本发明专利技术提供了一种基于逃逸行为分析的暗链检测方法及装置,所述方法包括:获取被检测网站在接收到模拟浏览器发送的访问请求后响应的第一HTML源代码;当所述第一HTML源代码不存在逃逸行为时,获取被检测网站在接收到模拟搜索引擎发送的访问请求后响应的第二HTML源代码;当所述第二HTML源代码不存在逃逸行为时,将所述第一HTML源代码和所述第二HTML源代码进行对比;当所述第一HTML源代码和所述第二HTML源代码内存在任一代码区块不一致时,确定所述第二HTML源代码内存在暗链。缓解了现有暗链检测技术中存在的检测结果的准确性不高的技术问题,达到了提高暗链检测结果准确性的技术效果。
【技术实现步骤摘要】
基于逃逸行为分析的暗链检测方法及装置
本专利技术涉及网络安全
,尤其是涉及一种基于逃逸行为分析的暗链检测方法及装置。
技术介绍
暗链是一种特殊的网页超链接,通过比较隐蔽的技术手法植入于网站代码中,通常无法直接通过浏览器查看到,主要用途是利用搜索引擎以及网站相互引用来获得较高的搜索排名和较大的网站访问流量。暗链恶意地将自己网站链接挂接到别人的网站上,欺骗搜索引擎提升自己网站的排名。暗链检测领域现有的技术主要包括:特征库黑名单检测技术和浏览器渲染链接元素样式属性判断技术。现有技术都依赖于特征进行计算,多产生误报,造成检测结果的准确性不高的问题。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种基于逃逸行为分析的暗链检测方法及装置,以缓解现有技术中存在的检测结果的准确性不高的技术问题。第一方面,本专利技术实施例提供了一种基于逃逸行为分析的暗链检测方法,所述方法包括:获取被检测网站在接收到模拟浏览器发送的访问请求后响应的第一HTML源代码;当所述第一HTML源代码不存在逃逸行为时,获取被检测网站在接收到模拟搜索引擎发送的访问请求后响应的第二HTML源代码;当所述第二HTML源代码不存在逃逸行为时,将所述第一HTML源代码和所述第二HTML源代码进行对比;当所述第一HTML源代码和所述第二HTML源代码内存在任一代码区块不一致时,确定所述第二HTML源代码内存在暗链。结合第一方面,本专利技术实施例提供了第一方面的第一种可能的实施方式,其中,所述逃逸行为包括:Unicode转码、JavaScript加密、敏感关键字拆分、网页标题内容随机、用户代理规避和访问来源规避。结合第一方面,本专利技术实施例提供了第一方面的第二种可能的实施方式,其中,所述方法还包括:使用正则表达式查找所述第二HTML源代码中是否存在大于预设数量的Unicode编码的字符;若所述第二HTML源代码中存在大于预设数量的Unicode编码的字符,确定所述第二HTML源代码内存在暗链;若所述第二HTML源代码中存在小于或者等于预设数量的Unicode编码的字符,确定所述第二HTML源代码不存在逃逸行为。结合第一方面,本专利技术实施例提供了第一方面的第三种可能的实施方式,其中,所述方法还包括:查找所述第二HTML源代码是否包括预设加密函数;若所述第二HTML源代码包括所述预设加密函数,则查找所述预设加密函数调用的功能函数内是否包含预设的函数变量名;若所述预设加密函数调用的功能函数内包含预设的函数变量名,则确定所述第二HTML源代码内存在暗链;若所述预设加密函数调用的功能函数内不包含预设的函数变量名,则确定所述第二HTML源代码不存在逃逸行为。结合第一方面,本专利技术实施例提供了第一方面的第四种可能的实施方式,其中,所述方法还包括:替换所述第二HTML源代码中的非可打印字符和数字字符为空字符,得到第三HTML源代码;若在所述第二HTML源代码中未发现敏感关键字且在所述第三HTML源代码中发现敏感关键字,则确定所述第二HTML源代码内存在暗链;若在所述第二HTML源代码中未发现敏感关键字且在所述第三HTML源代码中未发现敏感关键字,则确定所述第二HTML源代码不存在逃逸行为。结合第一方面,本专利技术实施例提供了第一方面的第五种可能的实施方式,其中,所述方法还包括:多次获取所述第二HTML源代码对应的被检测网站的标题;若每一次获取到的所述标题均不相同,则确定所述第二HTML源代码内存在暗链;若多次得到的所述标题均相同,则确定所述第二HTML源代码不存在逃逸行为。结合第一方面,本专利技术实施例提供了第一方面的第六种可能的实施方式,其中,所述方法还包括:通过模拟浏览器的搜索引擎访问被检测网站的首页;在将所述模拟浏览器的搜索引擎设置为模拟搜索引擎后,通过模拟浏览器的模拟搜索引擎访问被检测网站的首页;若所述被检测网站的首页跳转至非法网页页面,则确定所述第二HTML源代码内存在暗链;若所述被检测网站的首页未跳转至非法网页页面,则确定所述第二HTML源代码不存在逃逸行为。结合第一方面,本专利技术实施例提供了第一方面的第七种可能的实施方式,其中,所述将所述第一HTML源代码和所述第二HTML源代码进行对比,包括:将所述第一HTML源代码中的多个代码区块分别与所述第二HTML源代码中对应的代码区块对比;若所述第二HTML源代码中存在任一代码区块的标题内容与所述第一HTML源代码中对应的代码区块的标题内容不同,则确定所述第一HTML源代码和所述第二HTML源代码内存在任一代码区块不一致。第二方面,本专利技术实施例还提供一种基于逃逸行为分析的暗链检测装置,包括:第一获取模块,用于获取被检测网站在接收到模拟浏览器发送的访问请求后响应的第一HTML源代码;第二获取模块,用于当所述第一HTML源代码不存在逃逸行为时,获取被检测网站在接收到模拟搜索引擎发送的访问请求后响应的第二HTML源代码;对比模块,用于当所述第二HTML源代码不存在逃逸行为时,将所述第一HTML源代码和所述第二HTML源代码进行对比;确定模块,用于当所述第一HTML源代码和所述第二HTML源代码内存在任一代码区块不一致时,确定所述第二HTML源代码内存在暗链。第三方面,本专利技术实施例还提供一种电子设备,包括存储器和处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述权利要求1至8任一项所述的方法的步骤。本专利技术实施例带来了以下有益效果:本专利技术实施例提供的基于逃逸行为分析的暗链检测方法包括:获取被检测网站在接收到模拟浏览器发送的访问请求后响应的第一HTML源代码;当所述第一HTML源代码不存在逃逸行为时,获取被检测网站在接收到模拟搜索引擎发送的访问请求后响应的第二HTML源代码;当所述第二HTML源代码不存在逃逸行为时,将所述第一HTML源代码和所述第二HTML源代码进行对比;当所述第一HTML源代码和所述第二HTML源代码内存在任一代码区块不一致时,确定所述第二HTML源代码内存在暗链。本专利技术实施例中,所述基于逃逸行为分析的暗链检测方法可以模拟搜索引擎的信息来访问被检测网站,将获取到的所述第二HTML源代码进行逃逸行为分析。当所述第二HTML源代码存在逃逸行为时,则确定所述第二HTML源代码中存在暗链。当所述第二HTML源代码不存在逃逸行为时,将所述第一HTML源代码和所述第二HTML源代码进行对比,当所述第一HTML源代码和所述第二HTML源代码内存在任一代码区块不一致时,确定所述第二HTML源代码内存在暗链。所述基于逃逸行为分析的暗链检测方法从网络安全攻防对抗的角度出发,不局限于现有的已知暗链黑名单,能够检测各种暗链。缓解了现有暗链检测技术中存在的检测结果的准确性不高的技术问题,达到了提高暗链检测结果准确性的技术效果。本专利技术的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技本文档来自技高网...
【技术保护点】
一种基于逃逸行为分析的暗链检测方法,其特征在于,所述方法包括:获取被检测网站在接收到模拟浏览器发送的访问请求后响应的第一HTML源代码;当所述第一HTML源代码不存在逃逸行为时,获取被检测网站在接收到模拟搜索引擎发送的访问请求后响应的第二HTML源代码;当所述第二HTML源代码不存在逃逸行为时,将所述第一HTML源代码和所述第二HTML源代码进行对比;当所述第一HTML源代码和所述第二HTML源代码内存在任一代码区块不一致时,确定所述第二HTML源代码内存在暗链。
【技术特征摘要】
1.一种基于逃逸行为分析的暗链检测方法,其特征在于,所述方法包括:获取被检测网站在接收到模拟浏览器发送的访问请求后响应的第一HTML源代码;当所述第一HTML源代码不存在逃逸行为时,获取被检测网站在接收到模拟搜索引擎发送的访问请求后响应的第二HTML源代码;当所述第二HTML源代码不存在逃逸行为时,将所述第一HTML源代码和所述第二HTML源代码进行对比;当所述第一HTML源代码和所述第二HTML源代码内存在任一代码区块不一致时,确定所述第二HTML源代码内存在暗链。2.根据权利要求1所述的基于逃逸行为分析的暗链检测方法,其特征在于,所述逃逸行为包括:Unicode转码、JavaScript加密、敏感关键字拆分、网页标题内容随机、用户代理规避和访问来源规避。3.根据权利要求2所述的基于逃逸行为分析的暗链检测方法,其特征在于,所述方法还包括:使用正则表达式查找所述第二HTML源代码中是否存在大于预设数量的Unicode编码的字符;若所述第二HTML源代码中存在大于预设数量的Unicode编码的字符,确定所述第二HTML源代码内存在暗链;若所述第二HTML源代码中存在小于或者等于预设数量的Unicode编码的字符,确定所述第二HTML源代码不存在逃逸行为。4.根据权利要求2所述的基于逃逸行为分析的暗链检测方法,其特征在于,所述方法还包括:查找所述第二HTML源代码是否包括预设加密函数;若所述第二HTML源代码包括所述预设加密函数,则查找所述预设加密函数调用的功能函数内是否包含预设的函数变量名;若所述预设加密函数调用的功能函数内包含预设的函数变量名,则确定所述第二HTML源代码内存在暗链;若所述预设加密函数调用的功能函数内不包含预设的函数变量名,则确定所述第二HTML源代码不存在逃逸行为。5.根据权利要求2所述的基于逃逸行为分析的暗链检测方法,其特征在于,所述方法还包括:替换所述第二HTML源代码中的非可打印字符和数字字符为空字符,得到第三HTML源代码;若在所述第二HTML源代码中未发现敏感关键字且在所述第三HTML源代码中发现敏感关键字,则确定所述第二HTML源代码内存在暗链;若在所述第二HTML源代码中未发现敏感关键字且在所述第三HTML源...
【专利技术属性】
技术研发人员:陈建勇,范渊,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。