[发明专利]一种网站后门程序检测的方法及装置

权利要求书

1.一种网站后门程序检测的方法，其特征在于，包括：

获取待检测网站的日志数据的网页参数；

将所述网页参数与本地保存的行为数据库中的特征数据进行匹配；

当所述行为数据库中存在与所述网页参数匹配的第一特征数据时，获取对应网页文件的源代码；

通过所述源代码确定出所述待检测网站中的后门程序。

2.如权利要求1所述的方法，其特征在于，所述行为数据库的本地保存过程包括：

获取已公开的多个后门程序；

将获取的每个后门程序逐一作为后门样本进行执行，获取对应的行为数据；

从所述行为数据中提取对应的特征数据，并将提取出的所述特征数据形成行为数据库进行本地保存。

3.如权利要求2所述的方法，其特征在于，还包括：

根据新获取的已公开的后门程序，对所述行为数据库进行更新。

4.如权利要求1所述的方法，其特征在于，所述获取待检测网站的日志数据的网页参数之前，还包括：

对所述待检测网站的网站日志文件进行分析，识别出所述网站日志文件中的每条日志数据。

5.如权利要求1所述的方法，其特征在于，所述通过所述源代码确定出所述待检测网站中的后门程序包括：

将所述源代码与恶意代码数据库中的每段恶意源代码进行比对；

当所述恶意代码数据库中存在与所述源代码匹配的第一恶意源代码时，确认与所述源代码对应的网页文件为后门程序。

6.一种网站后门程序检测的装置，其特征在于，包括：

解析单元，用于获取待检测网站的日志数据的网页参数；

匹配单元，用于将所述网页参数与本地保存的行为数据库中的特征数据进行匹配；

获取单元，用于当所述行为数据库中存在与所述网页参数匹配的第一特征数据时，根据所述网页参数获取对应网页文件的源代码；

确定单元，用于通过所述源代码确定出所述待检测网站中的后门程序。

7.如权利要求6所述的装置，其特征在于，还包括：

行为数据库建立单元，用于获取已公开的多个后门程序，将获取的每个后门程序逐一作为后门样本进行执行，获取对应的行为数据，从所述行为数据中提取对应的特征数据，并将提取出的所述特征数据形成行为数据库进行本地保存。

8.如权利要求7所述的装置，其特征在于，还包括：

行为数据库更新单元，用于根据新获取的已公开的后门程序，对所述行为数据库进行更新。

9.如权利要求6所述的装置，其特征在于，还包括：

识别单元，用于对所述待检测网站的网站日志文件进行分析，识别出所述网站日志文件中的每条日志数据。

10.如权利要求6所述的装置，其特征在于，

所述确定单元，具体用于将所述源代码与恶意代码数据库中的每段恶意源代码进行比对，当所述恶意代码数据库中存在与所述源代码匹配的第一恶意源代码时，确认与所述源代码对应的网页文件为后门程序。