[发明专利]网页后门的检测方法

说明书

技术领域

本发明涉及网络安全技术，特别涉及一种网页后门的检测方法。

背景技术

网页后门其实就是一段网页代码。由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。一些网络入侵检测系统能检测出网页后门,但主流还是基于特征检测,一方面由于特征提取不严格和其他网络正常通信数据匹配导致准确性不够,另一方面由于无法提取所有特征导致无法检测未知的网页后门。

超文本传输协议(HTTP，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议,所有的WWW(万维网)文件都必须遵守这个标准。

通常，由HTTP客户端发起一个请求，建立一个到服务器指定端口(默认是80端口)的TCP连接。HTTP服务器则在那个端口监听客户端发送过来的请求。一旦收到请求，服务器(向客户端)发回一个状态行(比如"HTTP/1.1 200 OK")和(响应的)消息，消息的消息体可能是请求的文件、错误消息、或者其它一些信息。

HTTP协议采用了请求/响应模型。HTTP消息包括客户机向服务器的请求消息和服务器向客户机的响应消息，这两种类型的消息由一个起始行，一个或者多个头域，一个指示头域结束的空行和可选的消息体组成。HTTP的头域包括通用头，请求头，响应头和实体头四个部分。基于HTTP协议的客户/服务器模式的信息交换过程，分为建立连接、发送请求信息、发送响应信息、关闭连接四个过程。客户端向服务器发送一个请求，请求头包含请求方法、URL(Uniform Resource Locator,统一资源定位符)、协议版本、以及包含请求修饰符、客户信息和内容的类似于MIME(Multipurpose Internet Mail Extensions，多用途互联网邮件扩展类型)的消息结构。服务器以一个状态行作为响应，响应的内容包括消息协议的版本，成功或者错误编码加上包含服务器信息、实体元信息以及可能的实体内容。

HTTP定义了与服务器交互的不同方法，最基本的方法有4种，分别是GET，POST，PUT，DELETE。一个URL地址用于描述一个网络上的资源，而HTTP中的GET，POST，PUT，DELETE就对应着对这个资源的查，改，增，删4个操作。在客户机和服务器之间进行请求-响应时，两种最常被用到的两种HTTP请求方法是GET和POST。根据HTTP规范，GET用于从指定的资源请求数据，POST用于向指定的资源提交要被处理的数据。

发明内容

本发明要解决的技术问题是提供一种网页后门的检测方法，能准确的对未知网页后门进行检测，并且不需要花大量时间在完善特征库，节约人力成本。

为解决上述技术问题，本发明提供的网页后门的检测方法，包括以下步骤：

一.读取同一HTTP会话下的数据；

二.该HTTP会话下的数据，如果第一个请求包是GET请求包，则进行步骤三，否则进行步骤八；

三.该HTTP会话下的数据，如果第一个请求包的响应包的内容是登陆框，则进行步骤四，否则进行步骤八；

四.该HTTP会话下的数据，如果第二个请求包是POST请求包，则进行步骤五，否则进行步骤八；

五.该HTTP会话的数据，如果第三个请求包是GET请求包，则进行步骤六，否则进行步骤八；

六.该HTTP会话下的数据，如果第一个、第二个及第三个请求包所请求的页面相同，则进行步骤七；否则进行步骤八；

七.判定该HTTP会话的服务器端目的IP地址及目的端口下，第一个、第二个及第三个请求包所请求的页面，为网页后门，进行步骤八；

八.删除该HTTP会话的数据。

较佳的，步骤七中，并输出该网页后门的相关信息；

网页后门的相关信息，包括服务器端目的IP地址、服务器端目的端口、客户端源IP地址、页面。

较佳的，同一HTTP会话下的数据，服务器端目的IP地址、服务器端目的端口及客户端源IP地址均一致。

4.根据权利要求1所述的网页后门的检测方法，其特征在于，

判断第一个请求包的响应包是否为登陆框的方法是：第一个请求包的响应包中<input>文本标签数量必需大于等于二个并且小于等于四个；并且第一个响应包中包含关键字type＝submit。