本發明提供一種基于流量識別網站指紋的方法：包括以下步驟：對鏡像端口流量數據進行解析，對鏡像的流量數據解析；對抓取的數據包進行識別，判斷是否為tcp數據包；對tcp數據包進行解析并配對；判斷redis中是否有該ack值對應的key；將步驟1.4中的key取出并與本次響應(ack值)進行組合成一個完整的請求響應包；獲取網站指紋信息并儲存開發語言，獲取開發語言和cms框架并儲存。本發明提出基于流量數據分析指紋信息有效的解決了各種防護設備造成的指紋協議識別不到或準確率低的現象。具有高可靠性和高效性的優點。

技術領域

本發明涉及一種識別網站指紋的方法，具體涉及一種基于流量識別網站指紋的方法。

背景技術

目前通用的指紋分析方式是通過對目標站點發請求包或攻擊包，通過對響應頭和響應體進行解析從而判斷網站是否包含某種指紋信息。隨著目前人們網絡安全意識的不斷提高和技術的不斷發展，市面上也有越來越多的網站防護措施，這些防護措施有效的攔截了惡意請求和攻擊的同時也使的正常指紋探測的難度和準確地越來越差。

該問題不解決，將使各安全廠商在應對0day產生時，無法準確的分析其影響范圍。同時錯誤影響范圍的發布將會造成人們的恐慌，造成其公信力的降低。

伴隨著Internet的普及和業務發展，人們對交換機的需求也越來越大。交換機是任意兩個網絡節點提供獨享的電信號通路。基于交換機的作用，理所當然的所有的請求和響應包也會從交換機上獲取到，通過對這種方式獲取的流量數據的分析識別出來的指紋信息將更加全面準確。

因此，需要采取一定探測方式，提高探測的準確性。

發明內容

本發明要解決的技術問題是提供一種高效的基于流量識別網站指紋的方法。

為解決上述技術問題，本發明提供一種基于流量識別網站指紋的方法：包括以下步驟：

1)、對鏡像端口流量數據進行解析；

2)、獲取網站指紋信息并儲存開發語言。

作為對本發明基于流量識別網站指紋的方法的改進：

步驟1包括：

1.1)、對鏡像的流量數據解析；

1.2)、對抓取的數據包進行識別，判斷是否為tcp數據包；

如是tcp數據包，則執行步驟1.3，判斷是請求包或是響應包；如果不是tcp數據包，則放行；

1.3)、對tcp數據包進行解析并配對；

若抓取的tcp數據包為請求包，則獲取其總的tcp長度大小及seq值大小，將tcp長度和seq值相加的結果放入redis中；

key鍵為相加結果，value值為http請求頭；

若抓取的包為響應包，獲取其ack值；執行步驟1.4；

1.4)、判斷redis中是否有該ack值對應的key；

若有，執行步驟1.5；

1.5)、將步驟1.4中的key取出并與本次響應(ack值)進行組合成一個完整的請求響應包，執行步驟2。

作為對本發明基于流量識別網站指紋的方法的進一步改進：

步驟1.1為：使用scapy sniff監聽鏡像網卡的流量數據。

作為對本發明基于流量識別網站指紋的方法的進一步改進：

步驟2包括：獲取開發語言和cms框架并儲存。

作為對本發明基于流量識別網站指紋的方法的進一步改進：