本發(fā)明涉及一種基于流量與動態(tài)頁面特征的WEB弱口令檢測方法，屬于網絡安全技術領域，接收流量獲取解析出請求報文；對可能包含密碼的請求進行特征匹配，命中則進入潛在弱口令隊列；對潛在弱口令請求的響應報文進行響應特征匹配；若匹配未命中，抓取頁面特征，將頁面變化的請求中的密碼確認為弱口令。本發(fā)明從流量中獲取數據，利用密碼特征和弱口令規(guī)則篩選包含潛在弱口令的請求，進行特征匹配，結合動態(tài)頁面特征信息，確認請求中的弱口令，解決了現有技術中采用主動爆破的方式易被攔截封禁的問題，通過被動流量監(jiān)控增大了檢測范圍，能夠實時檢測可能存在的弱口令風險，且無需過長配置時間，執(zhí)行效率更高，相對主動爆破更安全可靠。

技術領域

本發(fā)明涉及一種基于流量與動態(tài)頁面特征的WEB弱口令檢測方法，屬于網絡安全技術領域。

背景技術

WEB已成為互聯網信息傳播貢獻的最便捷的技術，與此同時也帶來了一系列的安全問題。由于WEB后臺常常包含大量的用戶或企業(yè)的隱私數據，一直是黑客的重點攻擊對象，其中弱口令攻擊是一個最直接有效的攻擊方式。

當客戶端請求一個網頁時，會先通過http協議將請求的內容封裝在http請求報文之中，服務器收到該請求報文后根據協議規(guī)范進行報文解析，然后向客戶端返回響應報文。

由于WEB系統的多樣性：不同系統的頁面元素不同，提交內容不同，返回信息的特征值也不相同，難以用指定的有限的靜態(tài)特征值來判斷登錄情況，所以目前的安全人員大多只能通過繁瑣的人工測試來進行弱口令的檢測。在待測目標較少的情況下，利用人工分析的弊端還不太明顯，然而隨著資產的增加，管理員常常會面臨需要批量檢測弱口令的問題，此時若采用人工分析，就會導致效率極其低下且耗時耗力，此時，設計一種通用的弱口令檢測算法來代替人工就顯得尤為必要。

現在主要對弱口令識別的技術是采用主動爆破的方式，不斷用特征庫密碼去試錯web系統，本質上也屬于一種黑客行為，所以很容易被防火墻或其他安全設備軟件攔截封禁，不僅執(zhí)行效率低，由于WEB系統請求入參和返回內容不規(guī)則，主動爆破針對范圍小且配置過程長，局限性較大。

發(fā)明內容

為了解決上述技術問題，本發(fā)明從流量分析角度出發(fā)，提供一種基于流量與動態(tài)頁面特征的WEB弱口令檢測方法，其具體技術方案如下：

一種基于流量與動態(tài)頁面特征的WEB弱口令檢測方法，包括以下步驟：

步驟1：潛在弱口令篩選：

步驟1.1：接收流量進行提取分析，獲取TCP/HTTP信息，解析出請求報文，所述請求報文包括payload信息，header信息和referer地址；

步驟1.2：對payload信息和referer地址進行分析，尋找有路徑關鍵字或密碼參數特征的請求；

步驟1.3：針對請求的參數內容進行解析，進行請求特征匹配，若命中特征，進入潛在弱口令隊列，并執(zhí)行步驟2；

步驟2：弱口令確認：

步驟2.1：獲取潛在弱口令的請求，通過referer地址抓取頁面，確認登錄界面；

步驟2.2：找出潛在弱口令的請求對應的響應報文，分析響應報文的內容，在響應特征庫進行響應特征匹配，若命中特征，確認該請求中的密碼為弱口令，若未命中，執(zhí)行步驟2.3；

步驟2.3：分析TCP的源IP和目標IP，對設定時間閾值內源IP相同、目標IP相同但referer地址不同的請求，進行頁面分析，若請求頁面與之前頁面不同，且沒有錯誤信息特征，確認該請求中的密碼為弱口令。

進一步的，所述步驟1.3請求特征匹配具體過程為：

步驟1.3.1：與密碼特征庫進行匹配，若命中特征，執(zhí)行步驟1.3.2，若未命中，排除該請求；

步驟1.3.2：進行弱口令規(guī)則匹配，若命中，進入潛在弱口令隊列。

進一步的，所述密碼參數特征匹配包括對明文密碼、based4密碼和MD5密碼進行參數特征匹配。