CN116260660A - 网页木马后门识别方法及系统 - Google Patents

网页木马后门识别方法及系统 Download PDF

Info

Publication number
CN116260660A
CN116260660A CN202310541061.8A CN202310541061A CN116260660A CN 116260660 A CN116260660 A CN 116260660A CN 202310541061 A CN202310541061 A CN 202310541061A CN 116260660 A CN116260660 A CN 116260660A
Authority
CN
China
Prior art keywords
request
data packet
detected
feature library
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310541061.8A
Other languages
English (en)
Other versions
CN116260660B (zh
Inventor
柳遵梁
王月兵
毛菲
周杰
闻建霞
覃锦端
刘聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Meichuang Technology Co ltd
Original Assignee
Hangzhou Meichuang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Meichuang Technology Co ltd filed Critical Hangzhou Meichuang Technology Co ltd
Priority to CN202310541061.8A priority Critical patent/CN116260660B/zh
Publication of CN116260660A publication Critical patent/CN116260660A/zh
Application granted granted Critical
Publication of CN116260660B publication Critical patent/CN116260660B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了网页木马后门识别方法及系统,网页木马后门识别方法包括:获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库,以得到特征库;获取待检测数据包;利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配,以得到处理结果;当所述处理结果是所述待检测数据包存在网页木马后门,则对所述待检测数据包进行异常告警与阻断。通过实施本发明实施例的方法可实现精确判别基于业务行为的网页木马后门。

Description

网页木马后门识别方法及系统
技术领域
本发明涉及计算机,更具体地说是指网页木马后门识别方法及系统。
背景技术
网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
传统的网页木马后门检测识别,仅基于已知恶意行为特征库,由已知恶意特征库基于自身的相关规则特征和行为判定来确认当前权限提升行为是否正常,是否存在风险性。由于其依赖于自有的相关匹配规则或策略,导致在安全问题上往往出现大量误报、漏报,并在情报更新和威胁嗅探上往往囿于劣势;同时,由于其安全判定基于规则黑名单,而规则黑名单往往又是已知威胁的整理集合,导致目前传统网页木马后门检测规则长期停留在“事后诸葛亮”的状态,即只有相关问题已大规模爆发,其特征已知后方能更新相关安全策略,从而对其进行相关检出和告警。综上所述,当前的网页木马后门检测识别方法无法有效识别多变的网页木马后门。
发明内容
为了解决上述问题,本发明提供了一种网页木马后门识别方法,实现有效识别多变的网页木马后门。
为实现上述目的,本发明采用以下技术方案:网页木马后门识别方法,包括:
获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库,以得到特征库;
获取待检测数据包;
利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配,以得到处理结果;
当所述处理结果是所述待检测数据包存在网页木马后门,则对所述待检测数据包进行异常告警与阻断。
作为优选,通过agent在学习时间T内收集业务服务器中的请求包,去除所述请求包中的请求头,并统计去除请求头后的请求包的Hash值,对所述Hash值进行去重,生成业务服务器全部且唯一的请求包Hash数据集合,并根据所述请求包Hash数据集合中的每一个Hash值获取对应的请求包数据,生成业务服务器全部且唯一的请求包数据集合;对所述请求包数据集合根据URI、请求方式、请求参数、请求参数值进行解析,生成请求包的特征集合;统计业务服务器全部且唯一的请求包数据集合中每一个请求包的特征,生成所述Web业务正常请求路径特征库。
作为优选,所述静态资源后缀集合是根据静态资源的后缀生成的;所述恶意请求头特征库是通过根据恶意数据包请求头特征生成的;所述数据包请求内容加密特征库是通过根据网页木马后门的加密特征生成的;所述请求包恶意内容特征库是通过根据恶意数据包的请求内容生成的。
作为优选,所述利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配,以得到处理结果,包括:
对所述检测数据包进行解析,以采集所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征;
利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测,以得到处理结果。
作为优选,所述利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测,以得到处理结果,包括:
将所述请求头与所述恶意请求头特征库进行匹配,以判断所述待检测数据包是否存在恶意请求头特征;
若所述待检测数据包存在恶意请求头特征,则确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
若所述待检测数据包不存在恶意请求头特征,则将所述请求内容与数据包请求内容加密特征库以及请求包恶意内容特征库进行匹配,以判断所述待检测数据包是否存在恶意请求内容特征;
若所述待检测数据包存在恶意请求内容特征,则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
若所述待检测数据包不存在恶意请求内容特征,则将所述请求资源后缀与静态资源后缀集合进行匹配,以判断所述待检测数据包是否为静态资源;
若所述待检测数据包为静态资源,则确定所述处理结果是所述待检测数据包不存在网页木马后门;
若所述待检测数据包为非静态资源,则根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门;
若所述待检测数据包存在网页木马后门,则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
若所述待检测数据包不存在网页木马后门,则执行所述确定所述处理结果是所述待检测数据包不存在网页木马后门。
作为优选,所述数据包特征包括待检测数据包的URI、请求方式、请求参数以及请求参数值类型。
作为优选,所述根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门,包括:
将所述数据包特征内的待检测数据包的URI与所述Web业务正常请求路径特征库中的URI进行匹配,以判断所述URI与Web业务正常请求路径特征库的URI是否匹配;
若所述URI与Web业务正常请求路径特征库的URI不匹配,则确定所述待检测数据包存在网页木马后门;
若所述URI与Web业务正常请求路径特征库的URI匹配,则将所述数据包特征内的待检测数据包的请求方式与所述Web业务正常请求路径特征库中的请求方式进行匹配,以判断待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式是否匹配;
若待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式不匹配,则执行所述确定所述待检测数据包存在网页木马后门;
若待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式匹配,则将所述数据包特征内的待检测数据包的请求参数与所述Web业务正常请求路径特征库中的请求参数进行匹配,以判断待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数是否匹配;
若待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数不匹配,则执行所述确定所述待检测数据包存在网页木马后门;
若待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数匹配,则将所述数据包特征内的待检测数据包的请求参数值类型与所述Web业务正常请求路径特征库中的请求参数值类型进行匹配,以判断待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数是否匹配;
若待检测数据包的请求参数值类型与Web业务正常请求路径特征库的请求参数值类型匹配不匹配,则执行所述确定所述待检测数据包存在网页木马后门;
若待检测数据包的请求参数值类型与Web业务正常请求路径特征库的请求参数值类型匹配,则确定所述待检测数据包不存在网页木马后门。
本发明还提供了网页木马后门识别系统,包括:
特征库获取单元,用于获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库,以得到特征库;
数据包获取单元,用于获取待检测数据包;
处理单元,用于利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配,以得到处理结果;
告警及阻断单元,用于当所述处理结果是所述待检测数据包存在网页木马后门,则对所述待检测数据包进行异常告警与阻断。
作为优选,所述处理单元包括:
解析子单元,用于对所述检测数据包进行解析,以采集所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征;
检测子单元,用于利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测,以得到处理结果。
作为优选,所述检测子单元包括:
第一判断模块,用于将所述请求头与所述恶意请求头特征库进行匹配,以判断所述待检测数据包是否存在恶意请求头特征;
第一确定模块,用于若所述待检测数据包存在恶意请求头特征,则确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
第二判断模块,用于若所述待检测数据包不存在恶意请求头特征,则将所述请求内容与数据包请求内容加密特征库以及请求包恶意内容特征库进行匹配,以判断所述待检测数据包是否存在恶意请求内容特征;若所述待检测数据包存在恶意请求内容特征,则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
第三判断模块,用于若所述待检测数据包不存在恶意请求内容特征,则将所述请求资源后缀与静态资源后缀集合进行匹配,以判断所述待检测数据包是否为静态资源;
第二确定模块,用于若所述待检测数据包为静态资源,则确定所述处理结果是所述待检测数据包不存在网页木马后门;
第四判断模块,用于若所述待检测数据包为非静态资源,则根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门;若所述待检测数据包存在网页木马后门,则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;若所述待检测数据包不存在网页木马后门,则执行所述确定所述处理结果是所述待检测数据包不存在网页木马后门。
与现有技术相比,本发明的有益效果体现在:
本发明通过利用Web业务正常请求路径特征库策略,以恶意数据包特征库为依托,自动化判别业务服务器中的恶意请求包,实现精确判别基于业务行为的网页木马后门。
附图说明
图1为本发明实施例提供的网页木马后门识别方法的应用场景示意图;
图2为本发明实施例提供的网页木马后门识别方法的流程示意图;
图3为本发明实施例提供的网页木马后门识别方法的子流程示意图;
图4为本发明实施例提供的网页木马后门识别方法的子流程示意图;
图5为本发明实施例提供的网页木马后门识别方法的子流程示意图;
图6为本发明实施例提供的网页木马后门识别系统300的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图2是本发明实施例提供的网页木马后门识别方法的流程示意图。如图1所示,本实施例中网页木马后门识别方法应用于服务器中。该服务器与业务服务器进行数据交互,实现精准判别多变的网页木马后门。如图2所示,该方法包括以下步骤S110至S140。
S110、获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库,以得到特征库。
本实施例中特征库包括Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库。
具体地,通过agent在学习时间T内收集业务服务器中的请求包,去除所述请求包中的请求头,并统计去除请求头后的请求包的Hash值,对所述Hash值进行去重,生成业务服务器全部且唯一的请求包Hash数据集合,并根据所述请求包Hash数据集合中的每一个Hash值获取对应的请求包数据,生成业务服务器全部且唯一的请求包数据集合;对所述请求包数据集合根据URI、请求方式、请求参数、请求参数值进行解析,生成请求包的特征集合;统计业务服务器全部且唯一的请求包数据集合中每一个请求包的特征,生成所述Web业务正常请求路径特征库。
所述静态资源后缀集合是根据静态资源的后缀生成的;所述恶意请求头特征库是通过根据恶意数据包请求头特征生成的;所述数据包请求内容加密特征库是通过根据网页木马后门的加密特征生成的;所述请求包恶意内容特征库是通过根据恶意数据包的请求内容生成的。
在本实施例中,所述Web业务正常请求路径特征学习通过在业务服务器安装agent软件实现。agent软件需在学习时间T内收集业务服务器中的请求包,同时去除请求包中的请求头,并统计去除请求头后的请求包的Hash值。针对去除请求头后的请求包的Hash值进行去重,生成业务服务器全部且唯一的请求包Hash数据集合K,并根据Hash数据集合K中的每一个Hash值获取其对应的请求包数据,生成业务服务器全部且唯一的请求包数据集合R{R1,R2,……,Rn}。
针对业务服务器全部且唯一的请求包数据集合R{R1,R2,……,Rn},根据URI、请求方式、请求参数、请求参数值四个特征进行解析,生成请求包Rn的特征集合RTn{ATn,(ATn:BTn),(ATn:BTn:CTn),(ATn:BTn:CTn:DTn)},其中ATn为请求包Rn的URI,BTn为请求包Rn的请求方式,CTn为请求包Rn的请求参数,DTn为请求包Rn的请求参数值类型。
统计业务服务器全部且唯一的请求包数据集合R{R1,R2,……,Rn}中每一个请求包的特征,生成Web业务正常请求路径特征库RT{RT1,RT2,……,RTn}。
根据静态资源的后缀生成静态资源后缀集合M,根据恶意数据包请求头特征生成恶意请求头特征库H,根据网页木马后门的加密特征生成数据包请求内容加密特征库T,根据恶意数据包的请求内容生成请求包恶意内容特征库Q。
优选的,将所述Web业务正常请求路径特征库RT{RT1,RT2,……,RTn}、静态资源后缀集合M、恶意请求头特征库H、数据包请求内容加密特征库T、请求包恶意内容特征库Q下发至业务服务器,并通过服务器中安装的agent软件检测数据包。
S120、获取待检测数据包。
在本实施例中,待检测数据包是指agent软件检测到的新增数据包S。
S130、利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配,以得到处理结果。
在本实施例中,处理结果是指判断待检测数据包内是否存在网页木马后门的结果。
如图3所示,上述的步骤S130可包括步骤S131~S132。
S131、对所述检测数据包进行解析,以采集所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征。
在本实施例中,所述数据包特征包括待检测数据包的URI、请求方式、请求参数以及请求参数值类型。
采集待检测数据包S中的请求头ES、请求内容WS、请求资源后缀KS、数据包特征RS{AS,(AS:BS),(AS:BS:CS),(AS:BS:CS:DS)},其中AS为待检测数据包S的URI,BS为待检测数据包S的请求方式,CS为待检测数据包S的请求参数,DS为待检测数据包S的请求参数值类型。
S132、利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测,以得到处理结果。
如图4所示,上述的步骤S132可包括步骤S1321~S 1326。
S1321、将所述请求头与所述恶意请求头特征库进行匹配,以判断所述待检测数据包是否存在恶意请求头特征。
在本实施例中,存在异常比对算法F1{(ES,H)},该算法针对新增数据包S的请求头ES与恶意请求头特征库H进行匹配,并判定是否存在恶意请求头特征。
当ES∈H时,则F1{( ES,H)}=0,认为该请求头符合恶意请求头特征,即存在网页木马后门,将进行异常处理,拦截或者告警该数据包;
当ES
Figure SMS_1
H时,则F1{( ES,H)}=1,认为该请求头不符合恶意请求头特征,将进入算法F2,进行请求内容恶意特征判断。
S1322、若所述待检测数据包存在恶意请求头特征,则确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
S1323、若所述待检测数据包不存在恶意请求头特征,则将所述请求内容与数据包请求内容加密特征库以及请求包恶意内容特征库进行匹配,以判断所述待检测数据包是否存在恶意请求内容特征。
在本实施例中,存在异常比对算法F2{WS,(T,Q)},该算法针对新增数据包S的请求内容WS与数据包请求内容加密特征库T以及请求包恶意内容特征库Q进行匹配,并判定是否存在恶意请求内容。
当WS∈T时,无论WS∈Q或WS
Figure SMS_2
Q,则F2{WS,(T,Q)}=0,认为该请求内容符合数据包请求内容加密特征,即存在网页木马后门,将进行异常处理,拦截或者告警该数据包;
当WS
Figure SMS_3
T且WS∈Q时,则F2{WS,(T,Q)}=1,认为该请求内容符合请求包恶意内容特征,即存在网页木马后门,将进行异常处理,拦截或者告警该数据包;
当WS
Figure SMS_4
T且WS/>
Figure SMS_5
Q时,则F2{WS,(T,Q)}=2,认为该请求内容不存在恶意特征,将进入算法F3,进行静态资源判断。
若所述待检测数据包存在恶意请求头特征,则执行所述步骤S1322;
S1324、若所述待检测数据包不存在恶意请求头特征,则将所述请求资源后缀与静态资源后缀集合进行匹配,以判断所述待检测数据包是否为静态资源。
在本实施例中,存在算法F3{(KS,M)},该算法针对新增数据包S的请求资源后缀KS与静态资源后缀集合M进行匹配,并判定所请求的资源是否为静态资源。当KS∈M时,则F3{(KS,M)}=0,认为该数据包请求的为静态资源,即该数据包安全,放行该数据包;当KS
Figure SMS_6
M时,则F3{(KS,M)}=1,认为该数据包请求的资源为非静态资源,将进入算法F4,进行已学习路径特征匹配。
S1325、若所述待检测数据包为静态资源,则确定所述处理结果是所述待检测数据包不存在网页木马后门;
S1326、若所述待检测数据包为非静态资源,则根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门。
如图5所示,上述的步骤S1326可包括步骤S13261~S13266。
S13261、将所述数据包特征内的待检测数据包的URI与所述Web业务正常请求路径特征库中的URI进行匹配,以判断所述URI与Web业务正常请求路径特征库的URI是否匹配。
在本实施例中,存在算法F4{(AS,RT[1])},该算法针对新增数据包S的URI AS与Web业务正常请求路径特征库RT{RT1,RT2,……,RTn}中每一条特征的第一个元素进行匹配,即将新增数据包S的URI AS与Web业务正常请求路径特征库中的URI进行匹配。
当AS
Figure SMS_7
RT[1]时,则F4{(AS,RT[1])}=0,认为新增数据包S的URI AS与Web业务正常请求路径特征库中的URI不匹配,即存在网页木马后门,将进行异常处理,拦截或者告警该数据包;
当AS∈RT[1]时,则=F4{(AS,RT[1])}=1,认为新增数据包S的URI AS与Web业务正常请求路径特征库中的URI相匹配,将进入算法F5,进行已学习路径特征中请求方式的匹配。
S13262、若所述URI与Web业务正常请求路径特征库的URI不匹配,则确定所述待检测数据包存在网页木马后门;
S13263、若所述URI与Web业务正常请求路径特征库的URI匹配,则将所述数据包特征内的待检测数据包的请求方式与所述Web业务正常请求路径特征库中的请求方式进行匹配,以判断待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式是否匹配。
在本实施例中,存在算法F5{(AS:BS),RT[2]},该算法针对新增数据包S的请求方式BS与Web业务正常请求路径特征库RT{RT1,RT2,……,RTn}中每一条特征的第二个元素进行匹配,即在符合Web业务正常请求路径特征库中URI的前提下,将新增数据包S的请求方式BS与Web业务正常请求路径特征库中的请求方式进行匹配。
当(AS:BS)
Figure SMS_8
RT[2]时,则F5{(AS:BS),RT[2]}=0,认为新增数据包S的请求方式BS与Web业务正常请求路径特征库中的请求方式不匹配,即存在网页木马后门,将进行异常处理,拦截或者告警该数据包;
当(AS:BS)∈RT[2]时,则F5{(AS:BS),RT[2]}=1,认为新增数据包S的请求方式BS与Web业务正常请求路径特征库中的请求方式相匹配,将进入算法F6,进行已学习路径特征中请求参数的匹配。
若待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式不匹配,则执行所述步骤S13262;
S13263、若待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式匹配,则将所述数据包特征内的待检测数据包的请求参数与所述Web业务正常请求路径特征库中的请求参数进行匹配,以判断待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数是否匹配。
存在算法F6{(AS:BS:CS),RT[3]},该算法针对新增数据包S的请求参数CS与Web业务正常请求路径特征库RT{RT1,RT2,……,RTn}中每一条特征的第三个元素进行匹配,即在符合Web业务正常请求路径特征库中URI和请求方式的前提下,将新增数据包S的请求参数CS与Web业务正常请求路径特征库中的请求参数进行匹配。
当(AS:BS:CS)
Figure SMS_9
RT[3]时,则F6{(AS:BS:CS),RT[3]}=0,认为新增数据包S的请求参数CS与Web业务正常请求路径特征库中的请求参数不匹配,即存在网页木马后门,将进行异常处理,拦截或者告警该数据包;
当(AS:BS:CS)∈RT[3]时,则F6{(AS:BS:CS),RT[3]}=1,认为新增数据包S的请求参数CS与Web业务正常请求路径特征库中的请求参数相匹配,将进入算法F7,进行已学习路径特征中请求参数值类型的匹配。
若待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数不匹配,则执行所述步骤S13262;
S13265、若待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数匹配,则将所述数据包特征内的待检测数据包的请求参数值类型与所述Web业务正常请求路径特征库中的请求参数值类型进行匹配,以判断待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数是否匹配。
在本实施例中,存在算法F7{(AS:BS:CS:DS),RT[4]},该算法针对新增数据包S的请求参数值类型DS与Web业务正常请求路径特征库RT{RT1,RT2,……,RTn}中每一条特征的第四个元素进行匹配,即在符合Web业务正常请求路径特征库中URI、请求方式和请求参数的前提下,将新增数据包S的请求参数值类型DS与Web业务正常请求路径特征库中的请求参数值类型进行匹配。
当(AS:BS:CS:DS)
Figure SMS_10
RT[4]时,则F7{(AS:BS:CS:DS),RT[4]}=0,认为新增数据包S的请求参数值类型DS与Web业务正常请求路径特征库中的请求参数值类型不匹配,即存在网页木马后门,将进行异常处理,拦截或者告警该数据包;
当(AS:BS:CS:DS)∈RT[4]时,则F7{(AS:BS:CS:DS),RT[4]}=1,认为新增数据包S的请求参数值类型DS与Web业务正常请求路径特征库中的请求参数值类型相匹配,即该数据包安全,放行该数据包。
若待检测数据包的请求参数值类型与Web业务正常请求路径特征库的请求参数值类型匹配不匹配,则执行所述S13262;
S13266、若待检测数据包的请求参数值类型与Web业务正常请求路径特征库的请求参数值类型匹配,则确定所述待检测数据包不存在网页木马后门。
若所述待检测数据包存在网页木马后门,则执行所述步骤S1322;
若所述待检测数据包不存在网页木马后门,则执行所述步骤S1325。
S140、当所述处理结果是所述待检测数据包存在网页木马后门,则对所述待检测数据包进行异常告警与阻断。
举个例子:
agent软件在学习时间T内从业务服务器中收集到1000个请求包。去除该1000个请求包的请求头,并统计去除请求头后的请求包的Hash值,同时根据Hash值进行去重,得到业务服务器全部且唯一的请求包Hash数据集合K{K1,K2,……,K800}。根据Hash数据集合K中的每一个Hash值获取其对应的请求包数据,生成业务服务器全部且唯一的请求包数据集合R{R1,R2,……,R800}。
以请求包R1为例,解析后得到R1的特征集合RT1{AT1,(AT1:BT1),(AT1:BT1:CT1),(AT1:BT1:CT1:DT1)}。以此类推,依次统计请求包数据集合R{R1,R2,……,R800}中每一个请求包的特征,最终得到Web业务正常请求路径特征库RT{RT1,RT2,……,RT800}。
将Web业务正常请求路径特征库RT{RT1,RT2,……,RT800}以及上述恶意数据包特征库下发至业务服务器,并通过服务器中安装的agent软件检测数据包。
在本实例中,检测到1个新增数据包S,其数据包内容如下:
GET /servletTest/test?id=Trojan HTTP/1.1;
Host: 127.0.0.1:8080;
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0;
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8;
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2;
Accept-Encoding: gzip, deflate;
Connection: close;
Upgrade-Insecure-Requests: 1;
Sec-Fetch-Dest: document;
Sec-Fetch-Mode: navigate;
Sec-Fetch-Site: none;
Sec-Fetch-User: ?1;
针对该新增的数据包S进行解析,得到新增数据包S的数据如下:
请求头ES为:
Host: 127.0.0.1:8080;
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0;
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8;
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2;
Accept-Encoding: gzip, deflate;
Connection: close;
Upgrade-Insecure-Requests: 1;
Sec-Fetch-Dest: document;
Sec-Fetch-Mode: navigate;
Sec-Fetch-Site: none;
Sec-Fetch-User: ?1;
请求内容WS为:/servletTest/test?id=Trojan。
请求资源后缀KS为:null。
数据包特征RS{AS,(AS:BS),(AS:BS:CS),(AS:BS:CS:DS)}为:{/servletTest/test,(/servletTest/test:GET),(/servletTest/test:GET:id),(/servletTest/test:GET:id:string)}。
通过算法F1{(ES,H)},将新增数据包S的请求头ES与恶意请求头特征库H进行匹配,判定是否存在恶意请求头特征。
在本实例中:
请求头ES
Figure SMS_11
H,则F1{(ES,H)}=1,认为请求头ES不符合恶意请求头特征,则进入步骤S32,即进入算法F2。
在步骤S32中,通过算法F2{WS,(T,Q)},将新增数据包S的请求内容WS与数据包请求内容加密特征库T以及请求包恶意内容特征库Q进行匹配,判定是否存在恶意请求内容。
在本实例中:请求内容WS为/servletTest/test?id=Trojan,即WS
Figure SMS_12
T且WS/>
Figure SMS_13
Q,则F2{WS,(T,Q)}=2,认为该请求内容WS既不存在网页木马后门的加密特征,也不存在请求包恶意内容特征,则进入算法F3。
通过算法F3{(KS,M)},将新增数据包S的请求资源后缀KS与静态资源后缀集合M进行匹配,判定所请求的资源是否为静态资源。
在本实例中:请求资源后缀KS为null,即KS
Figure SMS_14
M,则F3{(KS,M)}=1,认为该数据包请求的资源为非静态资源,则进入算法F4。
通过算法F4{(AS,RT[1])},将新增数据包S的URI与Web业务正常请求路径特征库RT{RT1,RT2,……,RT800}中每一条特征的第一个元素进行匹配,即将新增数据包S的URI与Web业务正常请求路径特征库中的URI进行匹配。
在本实例中:新增数据包S的URI为/servletTest/test,(/servletTest/test)∈RT[1],则F4{(AS,RT[1])}=1,认为新增数据包S的URI(/servletTest/test)与Web业务正常请求路径特征库中的URI相匹配,则进入算法F5。
通过算法F5{(AS:BS),RT[2]},将新增数据包S的请求方式与Web业务正常请求路径特征库RT{RT1,RT2,……,RTn}中每一条特征的第二个元素进行匹配,即在符合Web业务正常请求路径特征库中URI为/servletTest/test的前提下,将新增数据包S的请求方式与Web业务正常请求路径特征库中的请求方式进行匹配。
在本实例中:新增数据包S的请求方式为GET,(/servletTest/test:GET)∈RT[2],则F5{(AS:BS),RT[2]}=1,认为新增数据包S的请求方式(GET)与Web业务正常请求路径特征库中的请求方式相匹配,则进入算法F6。
通过算法F6{(AS:BS:CS),RT[3]},将新增数据包S的请求参数与Web业务正常请求路径特征库RT{RT1,RT2,……,RTn}中每一条特征的第三个元素进行匹配,即在符合Web业务正常请求路径特征库中URI为/servletTest/test和请求方式为GET的前提下,将新增数据包S的请求参数与Web业务正常请求路径特征库中的请求参数进行匹配。
在本实例中:新增数据包S的请求参数为id,(/servletTest/test:GET:id)∈RT[3],则F6{ AS:BS:CS),RT[3]}=1,认为新增数据包S的请求参数(id)与Web业务正常请求路径特征库中的请求参数相匹配,则进入算法F7。
在步骤S54中,通过算法F7{( AS:BS:CS:DS),RT[4]},将新增数据包S的请求参数值类型与Web业务正常请求路径特征库RT{RT1,RT2,……,RTn}中每一条特征的第四个元素进行匹配,即在符合Web业务正常请求路径特征库中URI为/servletTest/test、请求方式为GET且请求参数为id的前提下,将新增数据包S的请求参数值类型与Web业务正常请求路径特征库中的请求参数值类型进行匹配。
在本实例中:新增数据包S的请求参数值类型为string,(/servletTest/test:GET:id:string)
Figure SMS_15
RT[4],则F7{( AS:BS:CS:DS),RT[4]}=0,认为新增数据包S的请求参数值类型string与Web业务正常请求路径特征库中的请求参数值类型不匹配,即存在网页木马后门,从而进行异常处理,拦截或者告警该数据包。
上述的网页木马后门识别方法,通过利用Web业务正常请求路径特征库策略,以恶意数据包特征库为依托,自动化判别业务服务器中的恶意请求包,实现精确判别基于业务行为的网页木马后门。
图6是本发明实施例提供的一种网页木马后门识别系统300的示意性框图。如图6所示,对应于以上网页木马后门识别方法,本发明还提供一种网页木马后门识别系统300。该网页木马后门识别系统300包括用于执行上述网页木马后门识别方法的单元,该装置可以被配置于服务器中。具体地,请参阅图6,该网页木马后门识别系统300包括特征库获取单元301、数据包获取单元302、处理单元303以及告警及阻断单元304。
特征库获取单元301,用于获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库,以得到特征库;数据包获取单元302,用于获取待检测数据包;处理单元303,用于利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配,以得到处理结果;告警及阻断单元304,用于当所述处理结果是所述待检测数据包存在网页木马后门,则对所述待检测数据包进行异常告警与阻断。
在一实施例中,所述处理单元303包括解析子单元以及检测子单元。
解析子单元,用于对所述检测数据包进行解析,以采集所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征;检测子单元,用于利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测,以得到处理结果。
在一实施例中,所述检测子单元包括第一判断模块、第一确定模块、第二判断模块、第三判断模块、第二确定模块以及第四判断模块。
第一判断模块,用于将所述请求头与所述恶意请求头特征库进行匹配,以判断所述待检测数据包是否存在恶意请求头特征;第一确定模块,用于若所述待检测数据包存在恶意请求头特征,则确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;第二判断模块,用于若所述待检测数据包不存在恶意请求头特征,则将所述请求内容与数据包请求内容加密特征库以及请求包恶意内容特征库进行匹配,以判断所述待检测数据包是否存在恶意请求内容特征;若所述待检测数据包存在恶意请求内容特征,则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;第三判断模块,用于若所述待检测数据包不存在恶意请求内容特征,则将所述请求资源后缀与静态资源后缀集合进行匹配,以判断所述待检测数据包是否为静态资源;第二确定模块,用于若所述待检测数据包为静态资源,则确定所述处理结果是所述待检测数据包不存在网页木马后门;第四判断模块,用于若所述待检测数据包为非静态资源,则根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门;若所述待检测数据包存在网页木马后门,则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;若所述待检测数据包不存在网页木马后门,则执行所述确定所述处理结果是所述待检测数据包不存在网页木马后门。
在一实施例中,所述第四判断模块包括:第一匹配子模块、第一确定子模块、第二匹配子模块、第三匹配子模块、第四匹配子模块以及第二确定子模块。
第一匹配子模块,用于将所述数据包特征内的待检测数据包的URI与所述Web业务正常请求路径特征库中的URI进行匹配,以判断所述URI与Web业务正常请求路径特征库的URI是否匹配;第一确定子模块,用于若所述URI与Web业务正常请求路径特征库的URI不匹配,则确定所述待检测数据包存在网页木马后门;第二匹配子模块,用于若所述URI与Web业务正常请求路径特征库的URI匹配,则将所述数据包特征内的待检测数据包的请求方式与所述Web业务正常请求路径特征库中的请求方式进行匹配,以判断待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式是否匹配;若待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式不匹配,则执行所述确定所述待检测数据包存在网页木马后门;第三匹配子模块,用于若待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式匹配,则将所述数据包特征内的待检测数据包的请求参数与所述Web业务正常请求路径特征库中的请求参数进行匹配,以判断待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数是否匹配;若待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数不匹配,则执行所述确定所述待检测数据包存在网页木马后门;第四匹配子模块,用于若待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数匹配,则将所述数据包特征内的待检测数据包的请求参数值类型与所述Web业务正常请求路径特征库中的请求参数值类型进行匹配,以判断待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数是否匹配;若待检测数据包的请求参数值类型与Web业务正常请求路径特征库的请求参数值类型匹配不匹配,则执行所述确定所述待检测数据包存在网页木马后门;第二确定子模块,用于若待检测数据包的请求参数值类型与Web业务正常请求路径特征库的请求参数值类型匹配,则确定所述待检测数据包不存在网页木马后门。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述网页木马后门识别系统300和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述网页木马后门识别系统300可以实现为一种计算机程序的形式,该计算机程序可以在计算机设备上运行。该计算机设备可以是服务器,其中,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.网页木马后门识别方法,其特征在于,包括:
获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库,以得到特征库;
获取待检测数据包;
利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配,以得到处理结果;
当所述处理结果是所述待检测数据包存在网页木马后门,则对所述待检测数据包进行异常告警与阻断。
2.根据权利要求1所述的网页木马后门识别方法,其特征在于,通过agent在学习时间T内收集业务服务器中的请求包,去除所述请求包中的请求头,并统计去除请求头后的请求包的Hash值,对所述Hash值进行去重,生成业务服务器全部且唯一的请求包Hash数据集合,并根据所述请求包Hash数据集合中的每一个Hash值获取对应的请求包数据,生成业务服务器全部且唯一的请求包数据集合;对所述请求包数据集合根据URI、请求方式、请求参数、请求参数值进行解析,生成请求包的特征集合;统计业务服务器全部且唯一的请求包数据集合中每一个请求包的特征,生成所述Web业务正常请求路径特征库。
3.根据权利要求1所述的网页木马后门识别方法,其特征在于,所述静态资源后缀集合是根据静态资源的后缀生成的;所述恶意请求头特征库是通过根据恶意数据包请求头特征生成的;所述数据包请求内容加密特征库是通过根据网页木马后门的加密特征生成的;所述请求包恶意内容特征库是通过根据恶意数据包的请求内容生成的。
4.根据权利要求1所述的网页木马后门识别方法,其特征在于,所述利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配,以得到处理结果,包括:
对所述检测数据包进行解析,以采集所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征;
利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测,以得到处理结果。
5.根据权利要求4所述的网页木马后门识别方法,其特征在于,所述利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测,以得到处理结果,包括:
将所述请求头与所述恶意请求头特征库进行匹配,以判断所述待检测数据包是否存在恶意请求头特征;
若所述待检测数据包存在恶意请求头特征,则确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
若所述待检测数据包不存在恶意请求头特征,则将所述请求内容与数据包请求内容加密特征库以及请求包恶意内容特征库进行匹配,以判断所述待检测数据包是否存在恶意请求内容特征;
若所述待检测数据包存在恶意请求内容特征,则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
若所述待检测数据包不存在恶意请求内容特征,则将所述请求资源后缀与静态资源后缀集合进行匹配,以判断所述待检测数据包是否为静态资源;
若所述待检测数据包为静态资源,则确定所述处理结果是所述待检测数据包不存在网页木马后门;
若所述待检测数据包为非静态资源,则根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门;
若所述待检测数据包存在网页木马后门,则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
若所述待检测数据包不存在网页木马后门,则执行所述确定所述处理结果是所述待检测数据包不存在网页木马后门。
6.根据权利要求5所述的网页木马后门识别方法,其特征在于,所述数据包特征包括待检测数据包的URI、请求方式、请求参数以及请求参数值类型。
7.根据权利要求6所述的网页木马后门识别方法,其特征在于,所述根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门,包括:
将所述数据包特征内的待检测数据包的URI与所述Web业务正常请求路径特征库中的URI进行匹配,以判断所述URI与Web业务正常请求路径特征库的URI是否匹配;
若所述URI与Web业务正常请求路径特征库的URI不匹配,则确定所述待检测数据包存在网页木马后门;
若所述URI与Web业务正常请求路径特征库的URI匹配,则将所述数据包特征内的待检测数据包的请求方式与所述Web业务正常请求路径特征库中的请求方式进行匹配,以判断待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式是否匹配;
若待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式不匹配,则执行所述确定所述待检测数据包存在网页木马后门;
若待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式匹配,则将所述数据包特征内的待检测数据包的请求参数与所述Web业务正常请求路径特征库中的请求参数进行匹配,以判断待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数是否匹配;
若待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数不匹配,则执行所述确定所述待检测数据包存在网页木马后门;
若待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数匹配,则将所述数据包特征内的待检测数据包的请求参数值类型与所述Web业务正常请求路径特征库中的请求参数值类型进行匹配,以判断待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数是否匹配;
若待检测数据包的请求参数值类型与Web业务正常请求路径特征库的请求参数值类型匹配不匹配,则执行所述确定所述待检测数据包存在网页木马后门;
若待检测数据包的请求参数值类型与Web业务正常请求路径特征库的请求参数值类型匹配,则确定所述待检测数据包不存在网页木马后门。
8.网页木马后门识别系统,其特征在于,包括:
特征库获取单元,用于获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库,以得到特征库;
数据包获取单元,用于获取待检测数据包;
处理单元,用于利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配,以得到处理结果;
告警及阻断单元,用于当所述处理结果是所述待检测数据包存在网页木马后门,则对所述待检测数据包进行异常告警与阻断。
9.根据权利要求8所述的网页木马后门识别系统,其特征在于,所述处理单元包括:
解析子单元,用于对所述检测数据包进行解析,以采集所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征;
检测子单元,用于利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测,以得到处理结果。
10.根据权利要求9所述的网页木马后门识别系统,其特征在于,所述检测子单元包括:
第一判断模块,用于将所述请求头与所述恶意请求头特征库进行匹配,以判断所述待检测数据包是否存在恶意请求头特征;
第一确定模块,用于若所述待检测数据包存在恶意请求头特征,则确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
第二判断模块,用于若所述待检测数据包不存在恶意请求头特征,则将所述请求内容与数据包请求内容加密特征库以及请求包恶意内容特征库进行匹配,以判断所述待检测数据包是否存在恶意请求内容特征;若所述待检测数据包存在恶意请求内容特征,则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;
第三判断模块,用于若所述待检测数据包不存在恶意请求内容特征,则将所述请求资源后缀与静态资源后缀集合进行匹配,以判断所述待检测数据包是否为静态资源;
第二确定模块,用于若所述待检测数据包为静态资源,则确定所述处理结果是所述待检测数据包不存在网页木马后门;
第四判断模块,用于若所述待检测数据包为非静态资源,则根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门;若所述待检测数据包存在网页木马后门,则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门;若所述待检测数据包不存在网页木马后门,则执行所述确定所述处理结果是所述待检测数据包不存在网页木马后门。
CN202310541061.8A 2023-05-15 2023-05-15 网页木马后门识别方法及系统 Active CN116260660B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310541061.8A CN116260660B (zh) 2023-05-15 2023-05-15 网页木马后门识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310541061.8A CN116260660B (zh) 2023-05-15 2023-05-15 网页木马后门识别方法及系统

Publications (2)

Publication Number Publication Date
CN116260660A true CN116260660A (zh) 2023-06-13
CN116260660B CN116260660B (zh) 2023-07-25

Family

ID=86682845

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310541061.8A Active CN116260660B (zh) 2023-05-15 2023-05-15 网页木马后门识别方法及系统

Country Status (1)

Country Link
CN (1) CN116260660B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594825A (zh) * 2012-02-22 2012-07-18 北京百度网讯科技有限公司 一种内网木马的检测方法和装置
CN103179105A (zh) * 2012-10-25 2013-06-26 四川省电力公司信息通信公司 一种基于网络流量中行为特征的智能木马检测装置及其方法
WO2016173200A1 (zh) * 2015-04-30 2016-11-03 安一恒通(北京)科技有限公司 用于检测恶意网址的方法和系统
WO2018077035A1 (zh) * 2016-10-31 2018-05-03 腾讯科技(深圳)有限公司 恶意资源地址检测方法和装置、存储介质
CN109379341A (zh) * 2018-09-21 2019-02-22 国网湖南省电力有限公司 一种基于行为分析的反弹型远控木马网络流量检测方法
US20190114420A1 (en) * 2017-10-18 2019-04-18 AO Kaspersky Lab System and method of detecting malicious files using a trained machine learning model

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594825A (zh) * 2012-02-22 2012-07-18 北京百度网讯科技有限公司 一种内网木马的检测方法和装置
CN103179105A (zh) * 2012-10-25 2013-06-26 四川省电力公司信息通信公司 一种基于网络流量中行为特征的智能木马检测装置及其方法
WO2016173200A1 (zh) * 2015-04-30 2016-11-03 安一恒通(北京)科技有限公司 用于检测恶意网址的方法和系统
WO2018077035A1 (zh) * 2016-10-31 2018-05-03 腾讯科技(深圳)有限公司 恶意资源地址检测方法和装置、存储介质
US20190114420A1 (en) * 2017-10-18 2019-04-18 AO Kaspersky Lab System and method of detecting malicious files using a trained machine learning model
CN109379341A (zh) * 2018-09-21 2019-02-22 国网湖南省电力有限公司 一种基于行为分析的反弹型远控木马网络流量检测方法

Also Published As

Publication number Publication date
CN116260660B (zh) 2023-07-25

Similar Documents

Publication Publication Date Title
US10778705B1 (en) Deep-learning-based intrusion detection method, system and computer program for web applications
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US9419996B2 (en) Detection and prevention for malicious threats
CN112003838B (zh) 网络威胁的检测方法、装置、电子装置和存储介质
US9032521B2 (en) Adaptive cyber-security analytics
KR100894331B1 (ko) 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법
KR102225460B1 (ko) 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
US8370942B1 (en) Proactively analyzing binary files from suspicious sources
CN111064745A (zh) 一种基于异常行为探测的自适应反爬方法和系统
US20200134175A1 (en) Chain of events representing an issue based on an enriched representation
Zhang et al. User intention-based traffic dependence analysis for anomaly detection
JPWO2019073557A1 (ja) サンプルデータ生成装置、サンプルデータ生成方法およびサンプルデータ生成プログラム
CN111224928B (zh) 网络攻击行为的预测方法、装置、设备及存储介质
CN114003903A (zh) 一种网络攻击追踪溯源方法及装置
CN114531283B (zh) 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端
EP4111660A1 (en) Cyberattack identification in a network environment
CN112600828B (zh) 基于数据报文的电力控制系统攻击检测防护方法及装置
WO2018143097A1 (ja) 判定装置、判定方法、および、判定プログラム
CN116260660B (zh) 网页木马后门识别方法及系统
KR20070077517A (ko) 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법
Dau et al. A survey of tools and techniques for web attack detection
KR101725670B1 (ko) 웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법
CN113032774B (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
CN114205146A (zh) 一种多源异构安全日志的处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant