[发明专利]一种网页后门的取证方法和相关装置

说明书

本申请公开了一种网页后门的取证方法和相关装置，该方法包括：在识别到网页后门流量数据包后，生成安全告警信息并获得网页后门的连接密码和URL地址；基于网页后门的连接密码和URL地址，模拟网页后门管理工具的功能接口发送重组数据包，接管网页后门；当接管网页后门成功时，再次模拟网页后门管理工具的功能接口发送重组数据包，自动取证受害主机关于网页后门攻击事件的各类关键日志。该方式通过获得网页后门的连接密码和URL地址，模拟网页后门管理工具的功能接口发送重组数据包，接管网页后门；接管成功表示网页后门有效，无需登录受害主机自动取证受害主机关于网页后门攻击事件的各类关键日志；节省人力和时间，降低人工和时间成本。

技术领域

本申请涉及网页数据处理技术领域，尤其涉及一种网页后门的取证方法和相关装置。

背景技术

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，也可以将其称做为一种网页后门。webshell攻击是常见的用来控制web服务器的攻击方法，因此，针对webshell的检测技术十分重要。

目前，针对webshell的检测技术，常见的检测设备例如网站应用级入侵防御系统（Web Application Firewall，WAF）、入侵检测系统（intrusion detection system，IDS）、深度报文检测（Deep Packet Inspection，DPI）等一般都具备webshell检测能力；则可以基于WAF、IDS、DPI等检测设备采用流量检测模式，识别到网页后门流量数据包，生成安全告警信息，针对该安全告警信息进行网页后门的取证需要依赖于专业安全人员，采用人工取证方式。

发明人经过研究发现，上述人工取证方式是指在专业安全人员登录受害主机的情况下，人工分析排查受害主机的日志数据，取证受害主机关于网页后门攻击事件的各类关键日志；该人工取证方式既需要耗费大量的人力和时间，又增加人工和时间成本，降低网页后门取证效率。

发明内容

有鉴于此，本申请实施例提供一种网页后门的取证方法和相关装置，可自动取证受害主机关于网页后门攻击事件的各类关键日志，节省大量的人力和时间，降低人工和时间成本，提高网页后门取证效率。

第一方面，本申请实施例提供了一种网页后门的取证方法，所述方法包括：

当识别到网页后门流量数据包时，生成安全告警信息并获得网页后门的连接密码和统一资源定位器URL地址；

基于所述网页后门的连接密码和URL地址，模拟网页后门管理工具的功能接口发送重组数据包，接管所述网页后门；

若接管所述网页后门成功，模拟所述网页后门管理工具的功能接口发送重组数据包，自动取证受害主机关于网页后门攻击事件的各类关键日志。

可选的，所述识别到网页后门流量数据包，具体为：

基于深度报文检测DPI设备，利用预置网页后门流量识别策略对各个流量数据包进行报文匹配，若匹配成功，识别到所述网页后门流量数据包。

可选的，所述获得网页后门的连接密码，具体为：

基于所述预置网页后门流量识别策略，利用正则匹配方式获得所述网页后门流量数据包中所述网页后门的连接密码。

可选的，所述基于所述网页后门的连接密码和URL地址，模拟网页后门管理工具的功能接口发送重组数据包，接管所述网页后门，具体为：

模拟所述网页后门管理工具的功能接口，将所述网页后门的连接密码和URL地址进行数据包重组，接管所述网页后门。

可选的，所述模拟所述网页后门管理工具的功能接口发送重组数据包，自动取证受害主机关于网页后门攻击事件的各类关键日志，具体为：