[发明专利]一种基于关联树的WEB后门检测方法及系统

权利要求书

1.一种基于关联树的WEB后门检测方法，其步骤包括：

1）设置WEB网站首页链接获取WEB网站链接爬取入口，根据所述爬取入口抓取WEB网站的所有链接信息；

2）对所述所有链接信息进行扇入和/或扇出系统计算，将扇入系数Link_in>=1或扇出Link_out>=1的链接汇聚成多个原始链接集合；

3）对所述原始链接集合进行优化处理建立树形链接关系集合，得到链接关联树WTree(links)；

4）设置所述链接关联树WTree(links)为可信链接；

5）当攻击者访问已植入WEB后门的WEB页面时，通过判断在所述链接关联树中该后门链接请求，检测出WEB后门。

2.如权利要求1所述的基于关联树的WEB后门检测方法，其特征在于，将页面链接的扇入系数Link_in=0且扇出系数Link_out=0的链接，生成僵尸链接库B_lib(Links)并建立僵尸链接记录；所述僵尸链接记录表作为后门攻击快速匹配记录表，当进行攻击实时检测时，优先于链接关联树WTree(links)进行请求查询匹配。

3.如权利要求2所述的基于关联树的WEB后门检测方法，其特征在于，当进行攻击实时检测时，首先将该些僵尸链接作为可疑后门，发出安全告警，在WEB系统管理员审核完成之前全部默认关闭，若收到发出后门攻击告警，WEB应用管理员可以手动审核，以人为修正特殊链接,将该链接设置为可信链接，并加入链接关联树WTree(links)或者按照IP地址范围、时间段属性设置该链接的访问控制策略。

4.如权利要求1或2任一项所述的基于关联树的WEB后门检测方法，其特征在于，

在用户发送页面链接请求时，通过WEB应用代理网关对该请求链接进行截获，并在链接关联树WTree(links)中进行快速查找：

如果查找命中记录，则为合法链接请求，网关放行请求，WEB服务器对请求的响应直接反馈给客户端；

如果查找未命中记录，则网关代理客户端向WEB服务器继续发送请求：

如果WEB服务器有该请求的链接存在，返回了一个存在的页面，则发出后门攻击告警，按照预先制定的安全策略，阻断该链接请求；

如果请求的链接在WEB服务器上返回404不存在的错误码，则网关将响应的错误信息直接返回给客户端。

5.如权利要求1或2任一项所述的基于关联树的WEB后门检测方法，其特征在于，对所述原始链接集合进行优化处理建立树形链接关系集合的方法如下：

1）优化原始链接集合中复杂图状关联或网状关联，简化为链接关系树型关联；

2）对于链接关联树WTree(links)中各个节点采用红黑树或二分查找树算法进行优化存储结构进行优化存储；

3）对于同级叶子节点采用Hash表方式存储。

6.如权利要求1或2任一项所述的基于关联树的WEB后门检测方法，其特征在于，通过调整阈值N，将链接关联树WTree(links)中树形集合节点M<N的集合排除在可信范围之内，用于识别少量相互链接的后门链接。

7.如权利要求1或2任一项所述的基于关联树的WEB后门检测方法，其特征在于，根据所述爬取入口抓取WEB网站的所有链接信息的方法为：

1）从WEB网站的首页开始抓取链接，或者手动输入首页以及子系统首页；

2）抓取网页链接时，采用广度优先算法或者深度优先算法遍历网站所有链接；

3）抓取网页时采用提供学习模式，在学习模式时，通过少量的访问请求，自动确定网页抓取的起始页面链接。

8.如权利要求1或2任一项所述的基于关联树的WEB后门检测方法，其特征在于，对所述所有链接信息进行扇入和/或扇出系统计算前，对抓取的网页链接记录信息进行除重去冗余处理，形成一最简完整集合。