所述第一预设阈值。
[0094]A4、如Al所述的网站后门文件检测方法,所述获取可疑后门文件对应的删除记录信息包括:
[0095]从所述可疑后门文件中获取接收到删除操作的可疑后门文件;和/或
[0096]从相邻两次后门检测的可疑后门文件结果中,获取在第一次检测结果中存在并且第二次检测结果中不存在的可疑后门文件。
[0097]A5、如Al所述的网站后门文件检测方法,根据所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例包括:
[0098]获取每一个可疑后门文件在所述预置时间段内的出现次数和删除次数;
[0099]将每一个可疑后门文件在所述预置时间段内的删除次数与出现次数进行比值,生成每一个可疑后门文件对应的删除比例。
[0100]A6、如A1-A5任一项所述的网站后门文件检测方法,所述方法还包括:
[0101]显示每一个可疑后门文件对应的删除比例。
[0102]A7、如A6所述的网站后门文件检测方法,所述显示每一个可疑后门文件对应的删除比例之前,所述方法还包括:
[0103]根据所述第一预设阈值和所述第二预设阈值,获取每一个可疑后门文件对应的删除比例位于的阈值区间;
[0104]所述显示每一个可疑后门文件对应的删除比例包括:
[0105]显示每一个可疑后门文件对应的删除比例和每一个删除比例对应的阈值区间。
[0106]B8、一种网站后门文件检测装置,包括:
[0107]获取单元,用于获取预置时间段内的可疑后门文件和与所述可疑后门文件对应的删除记录信息;
[0108]生成单元,用于根据所述获取单元获取的所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例;
[0109]更新单元,用于根据所述生成单元生成的每一个可疑后门文件对应的删除比例更新预置后门文件检测规则;
[0110]检测单元,用于根据所述更新单元更新后的预置后门文件检测规则检测网站后门文件。
[0111]B9、如B8所述的网站后门文件检测装置,
[0112]所述更新单元,具体用于若每一个可疑后门文件对应的删除比例中存在删除比例小于第一预设阈值的可疑后门文件,则在所述预置后门文件检测规则中将所述可疑后门文件配置为正常文件。
[0113]BlO、如B8所述的网站后门文件检测装置,
[0114]所述更新单元,具体还用于若每一个可疑后门文件对应的删除比例中存在删除比例大于第二预设阈值的可疑后门文件,则在所述预置后门文件检测规则中将所述可疑后门文件配置为直接删除文件,所述第二预设阈值大于所述第一预设阈值。
[0115]Bll、如B8所述的网站后门文件检测装置,
[0116]所述获取单元,具体用于从所述可疑后门文件中获取接收到删除操作的可疑后门文件;和/或
[0117]从相邻两次后门检测的可疑后门文件结果中,获取在第一次检测结果中存在并且第二次检测结果中不存在的可疑后门文件。
[0118]BI 2、如B8所述的网站后门文件检测装置,
[0119]所述生成单元,具体用于获取每一个可疑后门文件在所述预置时间段内的出现次数和删除次数,将每一个可疑后门文件在所述预置时间段内的删除次数与出现次数进行比值,生成每一个可疑后门文件对应的删除比例。
[0120]B13、如B8-B12任一项所述的网站后门文件检测装置,所述装置还包括:
[0121 ]显示单元,用于显示每一个可疑后门文件对应的删除比例。
[0122]B14、如B13所述的网站后门文件检测装置,
[0123]所述获取单元,还用于根据所述第一预设阈值和所述第二预设阈值,获取每一个可疑后门文件对应的删除比例位于的阈值区间;
[0124]所述显示单元,具体用于显示每一个可疑后门文件对应的删除比例和每一个删除比例对应的阈值区间。
【主权项】
1.一种网站后门文件检测方法,其特征在于,包括: 获取预置时间段内的可疑后门文件和与所述可疑后门文件对应的删除记录信息; 根据所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例; 根据每一个可疑后门文件对应的删除比例更新预置后门文件检测规则; 根据更新后的预置后门文件检测规则检测网站后门文件。2.根据权利要求1所述的网站后门文件检测方法,其特征在于,所述根据每一个可疑后门文件对应的删除比例更新预置后门文件检测规则包括: 若每一个可疑后门文件对应的删除比例中存在删除比例小于第一预设阈值的可疑后门文件,则在所述预置后门文件检测规则中将所述可疑后门文件配置为正常文件。3.根据权利要求1所述的网站后门文件检测方法,其特征在于,所述根据每一个可疑后门文件对应的删除比例更新预置后门文件检测规则包括: 若每一个可疑后门文件对应的删除比例中存在删除比例大于第二预设阈值的可疑后门文件,则在所述预置后门文件检测规则中将所述可疑后门文件配置为直接删除文件,所述第二预设阈值大于所述第一预设阈值。4.根据权利要求1所述的网站后门文件检测方法,其特征在于,所述获取可疑后门文件对应的删除记录信息包括: 从所述可疑后门文件中获取接收到删除操作的可疑后门文件;和/或从相邻两次后门检测的可疑后门文件结果中,获取在第一次检测结果中存在并且第二次检测结果中不存在的可疑后门文件。5.根据权利要求1所述的网站后门文件检测方法,其特征在于,根据所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例包括: 获取每一个可疑后门文件在所述预置时间段内的出现次数和删除次数; 将每一个可疑后门文件在所述预置时间段内的删除次数与出现次数进行比值,生成每一个可疑后门文件对应的删除比例。6.一种网站后门文件检测装置,其特征在于,包括: 获取单元,用于获取预置时间段内的可疑后门文件和与所述可疑后门文件对应的删除记录信息; 生成单元,用于根据所述获取单元获取的所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例; 更新单元,用于根据所述生成单元生成的每一个可疑后门文件对应的删除比例更新预置后门文件检测规则; 检测单元,用于根据所述更新单元更新后的预置后门文件检测规则检测网站后门文件。7.根据权利要求6所述的网站后门文件检测装置,其特征在于, 所述更新单元,具体用于若每一个可疑后门文件对应的删除比例中存在删除比例小于第一预设阈值的可疑后门文件,则在所述预置后门文件检测规则中将所述可疑后门文件配置为正常文件。8.根据权利要求6所述的网站后门文件检测装置,其特征在于, 所述更新单元,具体还用于若每一个可疑后门文件对应的删除比例中存在删除比例大于第二预设阈值的可疑后门文件,则在所述预置后门文件检测规则中将所述可疑后门文件配置为直接删除文件,所述第二预设阈值大于所述第一预设阈值。9.根据权利要求6所述的网站后门文件检测装置,其特征在于, 所述获取单元,具体用于从所述可疑后门文件中获取接收到删除操作的可疑后门文件;和/或 从相邻两次后门检测的可疑后门文件结果中,获取在第一次检测结果中存在并且第二次检测结果中不存在的可疑后门文件。10.根据权利要求6所述的网站后门文件检测装置,其特征在于, 所述生成单元,具体用于获取每一个可疑后门文件在所述预置时间段内的出现次数和删除次数,将每一个可疑后门文件在所述预置时间段内的删除次数与出现次数进行比值,生成每一个可疑后门文件对应的删除比例。
【专利摘要】本发明公开了一种网站后门文件检测方法及装置,涉及信息技术领域,可以减小网站后门文件检测误差,提高网站后门文件检测和处理精度。所述方法包括:首先获取预置时间段内的可疑后门文件和与所述可疑后门文件对应的删除记录信息;然后根据所述可疑后门文件对应的删除记录信息,生成每一个可疑后门文件对应的删除比例,再根据每一个可疑后门文件对应的删除比例更新预置后门文件检测规则,最后根据更新后的预置后门文件检测规则检测网站后门文件。本发明适用于网站后门文件检测。
【IPC分类】H04L12/26
【公开号】CN105553767
【申请号】CN201510931656
【发明人】陈耀攀
【申请人】北京奇虎科技有限公司, 奇智软件(北京)有限公司
【公开日】2016年5月4日
【申请日】2015年12月15日