网页木马后门识别方法及系统与流程

本发明涉及计算机，更具体地说是指网页木马后门识别方法及系统。

背景技术：

1、网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。

2、传统的网页木马后门检测识别，仅基于已知恶意行为特征库，由已知恶意特征库基于自身的相关规则特征和行为判定来确认当前权限提升行为是否正常，是否存在风险性。由于其依赖于自有的相关匹配规则或策略，导致在安全问题上往往出现大量误报、漏报，并在情报更新和威胁嗅探上往往囿于劣势；同时，由于其安全判定基于规则黑名单，而规则黑名单往往又是已知威胁的整理集合，导致目前传统网页木马后门检测规则长期停留在“事后诸葛亮”的状态，即只有相关问题已大规模爆发，其特征已知后方能更新相关安全策略，从而对其进行相关检出和告警。综上所述，当前的网页木马后门检测识别方法无法有效识别多变的网页木马后门。

技术实现思路

1、为了解决上述问题，本发明提供了一种网页木马后门识别方法，实现有效识别多变的网页木马后门。

2、为实现上述目的，本发明采用以下技术方案：网页木马后门识别方法，包括：

3、获取由业务服务器学习所得的web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库，以得到特征库；

4、获取待检测数据包；

5、利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及web业务正常请求路径特征库的匹配，以得到处理结果；

6、当所述处理结果是所述待检测数据包存在网页木马后门，则对所述待检测数据包进行异常告警与阻断。

7、作为优选，通过agent在学习时间t内收集业务服务器中的请求包，去除所述请求包中的请求头，并统计去除请求头后的请求包的hash值，对所述hash值进行去重，生成业务服务器全部且唯一的请求包hash数据集合，并根据所述请求包hash数据集合中的每一个hash值获取对应的请求包数据，生成业务服务器全部且唯一的请求包数据集合；对所述请求包数据集合根据uri、请求方式、请求参数、请求参数值进行解析，生成请求包的特征集合；统计业务服务器全部且唯一的请求包数据集合中每一个请求包的特征，生成所述web业务正常请求路径特征库。

8、作为优选，所述静态资源后缀集合是根据静态资源的后缀生成的；所述恶意请求头特征库是通过根据恶意数据包请求头特征生成的；所述数据包请求内容加密特征库是通过根据网页木马后门的加密特征生成的；所述请求包恶意内容特征库是通过根据恶意数据包的请求内容生成的。

9、作为优选，所述利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及web业务正常请求路径特征库的匹配，以得到处理结果，包括：

10、对所述检测数据包进行解析，以采集所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征；

11、利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测，以得到处理结果。

12、作为优选，所述利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测，以得到处理结果，包括：

13、将所述请求头与所述恶意请求头特征库进行匹配，以判断所述待检测数据包是否存在恶意请求头特征；

14、若所述待检测数据包存在恶意请求头特征，则确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；

15、若所述待检测数据包不存在恶意请求头特征，则将所述请求内容与数据包请求内容加密特征库以及请求包恶意内容特征库进行匹配，以判断所述待检测数据包是否存在恶意请求内容特征；

16、若所述待检测数据包存在恶意请求内容特征，则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；

17、若所述待检测数据包不存在恶意请求内容特征，则将所述请求资源后缀与静态资源后缀集合进行匹配，以判断所述待检测数据包是否为静态资源；

18、若所述待检测数据包为静态资源，则确定所述处理结果是所述待检测数据包不存在网页木马后门；

19、若所述待检测数据包为非静态资源，则根据所述数据包特征结合所述web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门；

20、若所述待检测数据包存在网页木马后门，则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；

21、若所述待检测数据包不存在网页木马后门，则执行所述确定所述处理结果是所述待检测数据包不存在网页木马后门。

22、作为优选，所述数据包特征包括待检测数据包的uri、请求方式、请求参数以及请求参数值类型。

23、作为优选，所述根据所述数据包特征结合所述web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门，包括：

24、将所述数据包特征内的待检测数据包的uri与所述web业务正常请求路径特征库中的uri进行匹配，以判断所述uri与web业务正常请求路径特征库的uri是否匹配；

25、若所述uri与web业务正常请求路径特征库的uri不匹配，则确定所述待检测数据包存在网页木马后门；

26、若所述uri与web业务正常请求路径特征库的uri匹配，则将所述数据包特征内的待检测数据包的请求方式与所述web业务正常请求路径特征库中的请求方式进行匹配，以判断待检测数据包的请求方式与web业务正常请求路径特征库的请求方式是否匹配；

27、若待检测数据包的请求方式与web业务正常请求路径特征库的请求方式不匹配，则执行所述确定所述待检测数据包存在网页木马后门；

28、若待检测数据包的请求方式与web业务正常请求路径特征库的请求方式匹配，则将所述数据包特征内的待检测数据包的请求参数与所述web业务正常请求路径特征库中的请求参数进行匹配，以判断待检测数据包的请求参数与web业务正常请求路径特征库的请求参数是否匹配；

29、若待检测数据包的请求参数与web业务正常请求路径特征库的请求参数不匹配，则执行所述确定所述待检测数据包存在网页木马后门；

30、若待检测数据包的请求参数与web业务正常请求路径特征库的请求参数匹配，则将所述数据包特征内的待检测数据包的请求参数值类型与所述web业务正常请求路径特征库中的请求参数值类型进行匹配，以判断待检测数据包的请求参数与web业务正常请求路径特征库的请求参数是否匹配；

31、若待检测数据包的请求参数值类型与web业务正常请求路径特征库的请求参数值类型匹配不匹配，则执行所述确定所述待检测数据包存在网页木马后门；

32、若待检测数据包的请求参数值类型与web业务正常请求路径特征库的请求参数值类型匹配，则确定所述待检测数据包不存在网页木马后门。

33、本发明还提供了网页木马后门识别系统，包括：

34、特征库获取单元，用于获取由业务服务器学习所得的web业务正常请求路径特征库、静态资源后缀集合、恶意请求头特征库、数据包请求内容加密特征库、请求包恶意内容特征库，以得到特征库；

35、数据包获取单元，用于获取待检测数据包；

36、处理单元，用于利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及web业务正常请求路径特征库的匹配，以得到处理结果；

37、告警及阻断单元，用于当所述处理结果是所述待检测数据包存在网页木马后门，则对所述待检测数据包进行异常告警与阻断。

38、作为优选，所述处理单元包括：

39、解析子单元，用于对所述检测数据包进行解析，以采集所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征；

40、检测子单元，用于利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测，以得到处理结果。

41、作为优选，所述检测子单元包括：

42、第一判断模块，用于将所述请求头与所述恶意请求头特征库进行匹配，以判断所述待检测数据包是否存在恶意请求头特征；

43、第一确定模块，用于若所述待检测数据包存在恶意请求头特征，则确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；

44、第二判断模块，用于若所述待检测数据包不存在恶意请求头特征，则将所述请求内容与数据包请求内容加密特征库以及请求包恶意内容特征库进行匹配，以判断所述待检测数据包是否存在恶意请求内容特征；若所述待检测数据包存在恶意请求内容特征，则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；

45、第三判断模块，用于若所述待检测数据包不存在恶意请求内容特征，则将所述请求资源后缀与静态资源后缀集合进行匹配，以判断所述待检测数据包是否为静态资源；

46、第二确定模块，用于若所述待检测数据包为静态资源，则确定所述处理结果是所述待检测数据包不存在网页木马后门；

47、第四判断模块，用于若所述待检测数据包为非静态资源，则根据所述数据包特征结合所述web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门；若所述待检测数据包存在网页木马后门，则执行所述确定所述处理结果为所述处理结果是所述待检测数据包存在网页木马后门；若所述待检测数据包不存在网页木马后门，则执行所述确定所述处理结果是所述待检测数据包不存在网页木马后门。

48、与现有技术相比，本发明的有益效果体现在：

49、本发明通过利用web业务正常请求路径特征库策略，以恶意数据包特征库为依托，自动化判别业务服务器中的恶意请求包，实现精确判别基于业务行为的网页木马后门。