[发明专利]获取网页木马连接密码的方法、装置、电子设备、及存储介质

权利要求书

1.一种获取网页木马连接密码的方法，其特征在于，包括：

检测目标网站的服务器与客户端之间的流量数据，判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则，所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马；

如果命中则确定检测到网页木马，抓取命中的PCAP包，根据所命中的网页木马检测规则确定所述网页木马的文件类型，以及根据所述PCAP包的数据内容确定所述网页木马的所属家族；

根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息，根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码；

在检测目标网站的服务器与客户端之间的流量数据之前还包括：

获取多种木马家族的网页木马样本集；

对所述网页木马样本集根据文件类型进行聚类分析得到所述网页木马检测规则集；

对各文件类型的网页木马样本集分别根据所属家族进行聚类分析得到文件类型、所属家族、以及连接密码的位置信息和编码信息的关联信息。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括，在抓取命中的PCAP包之后，根据所述PCAP包的HOST字段的内容和URL字段的内容获取所述网页木马的访问地址。

3.根据权利要求2所述的方法，其特征在于，在获取所述网页木马的连接密码之后还包括：

根据所述访问地址和所述连接密码主动连接所述网页木马；

若返回结果表明网络不可达，则确定所述网页木马被删除或无权连接所述网页木马；

若返回结果表明所述服务器无法正常提供信息，或者所述服务器无法回应，则确定所述网页木马为误报的网页木马。

4.根据权利要求1所述的方法，其特征在于，所述根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息包括：

从所述关联信息中查询所述网页木马的文件类型和所属家族对应的位置信息和编码信息。

5.根据权利要求1所述的方法，其特征在于，判断所述流量数据是否命中预定的网页木马检测规则包括：

根据所述流量数据中各PCAP包的包头内容是否包含预定语段判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则。

6.根据权利要求1所述的方法，其特征在于，所述检测目标网站的服务器与客户端之间的流量数据包括：

通过DPI设备检测目标网站的服务器与客户端之间的流量数据。

7.一种获取网页木马连接密码的装置，其特征在于，包括：

规则匹配单元，用于检测目标网站的服务器与客户端之间的流量数据，判断所述流量数据是否命中预定的网页木马检测规则集中的网页木马检测规则，所述网页木马检测规则集中各网页木马检测规则分别用于识别一种文件类型的网页木马；

所属家族确定单元，用于如果命中则确定检测到网页木马，抓取命中的PCAP包，根据所命中的网页木马检测规则确定所述网页木马的文件类型，以及根据所述PCAP包的数据内容确定所述网页木马的所属家族；

连接密码获取单元，用于根据所述网页木马的文件类型和所属家族确定所述网页木马的连接密码的位置信息和编码信息，根据所述PCAP包、所述位置信息和所述编码信息获取所述网页木马的连接密码；

所述装置还包括预分析单元，所述预分析单元包括：

样本集获取子单元，用于在检测目标网站的服务器与客户端之间的流量数据之前，获取多种木马家族的网页木马样本集；

规则集获取子单元，用于对所述网页木马样本集根据文件类型进行聚类分析得到所述网页木马检测规则集；

关联信息获取子单元，用于对各文件类型的网页木马样本集分别根据所属家族进行聚类分析得到文件类型、所属家族、以及连接密码的位置信息和编码信息的关联信息。