[发明专利]一种网站挂马预警方法

说明书

本发明公开一种网站挂马预警方法，包括以下步骤：获取用户登录的网站地址，对网站地址对应的网页关键字进行提取；提取的网页关键字与网站备份数据库中存储的各网站地址对应的网页关键字集合进行对比，得到网页关键字对比集合；统计该网站地址与存储的各网站地址间的匹配度系数，筛选出匹配度系数最大的网站地址；提取匹配度系数最大的网站地址对应的代码并划分成若干标准代码段，登录网站地址对应的各段代码与各标准段代码进行相似度统计；提取与标准段代码不同的异常代码，发送预警信号。本发明网站地址对应异常代码进行预警处理，提高了网站的安全性和稳定性，避免用户信息泄露，具有识别的准确性高的特点，提高了网站防火墙的性能。

技术领域

本发明属于网站挂马检测技术领域，涉及到一种网站挂马预警方法。

背景技术

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库“备份/恢复”或者上传漏洞获得一个webshell，利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码，也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改，当访问被加入恶意代码的页面时，会自动的访问被转向的地址或者下载木马病毒。

现有的网站在被挂马后，无法对挂马进行检测和预警处理，进而导致用户的登录被挂马网站的安全性，以及用户对网站的信赖度下降，使得网站失去用户，降低了网站用户量。

发明内容

本发明的目的在于提供的网站挂马预警方法，通过将需检测的网站地址与网站备份数据库中网站地址进行对比，以筛选出网站备份数据库中与网站地址匹配度系数最大的网站地址，并将筛选出的网站地址对应的段代码以及网站地址对应的段代码进行逐一对比，以确定网站地址对应的异常代码，对异常代码进行预警处理，解决了现有技术中存在的问题。

本发明的目的可以通过以下技术方案实现：

一种网站挂马预警方法，包括以下步骤：

S1、获取用户登录的网站地址，对登录的网站地址进行扫描，所述登录的网站地址按照登录的先后顺序进行排序，分别为1,2,...,i,...,n，n表示用户登录的网站数量；

S2、将用户登录的网站地址对应的网页关键字进行提取；

S3、将提取网站地址对应的网页关键字与网站备份数据库中存储的各网站地址对应的网页关键字集合A_k进行对比，得到网站地址对应的网页关键字对比集合A′_k(a′_k1,a′_k2,...,a′_kj,...,a′_km)，a′_kj表示为第k个网站中第j个关键字与提取的网站地址对应的页面关键字的对比情况，若第k个网站中第j个关键字未出现在提取的网站地址对应的页面关键字中，则a′_kj等于1，反之，则a′_kj等于e，且0＜e＜1；

S4、筛选出网页关键字对比集合各关键字对比结果大于e的a′_kj，j＝1,2，...，m，并统计大于e的对比关键字数量U，根据网页关键字对比集合，统计该网站地址与网站备份数据库中存储的各网站地址间的匹配度系数，筛选出网站备份数据库中与该网站地址的匹配度系数最大的网站地址；

S5、将匹配度系数最大的网站地址对应的代码进行提取，并以预设的若干相邻的字母作为分隔线，划分成若干标准代码段，对划分的标准代码段进行排序编号，分别为1,2,...,f,...,h，h表示为网站地址代码被划分的代码段数量，划分的代码段构成标准段代码集合B(b1,b2,...,bf,...,bh)，bf表示为第f个标准代码段对应的代码，其中，分隔线为至少由两个字母组成，且组成分隔线的字母的顺序固定且字母间无空格或其他符号；