一种网站后门检测方法、装置和计算设备制造方法及图纸

本发明专利技术公开了一种网站后门检测方法，网络用户经由网络防火墙来访问该网站，该方法包括：获取网络防火墙所产生的、与针对该网站的访问相应的日志文件，并从中筛选出针对该网站的动态页面的访问记录；从所筛选出的访问记录中进一步筛选出访问次数小于第一阈值的IP地址，以及该IP地址所请求过的动态页面的页面地址集合；获取针对该网站的页面请求错误时所返回的通用页面内容，并逐个对每个页面地址进行访问，得到其实际页面内容；以及计算每个页面地址所对应的实际页面内容与通用页面内容的莱文斯坦比，并选择莱文斯坦比不小于第二阈值的页面内容对应的页面地址作为候选的网站后门地址。本发明专利技术还公开了对应的网站后门检测装置和计算设备。

【技术实现步骤摘要】
一种网站后门检测方法、装置和计算设备
本专利技术涉及信息安全
，尤其涉及一种网站后门检测方法、装置和计算设备。
技术介绍
Webshell是以asp、php、jsp、cgi等网页文件形式存在的一种命令执行环境，也可以称为一种网页后门。入侵者在入侵网站后，经常在WEB服务器的WEB目录中放置Webshell后门文件，且与WEB服务器WEB目录下正常的文件混在一起，不易被发现。入侵者可以用WEB方式访问Webshell得到命令执行环境以达到控制网站或WEB服务器的目的，可进行的操作包括上传下载文件、查看数据库、执行任意程序命令等。由于Webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。有些恶意网页脚本可以嵌套在正常网页中运行，且不容易被查杀。Webshell可以穿越服务器防火墙，由于Webshell与被控制的WEB服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。而且使用Webshell一般不会在系统日志中留下记录，只会在WEB服务器的日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。现有的Webshell检测方法通常是通本文档来自技高网...

【技术保护点】
一种网站后门检测方法，适于在计算设备中执行，其中网络用户经由网络防火墙来访问所述网站，该方法包括：获取网络防火墙所产生的、与针对该网站的访问相应的日志文件，并从中筛选出针对该网站的动态页面的访问记录；从所筛选出的访问记录中进一步筛选出访问次数小于第一阈值的IP地址，以及该IP地址所请求过的动态页面的页面地址集合；获取针对该网站的页面请求错误时所返回的通用页面内容，并逐个对所述页面地址集合中的每个页面地址进行访问，以得到每个页面地址的实际页面内容；以及计算每个页面地址所对应的实际页面内容与所述通用页面内容的莱文斯坦比，并选择莱文斯坦比不小于第二阈值的页面内容对应的页面地址作为候选的网站后门地址。

【技术特征摘要】
1.一种网站后门检测方法，适于在计算设备中执行，其中网络用户经由网络防火墙来访问所述网站，该方法包括：获取网络防火墙所产生的、与针对该网站的访问相应的日志文件，并从中筛选出针对该网站的动态页面的访问记录；从所筛选出的访问记录中进一步筛选出访问次数小于第一阈值的IP地址，以及该IP地址所请求过的动态页面的页面地址集合；获取针对该网站的页面请求错误时所返回的通用页面内容，并逐个对所述页面地址集合中的每个页面地址进行访问，以得到每个页面地址的实际页面内容；以及计算每个页面地址所对应的实际页面内容与所述通用页面内容的莱文斯坦比，并选择莱文斯坦比不小于第二阈值的页面内容对应的页面地址作为候选的网站后门地址。2.如权利要求1所述的方法，还包括：获取对所述候选的网站后门地址进行请求后所返回的页面内容，并根据所返回的页面内容确定该候选的网站后门地址中是否包括网站后门。3.如权利要求1所述的方法，其中，所述日志文件为所述防火墙拦截的用户请求而产生的访问日志集合。4.如权利要求1所述的方法，其中，在所述从所筛选出的访问记录中进一步筛选出访问次数小于第一阈值的IP地址之前，还包括步骤：将所述访问记录中的IP地址按照访问次数进行排序。5.如权利要求1所述的方法，其中，所述实际页面内容包括该实际页面内容的第一页面代码；所述获取针对该网站的页面请求错误时所返回的通用页面内容的步骤包括：随机生成一个不存在的错误页面地址，并获取该错误页面地址所对应页面内容的第二页面代码；所述计算每个页面地址所对应页面的实际页面内容与所述通用页面内容的莱文斯坦比的步骤包括：计算所述第一页面代码与所述第二页面代码的莱文斯坦比...

【专利技术属性】
技术研发人员：仲俊霖，
申请(专利权)人：北京知道创宇信息技术有限公司，
类型：发明
国别省市：北京,11