一种网页后门的检测方法、装置、设备及存储介质与流程

本说明书实施例涉及网络安全技术领域，尤其涉及一种网页后门的检测方法、装置、设备及存储介质。

背景技术

网页后门是黑客攻击目标主机的常用工具。以webshell为例，其是以asp(activeserverpages，动态目标主机页面)、php(hypertextpreprocessor，超文本预处理器)、jsp(javaserverpages，java目标主机页面)或cgi(通用网关接口)等网页文件形式存在的命令执行环境，也可以将其称为一种网页后门。

传统的网页后门检测方法主要是通过对已知网页后门文件的特征做出准确描述，进而形成正则表达式，利用正则表达式进行网页后门检测。

目前，还没有网页后门检测方法能够全面检测网页后门的全部特征，因此，需要继续研究新的网页后门检测方法，以从不同角度识别网页后门。

技术实现要素：

本说明书实施例提供及一种网页后门的检测方法、装置、设备及存储介质，较之传统的网页后门检测方法，创新地提出通过页面显示图像比对的方式进行网页后门识别，作为一种新的检测角度，可以丰富网页后门检测的维度。

第一方面，本说明书实施例提供一种网页后门的检测方法，该方法包括：

获取待检测网页的设定尺寸的页面显示图像；

将所述页面显示图像与预设的图像库中的图像分别进行比较，得到所述页面显示图像与所述图像库中的各个图像的相似度；

将所述相似度与设定的相似度阈值进行比较，根据比较结果判断所述待检测网页是否包含网页后门。

可选的，所述图像库中的图像是已知的包含网页后门的网页的所述设定尺寸的页面显示图像。

可选的，若有相似度超过所述相似度阈值，所述待检测网页包含网页后门。

基于上述任意方法实施例，可选的，所述获取待检测网页的设定尺寸的页面显示图像，包括：

通过监测目标主机和浏览器之间的网络流量获取待检测网页的html代码；

通过解析所述html代码进行网页内容渲染，并按照设定尺寸将渲染后的网页内容保存为页面显示图像。

可选的，所述通过监测目标主机和浏览器之间的网络流量获取待检测网页的html代码，包括：

通过监测目标主机和浏览器之间的网络流量，获取所述浏览器的http请求和所述目标主机的http响应；

从所述http响应中获取html代码。

第二方面，本说明书实施例提供一种网页后门的检测装置，包括：

图像提取模块，用于获取待检测网页的设定尺寸的页面显示图像；

相似度比较模块，用于将所述页面显示图像与预设的图像库中的图像分别进行比较，得到所述页面显示图像与所述图像库中的各个图像的相似度；

后门检测模块，用于将所述相似度与设定的相似度阈值进行比较，根据比较结果判断所述待检测网页是否包含网页后门。

可选的，所述图像库中的图像是已知的包含网页后门的网页的所述设定尺寸的页面显示图像。

可选的，若有相似度超过所述相似度阈值，所述待检测网页包含网页后门。

基于上述任意装置实施例，可选的，所述图像提取模块用于：

通过监测目标主机和浏览器之间的网络流量获取待检测网页的html代码；

通过解析所述html代码进行网页内容渲染，并按照设定尺寸将渲染后的网页内容保存为页面显示图像。

可选的，所述通过监测目标主机和浏览器之间的网络流量获取待检测网页的html代码时，所述图像提取模块用于：

通过监测目标主机和浏览器之间的网络流量，获取所述浏览器的http请求和所述目标主机的http响应；

从所述http响应中获取html代码。

第三方面，本说明书实施例提供一种网页后门检测设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

获取待检测网页的设定尺寸的页面显示图像；

将所述页面显示图像与预设的图像库中的图像分别进行比较，得到所述页面显示图像与所述图像库中的各个图像的相似度；

将所述相似度与设定的相似度阈值进行比较，根据比较结果判断所述待检测网页是否包含网页后门。

第四方面，本说明书实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

获取待检测网页的设定尺寸的页面显示图像；

将所述页面显示图像与预设的图像库中的图像分别进行比较，得到所述页面显示图像与所述图像库中的各个图像的相似度；

将所述相似度与设定的相似度阈值进行比较，根据比较结果判断所述待检测网页是否包含网页后门。

本说明书实施例有益效果如下：

创新地提出通过将页面显示图像与图像库中的图像进行相似度比较，根据相似度比较结果判断是否存在网页后门，其检测方式简单且准确率较高。

附图说明

图1为本说明书实施例提供的应用场景示意图；

图2为本说明书实施例第一方面的方法流程图；

图3为本说明书实施例第二方面的装置示意图。

具体实施方式

为了更好的理解上述技术方案，下面通过附图以及具体实施例对本说明书实施例的技术方案做详细的说明，应当理解本说明书实施例以及实施例中的具体特征是对本说明书实施例技术方案的详细的说明，而不是对本说明书技术方案的限定，在不冲突的情况下，本说明书实施例以及实施例中的技术特征可以相互组合。

本说明书实施例提供的技术方案可以但不仅限应用于网络的流量层，可以在网关处实现，也可以在具备网关功能的设备上实现，还可以在任何能够监测到网络流量的设备上实现。以在网关上采用本说明书实施例提供的方法为例，如图1所示，网关101监测目标主机102与浏览器103之间的网络流量，从中获取html代码，即以开始标签<html>开始，以结束标签</html>结束的html代码；基于该html代码得到页面显示图像；将页面显示图像与预设的图像库中的图像分别进行比较，得到所述页面显示图像与所述图像库中的各个图像的相似度；将所述相似度与设定的相似度阈值进行比较，根据比较结果判断所述待检测网页是否包含网页后门。

本说明书实施例中，网页后门可以但不仅限于是webshell。

其中，目标主机可以是提供各种服务的服务器，也可以是能够实现特定功能的个人计算机，还可以是其他能够提供网络服务的网络设备。目标主机可以接收浏览器发送过来的用于向目标主机发起请求服务的请求数据，根据请求数据进行相应的数据处理以获得响应数据，并将响应数据反馈给浏览器。浏览器可以运行在具备显示功能并且支持交互功能的各种电子设备上，包括但不限于智能手机、平板电脑、个人计算机以及台式计算机等。

下面该将结合具体应用场景，分别从方法、装置、设备、存储介质的角度对本说明书实施例提供的技术方案进行详细描述。

第一方面，本说明书实施例提供一种网页后门的检测方法，请参考图2，包括：

步骤202、获取待检测网页的设定尺寸的页面显示图像。

其中，网页显示图像是指待检测网页加载到浏览器上界面截屏。

其中，设定尺寸是指截取的图像的分辨率。通常，该设定尺寸为浏览器的窗口尺寸，例如1280x1696。当然，该设定尺寸也可以小于浏览器的窗口尺寸，例如，考虑到网页上可能存在动态显示内容，而这些动态显示内容往往分布在窗口的边缘，因此，可以通过设定尺寸仅截取窗口中心区域的图像。

步骤204、将上述页面显示图像与预设的图像库中的图像分别进行比较，得到上述页面显示图像与该图像库中的各个图像的相似度。

例如，图像库中有n个图像，则将上述页面显示图像分别与这n个图像进行比较，每次比较均会得到一个相似度，共得到n个相似度。

具体可以通过图像匹配算法进行比较，现有的基于灰度的匹配算法、基于特征的匹配算法、基于关系的匹配算法均可以用于本说明书实施例中的图像比较，其具体实现方式不再赘述。

步骤206、将上述相似度与设定的相似度阈值进行比较，根据比较结果判断所述待检测网页是否包含网页后门。

具体的，在步骤204中会得到多个相似度，将这些相似度分别与相似度阈值进行比较，一旦有某个相似度符合判断条件(即检测到网页后门，则停止相似度阈值的比较)。当然，也可以查找其中最大的相似度，仅将该最大的相似度与相似度阈值比较。

本说明书实施例创新地提出通过将页面显示图像与图像库中的图像进行相似度比较，根据相似度比较结果判断是否存在网页后门，其检测方式简单且准确率较高。

本说明书实施例提供的方法，可以利用已知的包含网页后门的网页的上述设定尺寸的页面显示图像构建图像库。

具体的，获取大量已知包含网页后门的网页，按照上述设定尺寸提取这些网页的页面显示图像，可以但不仅限于利用headless浏览器进行提取。

相应的，若步骤202中提取的页面显示图像与图像库中的某个图像的相似度超过相似度阈值，则表示待检测网页包含网页后门。若没有相似度超过相似度阈值，表示本次检测未检测出网页后门。

超过相似度阈值，表示大于或者等于相似度阈值。

采用这种检测方式，可以准确识别已知网页后门。另外，虽然网页后门的显示内容多变，但其渲染方式、页面布局也存在一些相似性，针对这类网页后门，采用图像识别的方式也可以很好地检测出网页后门。

当然，上述图像库还可以由正常的网页的页面显示图像构成，相应的，若得到的相似度均未超过相似度阈值，则可以判断为该网页存在网页后门。

在上述任意方法实施例中，获取待检测网页的设定尺寸的页面显示图像的实现方式有多种。

一种实现方式应用于如图1所示的应用环境，通过监测目标主机和浏览器之间的网络流量获取待检测网页的html代码；通过解析该html代码进行网页内容渲染，并按照设定尺寸将渲染后的网页内容保存为页面显示图像。

其中，解析html代码进行网页内容渲染，并保存为页面显示图像可以但不仅限于通过调用headless浏览器实现。具体的，调用headless浏览器加载html代码，并通过解析html代码构建dom树，根据dom树和css样式进行附着构建呈现树，然后进行页面布局，根据页面布局绘制呈现树，从而生成页面显示图像。网页显示内容可能会超过窗口显示范围，因此需要通过多屏进行显示，本说明书实施例可以预定截取第几屏显示图像，为简化处理，通常截取第一屏显示图像。

其中，获取待检测网页的html代码的实现方式可以是：通过监测目标主机和浏览器之间的网络流量，获取所述浏览器的http请求和所述目标主机的http响应；从所述http响应中获取html代码。

除此之外，还可以通过其他实现方式获取页面显示图像。例如，若在终端侧实现本说明书实施例提供的方法，则可以对浏览器显示的网页内容进行截屏获取页面显示图像。若在网络设备侧实现本说明书实施例提供的方法，则可以由各个终端上报页面显示图像。

应当指出的是，现有的任何网页后门检测方式都无法完美地检测到所有的网页后门，均存在漏报的可能。为了降低漏报的风险，在使用上述说明书实施例提供的方法未检测出网页后门时，可以使用其他检测方式继续针对该网页进行网页后门检测。

可以采用现有的任意一种或多种检测方式依次进行网页后门检测。

第二方面，基于同一发明构思，本说明书实施例提供一种网页后门检测装置，请参考图3，包括：

图像提取模块301，用于获取待检测网页的设定尺寸的页面显示图像；

相似度比较模块302，用于将所述页面显示图像与预设的图像库中的图像分别进行比较，得到所述页面显示图像与所述图像库中的各个图像的相似度；

后门检测模块303，用于将所述相似度与设定的相似度阈值进行比较，根据比较结果判断所述待检测网页是否包含网页后门。

可选的，所述图像库中的图像是已知的包含网页后门的网页的所述设定尺寸的页面显示图像。

可选的，若有相似度超过所述相似度阈值，所述待检测网页包含网页后门。

基于上述任意装置实施例，可选的，所述图像提取模块用于：

通过监测目标主机和浏览器之间的网络流量获取待检测网页的html代码；

通过解析所述html代码进行网页内容渲染，并按照设定尺寸将渲染后的网页内容保存为页面显示图像。

可选的，所述通过监测目标主机和浏览器之间的网络流量获取待检测网页的html代码时，所述图像提取模块用于：

通过监测目标主机和浏览器之间的网络流量，获取所述浏览器的http请求和所述目标主机的http响应；

从所述http响应中获取html代码。

第三方面，基于同一发明构思，本说明书实施例提供一种webshell检测设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述任意方法实施例的步骤。

本说明书实施例提供的webshell检测设备可以但不仅限于是网关、具备网关功能的设备，或者其他可以监测到网络流量的设备。

第四方面，基于同一发明构思，本说明书实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意方实施例的步骤。

本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的设备。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令设备的制造品，该指令设备实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本说明书的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本说明书范围的所有变更和修改。

显然，本领域的技术人员可以对本说明书进行各种改动和变型而不脱离本说明书的精神和范围。这样，倘若本说明书的这些修改和变型属于本说明书权利要求及其等同技术的范围之内，则本说明书也意图包含这些改动和变型在内。