一种图片后门的检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种图片后门的检测方法及装置。
【背景技术】
[0002]随着互联网的普及,网站作为信息共享的平台,其安全性越来越受到人们的重视,针对网站的攻击手段也越来越多。
[0003]存在着安全缺陷的网站,一旦被攻击者攻破,就会上传网页后门,进而对整个网站系统进行控制。传统的网页后门,很容易被杀毒软件检测到;为了增加隐蔽性,攻击者就将网页后门代码植入到图片里,图片后门和普通图片从显示效果上看,没有任何区别,隐蔽性非常好,使传统的检测手段失效。
【发明内容】
[0004]本发明所述的技术方案通过监控脚本文件,当发现存在新增和/或被篡改的脚本文件时,定位脚本文件中调用的图片文件,进而判断被调用图片文件是否是恶意的。不仅能够解决传统技术方案无法检测图片后门的问题,而且检测效率更高,准确性更好。
[0005]本发明采用如下方法来实现:一种图片后门的检测方法,包括:
步骤1、提取网站所有脚本文件和图片文件的基本信息,包括:文件位置、创建时间、修改时间或者散列值;
步骤2、监控网站所有脚本文件,并判断是否存在新增和/或被篡改的脚本文件,若存在,则执行步骤3,否则继续执行步骤2 ;
步骤3、判断所述新增和/或被篡改的脚本文件中是否存在调用图片文件的行为,若存在,则提取被调用图片文件并继续执行步骤4,否则判定不存在图片后门,结束;
步骤4、判断被调用图片文件是否是新增和/或被篡改的图片文件,若是,则执行步骤5,否则判定不存在图片后门,结束;
步骤5、将所述被调用图片文件与后门特征码库进行匹配,若成功匹配,则判定存在图片后门,否则判定不存在图片后门。
[0006]进一步地,还包括:备份网站的所有脚本文件和图片文件;
当判定不存在图片后门时,还包括:利用备份的相关脚本文件对所述新增和/或被篡改的脚本文件进行恢复;
当判定存在图片后门时,还包括:利用备份的相关脚本文件对所述新增和/或被篡改的脚本文件进行恢复;并利用备份的相关图片文件对所述新增和/或被篡改的图片文件进行恢复。
[0007]进一步地,所述判断是否存在新增和/或被篡改的脚本文件,具体为:计算网站所有脚本文件的散列值,与提取的基本信息中的脚本文件的散列值进行匹配,并判断是否成功匹配,若不成功,则判定存在新增和/或被篡改的脚本文件,否则判定不存在新增和/或被篡改的脚本文件。
[0008]进一步地,所述判断所述脚本文件中是否存在调用图片文件的行为,具体为:检索所述脚本文件中是否存在调用图片文件的函数关键字,若存在,则判定存在调用图片文件的行为,否则判定不存在调用图片文件的行为。
[0009]进一步地,所述判断被调用图片文件是否是新增和/或被篡改的图片文件,具体为:计算所述被调用图片文件的散列值,与提取的基本信息中的图片文件的散列值进行匹配,并判断是否成功匹配,若不成功,则判定存在新增和/或被篡改的图片文件,否则判定不存在新增和/或被篡改的图片文件。
[0010]本发明可以采用如下装置来实现:一种图片后门的检测装置,包括:
信息提取模块,用于提取网站所有脚本文件和图片文件的基本信息,包括:文件位置、创建时间、修改时间或者散列值;
第一判定模块,用于监控网站所有脚本文件,并判断是否存在新增和/或被篡改的脚本文件,若存在,则由第二判定模块执行,否则继续由第一判定模块执行;
第二判定模块,用于判断所述新增和/或被篡改的脚本文件中是否存在调用图片文件的行为,若存在,则提取被调用图片文件并继续由第三判定模块执行,否则判定不存在图片后门;
第三判定模块,用于判断被调用图片文件是否是新增和/或被篡改的图片文件,若是,则由第四判定模块执行,否则判定不存在图片后门;
第四判定模块,用于将所述被调用图片文件与后门特征码库进行匹配,若成功匹配,则判定存在图片后门,否则判定不存在图片后门。
[0011 ] 进一步地,还包括备份模块和恢复模块:
所述备份模块,用于备份网站的所有脚本文件和图片文件;
所述恢复模块,用于当判定不存在图片后门时,利用所述备份模块备份的相关脚本文件对所述新增和/或被篡改的脚本文件进行恢复;
用于当判定存在图片后门时,利用所述备份模块备份的相关脚本文件对所述新增和/或被篡改的脚本文件进行恢复;并利用所述备份模块备份的相关图片文件对所述新增和/或被篡改的图片文件进行恢复。
[0012]进一步地,所述判断是否存在新增和/或被篡改的脚本文件,具体为:计算网站所有脚本文件的散列值,与提取的基本信息中的脚本文件的散列值进行匹配,并判断是否成功匹配,若不成功,则判定存在新增和/或被篡改的脚本文件,否则判定不存在新增和/或被篡改的脚本文件。
[0013]进一步地,所述判断所述脚本文件中是否存在调用图片文件的行为,具体为:检索所述脚本文件中是否存在调用图片文件的函数关键字,若存在,则判定存在调用图片文件的行为,否则判定不存在调用图片文件的行为。
[0014]进一步地,所述判断被调用图片文件是否是新增和/或被篡改的图片文件,具体为:计算所述被调用图片文件的散列值,与提取的基本信息中的图片文件的散列值进行匹配,并判断是否成功匹配,若不成功,则判定存在新增和/或被篡改的图片文件,否则判定不存在新增和/或被篡改的图片文件。
[0015]综上,本发明给出一种图片后门的检测方法及装置,首先对网站的脚本文件和图片文件的基本信息进行提取,以便后期进行是否篡改的判断;当发现存在新增和/或被篡改的脚本文件;进一步判断可疑脚本文件中是否存在调用图片文件的行为;若存在,则判断被调用图片文件是否是新增和/或被篡改的图片文件,若是,则进一步与后门特征码库进行匹配,若匹配成功,则认为存在图片后门,否则认为不存在图片后门。
[0016]有益效果为:本发明所述的方法及装置,通过监控脚本文件对图片的调用关系,定位被调用图片文件,利用后门特征码库匹配被调用图片文件,从而判断是否存在图片后门。本发明解决了现有产品无法对隐藏在图片中的网页后门进行检测的问题,并且该技术方案无需人工参与和处置,易于扩展和维护;同时,本发明还提供了对于可疑脚本文件和图片文件进行清除恢复的方案,从而克服了传统方式只能检测不能恢复的缺陷。
【附图说明】
[0017]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本发明提供的一种图片后门的检测方法实施例流程图;
图2为本发明提供的一种图片后门的检测装置实施例结构图。
【具体实施方式】
[0019]本发明给出了一种图片后门的检测方法及装置实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种图片后门的检测方法实施例,如图1所示,包括:
SlOl提取网站所有脚本文件和图片文件的基本信息,包括:文件位置、创建时间、修改时间或者散列值;
其中,所述脚本文件类型包括:PHP、ASP或者JSP ;所述图片文件类型包括:GIF、JPEG或者PNG ;
S102监控网站所有脚本文件,并判断是否存在新增和/或被篡改的脚本文件,若是,则执行S103,否则继续执行S102 ;
S103判断所述新增和/或被篡改的脚本文件中是否存在调用图片文件的行为,若是,则提取被调用图片文件并继续执行S104,否则判定不存在图片后门,结束;
S104判断被调用图片文件是否是新增和/或被篡改的图片文件,若是,则执行S105,否则判定不存在图片后门,结束;
S105将所述被调用图片文件与后门特征码库进行匹配,并判断是否成功匹配,若是,则判定存在图片后门,否则判定不存在图片后门。
[0020]优选地,还包括:备份网站的所有脚本文件和图片文件;
当判定不存在图片后门时,还包括:利用备份的相关脚本文件对所述新增和/或被篡改的脚本文件进行恢复;
当判定存在图片后门时,还包括:利用备份的相关脚本文件对所述新增和/或被篡改的脚本文件进行恢复;并利用备份的相关图片文件对所述新增和/或被篡改的图片文件进行恢复。
[0021]从而实现,对于异常的脚本文件和图片文件进行彻底地清除,并利用原始备份的对应的脚本文件和图片文件进行恢复,整个过程无需人工参与,自动完成。
[0022]优选地,所述判断是否存在新增和/或被篡改的脚本文件,具体为:计算网站所有脚本文件的散列值,与提取的基本信息中的脚本文件的散列值进行匹配,并判断是否成功匹配,若不成功,则判定存在新增和/或被篡改的脚本文件,否则判定不存在新增和/或被篡改的脚本文件。
[0023]优选地,所述判断所述脚本文件中是否存在调用图片文件的行为,具体为:检索所述脚本文件中是否存在调用图片文件的函数关键字,若存在,则判定存在调用图片文件的行为,否则判定不存在调用图片文件的行为。
[0024]例如: