本說明書實施例提供了一種網頁后門檢測方法、裝置、設備及存儲介質。其方法包括：通過監測目標主機與瀏覽器之間的網絡流量獲取超級文本標記語言html文件；對所述html文件進行分段處理，得到多個html片段；利用預先建立的片段哈希模型分別對每個html片段進行匹配；根據匹配結果判斷所述html文件是否為網頁后門文件。網頁后門的變種通常是改變渲染效果等方式實現的，這些改變通常不涉及html片段匹配數量的改變，因此，采用本說明書實施例提供的檢測方法，可有效對抗網頁后門的變種。

技術領域

本說明書實施例涉及網絡安全技術領域，尤其涉及一種網頁后門檢測方法、裝置、設備及存儲介質。

背景技術

網頁后門是黑客攻擊目標主機的常用工具。以Webshell為例，其是以asp(ActiveServer Pages，動態目標主機頁面)、php(Hypertext Preprocessor，超文本預處理器)、jsp(Java Server Pages，Java目標主機頁面)或cgi(通用網關接口)等網頁文件形式存在的命令執行環境，也可以將其稱為一種網頁后門。

傳統的網頁后門檢測方法主要是通過對已知網頁后門文件的特征做出準確描述，進而形成正則表達式，利用正則表達式進行網頁后門檢測。這種檢測方式依賴于人工經驗，其靈活性差。而網頁后門為避免被識別，出現了各式變種，采用上述傳統檢測方式難以應對網頁后門變種。

發明內容

本說明書實施例提供及一種網頁后門檢測方法、裝置、設備及存儲介質，較之基于正則表達式的檢測方法，其實現方式簡單靈活，可有效對抗網頁后門變種。

第一方面，本說明書實施例提供一種網頁后門檢測方法，該方法包括：

通過監測目標主機與瀏覽器之間的網絡流量獲取html(超級文本標記語言)文件；

對所述html文件進行分段處理，得到多個html片段；

利用預先建立的片段哈希模型分別對每個html片段進行匹配；

根據匹配的html片段數量判斷所述html文件是否為網頁后門文件。

可選的，所述片段哈希模型是通過對已知的網頁后門文件進行分段處理，以所述已知的網頁后門文件的html片段為樣本進行訓練得到的。

可選的，所述根據匹配的html片段數量判斷所述html文件是否為網頁后門文件，包括：

將命中率與設定的閾值進行比較，所述命中率為匹配的html片段數量與html片段總數的比值；

若所述命中率超過設定的閾值，判斷所述html文件為網頁后門文件。

可選的，所述根據匹配的html片段數量判斷所述html文件是否為網頁后門文件之前，該方法還包括：

根據所述html片段總數調整所述閾值，所述html片段總數越高，所述閾值越低。

可選的，若所述匹配度的取值未超過設定的閾值，該方法還包括：

提取所述html文件中各個標簽的屬性信息，標簽的屬性信息包括標簽的屬性和屬性值；利用預先建立的屬性信息模型分別對每個標簽的屬性信息進行匹配；根據匹配結果判斷所述html文件是否為網頁后門文件；

或者，

從所述html文件中提取html標簽，得到按照在所述html文件中的順序排列的html標簽序列，所述html標簽序列構成所述html文件的html骨架；利用預先建立的html骨架模型對所述html骨架進行匹配，所述html骨架模型是以多個html骨架為樣本進行訓練得到的；根據匹配結果判斷所述html文件是否為網頁后門文件。