CMS类型识别方法及装置与流程

本公开涉及计算机网络安全技术领域，尤其涉及一种cms(contentmanagementsystem，内容管理系统)类型识别方法及装置。

背景技术：

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。渗透测试的过程包括对系统的任何弱点、技术缺陷或者漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。渗透测试的流程为明确目标、信息搜集、漏洞探测、漏洞验证、形成报告、获取所需和信息分析。其中，信息搜集在渗透测试中起着至关重要的作用。

cms是随着电子商务逐步发展起来，管理和统一各类内容资源及流程的一套系统，主要用来解决多站点的整合统一和集中管理维护问题。

获取cms系统是自建还是二次还发，还是直接使用公开的cms程序至关重要，通过获取的这些信息来决定后续渗透的思路和策略。cms类型的识别是信息收集中的一个关键环节。

相关技术中，基于爬虫的cms类型识别方法存在以下问题：检测结果完全依赖于指纹库的全面性；cms指纹规则多而杂，收集费时费力；当访问网站过于频繁，且目标站点设置反爬虫策略时，容易导致ip被封，影响检测效果；当站点目录结构复杂时，拼接url(uniformresourcelocator，统一资源定位符)产生错误导致无法访问，影响准确度。

技术实现要素：

有鉴于此，本公开提出了一种cms类型识别方法及装置，能够提高识别效率和准确度。

根据本公开的一方面，提供了一种cms类型识别方法，所述方法包括：获取目标图像，所述目标图像为待识别站点的主页的图像；通过随机初始化卷积神经网络权值的卷积神经网络cnn提取所述目标图像的特征向量；将所述目标图像的特征向量输入分类模型，得到所述目标站点的cms类型。

根据本公开的另一方面，提供了一种cms类型识别装置，所述装置包括：第一获取模块，用于获取目标图像，所述目标图像为待识别站点的主页的图像；第一提取模块，用于通过随机初始化卷积神经网络权值的卷积神经网络cnn提取所述目标图像的特征向量；输入模块，用于将所述目标图像的特征向量输入分类模型，得到所述目标站点的cms类型。

在本公开实施例中，利用随机初始化的cnn自动从待识别站点的主页的图像中提取图像的关键特征，再由分类模型根据提取的关键特征完成分类，输出cms类型，省去了获取指纹规则库以及构造包含指纹的url的过程，提高了cms类型识别的效率和准确度。

根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。

附图说明

包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面，并且用于解释本公开的原理。

图1示出根据本公开一实施例的cms类型识别方法的流程图。

图2示出根据本公开一实施例的cms类型识别方法的流程图。

图3示出根据本公开一实施例的cms类型识别装置的框图。

图4示出根据本公开一实施例的cms类型识别装置的框图。

图5是根据一示例性实施例示出的一种用于cms类型识别的装置800的框图。

具体实施方式

以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。

在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

另外，为了更好的说明本公开，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本公开同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本公开的主旨。

图1示出根据本公开一实施例的cms类型识别方法的流程图。所述方法可以应用于终端。如图1所示，该方法可包括：

步骤s11，获取目标图像，所述目标图像为待识别站点的主页的图像。

步骤s12，通过随机初始化卷积神经网络权值的cnn提取所述目标图像的特征向量。

步骤s13，将所述目标图像的特征向量输入分类模型，得到所述目标站点的cms类型。

在本公开实施例中，利用随机初始化的cnn自动从待识别站点的主页的图像中提取图像的关键特征，再由分类模型根据提取的关键特征完成分类，输出cms类型，省去了获取指纹规则库以及构造包含指纹的url的过程，提高了cms类型识别的效率和准确度。

同时，无需手工获取指纹规则库，省时省力；无需人工选择特征，也就无需大量有关cms类型的先验知识；无需构造包含指纹的url，避免了无法获取有效页面；无需访问大量可能包含指纹的url，避免了ip被封，影响检测结果。

在步骤s11中，待识别站点可以用于表示需要识别cms类型的站点。目标图像可以为待识别站点的主页的图像。

在一种可能的实现方式中，步骤s11可包括：将待识别站点的主页的html页面转化为图像；将转化得到的图像缩放到固定尺寸，得到所述目标图像。

在本公开实施例中，可以通过待识别站点的域名访问待识别站点的主页。在一种可能的实现方式中，在通过待识别站点域名直接访问的不是待识别站点的主页时，可以通过重定向到指定目录，获取待识别站点的主页。在一个示例中，可以通过浏览器直接完成重定向操作，或者通过模拟浏览器完成重定向操作。

在一个示例中，终端可以通过对待识别站点的主页的html页面进行截屏，从而将待识别站点的主页的html页面转化为图像。

在一个示例中，终端可以对待识别站点的主页的html页面进行格式转换，例如将待识别站点的主页由html格式转换为jpg格式等，从而将待识别站点的主页的html页面转化为图像。

在步骤s12中，cnn(convolutionalneuralnetworks，卷积神经网络)是一种前馈神经网络，通常由多个卷积层、池化层和全连接层构成，每一个卷积层利用大量的滤波器对上一层的细节特征进行抽象，训练时通过设立局部感知野和权值共享可以大幅度降低参数数目。

由于cnn中的全连接层需要固定输入向量的维数，因此需要固定输入cnn模型的输入图像的尺寸。在本公开实施例中，可以将转化得到的图片缩放至固定尺寸后，再输入cnn中。其中，固定尺寸可以根据全连接层确定，这里不再赘述。在本公开实施例中，cnn可以为随机初始化卷积神经网络权值的cnn。

在一种可能的实现方式中，步骤s12中，cnn可以包括输入层、第一卷积层、第一最大池化层、第二卷积层、第二最大池化层、全连接层。

其中，第一最大池化层可以对第一卷积层输出的特征图谱邻域内的特征取最大值，从而压缩该特征图谱，提取该特征图谱的主要特征，简化网络计算复杂度。同理，第二最大池化层可以对第一最大池化层输出的特征图谱邻域内的特征取最大值，从而压缩该特征图谱，提取该特征图谱的主要特征，简化网络计算复杂度。

在本公开实施例中，第一卷积层、第一最大池化层、第二卷积层、第二最大池化层和全连接层中神经元内的激活函数均可以选择修正线性单元(relu)。不同站点的主页的页面结构、目录结构等各不相同，人工的方式进行特征提取较为困难，在本公开实施例中，通过cnn自动提取站点的主页的图像的特征，解决了人工特征提取困难的问题。

cms类型可以包括wordpress、drupal、joomla、dedecms(织梦)、phpcms、php168、qibosoft(齐博)、empirecms(帝国)、discuz(康盛)、phpwind、powereasy(动易)、siteserver、kesioncms(科讯)和foosuncms(风讯)等类型。各类型的cms可以采用不同的编程语言，例如php或者asp等。

在步骤s13中，分类模型可以输出cms类型。由于cms类型有多种，因此，分类模型应为多类分类模型。

在一种可能的实现方式中，分类模型可以为随机森林。

随机森林指的是将多个决策树(decisiontree)组合起来，共同进行预测的一种分类器。随机森林包括多个决策树。决策树算法是一种机器学习算法，在分类问题中，决策树算法通过样本中某一维属性的值，可以将样本划分到不同的类别中。

决策树算法包括id3算法、c4.5算法和cart分类与回归树)算法等。其中，id3算法中使用信息增益来选择特征，优先选择信息增益大的特征。c4.5算法中采用了信息增益比来选择特征，优先选择信息增益比大的特征。这两种算法都是基于信息论的熵模型的，涉及大量的对数运算，比较复杂。

在本公开实施例中，可以采用cart算法。cart算法使用gini(基尼)系数代替信息增益(比)，gini系数代表了模型的不纯度，gini系数越小，则不纯度越低，特征越好。这和信息增益(比)是相反的。

在一种可能的实现方式中，步骤s13可以包括：将所述目标图像的特征向量分别输入所述随机森林的各cart，得到每个cart的分类结果；基于各cart的分类结果，使用投票法确定所述目标站点的cms类型。

在基于各cart的分类结果，确定所述目标站点的cms类型时，可以采用投票法，将投票数量最大的分类结果，确定为目标站点的cms类型。例如，随机森林包括20个cart，将目标图像的特征向量分别输入这20个cart后，其中，10个cart输出的分类结果为dedecms类型，4个cart输出的分类结果为empirecms类型，3个cart输出的分类结果为powereasy类型，3个cart输出的分类结果为foosuncms类型，由于dedecms类型的投票数量最大，因此可以确定目标站点的cms类型为dedecms类型。

以分类模型为包括多个cart的随机森林为例。图2示出根据本公开一实施例的cms类型识别方法的流程图。如图2所示，该方法还可包括：

步骤s14，获取样本图像集合。

步骤s15，通过所述cnn提取所述样本图像集合中各样本图像的特征向量，得到特征向量集合。

步骤s16，对所述特征向量集合进行多次bootstrap采样，得到多个子集合。

步骤s17，针对每个子集合，根据该子集合中各特征向量以及各特征向量对应的cms类型，采用gini系数法建立cart。

步骤s18，将建立的cart组成随机森林，得到所述分类模型。

在本公开实施例中，通过多次bootstrap采样，得到多个子集合，基于每个子集合建立一个cart，将建立的各cart组成随机森林，从而得到分类模型。

在步骤s14中，样本图像可以表示用于训练的站点的主页的图像。用于训练的站点的cms类型是已知的。样本图像集合中可以包括多个用于训练的站点的主页的图像。用于训练的站点的主页的图像的获取方式可以参照步骤s11，这里不再赘述。

步骤s15中，特征向量集合可以用于表示样本图像集合中各样本图像的特征向量的集合。通过所述cnn提取所述样本图像集合中各样本图像的特征向量的方式可以参照步骤s12，这里不再赘述。

bootstrap采样是一种统计学上的抽样方法，对于有m个样本的数据集d，进行m次有放回采样得到新的数据集d′。此时，d与d′大小相同，且d′中可能存在重复的样本，d有的某些样本可能不会出现在d′中。

在步骤s16中，特征向量集合为数据集d，特征向量集合中包括的特征向量的数量为m，子集合为d′。

在本公开实施例中，cart算法输入包括子集合d′，gini系数的阈值，样本个数的阈值。其中，gini系数的阈值和样本个数的阈值可以根据需要确定，本公开不做限制。

步骤s17中，以任意一个子集合d′作为建立cart的数据集为例，根据该子集合d′中各特征向量以及各个特征向量对应的cms类型，采用基尼gini系数法建立cart可包括：

从根节点开始，用数据集d′递归的建立cart，具体包括：

1)对于当前节点的数据集为d′，如果样本个数小于样本个数的阈值或者没有特征，则返回决策子树，当前节点停止递归。

2)计算d′的gini系数，如果gini系数小于gini系数的阈值，则返回决策子树，当前节点停止递归。

3)计算当前节点现有的各个特征的各个特征值对数据集d′的gini系数。

4)在计算出来的各个特征的各个特征值对数据集d′的gini系数中，选择gini系数最小的特征a和对应的特征值。根据这个最优特征和最优特征值，将数据集d′划分成两部分d1和d2，同时建立当前节点的左右节点，左节点的数据集d^′为d1，右节点的数据集d′为d2。

5)对左右的子节点递归的调用1)至4)，生成cart。

在步骤s18中，将生成的各个cart组成随机森林，得到分类模型。

图3示出根据本公开一实施例的cms类型识别装置的框图。如图3所示，该装置30可包括：

第一获取模块31，用于获取目标图像，所述目标图像为待识别站点的主页的图像；

第一提取模块32，用于通过随机初始化卷积神经网络权值的卷积神经网络cnn提取所述目标图像的特征向量；

输入模块33，用于将所述目标图像的特征向量输入分类模型，得到所述目标站点的cms类型。

在本公开实施例中，利用随机初始化的cnn自动从待识别站点的主页的图像中提取图像的关键特征，再由分类模型根据提取的关键特征完成分类，输出cms类型，省去了获取指纹规则库以及构造包含指纹的url的过程，提高了cms类型识别的效率和准确度。

图4示出根据本公开一实施例的cms类型识别装置的框图。如图4所示，在一种可能的实现方式中，该装置40可包括：

第二获取模块34，用于获取样本图像集合；

第二提取模块35，用于通过所述cnn提取所述样本图像集合中各样本图像的特征向量，得到特征向量集合；

采样模块36，用于对所述特征向量集合进行多次bootstrap采样，得到多个子集合；

建立模块37，用于针对每个子集合，根据该子集合中各特征向量以及各个特征向量对应的cms类型，采用基尼gini系数法建立分类与回归树cart；

组合模块38，用于将建立的cart组成随机森林，得到所述分类模型。

在一种可能的实现方式中，所述输入模块33具体可用于：

将所述目标图像的特征向量分别输入所述随机森林的各cart，得到每个cart的分类结果；

基于各cart的分类结果，使用投票法确定所述目标站点的cms类型。

在一种可能的实现方式中，所述第一获取模块31具体可用于：

将待识别站点的主页的超文本标记语言html页面转化为图像；

将转化得到的图像缩放到固定尺寸，得到所述目标图像。

在一种可能的实现方式中，所述cnn包括输入层、第一卷积层、第一最大池化层、第二卷积层、第二最大池化层、全连接层。

图5是根据一示例性实施例示出的一种用于cms类型识别的装置800的框图。例如，装置800可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图5，装置800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(i/o)的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制装置800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在装置800的操作。这些数据的示例包括用于在装置800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

电源组件806为装置800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为装置800生成、管理和分配电力相关联的组件。

多媒体组件808包括在所述装置800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当装置800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(mic)，当装置800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

i/o接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为装置800提供各个方面的状态评估。例如，传感器组件814可以检测到装置800的打开/关闭状态，组件的相对定位，例如所述组件为装置800的显示器和小键盘，传感器组件814还可以检测装置800或装置800一个组件的位置改变，用户与装置800接触的存在或不存在，装置800方位或加速/减速和装置800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于装置800和其他设备之间有线或无线方式的通信。装置800可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件816还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。

在示例性实施例中，装置800可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种非易失性计算机可读存储介质，例如包括计算机程序指令的存储器804，上述计算机程序指令可由装置800的处理器820执行以完成上述方法。

本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式压缩盘只读存储器(cd-rom)、数字多功能盘(dvd)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如smalltalk、c++等，以及常规的过程式编程语言—诸如“c”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上已经描述了本公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。