本發(fā)明公開了一種檢測網(wǎng)頁后門的方法和裝置，用以緩解現(xiàn)有技術(shù)檢測效率低的問題。該方法包括：獲取被保護主機的第一web流量；根據(jù)第一web流量生成被保護主機的網(wǎng)頁訪問記錄，所述網(wǎng)頁訪問記錄用于保存至少一個統(tǒng)一資源定位符URL、訪問所述至少一個URL中的每個URL的IP地址、以及所述每個URL的被訪問總次數(shù)，其中每個URL標識所述被保護主機提供的一個網(wǎng)頁；根據(jù)網(wǎng)頁訪問記錄，從至少一個URL中確定可疑URL，所述可疑URL的被訪問總次數(shù)小于第一閾值、且訪問所述可疑URL的互不相同的IP地址的數(shù)量與所述可疑URL的被訪問總次數(shù)的比值小于第二閾值；以及確定可疑URL標識的網(wǎng)頁是否包含后門特征，根據(jù)后門特征確定結(jié)果檢測所述可疑URL標識的網(wǎng)頁是否存在網(wǎng)頁后門。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種檢測網(wǎng)頁后門的方法及一種檢測網(wǎng)頁后門的裝置。

背景技術(shù)

網(wǎng)頁后門(webshell)是一種以網(wǎng)頁文件形式存在的后門工具。通過webshell可以獲得網(wǎng)站的操作權(quán)限，例如上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行腳本命令等。Webshell文件可以是使用動態(tài)服務(wù)器頁面(英文：Active Server Page，ASP)應(yīng)用編寫的網(wǎng)頁文件，或使用超文本預(yù)處理器(英文：Hypertext Preprocessor，PHP)語言編寫的網(wǎng)頁文件，或通用網(wǎng)關(guān)界面(英文：Common Gateway Interface，CGI)程序文件。

網(wǎng)絡(luò)中提供網(wǎng)頁服務(wù)、開放網(wǎng)頁服務(wù)相關(guān)端口的主機也被稱為網(wǎng)站服務(wù)器、或者web服務(wù)器。網(wǎng)站服務(wù)器往往會成為webshell的攻擊目標。攻擊者利用開放端口等漏洞成功入侵網(wǎng)站服務(wù)器后，將webshell文件存放于該網(wǎng)站服務(wù)器的網(wǎng)頁目錄中，與正常網(wǎng)頁文件混在一起。此后，攻擊者可以通過瀏覽器訪問存放于上述網(wǎng)頁服務(wù)器的webshell文件以獲得對于網(wǎng)站服務(wù)器的操作權(quán)限，從而達到控制網(wǎng)站服務(wù)器、盜取信息等非法目的。由于攻擊者與被攻擊網(wǎng)站服務(wù)器之間的數(shù)據(jù)通常是通過網(wǎng)頁服務(wù)的默認端口80端口來傳輸?shù)?，而防火墻為了不影響網(wǎng)絡(luò)用戶的正常網(wǎng)頁訪問行為通常不會阻止訪問80端口的超文本傳輸協(xié)議(英文：HyperText Transfer Protocol，HTTP)流量，因此簡單的報文過濾方式并不能阻止上述攻擊行為。

為了檢測網(wǎng)頁后門，現(xiàn)有技術(shù)通過人工分析webshell文件的代碼、或者分析攻擊者訪問webshell文件時產(chǎn)生的流量獲取webshell的特征，形成webshell特征庫。安全設(shè)備獲得web流量后，將web流量與webshell特征庫中的特征進行匹配，來實現(xiàn)檢測webshell的目的。然而由于現(xiàn)有網(wǎng)絡(luò)中web流量的數(shù)據(jù)量巨大，導(dǎo)致耗費安全設(shè)備大量處理資源，檢測效率較低。

發(fā)明內(nèi)容

本申請實施例提供一種檢測網(wǎng)頁后門的方法，用以緩解現(xiàn)有技術(shù)檢測效率低的問題。

本申請實施例提供的技術(shù)方案如下：

第一方面，提供了一種檢測網(wǎng)頁后門的方法，包括：獲取被保護主機的第一web流量，所述第一web流量是指在第一時間段中所述被保護主機提供的網(wǎng)頁被訪問時發(fā)生的流量；根據(jù)所述第一web流量生成所述被保護主機的網(wǎng)頁訪問記錄，所述網(wǎng)頁訪問記錄用于保存至少一個統(tǒng)一資源定位符(英文：Uniform Resource Locator，URL)、訪問所述至少一個URL中的每個URL的IP地址、以及所述每個URL的被訪問總次數(shù)，其中所述每個URL標識所述被保護主機提供的一個網(wǎng)頁；根據(jù)所述網(wǎng)頁訪問記錄，從所述至少一個URL中確定可疑URL，所述可疑URL的被訪問總次數(shù)小于第一閾值、且訪問所述可疑URL的互不相同的IP地址的數(shù)量與所述可疑URL的被訪問總次數(shù)的比值小于第二閾值；以及確定所述可疑URL標識的網(wǎng)頁是否包含網(wǎng)頁后門特征庫中的后門特征，根據(jù)后門特征確定結(jié)果檢測所述可疑URL標識的網(wǎng)頁是否存在網(wǎng)頁后門。