[发明专利]web后门路径探测方法

权利要求书

1.web后门路径探测方法，其特征在于：包括以下步骤：

1)、获取集合路径集合$Webshell_Path和文件名集合$Webshell_Name；

将WEB后门的URL的路径加入到集合路径集合$Webshell_Path中，将WEB后门的URL的文件名加入到文件名集合$Webshell_Name中；

将常用的英文以及常用的人名加入到文件名集合$Webshell_Name中；

2)、使用网络爬虫，沿网站首页爬取，获取网站的目录树$Web_Catalog，以及URL树$Web_Url_Tree，以及网站根目录$Web_Root，自定义错误页面$Error_Page；

自定义错误页面$Error_Page是通过请求一批不存在的页面来获取网站自定义错误页面；分别来探测网站对不存在页面和恶意请求所返回的响应页面；

不存在或者恶意的请求如下：

①、网站首页地址+随机字符串；

②、网站首页地址+随机字符串+脚本环境；

③、网站首页地址+恶意请求url；

3)、根据集合路径集合$Webshell_Path、文件名集合$Webshell_Name、目录树$Web_Catalog和URL树$Web_Url_Tree得到待检测URL集合$Target_Url；

使用Http请求访问待检测URL集合$Target_Url中的连接，得到可疑URL集合$Suspicious_Url；

包括以下步骤：

3.1)、目录树$Web_Catalog和文件名集合$Webshell_Name两个集合做笛卡尔乘积，将结果加入到待检测URL集合$Target_Url中；

网站根目录$Web_Root和路径集合$Webshell_Path两个集合做笛卡尔乘积，结果再与文件名集合$Webshell_Name作笛卡尔乘积，最终结果加入到待检测URL集合$Target_Url中；

待检测URL集合$Target_Url去重复链接，并且计算待检测URL集合$Target_Url减去待检测URL集合$Target_Url与URL树$Web_Url_Tree的并集，得到最终的待检测URL集合$Target_Url；

3.2)、可疑路径识别阶段，

依次检测步骤3.1)中最终得到的待检测URL集合$Target_Url集合中的链接，使用Http请求访问这些链接，判断响应码是200且非自定义错误页面的链接为可疑链接，加入到可疑URL集合$Suspicious_Url；自定义错误页面的判断方法为：计算自定义错误页面和访问链接页面内容相似度，在页面内容相似度大与预设值时，为访问链接页面自定义错误页面；否则不是自定义错误页面。

2.根据权利要求1所述的web后门路径探测方法，其特征在于：

在步骤3.2中，使用simhash算法判断相似度。

3.根据权利要求1或2所述的web后门路径探测方法，其特征在于：

1)、知识库

通过以下方法预置web后门探测的路径和文件名探测库：

1.1通过用户经验、互联网搜索获取已经公布的web后门案例的出现过的文件路径集合、文件名特征；

1.2收集常用的英文单词，加入到文件名集合；

1.3收集常用的人名加入 到文件名集合；

统计1.1、1.2、1.3中的收集结果，去重后得到文件路径集合如下：

/user/other/

/data/th/b/

文件名集合如下：

log.php

index.php

tools.php

探测网站http://192.168.5.1网站Web后门

2).使用网路爬虫爬取http://192.168.5.1的目录树

通过http Get方式递归访问网站http://192.168.5.1页面及其所有页面中的内链，可以识别到网站的目录树如下：

http://192.168.5.1/

http://192.168.5.1/a/

http://192.168.5.1/b/

http://192.168.5.1/b/c/

2.1、可疑路径识别阶段

2.1.1路径组合阶段

使用知识库中的路径和文件与目标网站的目录组合(使用笛卡尔乘积)，生成探测的文件集合；

文件集合如下：

http://192.168.5.1/log.php

http://192.168.5.1/index.php

http://192.168.5.1/tools.php

http://192.168.5.1/user/other/log.php

http://192.168.5.1/user/other/index.php

http://192.168.5.1/user/other/tools.php

http://192.168.5.1/data/th/b/log.php

http://192.168.5.1/data/th/b/index.php

http://192.168.5.1/data/th/b/tools.php

http://192.168.5.1/a/log.php

http://192.168.5.1/a/index.php

http://192.168.5.1/a/tools.php

http://192.168.5.1/a/user/other/log.php

http://192.168.5.1/a/user/other/index.php

http://192.168.5.1/a/user/other/tools.php

http://192.168.5.1/a/data/th/b/log.php

http://192.168.5.1/a/data/th/b/index.php

http://192.168.5.1/a/data/th/b/tools.php

http://192.168.5.1/b/log.php

http://192.168.5.1/b/index.php

http://192.168.5.1/b/tools.php

http://192.168.5.1/b/user/other/log.php

http://192.168.5.1/b/user/other/index.php

http://192.168.5.1/b/user/other/tools.php

http://192.168.5.1/b/data/th/b/log.php

http://192.168.5.1/b/data/th/b/index.php

http://192.168.5.1/b/data/th/b/tools.php

自定义错误页面识别：

通过http Get方式请求访问随机页面得到网站的响应页面html3 ；

随机页面为http://192.168.5.1/5tdshfdskjf8ds7fu90dsfjqwkj

2.1.2访问待检测路径

使用http Get方式请求2.1.2中的文件，判断每个文件的响应码，如果是某文件响应码是200，那么记录该文件的响应包以及文件路径等待后续检测；其他响应码则不记录；

使用simhash算法计算html4和html3之间的相似度，如果相似，那么丢弃；

http://192.168.5.1/b/user/other/log.php响应200，响应页面html4且html4与html3不相似；

那么http://192.168.5.1/b/user/other/log.php即为可疑的web后门文件。