网页木马后门识别方法及系统技术方案

本发明专利技术公开了网页木马后门识别方法及系统，网页木马后门识别方法包括：获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库，以得到特征库；获取待检测数据包；利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配，以得到处理结果；当所述处理结果是所述待检测数据包存在网页木马后门，则对所述待检测数据包进行异常告警与阻断。通过实施本发明专利技术实施例的方法可实现精确判别基于业务行为的网页木马后门。为的网页木马后门。为的网页木马后门。

【技术实现步骤摘要】
网页木马后门识别方法及系统


[0001]本专利技术涉及计算机，更具体地说是指网页木马后门识别方法及系统。

技术介绍

[0002]网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
[0003]传统的网页木马后门检测识别，仅基于已知恶意行为特征库，由已知恶意特征库基于自身的相关规则特征和行为判定来确认当前权限提升行为是否正常，是否存在风险性。由于其依赖于自有的相关匹配规则或策略，导致在安全问题上往往出现大量误报、漏报，并在情报更新和威胁嗅探上往往囿于劣势；同时，由于其安全判定基于规则黑名单，而规则黑名单往往又是已知威胁的整理集合，导致目前传统网页木马后门检测规则长期停留在“事后诸葛亮”的状态，即只有相关问题已大规模爆发，其特征已知后方能更新相关安全策略，从而对其进行相关检出和告警。综上所述，当前的网页木马后门检测识别方法无法有效识别多变的网页木马后门。

技术实现思路

[0004]为了解决上述问题，本专利技术提供了一种网页木马后门识别方法，实现有效识别多变的网页木马后门。
[0005]为实现上述目的，本专利技术采用以下技术方案：网页木马后门识别方法，包括：获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库，以得到特征库；获取待检测数据包；利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配，以得到处理结果；当所述处理结果是所述待检测数据包存在网页木马后门，则对所述待检测数据包进行异常告警与阻断。
[0006]作为优选，通过agent在学习时间T内收集业务服务器中的请求包，去除所述请求包中的请求头，并统计去除请求头后的请求包的Hash值，对所述Hash值进行去重，生成业务服务器全部且唯一的请求包Hash数据集合，并根据所述请求包Hash数据集合中的每一个Hash值获取对应的请求包数据，生成业务服务器全部且唯一的请求包数据集合；对所述请求包数据集合根据URI、请求方式、请求参数、请求参数值进行解析，生成请求包的特征集合；统计业务服务器全部且唯一的请求包数据集合中每一个请求包的特征，生成所述Web业务正常请求路径特征库。
[0007]作为优选，所述静态资源后缀集合是根据静态资源的后缀生成的；所述恶意请求头特征库是通过根据恶意数据包请求头特征生成的；所述数据包请求内容加密特征库是通
过根据网页木马后门的加密特征生成的；所述请求包恶意内容特征库是通过根据恶意数据包的请求内容生成的。
[0008]作为优选，所述利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配，以得到处理结果，包括：对所述检测数据包进行解析，以采集所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征；利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测，以得到处理结果。
[0009]作为优选，所述利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测，以得到处理结果，包括：将所述请求头与所述恶意请求头特征库进行匹配，以判断所述待检测数据包是否存在恶意请求头特征；若所述待检测数据包存在恶意请求头特征，则确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；若所述待检测数据包不存在恶意请求头特征，则将所述请求内容与数据包请求内容加密特征库以及请求包恶意内容特征库进行匹配，以判断所述待检测数据包是否存在恶意请求内容特征；若所述待检测数据包存在恶意请求内容特征，则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；若所述待检测数据包不存在恶意请求内容特征，则将所述请求资源后缀与静态资源后缀集合进行匹配，以判断所述待检测数据包是否为静态资源；若所述待检测数据包为静态资源，则确定所述处理结果是所述待检测数据包不存在网页木马后门；若所述待检测数据包为非静态资源，则根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门；若所述待检测数据包存在网页木马后门，则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；若所述待检测数据包不存在网页木马后门，则执行所述确定所述处理结果是所述待检测数据包不存在网页木马后门。
[0010]作为优选，所述数据包特征包括待检测数据包的URI、请求方式、请求参数以及请求参数值类型。
[0011]作为优选，所述根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门，包括：将所述数据包特征内的待检测数据包的URI与所述Web业务正常请求路径特征库中的URI进行匹配，以判断所述URI与Web业务正常请求路径特征库的URI是否匹配；若所述URI与Web业务正常请求路径特征库的URI不匹配，则确定所述待检测数据包存在网页木马后门；若所述URI与Web业务正常请求路径特征库的URI匹配，则将所述数据包特征内的待检测数据包的请求方式与所述Web业务正常请求路径特征库中的请求方式进行匹配，以
判断待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式是否匹配；若待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式不匹配，则执行所述确定所述待检测数据包存在网页木马后门；若待检测数据包的请求方式与Web业务正常请求路径特征库的请求方式匹配，则将所述数据包特征内的待检测数据包的请求参数与所述Web业务正常请求路径特征库中的请求参数进行匹配，以判断待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数是否匹配；若待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数不匹配，则执行所述确定所述待检测数据包存在网页木马后门；若待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数匹配，则将所述数据包特征内的待检测数据包的请求参数值类型与所述Web业务正常请求路径特征库中的请求参数值类型进行匹配，以判断待检测数据包的请求参数与Web业务正常请求路径特征库的请求参数是否匹配；若待检测数据包的请求参数值类型与Web业务正常请求路径特征库的请求参数值类型匹配不匹配，则执行所述确定所述待检测数据包存在网页木马后门；若待检测数据包的请求参数值类型与Web业务正常请求路径特征库的请求参数值类型匹配，则确定所述待检测数据包不存在网页木马后门。
[0012]本专利技术还提供了网页木马后门识别系统，包括：特征库获取单元，用于获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库，以得到特征库；数据包获取单元，用于获取待检测数据包；处理单元，用于利用所述特征库对本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.网页木马后门识别方法，其特征在于，包括：获取由业务服务器学习所得的Web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库，以得到特征库；获取待检测数据包；利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配，以得到处理结果；当所述处理结果是所述待检测数据包存在网页木马后门，则对所述待检测数据包进行异常告警与阻断。2.根据权利要求1所述的网页木马后门识别方法，其特征在于，通过agent在学习时间T内收集业务服务器中的请求包，去除所述请求包中的请求头，并统计去除请求头后的请求包的Hash值，对所述Hash值进行去重，生成业务服务器全部且唯一的请求包Hash数据集合，并根据所述请求包Hash数据集合中的每一个Hash值获取对应的请求包数据，生成业务服务器全部且唯一的请求包数据集合；对所述请求包数据集合根据URI、请求方式、请求参数、请求参数值进行解析，生成请求包的特征集合；统计业务服务器全部且唯一的请求包数据集合中每一个请求包的特征，生成所述Web业务正常请求路径特征库。3.根据权利要求1所述的网页木马后门识别方法，其特征在于，所述静态资源后缀集合是根据静态资源的后缀生成的；所述恶意请求头特征库是通过根据恶意数据包请求头特征生成的；所述数据包请求内容加密特征库是通过根据网页木马后门的加密特征生成的；所述请求包恶意内容特征库是通过根据恶意数据包的请求内容生成的。4.根据权利要求1所述的网页木马后门识别方法，其特征在于，所述利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及Web业务正常请求路径特征库的匹配，以得到处理结果，包括：对所述检测数据包进行解析，以采集所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征；利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测，以得到处理结果。5.根据权利要求4所述的网页木马后门识别方法，其特征在于，所述利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测，以得到处理结果，包括：将所述请求头与所述恶意请求头特征库进行匹配，以判断所述待检测数据包是否存在恶意请求头特征；若所述待检测数据包存在恶意请求头特征，则确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；若所述待检测数据包不存在恶意请求头特征，则将所述请求内容与数据包请求内容加密特征库以及请求包恶意内容特征库进行匹配，以判断所述待检测数据包是否存在恶意请求内容特征；若所述待检测数据包存在恶意请求内容特征，则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；若所述待检测数据包不存在恶意请求内容特征，则将所述请求资源后缀与静态资源后
缀集合进行匹配，以判断所述待检测数据包是否为静态资源；若所述待检测数据包为静态资源，则确定所述处理结果是所述待检测数据包不存在网页木马后门；若所述待检测数据包为非静态资源，则根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门；若所述待检测数据包存在网页木马后门，则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；若所述待检测数据包不存在网页木马后门，则执行所述确定所述处理结果是所述待检测数据包不存在网页木马后门。6.根据权利要求5所述的网页木马后门识别方法，其特征在于，所述数据包特征包括待检测数据包的URI、请求方式、请求参数以及请求参数值类型。7.根据权利要求6所述的网页木马后门识别方法，其特征在于，所述根据所述数据包特征结合所述Web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门，包括：将所述数据包特征内的待检测数据包的URI与所述Web业务正常请求路径特征库中的URI进行匹配，以判断所述URI与Web业务正常请求路径特征库的URI是否匹配；若所述URI与W...

【专利技术属性】
技术研发人员：柳遵梁，王月兵，毛菲，周杰，闻建霞，覃锦端，刘聪，
申请(专利权)人：杭州美创科技股份有限公司，
类型：发明
国别省市：