[发明专利]一种网站防挂马检测方法

权利要求书

1.一种网站防挂马检测方法，其特征在于，包括以下步骤：

S1、获取网站对应的所有网页，并事先提取网站内所有网页对应的网页代码，并对网站代码进行备份；

S2、以设定的特定代码段对各网站代码进行划分，划分成若干代码段，划分的代码段作为标准代码段，并将标准代码段按照代码段排序顺序进行编号，分别为1,2,...,i,...,n,n表示为网页代码划分的代码段数量，划分后的代码段构成代码段集合X(x1,x2,...,xi,...,xn)，xi表示为第i个代码段对应的代码；

S3、事先获取挂马特征库中所有的挂马网站，将挂马网站中所有的挂马特征进行提取，构成挂马特征集合A(a1,a2,...,af,...,ah)，af表示为第f个挂马对应的代码；

S4、实时接收网站登陆工作人员的用户名和密码，判断用户名以及该用户名对应的密码是否与数据库中存储的用户名以及用户名对应的密码相一致，若相同，则执行步骤S5，否则，持续验证用户名和密码，直至验证的次数超过预设的次数；

对用户名的标记，包括以下步骤：

R1、持续验证用户名以及用户名对应的密码，每验证一次统计累计验证的次数；

R2、判断验证次数是否超过预设的次数，若超过，则执行步骤S3，否则，持续验证，直至验证的次数超过预设的次数；

R3、对验证次数超过预设次数的所有用户名以及输入的用户名对应的密码进行统计，并对该用户名进行标记；

R4、将标记后的用户名存储至身份认证数据库；

S5、以固定时间段T对网页代码进行检测，并将检测的网页代码以特定代码段进行划分，构成修改代码段集合X′(x′1,x′2,...,x′i,...,x′n)，x′i表示为工作人员登录后第i个代码段对应的代码，并将修改代码段集合与代码段集合进行逐一对比，若修改代码段集合中某一代码段对应的代码与代码段集合中该代码段对应的代码不完全相同，存储至突变代码段集合Y(y1,y2,...,yj,...,ym)，yj表示为第j个修改的代码段，反之，则将修改后的代码段替换备份数据库中存储的修改前的代码段；

S6、提取突变代码段集合Y中的各代码段，并将各代码段逐一与挂马特征集合中各挂马对应的代码进行对比，若突变代码集合中各代码段与挂马特征集合中任意一挂马对应的代码相同，则表明该网页被挂马；

S7、自动启动数据库，并将备份数据库中存储的代码段替换被挂马的代码段。

2.根据权利要求1所述的一种网站防挂马检测方法，其特征在于：所述挂马特征为挂马网站对应的代码。

3.根据权利要求1所述的一种网站防挂马检测方法，其特征在于：所述备份数据库设有登录账号和登录密码，所述备份数据库的登录账号和登录密码不同于网站登陆工作人员的用户名和密码。