网站后门文件检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及一种信息技术领域,特别是涉及一种网站后门文件检测方法及装置。
【背景技术】
[0002]近些年来,随着信息技术的不断发展,互联网技术越来越成熟,随之而来的网络安全问题也越来越多。其中,网站后门文件是众多网络安全问题中比较常见的一种,攻击者可以通过网站后门文件对网站服务器进行一系列的危险操作,包括对网站服务器信息的获取,或者进一步对网站服务器进行控制。
[0003]目前在对网站后门文件检测时,通常是通过配置的简单的查杀规则识别可疑后门文件,然后通过人工的方式对可疑后门文件进行进一步处理。然而,由于现有查杀规则较为简单,使得可疑后门文件的识别误差较大,此时进一步通过人工的方式处理误差较大的检测结果时,会进一步增加后门文件处理误差,造成网站后门文件检测精度较低。
【发明内容】
[0004]有鉴于此,本发明提供一种网站后门文件检测方法及装置,主要目的在于可以减小网站后门文件检测误差,提高网站后门文件检测和处理精度。
[0005]依据本发明一个方面,提供了一种网站后门文件检测方法,包括:
[0006]获取预置时间段内的可疑后门文件和与所述可疑后门文件对应的删除记录信息;
[0007]根据所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例;
[0008]根据每一个可疑后门文件对应的删除比例更新预置后门文件检测规则;
[0009]根据更新后的预置后门文件检测规则检测网站后门文件。
[0010]依据本发明另一个方面,提供了一种网站后门文件检测装置,包括:
[0011]获取单元,用于获取预置时间段内的可疑后门文件和与所述可疑后门文件对应的删除记录信息;
[0012]生成单元,用于根据所述获取单元获取的所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例;
[0013]更新单元,用于根据所述生成单元生成的每一个可疑后门文件对应的删除比例更新预置后门文件检测规则;
[0014]检测单元,用于根据所述更新单元更新后的预置后门文件检测规则检测网站后门文件。
[0015]借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
[0016]本发明提供的一种网站后门文件检测方法及装置,首先获取预置时间段内的可疑后门文件和与所述可疑后门文件对应的删除记录信息;然后根据所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例,再根据每一个可疑后门文件对应的删除比例更新预置后门文件检测规则,最后根据更新后的预置后门文件检测规则检测网站后门文件。与目前对网站后门文件检测时,通常是通过配置的简单的查杀规则识别可疑后门文件,然后通过人工的方式对可疑后门文件进行进一步处理相比,本发明通过可疑后门文件处理记录信息,不断更新和完善可疑后门文件的检测规则,可以减小网站后门文件检测误差,提高网站后门文件检测和处理精度。
[0017]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0018]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0019]图1示出了本发明实施例提供的一种网站后门文件检测方法流程示意图;
[0020]图2示出了本发明实施例提供的另一种网站后门文件检测方法流程示意图;
[0021]图3示出了本发明实施例提供的一种网站后门文件检测装置结构示意图;
[0022]图4示出了本发明实施例提供的另一种网站后门文件检测装置结构示意图。
【具体实施方式】
[0023]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0024]本发明实施例提供了一种网站后门文件检测方法,如图1所示,所述方法包括:
[0025]101、获取预置时间段内的可疑后门文件和与所述可疑后门文件对应的删除记录
?目息O
[0026]其中,预置时间段内可以为一小时内、一天内、一周内等,具体可以根据实际需求进行配置,本发明实施例不做限定。可疑后门文件为通过初始后门文件检测规则识别出的存在异常的后门文件,例如,可疑后门文件可以为整个文件是后门文件、在正常的网站文件中插入几句恶意的代码等,本发明实施例不做限定。可疑后门文件对应的删除记录信息具体可以包括可疑后门文件对应的标识信息、可疑后门文件对应的删除次数等,可疑后门文件对应的标识信息可以为可疑后门文件的md5(Message_Digest Algorithm 5,信息摘要算法5)值,用于唯一标识该可疑后门文件。
[0027]102、根据所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例。
[0028]其中,每一个可疑后门文件对应的删除比例为每一个可疑后门文件在预置时间段内被删除的次数与出现的次数之间的比例。例如,在一天的时间内,可疑后门文件I出现了10次,被删除的次数为5次,则可疑后门文件I对应的删除比例为50%。
[0029]103、根据每一个可疑后门文件对应的删除比例更新预置后门文件检测规则。
[0030]其中,当删除比例较大时,说明该可疑后门文件为后门文件的概率要大一些,当删除比例较小时,说明该可疑后门文件为后门文件的概率要小一些,因此根据每一个可疑后门文件对应的删除比例更新预置后门文件检测规则,可以更加客观的修正预置后门文件检测规则中的漏洞,完善后门文件检测规则。
[0031]104、根据更新后的预置后门文件检测规则检测网站后门文件。
[0032]对于本发明实施例,通过更新后的预置后门文件检测规则检测网站后门文件,与目前只是根据简单的后门文件检测规则进行网站后门文件检测相比,可以减小网站后门文件检测误差,提高网站后门文件检测和处理精度。
[0033]本发明实施例提供的一种网站后门文件检测方法,首先获取预置时间段内的可疑后门文件和与所述可疑后门文件对应的删除记录信息;然后根据所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例,再根据每一个可疑后门文件对应的删除比例更新预置后门文件检测规则,最后根据更新后的预置后门文件检测规则检测网站后门文件。与目前对网站后门文件检测时,通常是通过配置的简单的查杀规则识别可疑后门文件,然后通过人工的方式对可疑后门文件进行进一步处理相比,本发明通过可疑后门文件处理记录信息,不断更新和完善可疑后门文件的检测规则,可以减小网站后门文件检测误差,提高网站后门文件检测和处理精度。
[0034]本发明实施例提供了另一种网站后门文件检测方法,如图2所示,所述方法包括:
[0035]201、获取预置时间段内的可疑后门文件和与所述可疑后门文件对应的删除记录
?目息O
[0036]其中,预置时间段内可以为一小时内、一天内、一周内等,具体可以根据实际需求进行配置,本发明实施例不做限定。可疑后门文件为通过初始后门文件检测规则识别出的存在异常的后门文件,例如,可疑后门文件可以为整个文件是后门文件、在正常的网站文件中插入几句恶意的代码等,本发明实施例不做限定。可疑后门文件对应的删除记录信息具体可以包括可疑后门文件对应的标识信息、可疑后门文件对应的删除次数等,可疑后门文件对应的标识信息可以为可疑后门文件的md5(Message_Digest Algorithm 5,信息摘要算法5)值,用于唯一标识该可疑后门文件。
[0037]对于本发明实施例,所述获取可疑后门文件对应的删除记录信息具体可以包括:从所述可疑后门文件中获取接收到删除操作的可疑后门文件。例如,识别出的可疑后门文件为可疑后门文件1、可疑后门文件2、