[发明专利]后门文件的检测方法和装置

说明书

本申请提供一种后门文件的检测方法和装置，该方法可以包括：获取针对文件的访问记录的网站日志；提取所述网站日志中的提交数据；基于所述提交数据检测所述文件是否为疑似后门文件，在所述文件为疑似后门文件时，基于所述提交数据确定所述疑似后门文件是否为后门文件。通过本申请的技术方案，能够准确的识别出后门文件，保证网站的安全性。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种后门文件的检测方法和装置。

背景技术

Web shell(网站后门)文件也称之为网页后门文件，通常由与网站语言相同的编程语言编写而成，黑客在入侵网站后，一般将后门文件放在某个隐蔽的目录下，以达到控制网站的目的。

现有技术中，黑客为了避免上传到网站的后门文件被其他黑客发现和使用，会在后门文件中写入身份验证程序，那么访问该后门文件的黑客必须输入正确的密码，该后门文件才会执行真正的后门代码。目前出现的较多的全功能型网页木马，即拥有包括目录浏览、命令执行、系统提权等黑客常用功能的木马，其验证身份时使用的Http(Hyper TextTransfer Protocol，超文本传输协议)报文结构大多非常相似，因此，通过提取Http报文结构中的共同特征，能够得到用于识别可疑木马的身份验证请求的木马特征，因而可以通过分析文件的代码中是否存在木马特征来判断文件是否为后门文件，但是这种方式并不能识别经过混淆及加密过的后门文件，此外，这种方式下总结的有些木马特征在正常文件中也可能出现，因而可能将某些正常文件错误的判断为后门文件。

发明内容

本申请提供后门文件的检测方法和装置，以解决现有技术中识别后门文件例如后门文件不够准确，容易发生误判断等问题。

根据本申请实施例的第一方面，提供一种后门文件的检测方法，应用在服务器上，包括：

获取针对文件的访问记录的网站日志；

提取所述网站日志中的提交数据；

基于所述提交数据检测所述文件是否为疑似后门文件，在所述文件为疑似后门文件时，基于所述提交数据确定所述疑似后门文件是否为后门文件。

根据本申请实施例的第二方面，提供了一种后门文件的检测装置，应用在服务器上，包括：

日志分析模块，用于获取针对文件的访问记录的网站日志，解析所述网站日志，得到所述网站日志中的提交数据，判断所述提交数据是否与后门特征匹配，在所述提交数据与所述后门特征相匹配时，确定所述文件为疑似后门文件；

后门文件验证模块，用于在所述文件为疑似后门文件时，基于后门密码参数查找预存储的后门特征数据库，确定所述疑似后门文件对应的后门访问界面，基于所述提交数据中的密码信息向所述后门访问界面发送访问请求；在访问成功时，确定所述疑似后门文件为后门文件。

根据本申请实施例的第三方面，提供一种后门文件的检测装置，应用在服务器上，包括：

获取单元，用于获取针对文件的访问记录的网站日志；

提取单元，用于提取所述网站日志中的提交数据；

确定单元，用于基于所述提交数据检测所述文件是否为疑似后门文件，在所述文件为疑似后门文件时，基于所述提交数据确定所述疑似后门文件是否为后门文件。

根据本申请实施例的第四方面，提供一种后门文件的检测装置，所述设备为服务器，包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为：

获取针对文件的访问记录的网站日志；

提取所述网站日志中的提交数据；

基于所述提交数据检测所述文件是否为疑似后门文件，在所述文件为疑似后门文件时，基于所述提交数据确定所述疑似后门文件是否为后门文件。