[发明专利]基于HTTP流量分析的挂马网站检测方法有效
| 申请号: | 201110146546.4 | 申请日: | 2011-06-02 |
| 公开(公告)号: | CN102158499A | 公开(公告)日: | 2011-08-17 |
| 发明(设计)人: | 张健;杜振华;张津弟;陈建民;曹鹏;王琚;孟彬 | 申请(专利权)人: | 国家计算机病毒应急处理中心 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/56;H04L12/26 |
| 代理公司: | 天津才智专利商标代理有限公司 12108 | 代理人: | 庞学欣 |
| 地址: | 300457 天津市塘沽*** | 国省代码: | 天津;12 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 一种基于HTTP流量分析的挂马网站检测方法。其包括在广域网或局域网中抓取用户HTTP请求、还原HTTP Header、提取Referer域值、对HTTPHeader中的HOST属性和Get路径进行规则特征匹配及输出挂马URL和HTTP访问行为完整路径等阶段。本发明提供挂马网站检测方法可以充分利用客户端(普通用户)自主Web访问行为,通过已知挂马网页获得被挂马网站信息,并且能够比较全面、真实地掌握挂马攻击的影响范围、情况,从而在投入较少情况下,仍然能获得比较好的检测效果,而且可以得到大量线索和数据。还可以与传统的挂马网页检测方法相结合。本检测方法在应用中可以前置,从而为传统的挂马网页检测方法缩小检测范围,但仍能保持较好的召回率。 | ||
| 搜索关键词: | 基于 http 流量 分析 网站 检测 方法 | ||
【主权项】:
一种基于HTTP流量分析的挂马网站检测方法,其特征在于:所述的基于HTTP流量分析的挂马网站检测方法包括按顺序进行的下列步骤:(1)在广域网或局域网中抓取用户HTTP请求的S1阶段:用户HTTP请求是从用户HTTP访问流量缓冲池中得到的;(2)还原HTTP Header的S2阶段:在此阶段中从用户的HTTP请求信息中提取出HTTP协议数据包头信息中的HOST属性和Get请求的路径;(3)对挂马URL进行匹配判断的S3阶段:在此阶段中将上述提取出的HOST属性和Get请求的路径与从挂马URL特征池中获得的已知或可疑挂马URL特征进行匹配判别,如果匹配进入S4阶段,否则返回到S1阶段,继续抓取下一个用户的HTTP请求;(4)提取Referer域值的S4阶段:在此阶段中从HTTP协议数据包头信息中提取出Referer域值;(5)输出挂马URL和HTTP访问行为完整路径的S5阶段:在此阶段中将输出可疑的挂马URL和相关联的HTTP访问行为完整路径,由此即可检测到相应的被挂马网站。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机病毒应急处理中心,未经国家计算机病毒应急处理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201110146546.4/,转载请声明来源钻瓜专利网。
- 上一篇:将手机作为手柄使用的方法
- 下一篇:面向计算机网络链路的智能选路方法
