本發明公開了一種網頁木馬監測方法，包括以下步驟：模擬瀏覽器訪問監測站點，以獲得所述監測站點返回的響應數據包；對所述響應數據包進行解析，以提取所述響應數據包中相關數據，所述相關數據包括：Domain數據、IP數據和URL數據；基于所述響應數據包、所述相關數據進行多重檢測，以確定所述監測站點是否存在網頁木馬。本發明還公開了一種網頁木馬監測裝置、設備及計算機可讀存儲介質。本發明提升了網頁木馬識別效果，最大程度保證站點的安全性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種網頁木馬監測方法、裝置、設備及計算機可讀存儲介質。

背景技術

網頁木馬就是表面上偽裝成普通的網頁文件或是將惡意的代碼直接插入到正常的網頁文件中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。例如網頁挖礦木馬。網頁挖礦木馬的傳播面非常廣，只要訪問者通過瀏覽器瀏覽被惡意植入了網頁挖礦木馬站點，瀏覽器會即刻執行挖礦指令，從而使得訪問者的電腦淪為僵尸礦機，無償的為網頁挖礦木馬植入者提供算力，間接為其生產虛擬貨幣。

目前在技術上主要有如下幾種方式進行網頁木馬檢測：

1、根據網頁特征碼進行檢測，但這種技術有兩種缺陷，一種是誤報，當匹配的頁面中含有介紹這種類型的網頁挖礦木馬特征關鍵字時，就可能會被誤報為網頁挖礦木馬；另外一種是漏報，一些含有惡意代碼的網頁可能會進行代碼混淆，會導致特征碼匹配技術失效。

2、根據漏洞特征進行檢測，這種方式只能檢測已知公開的漏洞，因此，容易出現漏報。根據傳統的這種利用已知漏洞進行檢測網頁挖礦木馬的技術，在識別效果上會越來越差。

發明內容

本發明的主要目的在于提供一種網頁木馬監測方法、裝置、設備及計算機可讀存儲介質，旨在解決現有網頁木馬檢測技術識別效果差的技術問題。

為實現上述目的，本發明提供一種網頁木馬監測方法，所述網頁木馬監測方法包括以下步驟：

模擬瀏覽器訪問監測站點，以獲得所述監測站點返回的響應數據包；

對所述響應數據包進行解析，以提取所述響應數據包中相關數據，所述相關數據包括：Domain數據、IP數據和URL數據；

基于所述響應數據包、所述相關數據進行多重檢測，以確定所述監測站點是否存在網頁木馬。

可選地，所述基于所述響應數據包、所述相關數據進行多重檢測，以確定所述監測站點是否存在網頁木馬包括：

分別對所述Domain數據、IP數據和URL數據進行請求訪問，以獲得所述請求訪問對應的響應數據包；

對所述監測站點返回的響應數據包以及所述請求訪問對應的響應數據包分別進行靜態檢測，得到第一檢測結果；

判斷所述請求訪問對應的響應數據包中是否存在下載的文件；

若存在，則對所述下載的文件分別進行靜態檢測和動態啟發式檢測，得到第二檢測結果；

若所述第一檢測結果和/或所述第二檢測結果為存在異常，則確定所述監測站點存在網頁木馬。

可選地，所述基于所述響應數據包、所述相關數據進行多重檢測，以確定所述監測站點是否存在網頁木馬還包括：

若所述第一檢測結果和所述第二檢測結果為正常，則基于所述Domain數據、IP數據和URL數據，分別查詢數據庫以進行地址信息匹配，其中，所述數據庫中存有網頁木馬所使用的API接口對應的地址信息；

若所述數據庫中存在與所述Domain數據、IP數據和URL數據中任意一個或多個相匹配的地址信息，則確定所述監測站點返回的響應數據包中存在網頁木馬所使用的API接口；