本发明专利技术提供一种web后门路径探测方法,获取集合路径集合$Webshell_Path和文件名集合$Webshell_Name;使用网络爬虫,沿网站首页爬取,获取网站的目录树$Web_Catalog,以及URL树$Web_Url_Tree,以及网站根目录$Web_Root,自定义错误页面$Error_Page;根据集合路径集合$Webshell_Path、文件名集合$Webshell_Name、目录树$Web_Catalog和URL树$Web_Url_Tree得到待检测URL集合$Target_Url;本发明专利技术在网站被黑客植入WEB后门之后,能够给出一批可以的WEB路径,为后续的WEB后门的分析提供支撑。本发明专利技术提出了一种WEB后门路径探测的方法,通过该方法,可以探测出网站的可疑路径,为进一步WEB后门的检测提供支撑。
Web backdoor path detection method
【技术实现步骤摘要】
web后门路径探测方法
本专利技术涉及一种WEB后门路径的探测方案,具体涉及一种web后门路径探测方法。
技术介绍
WEB后门:WEB后门就是以ASP、PHP、JSP或者CGI等网页文件形式存在的一种命令执行环境,也可以将其称webshell。黑客在入侵了一个网站后,通常会将ASP或PHP后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问ASP或者PHP后门,得到一个命令执行环境,以达到控制网站服务器的目的。网页爬虫技术:WEB后门主动检测的第一步是识别出可疑的WEB路径,通常网站的WEB页面的获取可疑通过网页爬虫遍历整个网站目录和文件,得到网站的路径树。但是WEB后门由于是黑客通过网站漏洞植入的,放在隐蔽的位置,一般是无法通过网页爬虫爬取到的。WEB后门收集:收集已公布的WEB后门的文件名、路径、脚本类型等信息。WEB后门路径组合:WEB后门路径组合是本专利技术实现WEB后门路径探测的主要手段。根据历史发现的WEB后门的路径、文件名、脚本类型以及常用词等特征和当前网站的路径进行组合,生成大量的路径。WEB后门就是以网页文件形式存在的一种命令执行环境,也可以将其称webshell。黑客在入侵了一个网站后,通常会将后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问WEB后门,得到一个命令执行环境,以达到控制网站服务器的目的。所以对用户服务器来说,WEB后门是是一个非常危险的存在,所以及时发现并删除WEB后门,对于保障服务器的安全性是非常关键的。黑客入侵网站后,会将后门文件放在比较隐蔽的位置,通常会是孤链,管理员很难发现。所以发现WEB后门是一个比较困难的,一般有两种发现途径:一、通过网站的访问记录排查;二、主动扫描识别。因此,需要对现有技术进行改进。
技术实现思路
本专利技术要解决的技术问题是提供一种高效的web后门路径探测方法。为解决上述技术问题,本专利技术提供一种web后门路径探测方法,包括以下步骤:1)、获取集合路径集合$Webshell_Path和文件名集合$Webshell_Name;2)、使用网络爬虫,沿网站首页爬取,获取网站的目录树$Web_Catalog,以及URL树$Web_Url_Tree,以及网站根目录$Web_Root,自定义错误页面$Error_Page;3)、根据集合路径集合$Webshell_Path、文件名集合$Webshell_Name、目录树$Web_Catalog和URL树$Web_Url_Tree得到待检测URL集合$Target_Url;使用Http请求访问待检测URL集合$Target_Url中的连接,得到可疑URL集合$Suspicious_Url。作为对本专利技术web后门路径探测方法的改进:步骤1为:将WEB后门的URL的路径加入到集合路径集合$Webshell_Path中,将WEB后门的URL的文件名加入到文件名集合$Webshell_Name中。作为对本专利技术web后门路径探测方法的进一步改进:在步骤1中:将常用的英文以及常用的人名加入到文件名集合$Webshell_Name中。作为对本专利技术web后门路径探测方法的进一步改进:步骤3包括:3.1)、目录树$Web_Catalog和文件名集合$Webshell_Name两个集合做笛卡尔乘积,将结果加入到待检测URL集合$Target_Url中;网站根目录$Web_Root和路径集合$Webshell_Path两个集合做笛卡尔乘积,结果再与文件名集合$Webshell_Name作笛卡尔乘积,最终结果加入到待检测URL集合$Target_Url中;待检测URL集合$Target_Url去重复链接,并且计算待检测URL集合$Target_Url减去待检测URL集合$Target_Url与URL树$Web_Url_Tree的并集,得到最终的待检测URL集合$Target_Url;3.2)、可疑路径识别阶段,依次检测步骤3.1)中最终得到的待检测URL集合$Target_Url集合中的链接,使用Http请求访问这些链接,判断响应码是200且非自定义错误页面的链接为可疑链接,加入到可疑URL集合$Suspicious_Url。作为对本专利技术web后门路径探测方法的进一步改进:在步骤3.2中,自定义错误页面的判断方法为:计算自定义错误页面和访问链接页面内容相似度,在页面内容相似度大与预设值时,为访问链接页面自定义错误页面;否则不是自定义错误页面。作为对本专利技术web后门路径探测方法的进一步改进:在步骤3.2中,使用simhash算法判断相似度。作为对本专利技术web后门路径探测方法的进一步改进:自定义错误页面$Error_Page是通过请求一批不存在的页面来获取网站自定义错误页面,分别来探测网站对不存在页面和恶意请求所返回的响应页面;不存在或者恶意的请求如下:1)、网站首页地址+随机字符串;2)、网站首页地址+随机字符串+脚本环境;3)、网站首页地址+恶意请求url。本专利技术web后门路径探测方法的技术优势为:本专利技术在网站被黑客植入WEB后门之后,能够给出一批可以的WEB路径,为后续的WEB后门的分析提供支撑。本专利技术提出了一种WEB后门路径探测的方法,通过该方法,可以探测出网站的可疑路径,为进一步WEB后门的检测提供支撑。附图说明下面结合附图对本专利技术的具体实施方式作进一步详细说明。图1为本专利技术web后门路径探测方法的流程示意图;图2为待检测路径的流程示意图;图3为可疑路径识别的流程示意图。具体实施方式下面结合具体实施例对本专利技术进行进一步描述,但本专利技术的保护范围并不仅限于此。实施例1、web后门路径探测方法,如图1-3所示,包括三个阶段:1、知识收集阶段:a)、通过相应的知识库收集已存在的WEB后门,作为路径、文件名特征;b)、收集常用的英文单词,作为文件名特征;c)、收集常用的人名作为文件名特征。2、目标网站识别阶段:爬取目标网站的目录树和网站URL树。3、可疑路径识别阶段:a)、根据知识收集阶段1中收集到的路径和文件名特征,结合目标网站识别阶段2中收集的目录树,组合成待检测URL。b)、在待检测URL集合中去掉网站URL树中的URL,作为待检测路径;c)、访问待检测路径,识别Http响应码和内容,以响应码为200,且为非自定义错误页面的路径,为可疑路径。为了准确描述,现作如下定义:知识库:路径集合路径集合$Webshell_Path文件名集合文件名集合$Webshell_Name网站信息:目录树:目录树$Web_Ca本文档来自技高网...
【技术保护点】
1.web后门路径探测方法,其特征在于:包括以下步骤:/n1)、获取集合路径集合$Webshell_Path和文件名集合$Webshell_Name;/n2)、使用网络爬虫,沿网站首页爬取,获取网站的目录树$Web_Catalog,以及URL树$Web_Url_Tree,以及网站根目录$Web_Root,自定义错误页面$Error_Page;/n3)、根据集合路径集合$Webshell_Path、文件名集合$Webshell_Name、目录树$Web_Catalog和URL树$Web_Url_Tree得到待检测URL集合$Target_Url;/n使用Http请求访问待检测URL集合$Target_Url中的连接,得到可疑URL集合$Suspicious_Url。/n
【技术特征摘要】
1.web后门路径探测方法,其特征在于:包括以下步骤:
1)、获取集合路径集合$Webshell_Path和文件名集合$Webshell_Name;
2)、使用网络爬虫,沿网站首页爬取,获取网站的目录树$Web_Catalog,以及URL树$Web_Url_Tree,以及网站根目录$Web_Root,自定义错误页面$Error_Page;
3)、根据集合路径集合$Webshell_Path、文件名集合$Webshell_Name、目录树$Web_Catalog和URL树$Web_Url_Tree得到待检测URL集合$Target_Url;
使用Http请求访问待检测URL集合$Target_Url中的连接,得到可疑URL集合$Suspicious_Url。
2.根据权利要求1所述的web后门路径探测方法,其特征在于:
步骤1为:将WEB后门的URL的路径加入到集合路径集合$Webshell_Path中,将WEB后门的URL的文件名加入到文件名集合$Webshell_Name中。
3.根据权利要求2所述的web后门路径探测方法,其特征在于:
在步骤1中:将常用的英文以及常用的人名加入到文件名集合$Webshell_Name中。
4.根据权利要求3所述的web后门路径探测方法,其特征在于:
步骤3包括:
3.1)、目录树$Web_Catalog和文件名集合$Webshell_Name两个集合做笛卡尔乘积,将结果加入到待检测URL集合$Target_Url中;
网站根目录$Web_Root和路径集合$Webshell_P...
【专利技术属性】
技术研发人员:娄宇,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。