[发明专利]网站后门文件的验证方法及装置

说明书

本发明公开了一种网站后门文件的验证方法及装置。其中，该方法包括：获取网络访问日志记录；按照访问网站后门文件所采用的通信协议从网络访问日志记录中选取待验证的互联网访问请求记录；根据待验证的互联网访问请求记录所归属的请求类型选取验证方式；通过选取的验证方式验证待验证的互联网访问请求记录访问的文件是否为网站后门文件。本发明解决了相关技术中所采用的通过特征匹配的方式确定网站后门文件的方式准确性较低，易产生漏报或误报的技术问题。

技术领域

本发明涉及互联网领域，具体而言，涉及一种网站后门文件的验证方法及装置。

背景技术

Webshell即网站后门文件，“Web”的含义是需要网站服务器开放Web服务，“shell”的含义是在一定程度上取得网站服务器的操作权限。Webshell是以ASP、PHP、JSP或者CGI等网页文件形式存在的一种命令执行环境，通常采用与网站服务器相同的编程语言编写而成，设置在网站目录中。Webshell从访问者接收任意的参数并添加至自身代码中运行，然后再将运行结果返回给访问者。因此，黑客在入侵一个网站后，通常会将Webshell与网站服务器Web目录下正常的网页文件混在一起，便可以使用浏览器来访问Webshell，以达到长期控制网站服务器的目的，其中，可以包括但不限于：上传/下载文件，查看数据库，执行任意程序命令。由于编程语言灵活多样，新型的Webshell已基本失去静态后门特征，从而能够轻松地绕过后门识别工具的检测。

Webshell管理工具使用特殊的通信协议与网站后门文件进行通信，从而实现磁盘目录浏览、文件上传或下载、执行系统命令等功能，其主要的实现原理在于：在网站中上传一个可被Webshell管理工具访问的Webshell，Webshell管理工具将上述功能转换成动态代码并以通信协议约定的格式进行封装，以访问网页的方式将通信内容发送给Webshell。Webshell在运行动态代码后，按照同样的通信协议对运行结果进行封装，然后再返回给Webshell管理工具。尽管每次通信的内容会因功能的不同而存在差异，但受限于通信协议的缺陷，每次通信总会有部分内容是满足一定特征的。

大部分的黑客在上传Webshell文件后，都会选择使用Webshell管理工具对Webshell进行访问。因此，大部分Webshell都能够与Webshell管理工具的访问记录关联起来。尽管网站后门文件千变万化，但黑客常用的Webshell管理工具上的通信协议是不变的。

相关技术中所采用的网站后门检测方法是通过在网站服务器上安装后门检测工具，通过对网站文件进行后门特征扫描以确认是否存在后门文件。在这些网站后门检测工具中，基本上都是使用静态分析技术和沙盒动态调试技术，对代码进行语法解析，构造出执行流程，然后通过模拟执行的方式检测危险函数的调用，最终得出代码是否为网站后门的结果。

然而，这种检测方式存在很大的弊端：首先，网站后门使用的编程语言是多种多样的，其不固定的文件格式增加了后门特征检测的复杂度；其次，特征检测依赖于文件特征库，每出现一种新的后门文件都需要更新文件特征库，由此会导致特征库消耗过多的存储空间；然后，网站后门都会将自己伪装成网站的正常网页文件，易使得检测过程中出现一定数量的漏报或误报。

不仅如此，大多数网站服务器所使用的编程语言都支持动态代码的生成及运行，目前十分流行的“一句话木马”后门文件便很好的利用了这个特性，实现代码的加密与混淆。这种“一句话木马”后门文件已经完全失去了常规的网站后门特征，从而可以轻松地绕过文件特征检测。

为此，黑客为了避免网站后门文件被网站管理员发现或者被网站服务器配置的安全软件检测到，通常都会选择“一句话木马”作为后门文件，插入到网站服务器的正常网页文件中；同时，对后门代码进行加密或者混淆，以使得后门文件从表面上看起来不像是网站服务器的后门文件。

下面是常见的“一句话木马”后门文件的代码示例，其具体表现形式如下：

？php