[发明专利]一种网页后门的取证方法和相关装置

权利要求书

1.一种网页后门的取证方法，其特征在于，包括：

当识别到网页后门流量数据包时，生成安全告警信息并获得网页后门的连接密码和统一资源定位器URL地址；

模拟网页后门管理工具的功能接口，将所述网页后门的连接密码和URL地址进行数据包重组，接管所述网页后门；

若接管所述网页后门成功，模拟所述网页后门管理工具的功能接口发送重组数据包，自动取证受害主机关于网页后门攻击事件的各类关键日志；

若接管所述网页后门失败，确定所述安全告警信息误报。

2.根据权利要求1所述的方法，其特征在于，所述识别到网页后门流量数据包，具体为：

基于深度报文检测DPI设备，利用预置网页后门流量识别策略对各个流量数据包进行报文匹配，若匹配成功，识别到所述网页后门流量数据包。

3.根据权利要求2所述的方法，其特征在于，所述获得网页后门的连接密码，具体为：

基于所述预置网页后门流量识别策略，利用正则匹配方式获得所述网页后门流量数据包中所述网页后门的连接密码。

4.根据权利要求1所述的方法，其特征在于，所述模拟所述网页后门管理工具的功能接口发送重组数据包，自动取证受害主机关于网页后门攻击事件的各类关键日志，具体为：

模拟所述网页后门管理工具的功能接口发送重组数据包，利用预置插件自动取证所述受害主机关于网页后门攻击事件的各类关键日志。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

利用日志分析引擎溯源分析所述各类关键日志。

6.根据权利要求5所述的方法，其特征在于，所述利用日志分析引擎溯源分析所述各类关键日志，包括：

利用所述日志分析引擎确定所述各类关键日志对应的索引；

按照所述索引可视化显示所述各类关键日志。

7.根据权利要求6所述的方法，其特征在于，所述索引包括时间索引或IP地址索引；所述各关键日志包括web日志、系统日志和安全日志。

8.一种网页后门的取证装置，其特征在于，包括：

获得单元，用于当识别到网页后门流量数据包时，生成安全告警信息并获得网页后门的连接密码和统一资源定位器URL地址；

接管单元，用于模拟网页后门管理工具的功能接口，将所述网页后门的连接密码和URL地址进行数据包重组，接管所述网页后门；

取证单元，用于若接管所述网页后门成功，模拟所述网页后门管理工具的功能接口发送重组数据包，自动取证受害主机关于网页后门攻击事件的各类关键日志；

确定单元，用于若接管所述网页后门失败，确定所述安全告警信息误报。

9.一种终端设备，其特征在于，所述终端设备包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行权利要求1-7任一项所述的网页后门的取证方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行权利要求1-7任一项所述的网页后门的取证方法。