CN113709193A - 基于流量与动态页面特征的web弱口令检测方法 - Google Patents

基于流量与动态页面特征的web弱口令检测方法 Download PDF

Info

Publication number
CN113709193A
CN113709193A CN202111279416.8A CN202111279416A CN113709193A CN 113709193 A CN113709193 A CN 113709193A CN 202111279416 A CN202111279416 A CN 202111279416A CN 113709193 A CN113709193 A CN 113709193A
Authority
CN
China
Prior art keywords
password
request
weak password
page
weak
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111279416.8A
Other languages
English (en)
Inventor
陈墨
巫林
彭德平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Kaibo Technology Co ltd
Original Assignee
Jiangsu Kaibo Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Kaibo Technology Co ltd filed Critical Jiangsu Kaibo Technology Co ltd
Priority to CN202111279416.8A priority Critical patent/CN113709193A/zh
Publication of CN113709193A publication Critical patent/CN113709193A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于流量与动态页面特征的WEB弱口令检测方法,属于网络安全技术领域,接收流量获取解析出请求报文;对可能包含密码的请求进行特征匹配,命中则进入潜在弱口令队列;对潜在弱口令请求的响应报文进行响应特征匹配;若匹配未命中,抓取页面特征,将页面变化的请求中的密码确认为弱口令。本发明从流量中获取数据,利用密码特征和弱口令规则筛选包含潜在弱口令的请求,进行特征匹配,结合动态页面特征信息,确认请求中的弱口令,解决了现有技术中采用主动爆破的方式易被拦截封禁的问题,通过被动流量监控增大了检测范围,能够实时检测可能存在的弱口令风险,且无需过长配置时间,执行效率更高,相对主动爆破更安全可靠。

Description

基于流量与动态页面特征的WEB弱口令检测方法
技术领域
本发明涉及一种基于流量与动态页面特征的WEB弱口令检测方法,属于网络安全技术领域。
背景技术
WEB已成为互联网信息传播贡献的最便捷的技术,与此同时也带来了一系列的安全问题。由于WEB后台常常包含大量的用户或企业的隐私数据,一直是黑客的重点攻击对象,其中弱口令攻击是一个最直接有效的攻击方式。
当客户端请求一个网页时,会先通过http协议将请求的内容封装在http请求报文之中,服务器收到该请求报文后根据协议规范进行报文解析,然后向客户端返回响应报文。
由于WEB系统的多样性:不同系统的页面元素不同,提交内容不同,返回信息的特征值也不相同,难以用指定的有限的静态特征值来判断登录情况,所以目前的安全人员大多只能通过繁琐的人工测试来进行弱口令的检测。在待测目标较少的情况下,利用人工分析的弊端还不太明显,然而随着资产的增加,管理员常常会面临需要批量检测弱口令的问题,此时若采用人工分析,就会导致效率极其低下且耗时耗力,此时,设计一种通用的弱口令检测算法来代替人工就显得尤为必要。
现在主要对弱口令识别的技术是采用主动爆破的方式,不断用特征库密码去试错web系统,本质上也属于一种黑客行为,所以很容易被防火墙或其他安全设备软件拦截封禁,不仅执行效率低,由于WEB系统请求入参和返回内容不规则,主动爆破针对范围小且配置过程长,局限性较大。
发明内容
为了解决上述技术问题,本发明从流量分析角度出发,提供一种基于流量与动态页面特征的WEB弱口令检测方法,其具体技术方案如下:
一种基于流量与动态页面特征的WEB弱口令检测方法,包括以下步骤:
步骤1:潜在弱口令筛选:
步骤1.1:接收流量进行提取分析,获取TCP/HTTP信息,解析出请求报文,所述请求报文包括payload信息,header信息和referer地址;
步骤1.2:对payload信息和referer地址进行分析,寻找有路径关键字或密码参数特征的请求;
步骤1.3:针对请求的参数内容进行解析,进行请求特征匹配,若命中特征,进入潜在弱口令队列,并执行步骤2;
步骤2:弱口令确认:
步骤2.1:获取潜在弱口令的请求,通过referer地址抓取页面,确认登录界面;
步骤2.2:找出潜在弱口令的请求对应的响应报文,分析响应报文的内容,在响应特征库进行响应特征匹配,若命中特征,确认该请求中的密码为弱口令,若未命中,执行步骤2.3;
步骤2.3:分析TCP的源IP和目标IP,对设定时间阈值内源IP相同、目标IP相同但referer地址不同的请求,进行页面分析,若请求页面与之前页面不同,且没有错误信息特征,确认该请求中的密码为弱口令。
进一步的,所述步骤1.3请求特征匹配具体过程为:
步骤1.3.1:与密码特征库进行匹配,若命中特征,执行步骤1.3.2,若未命中,排除该请求;
步骤1.3.2:进行弱口令规则匹配,若命中,进入潜在弱口令队列。
进一步的,所述密码参数特征匹配包括对明文密码、based4密码和MD5密码进行参数特征匹配。
进一步的,所述弱口令规则包括账号密码相同、密码位数少、密码形式构成单一、数字字母组合以及空口令。
进一步的,所述步骤1还包括步骤1.4:若无法命中弱口令,抓取当前请求的referer地址和页面,监测相同源IP和目标IP的请求,排除页面相同的请求对应的响应。
进一步的,所述响应特征包括响应消息体和页面关键信息。
本发明的有益效果是:本发明通过从流量中获取数据分析,首先通过请求特征数据中的密码特征和弱口令规则筛选潜在弱口令,通过相应特征匹配,结合动态页面特征信息,确认请求中的弱口令完成识别,解决了现有技术中采用主动爆破的方式易被拦截封禁的问题,通过被动流量监控增大了检测范围,能够实时检测可能存在的弱口令风险,且无需过长配置时间,执行效率更高,相对主动爆破更为安全可靠。
附图说明
图1是本发明的流程图。
具体实施方式
现在结合附图对本发明作进一步详细的说明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
如图1所示,按照以下步骤进行WEB弱口令检测:
步骤1:潜在弱口令筛选:
步骤1.1:接收流量进行提取分析,获取TCP/HTTP信息,解析出请求报文,所述请求报文包括payload信息,header信息和referer地址;
其中,payload信息是指有效载荷信息,是数据传输中的实际信息;
header指标头,是服务器以HTTP协议传HTML资料到浏览器前所送出的字串;
referer是header的一部分,当浏览器向web服务器发送请求的时候,referer是一个来源,比如从Google链接进入Baidu,referer就是Google;
步骤1.2:对payload信息和referer地址进行分析,寻找有路径关键字或密码参数特征的请求;
需要首先匹配有可能是密码的字段,再对其是否可能为弱口令进行评估,有可能是密码的字段包括含有路径关键字或密码参数特征的请求;
路径关键字中可能包含登录请求的特征,例如http://www.baidu.com/login中,login就是referer地址,属于路径关键字,需要探测该路径请求包含的参数的请求体是否有弱口令风险,例如:
Requert payload请求体:
{
Username:”zhangsan”,
Password:”123456”
}
若不包含路径关键字,则探测请求体中较为敏感的参数名。
步骤1.3:针对请求的参数内容进行解析,进行请求特征匹配,若命中特征,进入潜在弱口令队列;
步骤1.3.1:与密码特征库进行匹配,若命中特征,执行步骤1.3.2,若未命中,排除该请求,密码参数特征匹配包括对明文密码、based4密码和MD5密码进行参数特征匹配;
步骤1.3.2:进行弱口令规则匹配,若命中,进入潜在弱口令队列,弱口令规则包括账号密码相同、密码位数少、密码形式构成单一、数字字母组合以及空口令;
密码特征代表的是key,弱口令是value,首先确定包含密码特征的请求,例如password:123456中,password是密码特征,123456是弱口令;而在username:123456中123456并不是弱口令,而是一个用户名或者账号。
步骤2:弱口令确认:
步骤2.1:获取潜在弱口令的请求,通过referer地址抓取页面,确认登录界面;
步骤2.2:找出潜在弱口令的请求对应的响应报文,分析响应报文的内容,在响应特征库进行响应特征匹配,其中相应特征包括响应消息体和页面关键信息,若命中特征,确认该请求中的密码为弱口令,若未命中,执行步骤2.3;
步骤2.3:分析TCP的源IP和目标IP,对设定时间阈值内源IP相同、目标IP相同但referer地址不同的请求,进行页面分析,若请求页面与之前页面不同,且没有错误信息特征,确认该请求中的密码为弱口令。
找出潜在弱口令后,需要进一步确认判定的正确性,具体通过response消息体或页面关键信息来确认当前请求是一个登陆请求,例如:
{"status":0,
"message":"success",
"timestamp":1631175384198,
"data":
{"access_token":"77410f52-0494-4609-99b3-b89802063c98",
"token_type":"bearer",
"expires_in":7199
},
"extData":null
}
这是一个登陆成功返回消息体,其中success,token特征具有参考意义,代表返回的时候确认登录成功了,web请求的难点在于确认过程,因此需要累积特征库。
以上述依据本发明的理想实施例为启示,通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。

Claims (6)

1.一种基于流量与动态页面特征的WEB弱口令检测方法,其特征在于:具体包括以下步骤:
步骤1:潜在弱口令筛选:
步骤1.1:接收流量进行提取分析,获取TCP/HTTP信息,解析出请求报文,所述请求报文包括payload信息,header信息和referer地址;
步骤1.2:对payload信息和referer地址进行分析,寻找有路径关键字或密码参数特征的请求;
步骤1.3:针对请求的参数内容进行解析,进行请求特征匹配,若命中特征,进入潜在弱口令队列,并执行步骤2;
步骤2:弱口令确认:
步骤2.1:获取潜在弱口令的请求,通过referer地址抓取页面,确认登录界面;
步骤2.2:找出潜在弱口令的请求对应的响应报文,分析响应报文的内容,在响应特征库进行响应特征匹配,若命中特征,确认该请求中的密码为弱口令,若未命中,执行步骤2.3;
步骤2.3:分析TCP的源IP和目标IP,对设定时间阈值内源IP相同、目标IP相同但referer地址不同的请求,进行页面分析,若请求页面与之前页面不同,且没有错误信息特征,确认该请求中的密码为弱口令。
2.根据权利要求1所述的基于流量与动态页面特征的WEB弱口令检测方法,其特征在于:所述步骤1.3请求特征匹配具体过程为:
步骤1.3.1:与密码特征库进行匹配,若命中特征,执行步骤1.3.2,若未命中,排除该请求;
步骤1.3.2:进行弱口令规则匹配,若命中,进入潜在弱口令队列。
3.根据权利要求2所述的基于流量与动态页面特征的WEB弱口令检测方法,其特征在于:所述密码参数特征匹配包括对明文密码、based4密码和MD5密码进行参数特征匹配。
4.根据权利要求2所述的基于流量与动态页面特征的WEB弱口令检测方法,其特征在于:所述弱口令规则包括账号密码相同、密码位数少、密码形式构成单一、数字字母组合以及空口令。
5.根据权利要求1所述的基于流量与动态页面特征的WEB弱口令检测方法,其特征在于:所述步骤1还包括步骤1.4:若无法命中弱口令,抓取当前请求的referer地址和页面,监测相同源IP和目标IP的请求,当页面相同或出现错误信息特征时,排除该请求对应的响应。
6.根据权利要求1所述的基于流量与动态页面特征的WEB弱口令检测方法,其特征在于:所述响应特征包括响应消息体和页面关键信息。
CN202111279416.8A 2021-11-01 2021-11-01 基于流量与动态页面特征的web弱口令检测方法 Pending CN113709193A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111279416.8A CN113709193A (zh) 2021-11-01 2021-11-01 基于流量与动态页面特征的web弱口令检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111279416.8A CN113709193A (zh) 2021-11-01 2021-11-01 基于流量与动态页面特征的web弱口令检测方法

Publications (1)

Publication Number Publication Date
CN113709193A true CN113709193A (zh) 2021-11-26

Family

ID=78647532

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111279416.8A Pending CN113709193A (zh) 2021-11-01 2021-11-01 基于流量与动态页面特征的web弱口令检测方法

Country Status (1)

Country Link
CN (1) CN113709193A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103701805A (zh) * 2013-12-26 2014-04-02 山石网科通信技术有限公司 检测网络中弱口令的方法及装置
US8949978B1 (en) * 2010-01-06 2015-02-03 Trend Micro Inc. Efficient web threat protection
CN109241460A (zh) * 2018-08-01 2019-01-18 杭州安恒信息技术股份有限公司 一种解决网页弱口令探测繁琐配置的方法和系统
CN111447204A (zh) * 2020-03-24 2020-07-24 深信服科技股份有限公司 一种弱密码检测方法、装置、设备、介质
CN112702334A (zh) * 2020-12-21 2021-04-23 中国人民解放军陆军炮兵防空兵学院 静态特征与动态页面特征结合的web弱口令检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8949978B1 (en) * 2010-01-06 2015-02-03 Trend Micro Inc. Efficient web threat protection
CN103701805A (zh) * 2013-12-26 2014-04-02 山石网科通信技术有限公司 检测网络中弱口令的方法及装置
CN109241460A (zh) * 2018-08-01 2019-01-18 杭州安恒信息技术股份有限公司 一种解决网页弱口令探测繁琐配置的方法和系统
CN111447204A (zh) * 2020-03-24 2020-07-24 深信服科技股份有限公司 一种弱密码检测方法、装置、设备、介质
CN112702334A (zh) * 2020-12-21 2021-04-23 中国人民解放军陆军炮兵防空兵学院 静态特征与动态页面特征结合的web弱口令检测方法

Similar Documents

Publication Publication Date Title
CN109951500B (zh) 网络攻击检测方法及装置
US10581908B2 (en) Identifying phishing websites using DOM characteristics
CN108183895B (zh) 一种网络资产信息采集系统
US8893282B2 (en) System for detecting vulnerabilities in applications using client-side application interfaces
US10721245B2 (en) Method and device for automatically verifying security event
US20100162350A1 (en) Security system of managing irc and http botnets, and method therefor
US20070124806A1 (en) Techniques for tracking actual users in web application security systems
CN104135474B (zh) 基于主机出入度的网络异常行为检测方法
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
CN107733699B (zh) 互联网资产安全管理方法、系统、设备及可读存储介质
WO2022257226A1 (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
CN112565226A (zh) 请求处理方法、装置、设备及系统和用户画像生成方法
CN113810381B (zh) 一种爬虫检测方法、web应用云防火墙、装置和存储介质
CN113518077A (zh) 一种恶意网络爬虫检测方法、装置、设备及存储介质
CN104852916A (zh) 一种基于社会工程学的网页验证码识别方法及系统
CN112311722A (zh) 一种访问控制方法、装置、设备及计算机可读存储介质
EP3789890A1 (en) Fully qualified domain name (fqdn) determination
CN113709193A (zh) 基于流量与动态页面特征的web弱口令检测方法
Gupta Comparison of classification algorithms to detect phishing web pages using feature selection and extraction
CN108650274A (zh) 一种网络入侵检测方法及系统
CN116074280A (zh) 应用入侵防御系统识别方法、装置、设备和存储介质
CN108337217B (zh) 基于六维空间流量分析模型的木马回联检测系统及方法
CN111669376B (zh) 一种内网安全风险识别的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20211126

RJ01 Rejection of invention patent application after publication