1.网页木马后门识别方法,其特征在于,包括:
2.根据权利要求1所述的网页木马后门识别方法,其特征在于,通过agent在学习时间t内收集业务服务器中的请求包,去除所述请求包中的请求头,并统计去除请求头后的请求包的hash值,对所述hash值进行去重,生成业务服务器全部且唯一的请求包hash数据集合,并根据所述请求包hash数据集合中的每一个hash值获取对应的请求包数据,生成业务服务器全部且唯一的请求包数据集合;对所述请求包数据集合根据uri、请求方式、请求参数、请求参数值进行解析,生成请求包的特征集合;统计业务服务器全部且唯一的请求包数据集合中每一个请求包的特征,生成所述web业务正常请求路径特征库。
3.根据权利要求1所述的网页木马后门识别方法,其特征在于,所述静态资源后缀集合是根据静态资源的后缀生成的;所述恶意请求头特征库是通过根据恶意数据包请求头特征生成的;所述数据包请求内容加密特征库是通过根据网页木马后门的加密特征生成的;所述请求包恶意内容特征库是通过根据恶意数据包的请求内容生成的。
4.根据权利要求1所述的网页木马后门识别方法,其特征在于,所述利用所述特征库对所述待检测数据包进行恶意数据包特征、静态资源的判断以及web业务正常请求路径特征库的匹配,以得到处理结果,包括:
5.根据权利要求4所述的网页木马后门识别方法,其特征在于,所述利用所述特征库对所述检测数据包中的请求头、请求内容、请求资源后缀以及数据包特征进行网页木马后门检测,以得到处理结果,包括:
6.根据权利要求5所述的网页木马后门识别方法,其特征在于,所述数据包特征包括待检测数据包的uri、请求方式、请求参数以及请求参数值类型。
7.根据权利要求6所述的网页木马后门识别方法,其特征在于,所述根据所述数据包特征结合所述web业务正常请求路径特征库判断所述待检测数据包是否存在网页木马后门,包括:
8.网页木马后门识别系统,其特征在于,包括:
9.根据权利要求8所述的网页木马后门识别系统,其特征在于,所述处理单元包括:
10.根据权利要求9所述的网页木马后门识别系统,其特征在于,所述检测子单元包括: