CN110958225A - 基于流量识别网站指纹的方法 - Google Patents
基于流量识别网站指纹的方法 Download PDFInfo
- Publication number
- CN110958225A CN110958225A CN201911089123.6A CN201911089123A CN110958225A CN 110958225 A CN110958225 A CN 110958225A CN 201911089123 A CN201911089123 A CN 201911089123A CN 110958225 A CN110958225 A CN 110958225A
- Authority
- CN
- China
- Prior art keywords
- packet
- data packet
- website
- identifying
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明提供一种基于流量识别网站指纹的方法:包括以下步骤:对镜像端口流量数据进行解析,对镜像的流量数据解析;对抓取的数据包进行识别,判断是否为tcp数据包;对tcp数据包进行解析并配对;判断redis中是否有该ack值对应的key;将步骤1.4中的key取出并与本次响应(ack值)进行组合成一个完整的请求响应包;获取网站指纹信息并储存开发语言,获取开发语言和cms框架并储存。本发明提出基于流量数据分析指纹信息有效的解决了各种防护设备造成的指纹协议识别不到或准确率低的现象。具有高可靠性和高效性的优点。
Description
技术领域
本发明涉及一种识别网站指纹的方法,具体涉及一种基于流量识别网站指纹的方法。
背景技术
目前通用的指纹分析方式是通过对目标站点发请求包或攻击包,通过对响应头和响应体进行解析从而判断网站是否包含某种指纹信息。随着目前人们网络安全意识的不断提高和技术的不断发展,市面上也有越来越多的网站防护措施,这些防护措施有效的拦截了恶意请求和攻击的同时也使的正常指纹探测的难度和准确地越来越差。
该问题不解决,将使各安全厂商在应对0day产生时,无法准确的分析其影响范围。同时错误影响范围的发布将会造成人们的恐慌,造成其公信力的降低。
伴随着Internet的普及和业务发展,人们对交换机的需求也越来越大。交换机是任意两个网络节点提供独享的电信号通路。基于交换机的作用,理所当然的所有的请求和响应包也会从交换机上获取到,通过对这种方式获取的流量数据的分析识别出来的指纹信息将更加全面准确。
因此,需要采取一定探测方式,提高探测的准确性。
发明内容
本发明要解决的技术问题是提供一种高效的基于流量识别网站指纹的方法。
为解决上述技术问题,本发明提供一种基于流量识别网站指纹的方法:包括以下步骤:
1)、对镜像端口流量数据进行解析;
2)、获取网站指纹信息并储存开发语言。
作为对本发明基于流量识别网站指纹的方法的改进:
步骤1包括:
1.1)、对镜像的流量数据解析;
1.2)、对抓取的数据包进行识别,判断是否为tcp数据包;
如是tcp数据包,则执行步骤1.3,判断是请求包或是响应包;如果不是tcp数据包,则放行;
1.3)、对tcp数据包进行解析并配对;
若抓取的tcp数据包为请求包,则获取其总的tcp长度大小及seq值大小,将tcp长度和seq值相加的结果放入redis中;
key键为相加结果,value值为http请求头;
若抓取的包为响应包,获取其ack值;执行步骤1.4;
1.4)、判断redis中是否有该ack值对应的key;
若有,执行步骤1.5;
1.5)、将步骤1.4中的key取出并与本次响应(ack值)进行组合成一个完整的请求响应包,执行步骤2。
作为对本发明基于流量识别网站指纹的方法的进一步改进:
步骤1.1为:使用scapy sniff监听镜像网卡的流量数据。
作为对本发明基于流量识别网站指纹的方法的进一步改进:
步骤2包括:获取开发语言和cms框架并储存。
作为对本发明基于流量识别网站指纹的方法的进一步改进:
步骤2包括:
2.1)、从响应包中获取响应头信息;
根据响应头的X-Powered-By判断开发语言是否为PHP、ASP.NET;根据请求头中path是否包含.action或jsp且响应包中响应码是否为200判断出该网站的开发语言是否为Java;
如果识别语言为Java则执行步骤2.2.2,如果为PHP则执行2.2.1,如果为ASP.NET则执行2.2.3;
2.2.1)、php开发语言的cms框架有eschop、dedecms、discuz、wordpress、phpwind、phpcms、帝国cms;
2.2.2)、基于java开发语言的cms框架有publiccms、opencms、jeecms;
2.2.3)、基于ASP.NET非法语言的cms框架有DTcms、ROYcms、Kaliko;
2.3)、储存指纹识别结果。
本发明基于流量识别网站指纹的方法的技术优势为:
本发明提出基于流量数据分析指纹信息有效的解决了各种防护设备造成的指纹协议识别不到或准确率低的现象。具有高可靠性和高效性的优点。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细说明。
图1为本发明基于流量识别网站指纹的方法的流程示意图。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
实施例1、基于流量识别网站指纹的方法,如图1所示,包括以下步骤:
1)、对镜像端口流量数据进行解析
1.1)、对镜像的流量数据解析
使用scapy sniff监听镜像网卡的所有流量数据;
1.2)、对抓取的数据包进行识别,判断是否为tcp数据包;
如是tcp数据包,则执行步骤1.3,判断是请求包或是响应包;如果不是tcp数据包,则放行;
1.3)、对tcp数据包进行解析并配对
若抓取的tcp数据包为请求包,则获取其总的tcp长度大小及seq值大小,将tcp长度和seq值相加的结果放入redis(键值对高速缓存数据库)中;
key键为相加结果,value值为http请求头(从tcp协议中获取请求包,http请求头在下面scap抓包结构中可以获取)。
若抓取的包为响应包,获取其ack值;执行步骤1.4;
1.4)、判断redis中是否有该ack值对应的key;
若有,执行步骤1.5;
1.5)、将步骤1.4中的key取出并与本次响应(ack值)进行组合成一个完整的请求响应包,执行步骤2;
scap抓包http协议数据结构
请求包
响应包
伪代码实现
2)、对步骤1.5得到的请求响应包指纹规制匹配;
2.1)、从响应包中获取响应头信息,响应头的X-Powered-By(对应的开发语言PHP、ASP.NET等)初步筛选出开发语言类网站和其他类型指纹;
根据请求头中path是否包含.action或jsp且响应包中响应码是否为200判断出该网站的开发语言是否为Java;
如果识别语言为Java则执行步骤2.2.2,如果为PHP则执行2.2.1,如果为ASP.NET则执行2.2.3。
对已识别出开发语言类指纹的网站可以根据后续针对该开发语言的CMS类型进行具体探测,使用该方式可以大幅度提高指纹监测效率。
2.2)、规制匹配
大类:开发语言、操作系统、Server类型、CMS类型;
其中:
开发语言:PHP、ASP.NET、JAVA等
操作系统:Linux、Windows等
Server类型:Nginx、OpenResty、tomcat、IIS、Apache等
CMS类型:eschop、dedecms、discuz、wordpress、phpwind、phpcms、帝国cms、dkcms、phpmaps等;
规制匹配;其中CMS类型中每种类型都跟开发语言类型相关,
2.2.1)、php开发语言的cms框架有eschop、dedecms、discuz、wordpress、phpwind、phpcms、帝国cms等,
2.2.2)、基于java开发语言的cms框架有publiccms、opencms、jeecms等。
2.2.3)、基于ASP.NET非法语言的cms框架有DTcms、ROYcms、Kaliko等
2.3)、储存指纹识别结果。
这样将各种指纹类型关联起来之后相比较原始的指纹监测方式监测效率会提升很大。
最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (5)
1.基于流量识别网站指纹的方法,其特征在于:包括以下步骤:
1)、对镜像端口流量数据进行解析;
2)、获取网站指纹信息并储存开发语言。
2.根据权利要求1所述的基于流量识别网站指纹的方法,其特征在于:
步骤1包括:
1.1)、对镜像的流量数据解析;
1.2)、对抓取的数据包进行识别,判断是否为tcp数据包;
如是tcp数据包,则执行步骤1.3,判断是请求包或是响应包;如果不是tcp数据包,则放行;
1.3)、对tcp数据包进行解析并配对;
若抓取的tcp数据包为请求包,则获取其总的tcp长度大小及seq值大小,将tcp长度和seq值相加的结果放入redis中;
key键为相加结果,value值为http请求头;
若抓取的包为响应包,获取其ack值;执行步骤1.4;
1.4)、判断redis中是否有该ack值对应的key;
若有,执行步骤1.5;
1.5)、将步骤1.4中的key取出并与本次响应(ack值)进行组合成一个完整的请求响应包,执行步骤2。
3.根据权利要求2所述的基于流量识别网站指纹的方法,其特征在于:
步骤1.1为:使用scapy sniff监听镜像网卡的流量数据。
4.根据权利要求3所述的基于流量识别网站指纹的方法,其特征在于:
步骤2包括:获取开发语言和cms框架并储存。
5.根据权利要求4所述的基于流量识别网站指纹的方法,其特征在于:
步骤2包括:
2.1)、从响应包中获取响应头信息;
根据响应头的X-Powered-By判断开发语言是否为PHP、ASP.NET;根据请求头中path是否包含.action或jsp且响应包中响应码是否为200判断出该网站的开发语言是否为Java;
如果识别语言为Java则执行步骤2.2.2,如果为PHP则执行2.2.1,如果为ASP.NET则执行2.2.3;
2.2.1)、php开发语言的cms框架有eschop、dedecms、discuz、wordpress、phpwind、phpcms、帝国cms;
2.2.2)、基于java开发语言的cms框架有publiccms、opencms、jeecms;
2.2.3)、基于ASP.NET非法语言的cms框架有DTcms、ROYcms、Kaliko;
2.3)、储存指纹识别结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911089123.6A CN110958225B (zh) | 2019-11-08 | 2019-11-08 | 基于流量识别网站指纹的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911089123.6A CN110958225B (zh) | 2019-11-08 | 2019-11-08 | 基于流量识别网站指纹的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110958225A true CN110958225A (zh) | 2020-04-03 |
| CN110958225B CN110958225B (zh) | 2022-02-15 |
Family
ID=69976642
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911089123.6A Active CN110958225B (zh) | 2019-11-08 | 2019-11-08 | 基于流量识别网站指纹的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110958225B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111626309A (zh) * | 2020-05-26 | 2020-09-04 | 北京墨云科技有限公司 | 一种基于深度学习的网站指纹识别方法 |
| CN112019574B (zh) * | 2020-10-22 | 2021-01-29 | 腾讯科技(深圳)有限公司 | 异常网络数据检测方法、装置、计算机设备和存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2614662A1 (en) * | 2010-09-10 | 2013-07-17 | Wifarer Inc. | Rf fingerprints for content location |
| CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
| CN107995226A (zh) * | 2017-12-27 | 2018-05-04 | 山东华软金盾软件股份有限公司 | 一种基于被动流量的设备指纹识别方法 |
| CN108667768A (zh) * | 2017-03-29 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种网络应用指纹的识别方法及装置 |
| CN108958967A (zh) * | 2017-05-17 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种数据处理的方法以及服务器 |
| US20190058724A1 (en) * | 2017-05-18 | 2019-02-21 | Qadium, Inc. | Determining risk associated with internet protocol (ip) addresses involved in internet communications |
| CN109376291A (zh) * | 2018-11-08 | 2019-02-22 | 杭州安恒信息技术股份有限公司 | 一种基于网络爬虫的网站指纹信息扫描的方法及装置 |
| CN109697267A (zh) * | 2018-12-12 | 2019-04-30 | 西安四叶草信息技术有限公司 | Cms识别方法及装置 |
-
2019
- 2019-11-08 CN CN201911089123.6A patent/CN110958225B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2614662A1 (en) * | 2010-09-10 | 2013-07-17 | Wifarer Inc. | Rf fingerprints for content location |
| CN108667768A (zh) * | 2017-03-29 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种网络应用指纹的识别方法及装置 |
| CN108958967A (zh) * | 2017-05-17 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种数据处理的方法以及服务器 |
| US20190058724A1 (en) * | 2017-05-18 | 2019-02-21 | Qadium, Inc. | Determining risk associated with internet protocol (ip) addresses involved in internet communications |
| CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
| CN107995226A (zh) * | 2017-12-27 | 2018-05-04 | 山东华软金盾软件股份有限公司 | 一种基于被动流量的设备指纹识别方法 |
| CN109376291A (zh) * | 2018-11-08 | 2019-02-22 | 杭州安恒信息技术股份有限公司 | 一种基于网络爬虫的网站指纹信息扫描的方法及装置 |
| CN109697267A (zh) * | 2018-12-12 | 2019-04-30 | 西安四叶草信息技术有限公司 | Cms识别方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| ARTHURKINGYS: ""Web指纹识别技术研究与优化实现(CMS)"", 《CSDN》 * |
| SHANSHAN CHEN、XIAOXIN TANG: ""Towards Scalable and Reliable In-Memory Storage System: A Case Study with Redis"", 《2016 IEEE TRUSTCOM/BIGDATASE/ISPA》 * |
| 顾晓丹、杨明、罗军舟、蒋平: ""针对SSH匿名流量的网站指纹攻击方法"", 《计算机学报》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111626309A (zh) * | 2020-05-26 | 2020-09-04 | 北京墨云科技有限公司 | 一种基于深度学习的网站指纹识别方法 |
| CN112019574B (zh) * | 2020-10-22 | 2021-01-29 | 腾讯科技(深圳)有限公司 | 异常网络数据检测方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110958225B (zh) | 2022-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN108737336B (zh) | 基于区块链的威胁行为处理方法及装置、设备及存储介质 | |
| US20080291912A1 (en) | System and method for detecting file | |
| CN111200605B (zh) | 一种基于Handle系统的恶意标识防御方法及系统 | |
| CN110958225B (zh) | 基于流量识别网站指纹的方法 | |
| CN112468520A (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| US20120090027A1 (en) | Apparatus and method for detecting abnormal host based on session monitoring | |
| CN111641658A (zh) | 一种请求拦截方法、装置、设备及可读存储介质 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN115632878B (zh) | 基于网络隔离的数据传输方法、装置、设备及存储介质 | |
| KR100994746B1 (ko) | 패턴 매칭부를 이용한 유해 트래픽 탐지 방법 및 시스템 | |
| CN113114618B (zh) | 一种基于流量分类识别的物联网设备入侵检测的方法 | |
| US20220141252A1 (en) | System and method for data filtering in machine learning model to detect impersonation attacks | |
| CN113242227A (zh) | 一种网络安全态势感知方法 | |
| CN112491888A (zh) | 防止设备冒用的方法及系统 | |
| KR101210622B1 (ko) | Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템 | |
| RU2285287C1 (ru) | Способ защиты информационно-вычислительных сетей от компьютерных атак | |
| CN114826946A (zh) | 未授权访问接口的检测方法、装置、设备及存储介质 | |
| CN112367315B (zh) | 一种内生安全waf蜜罐部署方法 | |
| US20090025083A1 (en) | Method and apparatus for detecting executable code | |
| CN113709513A (zh) | 设备指纹的处理方法、用户端、服务器、系统及存储介质 | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |