网页后门的检测方法技术

本发明专利技术公开了一种本网页后门的检测方法，如果HTTP一登陆行为都是针对一个页面进行的，并且第一个请求包的响应包的为登陆框，并且请求包的顺序为GET请求,POST请求,GET请求，则判定服务器端该页面为网页后门。本发明专利技术的网页后门的检测方法，能准确的对未知网页后门进行检测，并且不需要花大量时间在完善特征库，节约人力成本。

【技术实现步骤摘要】

本专利技术涉及网络安全技术，特别涉及一种。
技术介绍
网页后门其实就是一段网页代码。由于这些代码都运行在服务器端，攻击者通过 这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通 过渗透，提权获得服务器的控制权。一些网络入侵检测系统能检测出网页后门，但主流还 是基于特征检测，一方面由于特征提取不严格和其他网络正常通信数据匹配导致准确性 不够，另一方面由于无法提取所有特征导致无法检测未知的网页后门。 超文本传输协议（HTTP，HyperText Transfer Protocol)是互联网上应用最为广 泛的一种网络协议，所有的WWW(万维网）文件都必须遵守这个标准。 通常，由HTTP客户端发起一个请求，建立一个到服务器指定端口（默认是80端 口）的TCP连接。HTTP服务器则在那个端口监听客户端发送过来的请求。一旦收到请求， 服务器（向客户端）发回一个状态行（比如"HTTP/1. 1 200 0K")和（响应的）消息，消息 的消息体可能是请求的文件、错误消息、或者其它一些信息。 HTTP协议采用了请求/响应模型。HTTP消息包括客户机向服务器的请求消息和服 务器向客户机的响应消息，这两种类型的消息由一个起始行，一个或者多个头域，一个指示 头域结束的空行和可选的消息体组成。HTTP的头域包括通用头，请求头，响应头和实体头四 个部分。基于HTTP协议的客户/服务器模式的信息交换过程，分为建立连接、发送请求信 息、发送响应信息、关闭连接四个过程。客户端向服务器发送一个请求，请求头包含请求方 法、URL(Uniform Resource Locator,统一资源定位符）、协议版本、以及包含请求修饰符、 客户信息和内容的类似于MIME (Multipurpose Internet Mail Extensions，多用途互联网 邮件扩展类型）的消息结构。服务器以一个状态行作为响应，响应的内容包括消息协议的 版本，成功或者错误编码加上包含服务器信息、实体元信息以及可能的实体内容。 HTTP定义了与服务器交互的不同方法，最基本的方法有4种，分别是GET，POST， PUT，DELETE。一个URL地址用于描述一个网络上的资源，而HTTP中的GET，POST，PUT，DELETE 就对应着对这个资源的查，改，增，删4个操作。在客户机和服务器之间进行请求-响应时， 两种最常被用到的两种HTTP请求方法是GET和POST。根据HTTP规范，GET用于从指定的 资源请求数据，POST用于向指定的资源提交要被处理的数据。
技术实现思路
本专利技术要解决的技术问题是提供一种，能准确的对未知网页 后门进行检测，并且不需要花大量时间在完善特征库，节约人力成本。 为解决上述技术问题，本专利技术提供的，包括以下步骤： - .读取同一 HTTP会话下的数据； 二.该HTTP会话下的数据，如果第一个请求包是GET请求包，则进行步骤三，否则 进行步骤八； 三.该HTTP会话下的数据，如果第一个请求包的响应包的内容是登陆框，则进行 步骤四，否则进行步骤八； 四.该HTTP会话下的数据，如果第二个请求包是POST请求包，则进行步骤五，否 则进行步骤八； 五.该HTTP会话的数据，如果第三个请求包是GET请求包，则进行步骤六，否则进 行步骤八； 六.该HTTP会话下的数据，如果第一个、第二个及第三个请求包所请求的页面相 同，则进行步骤七；否则进行步骤八； 七.判定该HTTP会话的服务器端目的IP地址及目的端口下，第一个、第二个及第 三个请求包所请求的页面，为网页后门，进行步骤八； 八.删除该HTTP会话的数据。 较佳的，步骤七中，并输出该网页后门的相关信息； 网页后门的相关信息，包括服务器端目的IP地址、服务器端目的端口、客户端源 IP地址、页面。 较佳的，同一 HTTP会话下的数据，服务器端目的IP地址、服务器端目的端口及客 户端源IP地址均一致。 4.根据权利要求1所述的，其特征在于， 判断第一个请求包的响应包是否为登陆框的方法是：第一个请求包的响应包中 〈input〉文本标签数量必需大于等于二个并且小于等于四个；并且第一个响应包中包含关 键字 type = submit。 较佳的，网页后门的检测分析模型对应的数据结构为一个二维链表，该二维链表 的列是一个同一会话单链表，该二维链表的行是一个固定的状态链表，C语言代码结构体 如下：【主权项】1. 一种网页后口的检测方法，其特征在于，包括w下步骤： 一. 读取同一HTTP会话下的数据； 二. 该HTTP会话下的数据，如果第一个请求包是GET请求包，则进行步骤S，否则进行 步骤八； S.该HTTP会话下的数据，如果第一个请求包的响应包的内容是登陆框，则进行步骤 四，否则进行步骤八； 四. 该HTTP会话下的数据，如果第二个请求包是POST请求包，则进行步骤五，否则进 行步骤八； 五. 该HTTP会话的数据，如果第S个请求包是GET请求包，则进行步骤六，否则进行步 骤八； 六. 该HTTP会话下的数据，如果第一个、第二个及第S个请求包所请求的页面相同，贝U 进行步骤走；否则进行步骤八； 走.判定该HTTP会话的服务器端目的IP地址及目的端口下，第一个、第二个及第S个 请求包所请求的页面，为网页后口，进行步骤八； 八.删除该HTTP会话的数据。2. 根据权利要求1所述的网页后口的检测方法，其特征在于， 步骤走中，并输出该网页后口的相关信息； 网页后口的相关信息，包括服务器端目的IP地址、服务器端目的端口、客户端源IP地 址、页面。3. 根据权当前第1页1 2 本文档来自技高网...

【技术保护点】
一种网页后门的检测方法，其特征在于，包括以下步骤：一.读取同一HTTP会话下的数据；二.该HTTP会话下的数据，如果第一个请求包是GET请求包，则进行步骤三，否则进行步骤八；三.该HTTP会话下的数据，如果第一个请求包的响应包的内容是登陆框，则进行步骤四，否则进行步骤八；四.该HTTP会话下的数据，如果第二个请求包是POST请求包，则进行步骤五，否则进行步骤八；五.该HTTP会话的数据，如果第三个请求包是GET请求包，则进行步骤六，否则进行步骤八；六.该HTTP会话下的数据，如果第一个、第二个及第三个请求包所请求的页面相同，则进行步骤七；否则进行步骤八；七.判定该HTTP会话的服务器端目的IP地址及目的端口下，第一个、第二个及第三个请求包所请求的页面，为网页后门，进行步骤八；八.删除该HTTP会话的数据。

【技术特征摘要】

【专利技术属性】
技术研发人员：王娜，王戟，
申请(专利权)人：上海络安信息技术有限公司，
类型：发明
国别省市：上海;31