[发明专利]网页后门检测方法及装置

权利要求书

1.一种网页后门检测方法，其特征在于，所述方法包括：

获取每个网址访问日志中的特征数据；

根据每个所述特征数据中的网址特征数据，建立多个所述网址特征数据对应的有向图；

根据所述有向图中，判断是否存在异常网址特征数据，在为是时，获取每个所述异常网址特征数据对应的网页后门文件。

2.根据权利要求1所述的网页后门检测方法，其特征在于，每个所述特征数据均包括：网址特征数据和访问特征数据，根据所述有向图中，判断是否存在异常网址特征数据，在为是时，获取每个所述异常网址特征数据对应的网页后门文件，包括：

判断所述有向图中是否存在疑似异常网址特征数据，在为是时，获取每个所述疑似异常网址特征数据所对应的访问特征数据；

针对每个所述疑似异常网址特征数据所对应的所述访问特征数据，判断所述访问特征数据是否满足预设标准，在为否时，判定所述访问特征数据对应的所述疑似异常网址特征数据为所述异常网址特征数据，以根据对应的所述特征数据获取对应的所述网页后门文件。

3.根据权利要求2所述的网页后门检测方法，其特征在于，判断所述有向图中是否存在疑似异常网址特征数据，在为是时，获取每个所述疑似异常网址特征数据所对应的访问特征数据，包括：

获取所述有向图中的每个所述网址特征数据的链路数量；

针对每个所述网址特征数据的链路数量，判断所述链路数量是否小于第一阈值，在为是时，判定该所述网址特征数据为所述疑似异常网址特征数据；

获取每个所述疑似异常网址特征数据所对应的访问特征数据。

4.根据权利要求2所述的网页后门检测方法，其特征在于，所述访问特征数据包括多个访问特征项，判断所述访问特征数据是否满足预设标准，在为否时，判定所述访问特征数据对应的所述疑似异常网址特征数据为所述异常网址特征数据，以根据对应的所述特征数据获取对应的所述网页后门文件，包括：

将所述访问特征数据中的每个所述访问特征项均与对应的预设访问特征项匹配；

获取不匹配的所述访问特征项的总数量，判断所述总数量是否大于第二阈值，在为是时，判定不满足所述预设标准，并判定所述访问特征数据对应的所述疑似异常网址特征数据为所述异常网址特征数据，以根据对应的所述特征数据获取对应的所述网页后门文件。

5.根据权利要求1所述的网页后门检测方法，其特征在于，获取每个网址访问日志中的特征数据，包括：

针对每个所述网址访问日志，按所述网址访问日志的数据格式获取所述网址访问日志中的所述特征数据。

6.根据权利要求1所述的网页后门检测方法，其特征在于，所述方法还包括：

获取目标网站在预设时间段内访问成功的多个网址访问日志；

解析所述多个网址访问日志，并对所述多个网址访问日志执行归一化处理，获取处理后的每个所述网址访问日志。

7.一种网页后门检测装置，其特征在于，所述装置包括：

数据获取模块，用于获取每个网址访问日志中的特征数据；

模型建立模块，用于根据每个所述特征数据中的网址特征数据，建立多个所述网址特征数据对应的有向图；

判断处理模块，用于根据所述有向图中，判断是否存在异常网址特征数据，在为是时，获取每个所述异常网址特征数据对应的网页后门文件。

8.根据权利要求7所述的网页后门检测装置，其特征在于，每个所述特征数据均包括：网址特征数据和访问特征数据，所述判断处理模块包括：

判断单元，用于判断所述有向图中是否存在疑似异常网址特征数据，在为是时，获取每个所述疑似异常网址特征数据所对应的访问特征数据；

判断处理单元，用于针对每个所述疑似异常网址特征数据所对应的所述访问特征数据，判断所述访问特征数据是否满足预设标准，在为否时，判定所述访问特征数据对应的所述疑似异常网址特征数据为所述异常网址特征数据，以根据对应的所述特征数据获取对应的所述网页后门文件。