[发明专利]网页后门的检测方法有效
| 申请号: | 201510213230.0 | 申请日: | 2015-04-29 |
| 公开(公告)号: | CN104796426B | 公开(公告)日: | 2018-04-27 |
| 发明(设计)人: | 王娜;王戟 | 申请(专利权)人: | 上海络安信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 上海浦一知识产权代理有限公司31211 | 代理人: | 王江富 |
| 地址: | 201203 上海市浦东新*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 网页 后门 检测 方法 | ||
1.一种网页后门的检测方法,其特征在于,包括以下步骤:
一.读取同一HTTP会话下的数据;
二.该HTTP会话下的数据,如果第一个请求包是GET请求包,则进行步骤三,否则进行步骤八;
三.该HTTP会话下的数据,如果第一个请求包的响应包的内容是登陆框,则进行步骤四,否则进行步骤八;
四.该HTTP会话下的数据,如果第二个请求包是POST请求包,则进行步骤五,否则进行步骤八;
五.该HTTP会话的数据,如果第三个请求包是GET请求包,则进行步骤六,否则进行步骤八;
六.该HTTP会话下的数据,如果第一个、第二个及第三个请求包所请求的页面相同,则进行步骤七;否则进行步骤八;
七.判定该HTTP会话的服务器端目的IP地址及目的端口下,第一个、第二个及第三个请求包所请求的页面,为网页后门,进行步骤八;
八.删除该HTTP会话的数据。
2.根据权利要求1所述的网页后门的检测方法,其特征在于,
步骤七中,还包括输出该网页后门的相关信息;
网页后门的相关信息,包括服务器端目的IP地址、服务器端目的端口、客户端源IP地址及页面。
3.根据权利要求1所述的网页后门的检测方法,其特征在于,
同一HTTP会话下的数据,服务器端目的IP地址、服务器端目的端口及客户端源IP地址均一致。
4.根据权利要求1所述的网页后门的检测方法,其特征在于,
判断第一个请求包的响应包是否为登陆框的方法是:第一个请求包的响应包中<input>文本标签数量必需大于等于二个并且小于等于四个;并且第一个响应包中包含关键字type=submit。
5.根据权利要求1所述的网页后门的检测方法,其特征在于,
网页后门的检测分析模型对应的数据结构为一个二维链表,该二维链表的列是一个同一会话单链表,该二维链表的行是一个固定的状态链表。
6.根据权利要求5所述的网页后门的检测方法,其特征在于,
同一会话单链表的处理流程,包括以下步骤:
(一)循环读取采集模块缓冲区中的原始数据包;
(二)将最新读取的原始数据包和同一会话单链表中的各会话记录做比较,查找是否有相同的会话,也就是同一会话单链表中是否已存在与最新读取的原始数据包的源ip地址、目的ip地址、目的端口相同的会话记录;如果有,则以该已存在会话记录作为当前会话记录,进行步骤(四);如果无,则进行步骤(三);
(三)申请一个新的会话记录节点,以该新的会话记录为当前会话记录并添加到同一会话单链表的尾部,进行步骤(四);新的会话记录的状态为0;
(四)根据当前会话记录的状态,进行相应的状态节点单链表操作。
7.根据权利要求6所述的网页后门的检测方法,其特征在于,
步骤(四)中,根据当前会话记录的状态,进行相应的状态节点单链表操作如下:
(1)如果当前会话记录的状态为0,调用状态节点单链表结构中的是否GET请求函数,判断该最新读取的原始数据包是否为GET请求,如果是GET请求则将当前会话记录的状态转移到1,并为该最新读取的原始数据包申请新的状态节点添加到当前会话记录的状态节点链表尾部;如果不是GET请求,则将该当前会话记录状态链表头节点下的已经申请的状态节点全部释放;
(2)如果当前会话记录的状态为1,此时当前会话记录的第一个请求包是GET请求包的条件成立,调用状态节点单链表结构中的是否登陆框函数,判断该最新读取的原始数据包是否为登陆框,如果是登陆框则将当前会话记录的状态转移到2,并为该最新读取的原始数据包申请新的状态节点添加到当前会话记录的状态节点链表尾部;如果不是登陆框,则将该当前会话记录的状态转移到0,并将该当前会话记录状态链表头节点下的已经申请的状态节点全部释放;
(3)如果当前会话记录的状态为2,此时当前会话记录的第一个GET请求包的响应包的内容是登陆框的条件成立,调用状态节点单链表结构中的是否POST请求函数,判断该最新读取的原始数据包是否为POST请求;如果是POST请求,则将当前会话记录的状态转移到3,并为该最新读取的原始数据包申请新的状态节点添加到当前会话记录的状态节点链表尾部;如果不是POST请求,则将当前会话记录的状态转移到0,并将该当前会话记录状态链表头节点下的已经申请的状态节点全部释放;
(4)如果当前会话记录的状态为3,此时当前会话记录的第二个请求包是POST请求包的条件成立,调用状态节点单链表结构中的是否GET请求函数,判断该最新读取的原始数据包是否为GET请求,如果是GET请求,则将当前会话记录的状态转移到4,并为该最新读取的原始数据包申请新的状态节点添加到当前会话记录的状态节点链表尾部;如果不是GET请求,则将当前会话记录的状态转移到0,并将该当前会话记录状态链表头节点下的已经申请的状态节点全部释放;
(5)如果当前会话记录的状态为4,调用状态节点单链表结构中的是否同一页面函数,判断当前会话记录的状态节点链表中已经申请状态节点的第一个GET请求包、第二个POST请求包、第三个GET请求包所请求的页面是否为同一页面;如果是同一页面,则将当前会话记录的状态转移到5;如果不是同一页面,则将当前会话记录的状态转移到0,并将当前会话记录下的已经申请的状态节点全部释放;
(6)如果当前会话记录的状态为5,判定当前会话记录的第一个GET请求包、第二个POST请求包、第三个GET请求包所请求的页面为网页后门,输出该网页后门的相关信息,并将当前会话记录的状态转移到0,将该当前会话记录状态链表头节点下的已经申请的状态节点全部释放。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海络安信息技术有限公司,未经上海络安信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510213230.0/1.html,转载请声明来源钻瓜专利网。
