本公开实施例公开了一种获取网页木马连接密码的方法、装置、电子设备、及存储介质,方法包括:检测目标网站的服务器与客户端之间的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则;如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族;根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码。本公开实施例的技术方案能够提取网页木马的连接密码。
Methods, devices, electronic devices, and storage media for obtaining web Trojan connection passwords
【技术实现步骤摘要】
获取网页木马连接密码的方法、装置、电子设备、及存储介质
本公开实施例涉及网络安全
,具体涉及一种获取网页木马连接密码的方法、装置、电子设备、及存储介质。
技术介绍
网页木马(Webshell)是黑客所使用的攻击脚本,黑客控制服务器留下后门之后,常借助网页木马对服务器进行持续的访问和升级,网页木马是以asp、php、jsp、cgi等网页文件类型存在的一种命令执行环境,也可以称为一种网页后门。网页木马的功能不仅包括执行shell命令以及代码,也包括查看数据库等操作。部署成功后入侵者便可通过网站端口对WEB服务器获得某种程度上操作的权限等。访问网页木马时会在WEB服务器的日志中留下一些数据提交记录。DPI技术,即DPI(DeepPacketInspection)深度包检测技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。现有的网页木马检测主要通过检测服务器与客户端之间的流量数据,以判断所述流量数据中是否存在具有网页木马特征或网页木马行为特征的可疑数据,但并不能获取网页木马的更进一步的详细信息。
技术实现思路
有鉴于此,本公开实施例提供一种获取网页木马连接密码的方法、装置、电子设备、及存储介质,以获取网页木马的连接密码。本公开实施例的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开实施例的实践而习得。第一方面,本公开实施例提供了一种获取网页木马连接密码的方法,包括:检测目标网站的服务器与客户端之间的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马;如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族;根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码。于一实施例中,所述方法还包括,在抓取命中的PCAP包之后,根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。于一实施例中,在获取所述网页木马的连接密码之后还包括:根据所述访问地址和所述连接密码主动连接所述网页木马;若返回结果表明网络不可达,则确定所述网页木马被删除或无权连接所述网页木马;若返回结果表明所述服务器无法正常提供信息,或者所述服务器无法回应,则确定所述网页木马为误报的网页木马。于一实施例中,在检测目标网站的服务器与客户端之间的流量数据之前还包括:获取多种木马家族的网页木马样本集;对所述网页木马样本集根据文件类型进行聚类分析得到所述网页木马检测规则集;对各文件类型的网页木马样本集分别根据所属家族进行聚类分析得到文件类型、所属家族、以及连接密码的位置信息和编码信息的关联信息。于一实施例中,所述根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息包括:从所述关联信息中查询所述网页木马的文件类型和所属家族对应的位置信息和编码信息。于一实施例中,判断所述流量数据是否命中预定的网页木马检测规则包括:根据所述流量数据中各PCAP包的包头内容是否包含预定语段判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则。于一实施例中,所述检测目标网站的服务器与客户端之间的流量数据包括:通过DPI设备检测目标网站的服务器与客户端之间的流量数据。第二方面,本公开实施例还提供了一种获取网页木马连接密码的装置,包括:规则匹配单元,用于检测目标网站的服务器与客户端之间的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马;所属家族确定单元,用于如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族;连接密码获取单元,用于根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码。于一实施例中,所述装置还包括访问地址获取单元,用于在抓取命中的PCAP包之后,根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。于一实施例中,所述装置还包括验证单元,用于在获取所述网页木马的连接密码之后:根据所述访问地址和所述连接密码主动连接所述网页木马;若返回结果表明网络不可达,则确定所述网页木马被删除或无权连接所述网页木马;若返回结果表明所述服务器无法正常提供信息,或者所述服务器无法回应,则确定所述网页木马为误报的网页木马。于一实施例中,所述装置还包括预分析单元,所述预分析单元包括:样本集获取子单元,用于在检测目标网站的服务器与客户端之间的流量数据之前,获取多种木马家族的网页木马样本集;规则集获取子单元,用于对所述网页木马样本集根据文件类型进行聚类分析得到所述网页木马检测规则集;关联信息获取子单元,用于对各文件类型的网页木马样本集分别根据所属家族进行聚类分析得到文件类型、所属家族、以及连接密码的位置信息和编码信息的关联信息。于一实施例中,所述连接密码获取单元用于:从所述关联信息中查询所述网页木马的文件类型和所属家族对应的位置信息和编码信息。于一实施例中,所述规则匹配单元用于:根据所述流量数据中各PCAP包的包头内容是否包含预定语段判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则。于一实施例中,所述规则匹配单元用于:通过DPI设备检测目标网站的服务器与客户端之间的流量数据。第三方面,本公开实施例还提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一项所述方法的指令。第四方面,本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一项所述方法的步骤。本公开实施例通过检测目标网站的服务器与客户端之间的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中本文档来自技高网...
【技术保护点】
1.一种获取网页木马连接密码的方法,其特征在于,包括:/n检测目标网站的服务器与客户端之间的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马;/n如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族;/n根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码。/n
【技术特征摘要】
1.一种获取网页木马连接密码的方法,其特征在于,包括:
检测目标网站的服务器与客户端之间的流量数据,判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则,所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马;
如果命中则确定检测到网页木马,抓取命中的PCAP包,根据所命中的网页木马检测规则确定所述网页木马的文件类型,以及根据所述PCAP包的数据内容确定所述网页木马的所属家族;
根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息,根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括,在抓取命中的PCAP包之后,根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。
3.根据权利要求2所述的方法,其特征在于,在获取所述网页木马的连接密码之后还包括:
根据所述访问地址和所述连接密码主动连接所述网页木马;
若返回结果表明网络不可达,则确定所述网页木马被删除或无权连接所述网页木马;
若返回结果表明所述服务器无法正常提供信息,或者所述服务器无法回应,则确定所述网页木马为误报的网页木马。
4.根据权利要求1所述的方法,其特征在于,在检测目标网站的服务器与客户端之间的流量数据之前还包括:
获取多种木马家族的网页木马样本集;
对所述网页木马样本集根据文件类型进行聚类分析得到所述网页木马检测规则集;
对各文件类型的网页木马样本集分别根据所属家族进行聚类分析得到文件类型、所属家族、以及连接密码的位置信息和编码信息的关联信息。
5.根据权利要求4所述的方法,其特征在于,所述根据所述网页木马的文件类型和所属家族确定所述网页木马...
【专利技术属性】
技术研发人员:胡付博,周忠义,刘新鹏,张红宝,
申请(专利权)人:恒安嘉新北京科技股份公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。