[发明专利]一种应用于检测黑客服务器的检测方法、装置及系统

权利要求书

1.一种应用于检测黑客服务器的检测方法，其特征在于，包括：

获取应答数据包以组装成数据流；

提取所述数据流中的特征字段，所述数据流中的特征字段包括：标题、 表单名、表单目标页；

判断所提取的数据流的特征字段的标题是否存储于数据库中；

当所提取的数据流的特征字段的标题存储于数据库中时，若所述数据 流中的所述标题对应的表单名与所述数据库存储的所述标题对应的表单 名不一致，则判断所述数据流对应的应答数据包为黑客服务器发送的应答数 据包，所述数据库中存储的特征字段为非黑客服务器的网页的特征字段；

当所提取的数据流的特征字段的标题没有存储于数据库中时，则提醒 所述用户终端所述数据流的特征字段没有存储于所述数据库，并提醒所述 用户终端是否将所述数据流的特征字段存储于所述数据库；

若判断为黑客服务器发送的应答数据包，则中断与所述黑客服务器的连 接。

2.根据权利要求1所述的检测方法，其特征在于，所述获取应答数据包 以组装成数据流的步骤包括：

获取所接收的数据包中的所述应答数据包，所述应答数据包为 HTTP/1.1 200OK数据包，所述数据流为HTML数据流；

过滤出具有相同五元组的所述应答数据包，所述五元组为源IP，目的 IP，源端口，目的端口，协议类型；

判断是否停止获取所述应答数据包；

当判断停止获取所述应答数据包时，将所述应答数据包组装所述数据 流。

3.根据权利要求2所述的检测方法，其特征在于，判断是否停止获取 所述应答数据包的步骤包括：

通过判断过滤出的具有相同五元组的应答数据包中是否有</html>或 者</HTML>字符串来判断是否停止获取所述应答数据包；

若判断过滤出的应答数据包中有</html>或者</HTML>字符串，则判断 停止获取所述应答数据包。

4.根据权利要求1所述的检测方法，其特征在于，还包括：

当所提取的数据流的特征字段的标题存储于数据库中时，若所述数据 流中的所述标题对应的表单名与所述数据库存储的所述标题对应的表单 名一致，则判断所述数据流中的所述标题对应的表单目标页与所述数据库 存储的所述标题对应的表单目标页是否一致；

若判断所述表单目标页不一致，则判断所述数据流对应的应答数据包 为黑客服务器发送的应答数据包；

若判断所述表单目标页一致，则判断所述数据流对应的应答数据包为非 黑客服务器发送的应答数据包。

5.一种应用于检测黑客服务器的检测装置，其特征在于，包括：

组装模块，用于将接收的应答数据包组装成数据流；

提取模块，用于提取所述数据流中的特征字段，所述数据流中的特征字 段包括：标题、表单名、表单目标页；

判断模块，用于判断所提取的数据流的特征字段的标题是否存储于数据 库中，当所提取的数据流的特征字段的标题存储于数据库中时，若所述数 据流中的所述标题对应的表单名与所述数据库存储的所述标题对应的表 单名不一致，则判断所述数据流对应的应答数据包为黑客服务器发送的应答 数据包，所述数据库中存储的特征字段为非黑客服务器的网页的特征字段；

管理模块，用于当判断为黑客服务器发送的应答数据包时，中断用户终 端与所述黑客服务器的连接；

所述判断模块还用于当所述标题没有存储于所述数据库时，通知管理 模块提醒所述用户终端所述数据流的特征字段没有存储于所述数据库，并 提醒所述用户终端是否将所述数据流的特征字段存储于所述数据库。