基于云防护环境下网站木马后门检测方法及装置与流程

本发明涉及网络安全的技术领域，尤其是涉及一种基于云防护环境下网站木马后门检测方法及装置。

背景技术：

在大数据环境下云环境的应用场景较为复杂，云技术应用也更为广泛，同时在云环境下用户文件，变多用户大量的文件以云技术保存在云环境平台上。那么同时攻击者利用云环境下文件变化大，文件变化快的特点构造木马后门，加密后门，编码webshell(网页后门)等方式众多，来绕过正常的杀毒软件检查，所以面对新的环境体系我们需要能够有一种新的检测方式来针对云环境下的文件快速检测木马后门，如何能快速有效的检测，以及方便安全管理人员对网页木马后门以及webshell的判断。

传统的杀毒软件基于文件特征扫描，而针对网页木马和webshell攻击者通常精通代码以及代码编码导致攻击者很容易通过修改编码结构，以及加密webshell来绕过杀毒软件查杀，所以很难针对webshell进行扫描检查。

而面对云环境下的网络结构，云上面保存的数据通常以文件本身较多，文件结构复杂，文件更新快。这些特点也造成了普通用户使用杀毒软件时，往往杀毒软件还没检查完成所有文件，可能云服务器的文件结构，文件内容已经开始了变化。

技术实现要素：

有鉴于此，本发明的目的在于提供一种基于云防护环境下网站木马后门检测方法及装置，以缓解了在采用传统的木马检查方法进行木马检查时存在的木马识别速度较慢，且木马识别准确度较差的技术问题。

第一方面，本发明实施例提供了一种基于云防护环境下网站木马后门检测方法，包括：获取目标对象访问服务器时生成的缓存文件；采用模糊文件算法对所述缓存文件进行计算，得到所述缓存文件的得分值，其中，所述得分值用于表征所述目标对象是网站木马后者是木马后门的概率；基于所述得分值判断所述缓存文件是否为网页木马文件；在判断出是的情况下，则阻断所述目标对象访问所述服务器，并清除所述目标对象。

进一步地，采用模糊文件算法对所述缓存文件进行计算，得到所述缓存文件的得分值包括：获取预设规则文件，其中，所述预设规则文件中包括多个网页木马文件，以及每个网页木马文件的得分值；计算每个所述网页木马文件与所述缓存文件的相似值；将所述相似值作为所述缓存文件的得分值。

进一步地，基于所述得分值判断所述缓存文件是否为网页木马文件包括：在所述相似值大于预设阈值的情况下，确定所述缓存文件为所述网页木马文件。

进一步地，计算所述预设规则文件与所述缓存文件的相似值包括：获取所述预设规则文件中每个所述网页木马文件的模糊文件值；将所述模糊文件值进行还原，得到所述网页木马文件的原始数据平面图；将所述缓存文件的文件内容带入到所述原始数据平面图中，以计算所述缓存文件中与所述网页木马文件字符相同的个数；基于所述相同的个数计算所述相似值。

进一步地，基于所述相同的个数计算所述相似值包括：将所述相同的个数作为所述网页木马文件与所述缓存文件的相似值。

进一步地，所述方法还包括：获取网页木马文件的文件信息；将所述文件信息中的文件内容进行屏幕图形化展开处理，得到数据平面图；基于所述数据平面图将所述网页木马文件的文件内容转换为字符串；将所述字符串进行压缩，得到所述网页木马文件的模糊文件值。

第二方面，本发明实施例还提供了一种基于云防护环境下网站木马后门检测装置，包括：获取单元，用于获取目标对象访问服务器时生成的缓存文件；计算单元，用于采用模糊文件算法对所述缓存文件进行计算，得到所述缓存文件的得分值，其中，所述得分值用于表征所述目标对象是网站木马后者是木马后门的概率；判断单元，用于基于所述得分值判断所述缓存文件是否为网页木马文件；拦截单元，用于在判断出是的情况下，则阻断所述目标对象访问所述服务器，并清除所述目标对象。

进一步地，所述计算单元包括：获取模块，用于获取预设规则文件，其中，所述预设规则文件中包括多个网页木马文件，以及每个网页木马文件的得分值；计算模块，用于计算每个所述网页木马文件与所述缓存文件的相似值；确定模块，用于将所述相似值作为所述缓存文件的得分值。

进一步地，所述判断单元用于：在所述相似值大于预设阈值的情况下，确定所述缓存文件为所述网页木马文件。

进一步地，所述计算模块用于：获取所述预设规则文件中每个所述网页木马文件的模糊文件值；将所述模糊文件值进行还原，得到所述网页木马文件的原始数据平面图；将所述缓存文件的文件内容带入到所述原始数据平面图中，以计算所述缓存文件中与所述网页木马文件字符相同的个数；基于所述相同的个数计算所述相似值。

在本发明实施例中，首先获取目标对象访问服务器时生成的缓存文件；然后，采用模糊文件算法对缓存文件进行计算，得到缓存文件的得分值；接下来，基于该得分值判断缓存文件是否为网页木马文件，如果判断出是，则阻断目标对象访问服务器，并清除目标对象。在本发明实施例中，通过模糊文件匹配算法，能够快读有效的识别出网页木马，进而缓解了在采用传统的木马检查方法进行木马检查时存在的木马识别速度较慢，且木马识别准确度较差的技术问题。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的一种基于云防护环境下网站木马后门检测方法的流程图；

图2是根据本发明实施例提供的基于云防护环境下网站木马后门检测方法中步骤s104的流程图；

图3是根据本发明实施例的一种数据平面图的示意图；

图4是根据本发明实施例的另一种数据平面图的示意图；

图5是根据本发明实施例的一种基于云防护环境下网站木马后门检测装置的示意图；

图6是根据本发明实施例的另一种基于云防护环境下网站木马后门检测装置的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

面对以上问题时候，需要建立一套能快速分析云环境下的网页木马和webshell方法，来帮助我们处理网络安全问题。在本发明实施例中，通过分析和设计了模糊匹配算法，来满足快速准确识别webshell等恶意网页木马。同时将检测主题对象换成云防护平台环境下的缓存文件，实现快速匹配分析，智能阻断的方式来防御云环境下攻击者。

实施例一：

根据本发明实施例，提供了一种基于云防护环境下网站木马后门检测方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种基于云防护环境下网站木马后门检测方法的流程图，如图1所示，该方法包括如下步骤：

步骤s102，获取目标对象访问服务器时生成的缓存文件；

在本发明实施例中，通过云平台获取目标对象访问服务器时生成的缓存文件。

步骤s104，采用模糊文件算法对所述缓存文件进行计算，得到所述缓存文件的得分值，其中，所述得分值用于表征所述目标对象是网站木马后者是木马后门的概率；

在本发明实施例中，通过云平台采用模糊文件算法对缓存文件进行云计算，得到缓存文件的得分值。

步骤s106，基于所述得分值判断所述缓存文件是否为网页木马文件；

在本发明实施例中，云平台基于得分值判断缓存文件是否为网页木马文件。

步骤s108，在判断出是的情况下，则阻断所述目标对象访问所述服务器，并清除所述目标对象。

在本发明实施例中，云平台在判断出是的情况下，阻断目标对象访问服务器，并清除目标对象。

需要说明的是，上述步骤s102至步骤s108所描述的方法应用于云平台，通过该云平台来执行上述步骤。

在本发明实施例中，首先获取目标对象访问服务器时生成的缓存文件；然后，采用模糊文件算法对缓存文件进行计算，得到缓存文件的得分值；接下来，基于该得分值判断缓存文件是否为网页木马文件，如果判断出是，则阻断目标对象访问服务器，并清除目标对象。在本发明实施例中，通过模糊文件匹配算法，能够快读有效的识别出网页木马，进而缓解了在采用传统的木马检查方法进行木马检查时存在的木马识别速度较慢，且木马识别准确度较差的技术问题。

在一个可选的实施方式中，如图2所示，步骤s104，即，采用模糊文件算法对所述缓存文件进行计算，得到所述缓存文件的得分值包括如下步骤：

步骤s201，获取预设规则文件，其中，所述预设规则文件中包括多个网页木马文件，以及每个网页木马文件的得分值；

步骤s202，计算每个所述网页木马文件与所述缓存文件的相似值；

步骤s203，将所述相似值作为所述缓存文件的得分值。

在本发明实施例中，首先调用预设规则文件，其中，在该预设规则文件中包括多个网页木马文件，以及每个网页木马文件的得分值。也就是说，预设规则文件是根据已有网页木马生成的规则文件，在本发明实施例中，可以根据该预设规则文件来确定缓存文件是否为网页木马文件。此时，就可以计算每个网页木马文件与缓存文件的相似值，并将该相似值作为缓存文件的得分值。

其中，相似值越大，则表明缓存文件与网页木马文件的相似程度越高，相似值越小，则表明缓存文件与网页木马文件的相似程度越低。

在确定出该得分值之后，就可以基于该得分值判断缓存文件是否为网页木马文件，具体地：如果所述相似值大于预设阈值，则确定所述缓存文件为所述网页木马文件。

也就是说，如果缓存文件与网页木马文件之间的相似值大于预设阈值，则将该缓存文件作为网页木马文件。

需要说明的是，由于预设规则文件中包括多个网页木马文件，此时需要依次计算当前缓存文件与每个网页木马文件的相似值。例如，多个网页木马文件包括：网页木马文件1，网页木马文件2和网页木马文件3。

在一个可选的实施方式中，如果在依次计算当前缓存文件与每个网页木马文件的相似值时，如果多个网页木马文件中的任意一个网页木马文件与当前缓存文件的相似值大于预设阈值，则不需要再计算该缓存文件与其他网页木马文件之间的相似值，就能够确定该缓存文件为网页木马文件。

例如，首先计算网页木马文件1与缓存文件之间的相似值，如果该相似值大于预设阈值，确定该缓存文件为网页木马文件，且无需再计算网页木马文件2和网页木马文件3与缓存文件之间的相似值。

在另一个可选的实施方式中，分别计算网页木马文件1，网页木马文件2和网页木马文件3与缓存文件之间的相似值，得到多个相似值。如果多个相似值中大于预设阈值的个数满足预设个数(例如，2个)，此时，就能够确定出该缓存文件为网页木马文件。

在一个可选的实施方式中，该方法还包括如下步骤：

步骤s1，获取网页木马文件的文件信息；

步骤s2，将所述文件信息中的文件内容进行屏幕图形化展开处理，得到数据平面图；

步骤s3，基于所述数据平面图将所述网页木马文件的文件内容转换为字符串；

步骤s4，将所述字符串进行压缩，得到所述网页木马文件的模糊文件值。

在本发明实施例中，首先获取网页木马文件的文件信息；然后，将文件信息中的文件内容进行屏幕图形化展开处理，得到数据平面图；接下来，基于数据平面图将网页木马文件的文件内容转换为字符串，最后，将字符串进行压缩，得到网页木马文件的模糊文件值。

例如，网页木马文件的文件信息表示如下：

文件名：webshell.php

文件内容：

<？php

@eval($_post['c'])；

？>

此时，需要对该文件信息进行中的文件内容进行屏幕图形化展开处理，得到数据平面图，如图3所示。此时，可以根据该数据平面图简单的分析出以下字符串：[a1<][b1？][c1p][d1h][e1p][f1][g1]………；这样我们将一个文件转换成一串字符串之后，在对字符串内容进行压缩保存使得我们可以得到更短的字符串，同时有了这个字符串我们就能还原得到原始文件的平面图。这里，压缩字符计算之后得到：59aea75d59f15937b0dac7ebac55edec。

实际应用场景中需要考虑更多维度的计算方法，比如空格是否需要带入计算，以及字符位移多少格之后重复计算等问题。

在对上述字符串进行压缩之后，得到网页木马文件的模糊文件值，此时，就可以将该网页木马文件的模糊文件值和该网页木马文件作为预设规则文件中的内容。

在一个可选的实施方式中，计算所述预设规则文件与所述缓存文件的相似值包括如下步骤：

步骤s1，获取所述预设规则文件中每个所述网页木马文件的模糊文件值；

步骤s2，将所述模糊文件值进行还原，得到所述网页木马文件的原始数据平面图；

步骤s3，将所述缓存文件的文件内容带入到所述原始数据平面图中，以计算所述缓存文件中与所述网页木马文件字符相同的个数；

步骤s4，基于所述相同的个数计算所述相似值，其中，相同的个数即为网页木马文件与所述缓存文件的相似值。

具体地，在本发明实施例中，首先，获取预设规则文件中每个网页木马文件的模糊文件值，然后，将模糊文件值进行还原，得到网页木马文件的原始数据平面图；最后，将缓存文件的文件内容带入至原始数据平面图中，即计算缓存文件中与网页木马文件字符相同的个数，最后，基于个数计算相似值。

假设，测试文件表示为如下形式：

文件名：test.php

文件内容：

<？php

@eval($_get['c'])；

？>

此时，如果选用模糊文件值为59aea75d59f15937b0dac7ebac55edec的网页木马文件来对比test.php文件内容识别是否是网页木马时，可以将模糊文件值59aea75d59f15937b0dac7ebac55edec还原得到原始数据平面图(即，如图3所示的数据平面图)，同时对test.php带入其中进行对比，带入结果如图4所示。如图4所示，阴影部分表示单元格内容相同，符号11所示的部分表示单元格内字符内容相同。

假设网页木马文件对比完全一样得60分。这里为了方便理解所以未作具体复杂运算，那么假设阴影单元格内容相同得1分，符号11所示部分得到1分。此时，这时候网页木马文件为60分，则test.php文件得49分。结果判定test.php文件的得分值为49分，其49分也为与网页木马文件的相似值。也即，test.php文件与模糊文件值为59aea75d59f15937b0dac7ebac55edec(60分)的网页木马文件仅相差11分，相似度非常接近，判断为恶意网页木马文件。

综上，在本发明实施例中，目前针对云防护环境下，大部分对于防护病毒木马还是依靠传统的杀毒软件扫描查杀，很难有效的防护webshell的问题，采用本发明实施例提供的方法，通过模糊文件匹配算法，能快速有效的识别出网页木马。

实施例二：

本发明实施例还提供了一种基于云防护环境下网站木马后门检测装置，该基于云防护环境下网站木马后门检测装置主要用于执行本发明实施例上述内容所提供的基于云防护环境下网站木马后门检测方法，以下对本发明实施例提供的基于云防护环境下网站木马后门检测装置做具体介绍。

图5是根据本发明实施例的一种基于云防护环境下网站木马后门检测装置的示意图，如图5所示，该基于云防护环境下网站木马后门检测装置主要包括获取单元10，计算单元20，判断单元30和拦截单元40，其中：

获取单元10，用于获取目标对象访问服务器时生成的缓存文件；

计算单元20，用于采用模糊文件算法对所述缓存文件进行计算，得到所述缓存文件的得分值，其中，所述得分值用于表征所述目标对象是网站木马后者是木马后门的概率；

判断单元30，用于基于所述得分值判断所述缓存文件是否为网页木马文件；

拦截单元40，用于在判断出是的情况下，则阻断所述目标对象访问所述服务器，并清除所述目标对象。

在本发明实施例中，首先获取目标对象访问服务器时生成的缓存文件；然后，采用模糊文件算法对缓存文件进行计算，得到缓存文件的得分值；接下来，基于该得分值判断缓存文件是否为网页木马文件，如果判断出是，则阻断目标对象访问服务器，并清除目标对象。在本发明实施例中，通过模糊文件匹配算法，能够快读有效的识别出网页木马，进而缓解了在采用传统的木马检查方法进行木马检查时存在的木马识别速度较慢，且木马识别准确度较差的技术问题。

可选地，所述计算单元包括：获取模块，用于获取预设规则文件，其中，所述预设规则文件中包括多个网页木马文件，以及每个网页木马文件的得分值；计算模块，用于计算每个所述网页木马文件与所述缓存文件的相似值；确定模块，用于将所述相似值作为所述缓存文件的得分值。

可选地，所述判断单元用于：在所述相似值大于预设阈值的情况下，确定所述缓存文件为所述网页木马文件。

可选地，所述计算模块用于：获取所述预设规则文件中每个所述网页木马文件的模糊文件值；将所述模糊文件值进行还原，得到所述网页木马文件的原始数据平面图；将所述缓存文件的文件内容带入到所述原始数据平面图中，以计算所述缓存文件中与所述网页木马文件字符相同的个数；基于所述相同的个数计算所述相似值。

可选地，所述计算模块还用于：将所述相同的个数作为所述网页木马文件与所述缓存文件的相似值。

可选地，该装置还用于：获取网页木马文件的文件信息；将所述文件信息中的文件内容进行屏幕图形化展开处理，得到数据平面图；基于所述数据平面图将所述网页木马文件的文件内容转换为字符串；将所述字符串进行压缩，得到所述网页木马文件的模糊文件值。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

实施例三：

参见图6，本发明实施例还提供一种基于云防护环境下网站木马后门检测装置100，包括：处理器60，存储器61，总线62和通信接口63，所述处理器60、通信接口63和存储器61通过总线62连接；处理器60用于执行存储器61中存储的可执行模块，例如计算机程序。

其中，存储器61可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口63(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线62可以是isa总线、pci总线或eisa总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器61用于存储程序601，所述处理器60在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器60中，或者由处理器60实现。

处理器60可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器60中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器60可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现成可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61，处理器60读取存储器61中的信息，结合其硬件完成上述方法的步骤。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明实施例所提供的一种基于云防护环境下网站木马后门检测方法及装置的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。