检测服务器中网页木马的装置、方法及存储介质制造方法及图纸

本发明专利技术提供一种检测服务器中网页木马的装置、方法及存储介质，涉及网络信息安全技术领域。所述装置包括：文件内容获取模块，用于获取集群中当前服务器的新增/修改文件的文件内容；可疑文件识别模块，用于根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件；指令下发模块，用于下发集群指令给所述集群中除所述当前服务器之外的其他服务器，以指示所述其他服务器检查各自是否有与所述可疑文件相同的文件；木马识别模块，用于在存在与所述可疑文件相同文件的服务器的数量与所述集群中服务器的总数量的比值小于设定阈值时，识别所述可疑文件为木马文件。本发明专利技术能够在保障服务器正常业务运行的情况下快速准确识别各种网页木马。

Device, method and storage medium of detecting web Trojan in server

【技术实现步骤摘要】
检测服务器中网页木马的装置、方法及存储介质
本专利技术涉及网络信息安全
，具体而言，涉及一种检测服务器中网页木马的装置、方法及存储介质。
技术介绍
网页木马作为一种脚本型木马，一般存在于网站服务器上，是突破内外网网络边界的重要手段之一，危害极大。一旦网页木马突破边界，将很快在相对薄弱的内网种植后门，留下长久隐患，特别是在各级别的攻防演练及真实的网络战中将导致内网核心系统的沦陷。现有网页木马的检测方法主要有：主机agent方式，该方式在检测时会耗费大量的CPU和内存，甚至会抢占服务器的服务资源从而导致生产事件；特征码识别方式，该方式完全依赖于服务器本地的特征库，无法及时识别变种网页木马，并且在特征计算与匹配时也耗费大量的服务器计算资源；全盘查杀方式，该方式每次查杀都要遍历服务器所有的文件，耗时长，无法在较短时间内识别出网页木马，并且也需要占用大量的服务器计算资源；定时查杀方式，该方式也需扫描大量的文件，为避免影响生产业务的正常运行，通常只能在非业务高峰时进行定时查杀，无法进行实时查杀。上述网页木马检测方式在检测时需要占用大量本文档来自技高网...

【技术保护点】
1.一种检测服务器中网页木马的装置，其特征在于，多个所述服务器以集群方式部署在同一集群中，所述装置部署于云端并且包括：/n文件内容获取模块，用于获取所述集群中当前服务器的新增/修改文件的文件内容；/n可疑文件识别模块，用于根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件；/n指令下发模块，用于在所述新增/修改文件为可疑文件时，下发集群指令给所述集群中除所述当前服务器之外的其他服务器，以指示所述其他服务器检查各自是否有与所述新增/修改文件相同的文件；/n木马识别模块，用于在存在与所述新增/修改文件相同文件的服务器的数量与所述集群中服务器的总数量的比值小于设定阈值时，识别所述新...

【技术特征摘要】
1.一种检测服务器中网页木马的装置，其特征在于，多个所述服务器以集群方式部署在同一集群中，所述装置部署于云端并且包括：
文件内容获取模块，用于获取所述集群中当前服务器的新增/修改文件的文件内容；
可疑文件识别模块，用于根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件；
指令下发模块，用于在所述新增/修改文件为可疑文件时，下发集群指令给所述集群中除所述当前服务器之外的其他服务器，以指示所述其他服务器检查各自是否有与所述新增/修改文件相同的文件；
木马识别模块，用于在存在与所述新增/修改文件相同文件的服务器的数量与所述集群中服务器的总数量的比值小于设定阈值时，识别所述新增/修改文件为木马文件。


2.根据权利要求1所述的检测装置，其特征在于，所述装置还包括：
预判模块，用于执行如下操作：获取所述新增/修改文件的文件内容的唯一标识；识别所述唯一标识是否存在于预先存储的文件识别结果库中；若不存在，则触发所述文件内容获取模块获取所述新增/修改文件的文件内容。


3.根据权利要求1所述的检测装置，其特征在于，所述可疑文件识别模块根据所述新增/修改文件的文件内容识别所述新增/修改文件是否为可疑文件包括：
将所述新增/修改文件的文件内容与已知木马库匹配，识别所述新增/修改文件是否为木马文件；
若无法识别，则识别所述新增/修改文件为可疑文件。


4.根据权利要求1所述的检测装置，其特征在于，所述木马识别模块在识别所述新增/修改文件是否为木马文件后，将识别结果下发给所述当前服务器。


5.一种检测服务器中网页木马的装置，其特征在于，所述装置部署在所述服务器上，多个所述服务器以集群的方式部署在同一集群中，所述装置包括：
文件变更检查模块，用于检查指定目录，以识别出当前服务器在设定时间段内的新增/修改文件；
文件内容上传模块，用于获取所述新增/修改文件的文件内容，将所述新增/修改文件的文件内容上传给部署在云端的权利要求1-4中任意一项所述的装置，以便根据所述文件内容识别所述新增/修改文件是否为木马文件；
处理模块，用于接收所述部署在云端的装置的识别结果，若所述新增/修改文件为木马文件，则将所述新增/修改文件进行重命名或移出网站目录，以阻止所述新增/修改文件的执行。


6.根据权利要求5所述的装置，其特征在于，所述装置还包括：
文件标识上传模块，用于获取所述新增/修改文件的文件内容的唯一标识，将所述唯一标识上传给所述部署在云端的装置，以便根据所述唯一标识识别所述新增/修改文件是否为木马文件，在无法识别所述新增/修改文件是否为木马文件时，触发文件内容上传模块进行将所述新增/修改文件的文件内容上传给所述部署在云端的装置的处理。


7.一种检测服务器中网页木马的系统，其特征在于，所述系统包括：
部署在云端的权利要求1-4中任意一项权利要求所述的装置；以及
部署在所述服务器上的权利要求5或6中所述的装置，其中，多个所述服务器以集群的方式部署在同一集群中。


8.一种检测服务器中网页木马的方法，...

【专利技术属性】
技术研发人员：李武军，丁海虹，刘云鹏，
申请(专利权)人：中国建设银行股份有限公司，
类型：发明
国别省市：北京;11