本說明書實(shí)施例提供了一種網(wǎng)頁后門檢測方法、裝置、設(shè)備及存儲介質(zhì)。其方法包括：通過監(jiān)測目標(biāo)主機(jī)與瀏覽器之間的網(wǎng)絡(luò)流量獲取html文件；提取html文件中html標(biāo)簽的屬性信息，屬性信息包括屬性名稱和屬性值；利用預(yù)先建立的html屬性信息模型對html標(biāo)簽的屬性信息進(jìn)行匹配，html屬性信息模型是以多個(gè)html標(biāo)簽的屬性信息為樣本進(jìn)行訓(xùn)練得到的；根據(jù)匹配結(jié)果判斷html文件是否為網(wǎng)頁后門文件。網(wǎng)頁后門的變種通常是改變渲染效果等方式實(shí)現(xiàn)的，這些改變通常不涉及html標(biāo)簽屬性名稱和屬性值的改變，因此，采用本說明書實(shí)施例提供的檢測方法，可有效對抗網(wǎng)頁后門的變種。

技術(shù)領(lǐng)域

本說明書實(shí)施例涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)頁后門檢測方法、裝置、設(shè)備及存儲介質(zhì)。

背景技術(shù)

網(wǎng)頁后門是黑客攻擊目標(biāo)主機(jī)的常用工具。以Webshell為例，是以asp(ActiveServer Pages，動(dòng)態(tài)目標(biāo)主機(jī)頁面)、php(Hypertext Preprocessor，超文本預(yù)處理器)、jsp(Java Server Pages，Java目標(biāo)主機(jī)頁面)或cgi(通用網(wǎng)關(guān)接口)等網(wǎng)頁文件形式存在的命令執(zhí)行環(huán)境，也可以將其稱為一種網(wǎng)頁后門。

傳統(tǒng)的網(wǎng)頁后門檢測方法主要是通過對已知網(wǎng)頁后門文件的特征做出準(zhǔn)確描述，進(jìn)而形成正則表達(dá)式，利用正則表達(dá)式進(jìn)行網(wǎng)頁后門檢測。這種檢測方式依賴于人工經(jīng)驗(yàn)，其靈活性差。而網(wǎng)頁后門為避免被識別，出現(xiàn)了各式變種，采用上述傳統(tǒng)檢測方式難以應(yīng)對網(wǎng)頁后門變種。

發(fā)明內(nèi)容

本說明書實(shí)施例提供及一種網(wǎng)頁后門檢測方法、裝置、設(shè)備及存儲介質(zhì)，較之基于正則表達(dá)式的檢測方法，其實(shí)現(xiàn)方式簡單靈活，可有效對抗網(wǎng)頁后門變種。

第一方面，本說明書實(shí)施例提供一種網(wǎng)頁后門檢測方法，該方法包括：

提取所述html文件中html標(biāo)簽的屬性信息，所述屬性信息包括屬性名稱和屬性值；

利用預(yù)先建立的html屬性信息模型對所述html標(biāo)簽的屬性信息進(jìn)行匹配，所述html屬性信息模型是以多個(gè)html標(biāo)簽的屬性信息為樣本進(jìn)行訓(xùn)練得到的；

根據(jù)匹配結(jié)果判斷所述html文件是否為網(wǎng)頁后門文件。

可選的，所述html屬性信息模型是通過提取已知的網(wǎng)頁后門文件中html標(biāo)簽的屬性信息，以所述已知的網(wǎng)頁后門文件中html標(biāo)簽的屬性信息為樣本進(jìn)行訓(xùn)練得到的。

可選的，所述利用預(yù)先建立的html屬性信息模型對所述html標(biāo)簽的屬性信息進(jìn)行匹配，包括：

以單個(gè)html標(biāo)簽為單位，利用預(yù)先建立的html屬性信息模型對各個(gè)所述html標(biāo)簽的屬性信息進(jìn)行匹配，每個(gè)html標(biāo)簽對應(yīng)一個(gè)匹配結(jié)果，所述匹配結(jié)果為匹配度的取值；

所述根據(jù)匹配結(jié)果判斷所述html文件是否為網(wǎng)頁后門文件，包括：

將最高匹配度的取值與設(shè)定的閾值進(jìn)行比較；

若所述最高匹配度的取值超過設(shè)定的閾值，判斷所述html文件為網(wǎng)頁后門文件。

可選的，若所述匹配度的取值未超過設(shè)定的閾值，該方法還包括：

從所述html文件中提取html標(biāo)簽，得到按照在所述html文件中的順序排列的html標(biāo)簽序列，所述html標(biāo)簽序列構(gòu)成所述html文件的html骨架；利用預(yù)先建立的html骨架模型對所述html骨架進(jìn)行匹配，所述html骨架模型是以多個(gè)html骨架為樣本進(jìn)行訓(xùn)練得到的；根據(jù)匹配結(jié)果判斷所述html文件是否為網(wǎng)頁后門文件；

或者，

對所述html文件進(jìn)行分段處理，得到多個(gè)html片段；利用預(yù)先建立的片段哈希模型分別對每個(gè)html片段進(jìn)行匹配；根據(jù)匹配結(jié)果判斷所述html文件是否為網(wǎng)頁后門文件。