非法页面检测方法、系统、计算机系统和可读存储介质技术方案

本公开提供了一种非法页面检测方法，包括：获取当前页面的第一框架特征信息；获取预定页面的第二框架特征信息；比较第一框架特征信息与第二框架特征信息，得到当前页面与预定页面的相似度；以及基于相似度，判断当前页面是否是非法页面。本公开还提供了一种非法页面检测系统、一种计算机系统和一种计算机可读存储介质。

Illegal page detection method, system, computer system and readable storage medium

The disclosure provides an illegal page detection method, including: obtaining the first frame feature information of the current page; obtaining the second frame feature information of the predetermined page; comparing the first frame feature information with the second frame feature information to obtain the similarity between the current page and the predetermined page; and judging when based on similarity. Whether the front page is an illegal page. The present disclosure also provides an illegal page detection system, a computer system and a computer readable storage medium.

【技术实现步骤摘要】
非法页面检测方法、系统、计算机系统和可读存储介质
本公开涉及一种非法页面检测方法、系统、计算机系统和可读存储介质。
技术介绍
Webshell是一种以网页文件形式存在的命令执行环境，可以用于管理网站服务器。目前，黑客通常会采用各种手段将变种的Webshell上传到网站服务器并利用Webshell的这种管理特性入侵网站。由于上传Webshell后，黑客必须连接Webshell才能实现入侵，因此可以通过检测Webshell的连接行为来判断是否存在黑客入侵。由于连接Webshell的过程中通常会涉及Http请求和Http响应，并且Http请求和Http响应中一般会带有对应的文本特征，因而相关技术一般会基于文本特征检测是否存在黑客入侵。然而，在实现本公开构思的过程中，专利技术人发现相关技术中至少存在如下缺陷：基于文本特征检测是否存在黑客入侵，不仅容易被黑客通过变种Http请求和Http响应绕过，而且由于变种的Http请求和Http响应太多导致工作人员需要维护庞大的规则库。
技术实现思路
本公开的一个方面提供了一种非法页面检测方法，包括：获取当前页面的第一框架特征信息；获取预定页面的第二框架特征信息；比较上述第一框架特征信息与上述第二框架特征信息，得到上述当前页面与上述预定页面的相似度；以及基于上述相似度，判断上述当前页面是否是非法页面。可选地，上述当前页面的第一框架特征信息包括上述当前页面的第一dom树的深度；上述预定页面的第二框架特征信息包括上述预定页面的第二dom树的深度；上述比较上述第一框架特征信息与上述第二框架特征信息，得到上述当前页面与上述预定页面的相似度，包括：比较上述第一dom树的深度与上述第二dom树的深度，得到上述当前页面与上述预定页面的相似度。可选地，上述预定页面包括多个预定页面；上述第二dom树的深度包括多个第二dom树的深度；每个预定页面对应于一个第二dom树的深度；上述比较上述第一dom树的深度与上述第二dom树的深度，得到上述当前页面与上述预定页面的相似度，包括：确定上述多个第二dom树中与上述第一dom树类型相似或相同的第三dom树；以及比较上述第一dom树的深度与上述第三dom树的深度，得到上述当前页面与上述第三dom树的对应页面的相似度。可选地，确定上述多个第二dom树中与上述第一dom树类型相似或相同的第三dom树，包括：从上述第一dom树中提取满足预设深度的第四dom树；从每个第二dom树中提取满足上述预设深度的第五dom树，得到多个第五dom树；确定上述多个第五dom树中与上述第四dom树相似或相同的目标dom树；以及将与上述目标dom树对应的第二dom树确定为上述第三dom树。可选地，上述预定页面包括多个预定页面；上述第二dom树的深度包括多个第二dom树的深度；每个预定页面对应于一个第二dom树的深度；上述比较上述第一dom树的深度与上述第二dom树的深度，得到上述当前页面与上述预定页面的相似度，包括：比较上述第一dom树的深度与上述多个第二dom树的深度中的每个的深度，得到上述当前页面与上述多个预定页面的相似度。可选地，上述基于上述相似度，判断上述当前页面是否是非法页面，包括：判断上述相似度是否大于相似度阈值；以及在上述相似度大于上述相似度阈值的情况下，确定上述当前页面是非法页面。本公开的另一个方面提供了一种非法页面检测系统，包括：第一获取模块，用于获取当前页面的第一框架特征信息；第二获取模块，用于获取预定页面的第二框架特征信息；比较模块，用于比较上述第一框架特征信息与上述第二框架特征信息，得到上述当前页面与上述预定页面的相似度；以及判断模块，用于基于上述相似度，判断上述当前页面是否是非法页面。可选地，上述当前页面的第一框架特征信息包括上述当前页面的第一dom树的深度；上述预定页面的第二框架特征信息包括上述预定页面的第二dom树的深度；上述比较模块还用于，比较上述第一dom树的深度与上述第二dom树的深度，得到上述当前页面与上述预定页面的相似度。可选地，上述预定页面包括多个预定页面；上述第二dom树的深度包括多个第二dom树的深度；每个预定页面对应于一个第二dom树的深度；上述比较模块包括：第一确定单元，用于确定上述多个第二dom树中与上述第一dom树类型相似或相同的第三dom树；以及比较单元，用于比较上述第一dom树的深度与上述第三dom树的深度，得到上述当前页面与上述第三dom树的对应页面的相似度。可选地，上述确定单元包括：第一提取子单元，用于从上述第一dom树中提取满足预设深度的第四dom树；第二提取子单元，用于从每个第二dom树中提取满足上述预设深度的第五dom树，得到多个第五dom树；第一确定子单元，用于确定上述多个第五dom树中与上述第四dom树相似或相同的目标dom树；以及第二确定子单元，用于将与上述目标dom树对应的第二dom树确定为上述第三dom树。可选地，上述预定页面包括多个预定页面；上述第二dom树的深度包括多个第二dom树的深度；每个预定页面对应于一个第二dom树的深度；上述比较模块还用于，比较上述第一dom树的深度与上述多个第二dom树的深度中的每个的深度，得到上述当前页面与上述多个预定页面的相似度。可选地，上述判断模块包括：判断单元，用于判断上述相似度是否大于相似度阈值；以及第二确定单元，用于在上述相似度大于上述相似度阈值的情况下，确定上述当前页面是非法页面。本公开的另一个方面提供了一种计算机系统，包括：一个或多个处理器；计算机可读存储介质，用于存储一个或多个程序，其中，当上述一个或多个程序被上述一个或多个处理器执行时，使得上述一个或多个处理器实现如上所述的非法页面检测方法。本公开的另一个方面提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使所述处理器实现如上所述的非法页面检测方法。附图说明为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：图1示意性示出了根据本公开实施例的非法页面检测方法和系统的应用场景；图2示意性示出了根据本公开实施例的非法页面检测方法的流程图；图3A示意性示出了根据本公开实施例的通过比较dom树的深度得到当前页面与预定页面的相似度的流程图；图3B示意性示出了根据本公开实施例的确定第三dom树的流程图；图3C示意性示出了根据本公开实施例的判断当前页面是否是非法页面的流程图；图3D示意性示出了根据本公开实施例的连接webshell的流程图；图3E示意性示出了根据本公开另一实施例的非法页面检测方法的流程图；图4示意性示出了根据本公开实施例的非法页面检测系统的框图；图5A示意性示出了根据本公开实施例的比较模块的框图；图5B示意性示出了根据本公开实施例的确定单元的框图；图5C示意性示出了根据本公开实施例的判断模块的框图；以及图6示意性示出了根据本公开实施例的适于实现非法页面检测方法的计算机系统的框图。具体实施方式以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明本文档来自技高网...

【技术保护点】
1.一种非法页面检测方法，包括：获取当前页面的第一框架特征信息；获取预定页面的第二框架特征信息；比较所述第一框架特征信息与所述第二框架特征信息，得到所述当前页面与所述预定页面的相似度；以及基于所述相似度，判断所述当前页面是否是非法页面。

【技术特征摘要】
1.一种非法页面检测方法，包括：获取当前页面的第一框架特征信息；获取预定页面的第二框架特征信息；比较所述第一框架特征信息与所述第二框架特征信息，得到所述当前页面与所述预定页面的相似度；以及基于所述相似度，判断所述当前页面是否是非法页面。2.根据权利要求1所述的方法，其中：所述当前页面的第一框架特征信息包括所述当前页面的第一dom树的深度；所述预定页面的第二框架特征信息包括所述预定页面的第二dom树的深度；所述比较所述第一框架特征信息与所述第二框架特征信息，得到所述当前页面与所述预定页面的相似度，包括：比较所述第一dom树的深度与所述第二dom树的深度，得到所述当前页面与所述预定页面的相似度。3.根据权利要求2所述的方法，其中：所述预定页面包括多个预定页面；所述第二dom树的深度包括多个第二dom树的深度；每个预定页面对应于一个第二dom树的深度；所述比较所述第一dom树的深度与所述第二dom树的深度，得到所述当前页面与所述预定页面的相似度，包括：确定所述多个第二dom树中与所述第一dom树类型相似或相同的第三dom树；以及比较所述第一dom树的深度与所述第三dom树的深度，得到所述当前页面与所述第三dom树的对应页面的相似度。4.根据权利要求3所述的方法，其中，确定所述多个第二dom树中与所述第一dom树类型相似或相同的第三dom树，包括：从所述第一dom树中提取满足预设深度的第四dom树；从每个第二dom树中提取满足所述预设深度的第五dom树，得到多个第五dom树；确定所述多个第五dom树中与所述第四dom树相似或相同的目标dom树；以及将与所述目标dom树对应的第二dom树确定为所述第三dom树。5.根据权利要求2所述的方法，其中：所述预定页面包括多个预定页面；所述第二dom树的深度包括多个第二dom树的深度；每个预定页面对应于一个第二dom树的深度；所述比较所述第一dom树的深度与所述第二dom树的深度，得到所述当前页面与所述预定页面的相似度，包括：比较所述第一dom树的深度与所述多个第二dom树的深度中的每个的深度，得到所述当前页面与所述多个预定页面的相似度。6.根据权利要求1所述的方法，其中，所述基于所述相似度，判断所述当前页面是否是非法页面，包括：判断所述相似度是否大于相似度阈值；以及在所述相似度大于所述相似度阈值的情况下，确定所述当前页面是非法页面。7.一种非法页面检测系统，包括：第一获取模块，用于获取当前页面的第一框架特征信息；第二获取模块，用于获取预定页面...

【专利技术属性】
技术研发人员：李忠，
申请(专利权)人：北京奇安信科技有限公司，
类型：发明
国别省市：北京,11