基于流量与动态页面特征的WEB弱口令检测方法技术

本发明专利技术涉及一种基于流量与动态页面特征的WEB弱口令检测方法，属于网络安全技术领域，接收流量获取解析出请求报文；对可能包含密码的请求进行特征匹配，命中则进入潜在弱口令队列；对潜在弱口令请求的响应报文进行响应特征匹配；若匹配未命中，抓取页面特征，将页面变化的请求中的密码确认为弱口令。本发明专利技术从流量中获取数据，利用密码特征和弱口令规则筛选包含潜在弱口令的请求，进行特征匹配，结合动态页面特征信息，确认请求中的弱口令，解决了现有技术中采用主动爆破的方式易被拦截封禁的问题，通过被动流量监控增大了检测范围，能够实时检测可能存在的弱口令风险，且无需过长配置时间，执行效率更高，相对主动爆破更安全可靠。相对主动爆破更安全可靠。相对主动爆破更安全可靠。

【技术实现步骤摘要】
基于流量与动态页面特征的WEB弱口令检测方法


[0001]本专利技术涉及一种基于流量与动态页面特征的WEB弱口令检测方法，属于网络安全


技术介绍

[0002]WEB已成为互联网信息传播贡献的最便捷的技术，与此同时也带来了一系列的安全问题。由于WEB后台常常包含大量的用户或企业的隐私数据，一直是黑客的重点攻击对象，其中弱口令攻击是一个最直接有效的攻击方式。
[0003]当客户端请求一个网页时，会先通过http协议将请求的内容封装在http请求报文之中，服务器收到该请求报文后根据协议规范进行报文解析，然后向客户端返回响应报文。
[0004]由于WEB系统的多样性：不同系统的页面元素不同，提交内容不同，返回信息的特征值也不相同，难以用指定的有限的静态特征值来判断登录情况，所以目前的安全人员大多只能通过繁琐的人工测试来进行弱口令的检测。在待测目标较少的情况下，利用人工分析的弊端还不太明显，然而随着资产的增加，管理员常常会面临需要批量检测弱口令的问题，此时若采用人工分析，就会导致效率极其低下且耗时耗力，此时，设计一种通用的弱口令检测算法来代替人工就显得尤为必要。
[0005]现在主要对弱口令识别的技术是采用主动爆破的方式，不断用特征库密码去试错web系统，本质上也属于一种黑客行为，所以很容易被防火墙或其他安全设备软件拦截封禁，不仅执行效率低，由于WEB系统请求入参和返回内容不规则，主动爆破针对范围小且配置过程长，局限性较大。

技术实现思路

[0006]为了解决上述技术问题，本专利技术从流量分析角度出发，提供一种基于流量与动态页面特征的WEB弱口令检测方法，其具体技术方案如下：一种基于流量与动态页面特征的WEB弱口令检测方法，包括以下步骤：步骤1：潜在弱口令筛选：步骤1.1：接收流量进行提取分析，获取TCP/HTTP信息，解析出请求报文，所述请求报文包括payload信息，header信息和referer地址；步骤1.2：对payload信息和referer地址进行分析，寻找有路径关键字或密码参数特征的请求；步骤1.3：针对请求的参数内容进行解析，进行请求特征匹配，若命中特征，进入潜在弱口令队列，并执行步骤2；步骤2：弱口令确认：步骤2.1：获取潜在弱口令的请求，通过referer地址抓取页面，确认登录界面；步骤2.2：找出潜在弱口令的请求对应的响应报文，分析响应报文的内容，在响应特征库进行响应特征匹配，若命中特征，确认该请求中的密码为弱口令，若未命中，执行步
骤2.3；步骤2.3：分析TCP的源IP和目标IP，对设定时间阈值内源IP相同、目标IP相同但referer地址不同的请求，进行页面分析，若请求页面与之前页面不同，且没有错误信息特征，确认该请求中的密码为弱口令。
[0007]进一步的，所述步骤1.3请求特征匹配具体过程为：步骤1.3.1：与密码特征库进行匹配，若命中特征，执行步骤1.3.2，若未命中，排除该请求；步骤1.3.2：进行弱口令规则匹配，若命中，进入潜在弱口令队列。
[0008]进一步的，所述密码参数特征匹配包括对明文密码、based4密码和MD5密码进行参数特征匹配。
[0009]进一步的，所述弱口令规则包括账号密码相同、密码位数少、密码形式构成单一、数字字母组合以及空口令。
[0010]进一步的，所述步骤1还包括步骤1.4：若无法命中弱口令，抓取当前请求的referer地址和页面，监测相同源IP和目标IP的请求，排除页面相同的请求对应的响应。
[0011]进一步的，所述响应特征包括响应消息体和页面关键信息。
[0012]本专利技术的有益效果是：本专利技术通过从流量中获取数据分析，首先通过请求特征数据中的密码特征和弱口令规则筛选潜在弱口令，通过相应特征匹配，结合动态页面特征信息，确认请求中的弱口令完成识别，解决了现有技术中采用主动爆破的方式易被拦截封禁的问题，通过被动流量监控增大了检测范围，能够实时检测可能存在的弱口令风险，且无需过长配置时间，执行效率更高，相对主动爆破更为安全可靠。
附图说明
[0013]图1是本专利技术的流程图。
具体实施方式
[0014]现在结合附图对本专利技术作进一步详细的说明，应理解这些实施例仅用于说明本专利技术而不用于限制本专利技术的范围，在阅读了本专利技术之后，本领域技术人员对本专利技术的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
[0015]如图1所示，按照以下步骤进行WEB弱口令检测：步骤1：潜在弱口令筛选：步骤1.1：接收流量进行提取分析，获取TCP/HTTP信息，解析出请求报文，所述请求报文包括payload信息，header信息和referer地址；其中，payload信息是指有效载荷信息，是数据传输中的实际信息；header指标头，是服务器以HTTP协议传HTML资料到浏览器前所送出的字串；referer是header的一部分，当浏览器向web服务器发送请求的时候，referer是一个来源，比如从Google链接进入Baidu，referer就是Google；步骤1.2：对payload信息和referer地址进行分析，寻找有路径关键字或密码参数特征的请求；需要首先匹配有可能是密码的字段，再对其是否可能为弱口令进行评估，有可能
是密码的字段包括含有路径关键字或密码参数特征的请求；路径关键字中可能包含登录请求的特征，例如http://www.baidu.com/login中，login就是referer地址，属于路径关键字，需要探测该路径请求包含的参数的请求体是否有弱口令风险，例如：Requert payload请求体：{Username:”zhangsan”,Password:”123456”}若不包含路径关键字，则探测请求体中较为敏感的参数名。
[0016]步骤1.3：针对请求的参数内容进行解析，进行请求特征匹配，若命中特征，进入潜在弱口令队列；步骤1.3.1：与密码特征库进行匹配，若命中特征，执行步骤1.3.2，若未命中，排除该请求，密码参数特征匹配包括对明文密码、based4密码和MD5密码进行参数特征匹配；步骤1.3.2：进行弱口令规则匹配，若命中，进入潜在弱口令队列，弱口令规则包括账号密码相同、密码位数少、密码形式构成单一、数字字母组合以及空口令；密码特征代表的是key，弱口令是value，首先确定包含密码特征的请求，例如password：123456中，password是密码特征，123456是弱口令；而在username：123456中123456并不是弱口令，而是一个用户名或者账号。
[0017]步骤2：弱口令确认：步骤2.1：获取潜在弱口令的请求，通过referer地址抓取页面，确认登录界面；步骤2.2：找出潜在弱口令的请求对应的响应报文，分析响应报文的内容，在响应特征库进行响应特征匹配，其中相应特征包括响应消息体和页面关键信息，若命中特征，确认该请求中的密码为弱口令，若未命中，执行步骤2.3；步骤2.3：分析TCP的源IP和目标IP，对设本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于流量与动态页面特征的WEB弱口令检测方法，其特征在于：具体包括以下步骤：步骤1：潜在弱口令筛选：步骤1.1：接收流量进行提取分析，获取TCP/HTTP信息，解析出请求报文，所述请求报文包括payload信息，header信息和referer地址；步骤1.2：对payload信息和referer地址进行分析，寻找有路径关键字或密码参数特征的请求；步骤1.3：针对请求的参数内容进行解析，进行请求特征匹配，若命中特征，进入潜在弱口令队列，并执行步骤2；步骤2：弱口令确认：步骤2.1：获取潜在弱口令的请求，通过referer地址抓取页面，确认登录界面；步骤2.2：找出潜在弱口令的请求对应的响应报文，分析响应报文的内容，在响应特征库进行响应特征匹配，若命中特征，确认该请求中的密码为弱口令，若未命中，执行步骤2.3；步骤2.3：分析TCP的源IP和目标IP，对设定时间阈值内源IP相同、目标IP相同但referer地址不同的请求，进行页面分析，若请求页面与之前页面不同，且没有错误信息特征，确认该请求中的密码为弱口令。2.根据权利要求1所述的基于流量与动...

【专利技术属性】
技术研发人员：陈墨，巫林，彭德平，
申请(专利权)人：江苏开博科技有限公司，
类型：发明
国别省市：