[发明专利]一种图片后门的检测方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种图片后门的检测方法及装置。

背景技术

随着互联网的普及，网站作为信息共享的平台，其安全性越来越受到人们的重视，针对网站的攻击手段也越来越多。

存在着安全缺陷的网站，一旦被攻击者攻破，就会上传网页后门，进而对整个网站系统进行控制。传统的网页后门，很容易被杀毒软件检测到；为了增加隐蔽性，攻击者就将网页后门代码植入到图片里，图片后门和普通图片从显示效果上看，没有任何区别，隐蔽性非常好，使传统的检测手段失效。

发明内容

本发明所述的技术方案通过监控脚本文件，当发现存在新增和/或被篡改的脚本文件时，定位脚本文件中调用的图片文件，进而判断被调用图片文件是否是恶意的。不仅能够解决传统技术方案无法检测图片后门的问题，而且检测效率更高，准确性更好。

本发明采用如下方法来实现：一种图片后门的检测方法，包括：

步骤1、提取网站所有脚本文件和图片文件的基本信息，包括：文件位置、创建时间、修改时间或者散列值；

步骤2、监控网站所有脚本文件，并判断是否存在新增和/或被篡改的脚本文件，若存在，则执行步骤3，否则继续执行步骤2；

步骤3、判断所述新增和/或被篡改的脚本文件中是否存在调用图片文件的行为，若存在，则提取被调用图片文件并继续执行步骤4，否则判定不存在图片后门，结束；

步骤4、判断被调用图片文件是否是新增和/或被篡改的图片文件，若是，则执行步骤5，否则判定不存在图片后门，结束；

步骤5、将所述被调用图片文件与后门特征码库进行匹配，若成功匹配，则判定存在图片后门，否则判定不存在图片后门。

进一步地，还包括：备份网站的所有脚本文件和图片文件；

当判定不存在图片后门时，还包括：利用备份的相关脚本文件对所述新增和/或被篡改的脚本文件进行恢复；

当判定存在图片后门时，还包括：利用备份的相关脚本文件对所述新增和/或被篡改的脚本文件进行恢复；并利用备份的相关图片文件对所述新增和/或被篡改的图片文件进行恢复。

进一步地，所述判断是否存在新增和/或被篡改的脚本文件，具体为：计算网站所有脚本文件的散列值，与提取的基本信息中的脚本文件的散列值进行匹配，并判断是否成功匹配，若不成功，则判定存在新增和/或被篡改的脚本文件，否则判定不存在新增和/或被篡改的脚本文件。

进一步地，所述判断所述脚本文件中是否存在调用图片文件的行为，具体为：检索所述脚本文件中是否存在调用图片文件的函数关键字，若存在，则判定存在调用图片文件的行为，否则判定不存在调用图片文件的行为。

进一步地，所述判断被调用图片文件是否是新增和/或被篡改的图片文件，具体为：计算所述被调用图片文件的散列值，与提取的基本信息中的图片文件的散列值进行匹配，并判断是否成功匹配，若不成功，则判定存在新增和/或被篡改的图片文件，否则判定不存在新增和/或被篡改的图片文件。

本发明可以采用如下装置来实现：一种图片后门的检测装置，包括：

信息提取模块，用于提取网站所有脚本文件和图片文件的基本信息，包括：文件位置、创建时间、修改时间或者散列值；

第一判定模块，用于监控网站所有脚本文件，并判断是否存在新增和/或被篡改的脚本文件，若存在，则由第二判定模块执行，否则继续由第一判定模块执行；

第二判定模块，用于判断所述新增和/或被篡改的脚本文件中是否存在调用图片文件的行为，若存在，则提取被调用图片文件并继续由第三判定模块执行，否则判定不存在图片后门；

第三判定模块，用于判断被调用图片文件是否是新增和/或被篡改的图片文件，若是，则由第四判定模块执行，否则判定不存在图片后门；

第四判定模块，用于将所述被调用图片文件与后门特征码库进行匹配，若成功匹配，则判定存在图片后门，否则判定不存在图片后门。

进一步地，还包括备份模块和恢复模块：

所述备份模块，用于备份网站的所有脚本文件和图片文件；

所述恢复模块，用于当判定不存在图片后门时，利用所述备份模块备份的相关脚本文件对所述新增和/或被篡改的脚本文件进行恢复；

用于当判定存在图片后门时，利用所述备份模块备份的相关脚本文件对所述新增和/或被篡改的脚本文件进行恢复；并利用所述备份模块备份的相关图片文件对所述新增和/或被篡改的图片文件进行恢复。