[发明专利]一种基于非授信的网页后门检测方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于非授信的网页后门检测方法及系统。

背景技术

随着互联网的不断发展，在社会各个领域中得到了广泛的普及，同时也推动了通信业快速发展。互联网是一个信息共享的大平台，这个大平台是由无数个网站构建起来的。网站正朝着多元化发展，展现内容越来越多，展现形式也越来越好。然而在网站功能不断丰富的同时，安全方面的脆弱性也不断暴露出来。攻击者利用漏洞攻击网站的案例比比皆是。在攻击者攻击网站后，往往会上传网页后门到网站上，用于以后对网站的操控，危害性极大。

现有的网页后门检测技术，通常采用特征码方式检测，这种检测方式是从众多已知的网页后门代码中提取特征，可以对已知的网页后门检测，缺乏有效地对未知的与加密的网页后门进行检测，可视为对这两类的网页后门放行，此检测方法效率极低。

发明内容

针对上述技术问题，本发明提供了一种基于非授信的网页后门检测方法及系统，该发明通过建立授信架构和非授信架构，将在网站上遍历得到的URL及URL页面相关属性信息与授信架构和非授信架构进行匹配，并判断其是否是网页后门或者被篡改页面，进行后续处置，从而克服传统检测方案对特征码库的依赖，无法有效检测未知的或者加密的网页后门的弊端。

本发明采用如下方法来实现：一种基于非授信的网页后门检测方法，包括：

步骤1、建立网站的授信架构和非授信架构，所述授信架构用于存储网站管理员生成的URL及URL页面相关属性，所述URL页面相关属性包括：URL页面时间戳、URL页面散列值、URL页面备份位置和篡改次数；

所述非授信架构用来存储网页后门的URL页面相关属性，包括：URL页面散列值、处置时间戳和处置次数；

步骤2、依次遍历和识别网站中的URL及URL页面，判断URL是否在授信架构中，若在，则执行步骤3，否则执行步骤4；

步骤3、判断所述URL与授信架构中存储的URL页面相关属性是否完全匹配，若是，则该URL及URL页面是正常的，否则该URL页面被篡改，并执行步骤6；

步骤4、计算该URL页面散列值，并判断所述URL页面散列值是否在非授信架构中，若在，则该URL页面为网页后门，并删除该URL页面，否则执行步骤5；

步骤5、判断该URL页面是否具备网站脚本特征和可执行权限，若具备，则该URL页面为网页后门，并执行步骤6，否则该URL及URL页面是正常的；

步骤6、将该URL页面相关属性录入到非授信架构中，并删除该URL页面。

进一步地，所述建立网站的授信架构和非授信架构后，对所述授信架构的内容进行数据备份，当判定URL页面被篡改，将该URL页面相关属性录入到非授信架构中，并删除该URL页面后，利用授信架构中该URL页面备份位置恢复原始页面。不仅可以检测网页后门，还可以恢复被攻击者篡改的页面，解决传统检测网页后门的方法，只能查不能恢复等特点。

进一步地，当判定URL页面被篡改，则授权架构中该URL页面相关属性中的篡改次数加1；当所述删除该URL页面，则非授权架构中该URL页面相关属性中的处置次数加1。

本发明采用如下系统来实现：一种基于非授信的网页后门检测系统，包括：

建模模块，用于建立网站的授信架构和非授信架构，所述授信架构用于存储网站管理员生成的URL及URL页面相关属性，所述URL页面相关属性包括：URL页面时间戳、URL页面散列值、URL页面备份位置和篡改次数；

所述非授信架构用来存储网页后门的URL页面相关属性，包括：URL页面散列值、处置时间戳和处置次数；

第一检测模块，依次遍历和识别网站中的URL及URL页面，判断URL是否在授信架构中，若在，则由第二检测模块进行检测，否则由第三检测模块进行检测；

第二检测模块，判断所述URL与授信架构中存储的URL页面相关属性是否完全匹配，若是，则该URL及URL页面是正常的，否则该URL页面被篡改，并由处置模块对所述URL及URL页面进行处置；

第三检测模块，计算该URL页面散列值，并判断所述URL页面散列值是否在非授信架构中，若在，则该URL页面为网页后门，并删除该URL页面，否则由第四检测模块进一步检测；

第四检测模块，判断该URL页面是否具备网站脚本特征和可执行权限，若具备，则该URL页面为网页后门，并由处置模块对所述URL及URL页面进行处置，否则该URL及URL页面是正常的；

处置模块，将该URL页面相关属性录入到非授信架构中，并删除该URL页面。