网页后门检测方法、设备、存储介质及装置制造方法及图纸

本发明专利技术公开了一种网页后门检测方法、设备、存储介质及装置，该方法包括：获取待检测网络脚本，将所述待检测网络脚本与预设网页后门规则进行匹配；若匹配失败，则通过预设提取模型对所述待检测网络脚本进行特征提取，获得目标脚本特征；通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果。本发明专利技术中，通过将规则检测和基于机器学习的模型检测相结合，提高系统检测所述待检测网络脚本是否为网页后门的准确性。

Web Backdoor Detection Method, Equipment, Storage Medium and Device

The invention discloses a web page backdoor detection method, device, storage medium and device. The method includes: acquiring the network script to be detected, matching the network script to be detected with the preset web page backdoor rules; if the matching fails, extracting the features of the network script to be detected through the preset extraction model to obtain the features of the target script; and adopting the preset detection model to obtain the features of the target script. Type A detects the script features of the target and obtains the result of the target detection. In the invention, by combining rule detection with model detection based on machine learning, the accuracy of the system detecting whether the network script to be detected is the back door of the web page is improved.

【技术实现步骤摘要】
网页后门检测方法、设备、存储介质及装置
本专利技术涉及监控
，尤其涉及一种网页后门检测方法、设备、存储介质及装置。
技术介绍
目前，网页后门(webshell)就是以动态服务器页面(ActiveServerPages，ASP)、超文本预处理器(HypertextPreprocessor，PHP)、java服务器页面(JavaServerPages，JSP)或者通用网关接口(CommonGatewayInterface，CGI)等网页文件形式存在的一种命令执行环境。黑客在入侵了一个网站后，通常会将ASP或PHP后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问ASP或PHP后门，得到一个命令执行环境，以达到控制网站服务器的目的。网页后门通常包含较为明显的静态特征，目前，根据所述静态特征对网页脚本进行检测，以检测所述网页脚本是否为网页后门，往往会产生很多的误报，因此，如何提高对网页后门检测的准确率是亟待解决的技术问题。上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种网页后门检测方法、设备、存储介质及装置，旨在解决现有技术中网页后门的检测误报率高的技术问题。为实现上述目的，本专利技术提供一种网页后门检测方法，所述网页后门检测方法包括以下步骤：获取待检测网络脚本，将所述待检测网络脚本与预设网页后门规则进行匹配；若匹配失败，则通过预设提取模型对所述待检测网络脚本进行特征提取，获得目标脚本特征；通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果。优选地，所述通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果之后，所述网页后门检测方法还包括：若所述目标检测结果为所述目标脚本特征是网页后门对应的特征，则根据所述目标脚本特征与对应的所述目标检测结果对所述预设检测模型进行训练。优选地，所述若匹配失败，则通过预设提取模型对所述待检测网络脚本进行特征提取，获得目标脚本特征，包括：若匹配失败，则对所述待检测网络脚本进行数据清洗，获得目标网络脚本；通过所述预设提取模型对所述目标网络脚本进行特征提取，获得目标脚本特征。优选地，所述获取待检测网络脚本，将所述待检测网络脚本与预设网页后门规则进行匹配，包括：通过网关获取待检测网络脚本，对所述待检测网络脚本进行分析，提取出多个预设维度的特征；将所述预设维度的特征与预设网页后门规则进行匹配。优选地，所述通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果之前，所述网页后门检测方法还包括：建立基础预测模型；获取样本网络脚本及对应的样本检测结果；将所述样本网络脚本通过所述预设提取模型进行特征提取，获得第一脚本特征；根据所述第一脚本特征及对应的所述样本检测结果对所述基础预测模型进行训练，获得预设检测模型。优选地，所述通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果之前，所述网页后门检测方法还包括：获取第一数量的样本网页后门，将所述样本网页后门通过所述预设提取模型进行特征提取，获得第二脚本特征；通过所述预设检测模型对所述第二脚本特征进行检测，获得评估检测结果，所述评估检测结果包括所述第二脚本特征是网页后门对应的特征的第一检测结果；统计所述第一检测结果的第二数量，根据所述第一数量和所述第二数量计算所述预设检测模型的准确率；在所述准确率超过预设阈值时，执行所述通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果的步骤。优选地，所述评估检测结果包括所述第二脚本特征不是网页后门对应的特征的第二检测结果；所述统计所述第一检测结果的第二数量，根据所述第一数量和所述第二数量计算所述预设检测模型的准确率之后，所述网页后门检测方法还包括：获取所述第二检测结果对应的第二脚本特征作为误测网页后门特征；设置所述误测网页后门特征的真实检测结果为所述误测网页后门特征是网页后门对应的特征，根据所述误测网页后门特征与对应的真实检测结果对所述预设检测模型进行训练。此外，为实现上述目的，本专利技术还提出一种网页后门检测设备，所述网页后门检测设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网页后门检测程序，所述网页后门检测程序配置为实现如上文所述的网页后门检测方法的步骤。此外，为实现上述目的，本专利技术还提出一种存储介质，所述存储介质上存储有网页后门检测程序，所述网页后门检测程序被处理器执行时实现如上文所述的网页后门检测方法的步骤。此外，为实现上述目的，本专利技术还提出一种网页后门检测装置，所述网页后门检测装置包括：匹配模块，用于获取待检测网络脚本，将所述待检测网络脚本与预设网页后门规则进行匹配；提取模块，用于若匹配失败，则通过预设提取模型对所述待检测网络脚本进行特征提取，获得目标脚本特征；检测模块，用于通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果。本专利技术中，获取待检测网络脚本，将所述待检测网络脚本与预设网页后门规则进行匹配，通过基于规则的匹配对所述待检测网络脚本进行检测，对于特征明显的网页后门能够被检测出来；若匹配失败，则通过预设提取模型对所述待检测网络脚本进行特征提取，获得目标脚本特征，通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果，通过将规则检测和基于机器学习的模型检测相结合，未能通过规则匹配检测出的网页后门，可通过基于机器学习的模型进一步进行检测，所述预设检测模型经过大量的样本学习和检测准确率的评估，具有较好的检测效果，从而提高系统检测网络脚本是否为网页后门的准确性。附图说明图1是本专利技术实施例方案涉及的硬件运行环境的网页后门检测设备的结构示意图；图2为本专利技术网页后门检测方法第一实施例的流程示意图；图3为本专利技术网页后门检测方法第二实施例的流程示意图；图4为本专利技术网页后门检测方法第三实施例的流程示意图；图5为本专利技术网页后门检测装置第一实施例的结构框图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。参照图1，图1为本专利技术实施例方案涉及的硬件运行环境的网页后门检测设备结构示意图。如图1所示，该网页后门检测设备可以包括：处理器1001，例如中央处理器(CentralProcessingUnit，CPU)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)，可选用户接口1003还可以包括标准的有线接口、无线接口，对于用户接口1003的有线接口在本专利技术中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity，WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccessMemory，RAM)存储器，也可以是稳定的存储器(Non-volatileMemory，NVM)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。本领域技术人员可以理解，图1中示出的结构并不构成对网页后门检测设备的限定，可以包括比图示更多或更少本文档来自技高网...

【技术保护点】
1.一种网页后门检测方法，其特征在于，所述网页后门检测方法包括以下步骤：获取待检测网络脚本，将所述待检测网络脚本与预设网页后门规则进行匹配；若匹配失败，则通过预设提取模型对所述待检测网络脚本进行特征提取，获得目标脚本特征；通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果。

【技术特征摘要】
1.一种网页后门检测方法，其特征在于，所述网页后门检测方法包括以下步骤：获取待检测网络脚本，将所述待检测网络脚本与预设网页后门规则进行匹配；若匹配失败，则通过预设提取模型对所述待检测网络脚本进行特征提取，获得目标脚本特征；通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果。2.如权利要求1所述的网页后门检测方法，其特征在于，所述通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果之后，所述网页后门检测方法还包括：若所述目标检测结果为所述目标脚本特征是网页后门对应的特征，则根据所述目标脚本特征与对应的所述目标检测结果对所述预设检测模型进行训练。3.如权利要求2所述的网页后门检测方法，其特征在于，所述若匹配失败，则通过预设提取模型对所述待检测网络脚本进行特征提取，获得目标脚本特征，包括：若匹配失败，则对所述待检测网络脚本进行数据清洗，获得目标网络脚本；通过所述预设提取模型对所述目标网络脚本进行特征提取，获得目标脚本特征。4.如权利要求1-3中任一项所述的网页后门检测方法，其特征在于，所述获取待检测网络脚本，将所述待检测网络脚本与预设网页后门规则进行匹配，包括：通过网关获取待检测网络脚本，对所述待检测网络脚本进行分析，提取出多个预设维度的特征；将所述预设维度的特征与预设网页后门规则进行匹配。5.如权利要求4所述的网页后门检测方法，其特征在于，所述通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果之前，所述网页后门检测方法还包括：建立基础预测模型；获取样本网络脚本及对应的样本检测结果；将所述样本网络脚本通过所述预设提取模型进行特征提取，获得第一脚本特征；根据所述第一脚本特征及对应的所述样本检测结果对所述基础预测模型进行训练，获得预设检测模型。6.如权利要求5所述的网页后门检测方法，其特征在于，所述通过预设检测模型对所述目标脚本特征进行检测，获得目标检测结果之前，所述网页后门检测方...

【专利技术属性】
技术研发人员：李坤，
申请(专利权)人：平安科技深圳有限公司，
类型：发明
国别省市：广东,44