[发明专利]服务器后门流量检测方法、装置、电子设备及存储介质

说明书

本申请公开了一种服务器后门流量检测方法、装置、电子设备及计算机可读存储介质，该方法包括：检测待检测流量中是否存在密钥字符串；若存在密钥字符串，则基于密钥字符串确定目标流量；目标流量为待检测流量对应的后续网络行为所属的网络流量；判断目标流量是否为目标格式；若目标流量为目标格式，则确定待检测流量为服务器后门流量；该方法不需要利用密钥对待检测流量进行解密并分析，通过目标流量的格式即可判断待检测流量是否为服务器后门流量，因此降低了对设备计算性能的要求，同时减少了计算性能的消耗，防止对其他业务造成影响；同时提高了对服务器后门流量的检测能力，解决了相关技术对服务器后门流量检出能力差的问题。

技术领域

本申请涉及网络安全技术领域，特别涉及一种服务器后门流量检测方法、服务器后门流量检测装置、电子设备及计算机可读存储介质。

背景技术

服务器后门，是一种攻击者用于控制网站服务器的恶意文件，攻击者可以在网站服务器上上传服务器后门，通过该服务器后门即可任意控制服务器，达到其窃取财产或业务信息等目的。为了对服务器后门流量进行检测，相关技术通常需要获取秘钥，并使用秘钥对数据包进行解密，还原出原始数据，利用原始数据来确认其是否为服务器后门通讯流量(即服务器后门流量)。然而，解密数据包并对其进行分析需要消耗较多的计算资源，对计算性能有较高要求，同时会消耗大量的计算资源，影响其他业务的进行。

发明内容

有鉴于此，本申请的目的在于提供一种服务器后门流量检测方法、服务器后门流量检测装置、电子设备及计算机可读存储介质，提高了对后门流量的检测能力，降低服务器后门流量检测时对计算资源的消耗。

为解决上述技术问题，本申请提供了一种服务器后门流量检测方法，具体包括：

检测待检测流量中是否存在密钥字符串；

若存在所述密钥字符串，则基于所述密钥字符串确定目标流量；所述目标流量为所述待检测流量对应的后续网络行为所属的网络流量；

判断所述目标流量是否为目标格式；

若所述目标流量为所述目标格式，则确定所述待检测流量为服务器后门流量。

可选地，所述检测待检测流量中是否存在密钥字符串，包括：

获取所述待检测流量；

对所述待检测流量进行密钥检测，判断是否存在密钥字符串。

可选地，所述对所述待检测流量进行密钥检测，判断是否存在密钥字符串，包括：

从所述待检测流量中提取响应数据包，并提取所述响应数据包对应的差异字符串；

判断所述差异字符串的字符串长度是否为预设字符串长度；

若所述字符串长度为所述预设字符串长度，则确定所述差异字符串为所述密钥字符串，存在所述密钥字符串。

可选地，在判断所述差异字符串的字符串长度是否为预设字符串长度之前，还包括：

判断所述差异字符串是否包括非预设字符；

若包括所述非预设字符，则确定所述差异字符串不是所述密钥字符串；

若不包括所述非预设字符，则判断所述差异字符串的字符串长度是否为预设字符串长度。

可选地，所述获取待检测流量，包括：

获取初始流量，并在所述初始流量中确定初始数据包；

判断所述初始数据包是否具备目标属性；

若具有所述目标属性，则确定所述初始流量为所述待检测流量；

若不具有所述目标属性，则确定所述初始流量为正常流量。