自服务器,且该IP地址不是来自搜索引擎爬虫,则确定访问文件的第三子权值。
可选的,通过对访问者的IP判断,根据IP判断引擎来判断IP是否为公共IP(虚拟主机提供商的IP、IDC机房IP等),在IP为公共IP并且该IP不是来自搜索引擎爬虫,则权值增加0.25。(90%的黑客不会通过个人IP访问网页后门,一般通过代理)。
步骤S207,在预定时间内,计算出访问文件的访问IP的频率,根据该频率确定出第四子权值。
可选的,通过长时间记录访问文件频率,计算10天内所有文件访问IP地址的数量为X,统计搜索引擎爬虫的IP地址的数量为Y,统计出10天内除了搜索引擎爬虫外访问网站文件的IP个数Z(Z=X-Y),用M表示某个IP在10天中访问的天数。
例如,如果Z=1时,权值增加M*0.05;(表示最近十天仅有一个IP方式的情况下,该IP每天都出现的几率越大,权值越大);如果1<Z<=10时,权值增加M*0.03;如果10<Z<=70时,权值增加M*0.02。
通过上述实施方式,可以计算出第四子权值。
步骤S209,获取访问文件的返回内容,根据该返回内容确定出第五子权值。
可选的,在获取访问文件的返回内容后,如果返回内容前几个字符存在预设字符,可以将权值增加0.35,其中,该预设字符可以包括多种,例如“.”或者“..”或者“rwxrwxrwx”。
需要说明的是,在本发明实施例中不限定确定第一子权值、第二子权值、第三子权值、第四子权值和第五子权值的执行的先后顺序,也即,上述步骤S201至步骤S209也可以为并行顺序或者其它串行顺序。
步骤S211,根据第一子权值、第二子权值、第三子权值、第四子权值和第五子权值,确定访问文件是否为网页后门。
可选的,可以累加第一子权值、第二子权值、第三子权值、第四子权值和第五子权值,得到总权值;判断总权值是否大于等于0.6;在判断出总权值大于等于0.6时,确定该访问文件为网页后门,在判断出总权值低于0.6时,确定该访问文件不是网页后门。
根据该实施方式,可以通过分析访问网页的访问文件的权值(包括第一子权值、第二子权值、第三子权值、第四子权值和第五子权值),来判断出访问文件是否为网页后门,并不需要依靠特征码来对网页后门进行检测,可以提高检测网页后门的效率和准确性,解决相关技术中检测变形的网页后门,准确性较低的技术问题,达到提高检测网页后门的准确度的效果。
根据本发明实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时执行上述实施例中任意一项的网页后门的检测方法。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述实施例中任意一项的网页后门的检测方法。
图3是根据本发明实施例的另一种可选的网页后门的检测装置的示意图,如图3所示,该装置包括:第一确定单元31,用于根据预设条件,确定访问文件的权值,其中,访问文件用于对网页进行访问;判断单元33,用于判断权值是否大于等于预设阈值;第二确定单元35,用于在判断出权值大于等于预设阈值的情况下,确定访问文件为网页后门;第三确定单元37,用于在判断出权值低于预设阈值的情况下,确定访问文件不是网页后门。
通过上述实施例,可以通过第一确定单元31在根据预设条件得到访问文件的权值,该访问文件是用于对网页进行访问的文件,在得到访问文件的权值后,可以通过判断单元33根据该权值判断权值是否大于等于预设阈值,通过第二确定单元35在判断出权值大于等于预设阈值的情况下,确定出访问文件为网页后门,通过第三确定单元37在判断出权值低于预设阈值的情况下,确定出访问文件不是网页后门。根据该实施方式,可以通过分析访问网页的访问文件的权值,来判断出访问文件是否为网页后门,并不需要依靠特征码来对网页后门进行检测,可以提高检测网页后门的效率和准确性,解决相关技术中检测变形的网页后门,准确性较低的技术问题,达到提高检测网页后门的准确度的效果。
可选的,第一确定单元31包括:第一确定子模块,用于根据访问文件访问IP地址的数量,确定访问文件的第一子权值;计算子模块,用于计算访问文件访问同一个IP地址的访问频率,得到第一访问频率;第二确定子模块,用于根据第一访问频率,确定访问文件的第二子权值;判断子模块,用于判断访问文件的返回内容中是否存在与预设字符相同的内容;第三确定子模块,用于若判断出访问文件的返回内容中存在与预设字符相同的内容,确定访问文件的第三子权值;叠加子模块,用于对第一子权值、第二子权值和第三子权值进行叠加,得到访问文件的权值。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种网页后门的检测方法,其特征在于,包括:
根据预设条件,确定访问文件的权值,其中,所述访问文件用于对网页进行访问;
判断所述权值是否大于等于预设阈值;
在判断出所述权值大于等于预设阈值的情况下,确定所述访问文件为网页后门。
2.根据权利要求1所述的检测方法,其特征在于,根据预设条件,确定访问文件的权值包括:
根据所述访问文件访问IP地址的数量,确定所述访问文件的第一子权值;
计算所述访问文件访问同一个IP地址的访问频率,得到第一访问频率;根据所述第一访问频率,确定所述访问文件的第二子权值;
判断所述访问文件的返回内容中是否存在与预设字符相同的内容;若判断出所述访问文件的返回内容中存在与预设字符相同的内容,确定所述访问文件的第三子权值;
对所述第一子权值、所述第二子权值和所述第三子权值进行叠加,得到访问文件的权值。
3.根据权利要求2所述的检测方法,其特征在于,根据所述访问文件访问IP地址的数量,确定所述访问文件的第一子权值包括:
统计所有文件访问IP地址的数量;
统计通过搜索引擎爬虫的方式访问IP的地址的数量;
根据所有文件访问IP地址的数量和通过搜索引擎爬虫的方式访问IP的地址的数量,计算出所述访问文件访问IP地址的数量;
根据所述访问文件访问IP地址的数量,确定所述访问文件的第一子权值。
4.根据权利要求3所述的检测方法,其特征在于,根据所述访问文件访问IP地址的数量,确定所述访问文件的第一子权值包括:
从多个预设数值范围中确定所述访问文件访问IP地址的数量所处的目标数值范围,其中,所述多个预设数值范围包括第一预设数值范围,第二预设数值范围和第三预设数值范围;
若所述目标数值范围为所述第一预设数值范围,确定访问文件的权值增加第一数值;
若所述目标数值范围为所述第二预设数值范围,确定访问文件的权值增加第二数值;
若所述目标数值范围为所述第三预设数值范围,确定访问文件的权值增加第三数值。
5.根据权利要求4所述的检测方法,其特征在于,根据所述第一访问频率,确定所述访问文件的第二子权值包括:
在所述第一访问频率满足预设子条件的情况下,从多个预设时间范围中确定所述第一访问频率所处的目标时间范围,其中,所述多个预设时间范围包括第四预设时间范围,第五预设时间范围和第六预设时间范围;
若所述目标时间范围为所述第四预设时间范围,确定所述访问文件的权值增加所述第一数值;
若所述目标时间范围为所述第五预设时间范围,确定所述访问文件的权值增加所述第二数值;
若所述目标时间范围为所述第六预设时间范围,确定所述访问文件的权值增加所述第三数值。
6.根据权利要求2所述的检测方法,其特征在于,在对所述第一子权值、所述第二子权值和所述第三子权值进行叠加,得到访问文件的权值之后,所述方法还包括:
判断所述访问文件的载体的IP地址是否来自服务器;
若判断出所述访问文件的载体的IP地址来自服务器,确定所述访问文件的第四子权值;
对所述第一子权值、所述第二子权值、所述第三子权值和所述第四子权值进行叠加,得到所述访问文件的权值。
7.一种网页后门的检测装置,其特征在于,包括:
第一确定单元,用于根据预设条件,确定访问文件的权值,其中,所述访问文件用于对网页进行访问;
判断单元,用于判断所述权值是否大于等于预设阈值;
第二确定单元,用于在判断出所述权值大于等于预设阈值的情况下,确定所述访问文件为网页后门。
8.根据权利要求7所述的检测装置,其特征在于,第一确定单元包括:
第一确定子模块,用于根据所述访问文件访问IP地址的数量,确定所述访问文件的第一子权值;
计算子模块,用于计算所述访问文件访问同一个IP地址的访问频率,得到第一访问频率;第二确定子模块,用于根据所述第一访问频率,确定所述访问文件的第二子权值;
判断子模块,用于判断所述访问文件的返回内容中是否存在与预设字符相同的内容;第三确定子模块,用于若判断出所述访问文件的返回内容中存在与预设字符相同的内容,确定所述访问文件的第三子权值;
叠加子模块,用于对所述第一子权值、所述第二子权值和所述第三子权值进行叠加,得到访问文件的权值。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时执行权利要求1至权利要求6中任意一项所述的网页后门的检测方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至权利要求6中任意一项所述的网页后门的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710197494.0A CN107135199B (zh) | 2017-03-29 | 2017-03-29 | 网页后门的检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710197494.0A CN107135199B (zh) | 2017-03-29 | 2017-03-29 | 网页后门的检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107135199A true CN107135199A (zh) | 2017-09-05 |
| CN107135199B CN107135199B (zh) | 2020-05-01 |
Family
ID=59714897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710197494.0A Active CN107135199B (zh) | 2017-03-29 | 2017-03-29 | 网页后门的检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107135199B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107844702A (zh) * | 2017-11-24 | 2018-03-27 | 杭州安恒信息技术有限公司 | 基于云防护环境下网站木马后门检测方法及装置 |
| CN111031025A (zh) * | 2019-12-07 | 2020-04-17 | 杭州安恒信息技术股份有限公司 | 一种自动化检测验证Webshell的方法及装置 |
| WO2021223177A1 (zh) * | 2020-05-07 | 2021-11-11 | 深圳市欢太科技有限公司 | 异常文件检测方法及相关产品 |
| CN114329456A (zh) * | 2020-09-27 | 2022-04-12 | ***通信集团河南有限公司 | 网页后门检测方法、装置及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN104967616A (zh) * | 2015-06-05 | 2015-10-07 | 北京安普诺信息技术有限公司 | 一种Web服务器中的WebShell文件的检测方法 |
| CN105046154A (zh) * | 2015-08-13 | 2015-11-11 | 浪潮电子信息产业股份有限公司 | 一种webshell检测方法及装置 |
| CN105516151A (zh) * | 2015-12-15 | 2016-04-20 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
| CN105553767A (zh) * | 2015-12-15 | 2016-05-04 | 北京奇虎科技有限公司 | 网站后门文件检测方法及装置 |
-
2017
- 2017-03-29 CN CN201710197494.0A patent/CN107135199B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN104967616A (zh) * | 2015-06-05 | 2015-10-07 | 北京安普诺信息技术有限公司 | 一种Web服务器中的WebShell文件的检测方法 |
| CN105046154A (zh) * | 2015-08-13 | 2015-11-11 | 浪潮电子信息产业股份有限公司 | 一种webshell检测方法及装置 |
| CN105516151A (zh) * | 2015-12-15 | 2016-04-20 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
| CN105553767A (zh) * | 2015-12-15 | 2016-05-04 | 北京奇虎科技有限公司 | 网站后门文件检测方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107844702A (zh) * | 2017-11-24 | 2018-03-27 | 杭州安恒信息技术有限公司 | 基于云防护环境下网站木马后门检测方法及装置 |
| CN111031025A (zh) * | 2019-12-07 | 2020-04-17 | 杭州安恒信息技术股份有限公司 | 一种自动化检测验证Webshell的方法及装置 |
| CN111031025B (zh) * | 2019-12-07 | 2022-04-29 | 杭州安恒信息技术股份有限公司 | 一种自动化检测验证Webshell的方法及装置 |
| WO2021223177A1 (zh) * | 2020-05-07 | 2021-11-11 | 深圳市欢太科技有限公司 | 异常文件检测方法及相关产品 |
| CN115398861A (zh) * | 2020-05-07 | 2022-11-25 | 深圳市欢太科技有限公司 | 异常文件检测方法及相关产品 |
| CN114329456A (zh) * | 2020-09-27 | 2022-04-12 | ***通信集团河南有限公司 | 网页后门检测方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107135199B (zh) | 2020-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103927307B (zh) | 一种识别网站用户的方法和装置 | |
| CN105808639B (zh) | 网络访问行为识别方法和装置 | |
| CN104040557B (zh) | 在线诈骗检测动态评分集合***和方法 | |
| CN107135199A (zh) | 网页后门的检测方法和装置 | |
| CN103530365B (zh) | 获取资源的下载链接的方法及*** | |
| CN109831465A (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| CN110210227A (zh) | 风险检测方法、装置、设备和存储介质 | |
| CN105357195A (zh) | web访问的越权漏洞检测方法及装置 | |
| CN103593415A (zh) | 网页访问量作弊的检测方法和装置 | |
| CN110099059A (zh) | 一种域名识别方法、装置及存储介质 | |
| CN107528749A (zh) | 基于云防护日志的网站可用性检测方法、装置及*** | |
| CN108009425A (zh) | 文件检测及威胁等级判定方法、装置及*** | |
| CN102663052B (zh) | 一种提供搜索引擎搜索结果的方法及装置 | |
| CN107483381B (zh) | 关联账户的监控方法及装置 | |
| CN106548343A (zh) | 一种非法交易检测方法及装置 | |
| CN104050178A (zh) | 一种互联网监测反作弊方法和装置 | |
| CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
| CN106126388A (zh) | 监控事件的方法、规则引擎装置和规则引擎*** | |
| WO2010037003A1 (en) | Evaluating online marketing efficiency | |
| CN107888602A (zh) | 一种检测异常用户的方法及装置 | |
| CN109873832B (zh) | 流量识别方法、装置、电子设备和存储介质 | |
| CN105335280A (zh) | 程序性能测试方法和装置 | |
| CN106959925A (zh) | 一种版本测试方法及装置 | |
| CN109831429A (zh) | 一种Webshell检测方法及装置 | |
| CN107622202A (zh) | 网页后门检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |