基于HTTP流量分析的挂马网站检测方法技术

一种基于HTTP流量分析的挂马网站检测方法。其包括在广域网或局域网中抓取用户HTTP请求、还原HTTP?Header、提取Referer域值、对HTTPHeader中的HOST属性和Get路径进行规则特征匹配及输出挂马URL和HTTP访问行为完整路径等阶段。本发明专利技术提供挂马网站检测方法可以充分利用客户端(普通用户)自主Web访问行为，通过已知挂马网页获得被挂马网站信息，并且能够比较全面、真实地掌握挂马攻击的影响范围、情况，从而在投入较少情况下，仍然能获得比较好的检测效果，而且可以得到大量线索和数据。还可以与传统的挂马网页检测方法相结合。本检测方法在应用中可以前置，从而为传统的挂马网页检测方法缩小检测范围，但仍能保持较好的召回率。

【技术实现步骤摘要】

本专利技术涉及计算机
，特别是涉及一种基于HTTP流量分析的挂马网站检测方法。
技术介绍
所谓挂马就是黑客通过各种手段获得网站管理员账号，然后登陆网站后台，通过数据库备份/恢复或者上传漏洞而获得一个webshell。黑客利用获得的webshell可以修改网站页面的内容，向页面中加入恶意转向代码，也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面进行修改。当有人访问被加入恶意代码的页面时，其就会自动地访问被转向的地址或者下载木马病毒。网站被挂马不仅会使自己的网站失去信誉，丢失大量客户，也会让访问网站的普通用户陷入黑客设下的陷阱。目前常用的网页挂马检测方法主要有静态代码分析和动态行为分析两种方法(1)静态代码分析该方法是对可疑网页的源代码进行分析，以获取各引用链接，再对这些链接包含的页面进行分析，从而判断出一个网页是否为被挂马。虽然这种方法的处理速度较高，但面临加密、代码混淆等方式的挑战，因此对未知挂马网页的判别能力较弱。(2)动态行为分析该方法是通过交互性主机蜜罐来诱发挂马网页在蜜罐中完成攻击行为，从而发现被挂马网页。这种方法的优点在于不受代码加密、代码混淆等方式本文档来自技高网...

【技术保护点】
１．一种基于ＨＴＴＰ流量分析的挂马网站检测方法，其特征在于：所述的基于ＨＴＴＰ流量分析的挂马网站检测方法包括按顺序进行的下列步骤：（１）在广域网或局域网中抓取用户ＨＴＴＰ请求的Ｓ１阶段：用户ＨＴＴＰ请求是从用户ＨＴＴＰ访问流量缓冲池中得到的；（２）还原ＨＴＴＰ　Ｈｅａｄｅｒ的Ｓ２阶段：在此阶段中从用户的ＨＴＴＰ请求信息中提取出ＨＴＴＰ协议数据包头信息中的ＨＯＳＴ属性和Ｇｅｔ请求的路径；（３）对挂马ＵＲＬ进行匹配判断的Ｓ３阶段：在此阶段中将上述提取出的ＨＯＳＴ属性和Ｇｅｔ请求的路径与从挂马ＵＲＬ特征池中获得的已知或可疑挂马ＵＲＬ特征进行匹配判别，如果匹配进入Ｓ４阶段，否则返回到Ｓ１阶段，继续抓取...

【技术特征摘要】
1.一种基于HTTP流量分析的挂马网站检测方法，其特征在于所述的基于HTTP流量分析的挂马网站检测方法包括按顺序进行的下列步骤(1)在广域网或局域网中抓取用户HTTP请求的Sl阶段用户HTTP请求是从用户HTTP 访问流量缓冲池中得到的；(2)还原HTTPHeader的S2阶段在此阶段中从用户的HTTP请求信息中提取出HTTP 协议数据包头信息中的HOST属性和Get请求的路径；(3)对挂马URL进行匹配判断的S3阶段在此阶段中将上述提取出的HOST属性和Get 请求的路径与从挂马URL特征池中获得的已知或可疑挂马URL特征进行匹配判别，如果匹配进入S4阶段，否则返回到Sl阶段，继续抓取下一个用户的HTTP请求；(4)提取Referer域值...

【专利技术属性】
技术研发人员：张健，杜振华，张津弟，陈建民，曹鹏，王琚，孟彬，
申请(专利权)人：国家计算机病毒应急处理中心，
类型：发明
国别省市：12