CN108650250B - 非法页面检测方法、系统、计算机系统和可读存储介质 - Google Patents
非法页面检测方法、系统、计算机系统和可读存储介质 Download PDFInfo
- Publication number
- CN108650250B CN108650250B CN201810390940.4A CN201810390940A CN108650250B CN 108650250 B CN108650250 B CN 108650250B CN 201810390940 A CN201810390940 A CN 201810390940A CN 108650250 B CN108650250 B CN 108650250B
- Authority
- CN
- China
- Prior art keywords
- dom tree
- page
- depth
- dom
- similarity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本公开提供了一种非法页面检测方法,包括:获取当前页面的第一框架特征信息;获取预定页面的第二框架特征信息;比较第一框架特征信息与第二框架特征信息,得到当前页面与预定页面的相似度;以及基于相似度,判断当前页面是否是非法页面。本公开还提供了一种非法页面检测系统、一种计算机系统和一种计算机可读存储介质。
Description
技术领域
本公开涉及一种非法页面检测方法、系统、计算机系统和可读存储介质。
背景技术
Webshell是一种以网页文件形式存在的命令执行环境,可以用于管理网站服务器。目前,黑客通常会采用各种手段将变种的Webshell上传到网站服务器并利用Webshell的这种管理特性入侵网站。
由于上传Webshell后,黑客必须连接Webshell才能实现入侵,因此可以通过检测Webshell的连接行为来判断是否存在黑客入侵。
由于连接Webshell的过程中通常会涉及Http请求和Http响应,并且Http请求和Http响应中一般会带有对应的文本特征,因而相关技术一般会基于文本特征检测是否存在黑客入侵。
然而,在实现本公开构思的过程中,发明人发现相关技术中至少存在如下缺陷:基于文本特征检测是否存在黑客入侵,不仅容易被黑客通过变种Http请求和Http响应绕过,而且由于变种的Http请求和Http响应太多导致工作人员需要维护庞大的规则库。
发明内容
本公开的一个方面提供了一种非法页面检测方法,包括:获取当前页面的第一框架特征信息;获取预定页面的第二框架特征信息;比较上述第一框架特征信息与上述第二框架特征信息,得到上述当前页面与上述预定页面的相似度;以及基于上述相似度,判断上述当前页面是否是非法页面。
可选地,上述当前页面的第一框架特征信息包括上述当前页面的第一dom树的深度;上述预定页面的第二框架特征信息包括上述预定页面的第二dom树的深度;上述比较上述第一框架特征信息与上述第二框架特征信息,得到上述当前页面与上述预定页面的相似度,包括:比较上述第一dom树的深度与上述第二dom树的深度,得到上述当前页面与上述预定页面的相似度。
可选地,上述预定页面包括多个预定页面;上述第二dom树的深度包括多个第二dom树的深度;每个预定页面对应于一个第二dom树的深度;上述比较上述第一dom树的深度与上述第二dom树的深度,得到上述当前页面与上述预定页面的相似度,包括:确定上述多个第二dom树中与上述第一dom树类型相似或相同的第三dom树;以及比较上述第一dom树的深度与上述第三dom树的深度,得到上述当前页面与上述第三dom树的对应页面的相似度。
可选地,确定上述多个第二dom树中与上述第一dom树类型相似或相同的第三dom树,包括:从上述第一dom树中提取满足预设深度的第四dom树;从每个第二dom树中提取满足上述预设深度的第五dom树,得到多个第五dom树;确定上述多个第五dom树中与上述第四dom树相似或相同的目标dom树;以及将与上述目标dom树对应的第二dom树确定为上述第三dom树。
可选地,上述预定页面包括多个预定页面;上述第二dom树的深度包括多个第二dom树的深度;每个预定页面对应于一个第二dom树的深度;上述比较上述第一dom树的深度与上述第二dom树的深度,得到上述当前页面与上述预定页面的相似度,包括:比较上述第一dom树的深度与上述多个第二dom树的深度中的每个的深度,得到上述当前页面与上述多个预定页面的相似度。
可选地,上述基于上述相似度,判断上述当前页面是否是非法页面,包括:判断上述相似度是否大于相似度阈值;以及在上述相似度大于上述相似度阈值的情况下,确定上述当前页面是非法页面。
本公开的另一个方面提供了一种非法页面检测系统,包括:第一获取模块,用于获取当前页面的第一框架特征信息;第二获取模块,用于获取预定页面的第二框架特征信息;比较模块,用于比较上述第一框架特征信息与上述第二框架特征信息,得到上述当前页面与上述预定页面的相似度;以及判断模块,用于基于上述相似度,判断上述当前页面是否是非法页面。
可选地,上述当前页面的第一框架特征信息包括上述当前页面的第一dom树的深度;上述预定页面的第二框架特征信息包括上述预定页面的第二dom树的深度;上述比较模块还用于,比较上述第一dom树的深度与上述第二dom树的深度,得到上述当前页面与上述预定页面的相似度。
可选地,上述预定页面包括多个预定页面;上述第二dom树的深度包括多个第二dom树的深度;每个预定页面对应于一个第二dom树的深度;上述比较模块包括:第一确定单元,用于确定上述多个第二dom树中与上述第一dom树类型相似或相同的第三dom树;以及比较单元,用于比较上述第一dom树的深度与上述第三dom树的深度,得到上述当前页面与上述第三dom树的对应页面的相似度。
可选地,上述确定单元包括:第一提取子单元,用于从上述第一dom树中提取满足预设深度的第四dom树;第二提取子单元,用于从每个第二dom树中提取满足上述预设深度的第五dom树,得到多个第五dom树;第一确定子单元,用于确定上述多个第五dom树中与上述第四dom树相似或相同的目标dom树;以及第二确定子单元,用于将与上述目标dom树对应的第二dom树确定为上述第三dom树。
可选地,上述预定页面包括多个预定页面;上述第二dom树的深度包括多个第二dom树的深度;每个预定页面对应于一个第二dom树的深度;上述比较模块还用于,比较上述第一dom树的深度与上述多个第二dom树的深度中的每个的深度,得到上述当前页面与上述多个预定页面的相似度。
可选地,上述判断模块包括:判断单元,用于判断上述相似度是否大于相似度阈值;以及第二确定单元,用于在上述相似度大于上述相似度阈值的情况下,确定上述当前页面是非法页面。
本公开的另一个方面提供了一种计算机系统,包括:一个或多个处理器;计算机可读存储介质,用于存储一个或多个程序,其中,当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器实现如上所述的非法页面检测方法。
本公开的另一个方面提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使所述处理器实现如上所述的非法页面检测方法。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本公开实施例的非法页面检测方法和系统的应用场景;
图2示意性示出了根据本公开实施例的非法页面检测方法的流程图;
图3A示意性示出了根据本公开实施例的通过比较dom树的深度得到当前页面与预定页面的相似度的流程图;
图3B示意性示出了根据本公开实施例的确定第三dom树的流程图;
图3C示意性示出了根据本公开实施例的判断当前页面是否是非法页面的流程图;
图3D示意性示出了根据本公开实施例的连接webshell的流程图;
图3E示意性示出了根据本公开另一实施例的非法页面检测方法的流程图;
图4示意性示出了根据本公开实施例的非法页面检测系统的框图;
图5A示意性示出了根据本公开实施例的比较模块的框图;
图5B示意性示出了根据本公开实施例的确定单元的框图;
图5C示意性示出了根据本公开实施例的判断模块的框图;以及
图6示意性示出了根据本公开实施例的适于实现非法页面检测方法的计算机系统的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。本领域技术人员还应理解,实质上任意表示两个或更多可选项目的转折连词和/或短语,无论是在说明书、权利要求书还是附图中,都应被理解为给出了包括这些项目之一、这些项目任一方、或两个项目的可能性。例如,短语“A或B”应当被理解为包括“A”或“B”、或“A和B”的可能性。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。
因此,本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中,计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
本公开的实施例提供了一种检测方法,包括:获取当前页面的第一框架特征信息;获取预定页面的第二框架特征信息;比较第一框架特征信息与第二框架特征信息,得到当前页面与预定页面的相似度;以及基于相似度,判断当前页面是否是非法页面。
图1示意性示出了根据本公开实施例的非法页面检测方法和系统的应用场景。需要注意的是,图1所示仅为可以应用本公开实施例的场景的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
webshell是一种以网页文件形式存在的命令执行环境,可以用于管理网站服务器。目前,黑客通常会采用各种手段将变种的webshell上传到网站服务器并利用webshell的这种管理特性入侵网站。由于上传webshell后,黑客必须连接Webshell才能实现入侵,因此可以通过检测webshell的连接行为来判断是否存在黑客入侵。
如图1所示,假设用户101想要连接服务器102中的webshell,以管理或入侵服务器102。此时,可以通过该webshell的连接行为判断是否存在黑客入侵。
目前,相关技术是基于连接webshell的过程中涉及的http请求和http响应所带有的文本特征,检测是否存在黑客入侵。但是,基于文本特征检测是否存在黑客入侵,不仅容易被黑客通过变种http请求和http响应绕过,而且由于变种的http请求和http响应太多导致工作人员需要维护庞大的规则库。
此时,可以通过本公开的实施例检测该webshell的连接行为。具体地,可以获取当前页面的第一框架特征信息;获取预定页面的第二框架特征信息;比较第一框架特征信息与第二框架特征信息,得到当前页面与预定页面的相似度;基于相似度,判断当前页面是否是非法页面。
图2示意性示出了根据本公开实施例的非法页面检测方法的流程图。
如图2所示,该非法页面检测方法可以包括操作S201~操作S204,其中:
在操作S201,获取当前页面的第一框架特征信息。
在操作S202,获取预定页面的第二框架特征信息。
在操作S203,比较第一框架特征信息与第二框架特征信息,得到当前页面与预定页面的相似度。
在操作S204,基于相似度,判断当前页面是否是非法页面。
webshell是一种以网页文件形式存在的命令执行环境,也可以将其称做为一种网页后门,简称为web后门,其可以用于管理网站服务器。目前,黑客通常会采用各种手段将变种的webshell上传到网站服务器并利用webshell的这种管理特性入侵网站。然而,无论是管理人员还是黑客,若想通过webshell管理或者入侵网站,必须要成功连接webshell,且在连接成功后,webshell所在的服务器会返回一个管理页面。此时,管理人员或者黑客可以通过该管理页面管理或入侵网站服务器。为了判断当前针对webshell的连接行为是否是黑客的入侵行为,可以通过检测该管理页面是否是非法页面来判断。
目前,被黑客所利用的webshell虽然众多,但是,其中的大部分都是根据某种特定的webshell变种而来的,这些变种webshell大部分都是更改一些管理页面的标题或者增加一小部分功能。因此,这些变种webshell的管理页面的框架特征信息和其母体webshell的管理界面的框架特征信息基本不会有太大的变化。故而,可以收集到这些变种webshell的母体webshell对应的管理页面的框架特征信息,并通过比较管理页面的相似度,来判断当前管理界面是否是非法页面。
在本公开的实施例中,当前页面可以包括服务器返回的当前管理页面,第一框架特征信息可以用于表示当前页面的架构特征。预定页面可以包括预先收集的非法页面,例如非法管理页面,该预定页面可以包括一个或多个页面。第二框架特征信息可以用于表示预定页面的架构特征。
根据本公开的实施例,在服务器返回当前页面后,可以获取服务器返回的该当前页面的第一框架信息,并获取预先存储的预定页面的第二框架信息。其中,服务器返回的当前页面可以是向外部设备返回,也可以是通过与其连接的显示器上显示该当前页面。预定页面可以是存储在该服务器中,也可以是存储在外部存储设备中,在此不做限定。另外,本公开实施例的非法页面检测方法可以应用在该服务器中,也可应用程序单独的检测设备中。
根据本公开的实施例,可以比较第一框架特征信息与第二框架特征信息,进而可以得到当前页面与预定页面的相似度。在预定页面包括多个预定页面时,可以将当前页面的第一框架特征信息与每个预定页面的第二框架特征信息进行比较,进而可以得到当前页面与每个预定页面的相似度。进一步,可以基于得到的相似度,判断当前页面是否是非法页面。
与本公开的实施例不同,由于连接webshell的过程中通常会涉及http请求和http响应,并且http请求和http响应中一般会带有对应的文本特征,因而相关技术一般会基于文本特征检测是否存在黑客入侵。具体地,相关技术会将http请求和http响应中携带的文本特征与预先存储的特征库中的文本特征作比对,若比对成功,则表明这是非法人员例如黑客针对webshell的连接行为。但是,基于文本特征检测是否存在黑客入侵,不仅容易被黑客通过变种http请求和http响应绕过,而且由于变种的http请求和http响应太多导致工作人员需要维护庞大的规则库。
而通过本公开的实施例,由于框架特征信息比较复杂,即便黑客对框架特征信息做了些许调整,也可以基于相似度准确判断当前页面是否是非法页面;并且由于被黑客利用的变种webshell的母体webshell的种类不多,收集该母体webshell的管理页面的框架特征信息作为第二框架特征信息,可以减少工作人员的维护量。
作为一种可选的实施例,当前页面的第一框架特征信息可以包括当前页面的第一dom树的深度;预定页面的第二框架特征信息可以包括预定页面的第二dom树的深度;比较第一框架特征信息与第二框架特征信息,得到当前页面与预定页面的相似度,可以包括:比较第一dom树的深度与第二dom树的深度,得到当前页面与预定页面的相似度。
在本公开的实施例中,dom树可以指html页面中按顺序排列的html标签集合,dom树在一定程度上可以描述一个html页面的特征。
根据本公开的实施例,第一框架特征信息可以包括第一dom树,该第一dom树可以是当前页面中按顺序排列的页面标签集合;第二框架特征信息可以包括第二dom树,该第二dom树可以是预定页面中按顺序排列的页面标签集合。此外,第一框架特征信息还可以包括当前页面的标签,该当前页面的标签可以是未按照顺序排列;第二框架特征信息号还可以包括预定页面的标签,该预定页面的标签也可以是未按照顺序排列。
在本公开的实施中,由于每个dom树均有一定的深度,因此,第一框架特征信息可以包括第一dom树的深度,第二框架特征信息可以包括第二dom树的深度。比较第一框架特征信息与第二框架特征信息可以包括比较第一dom树的深度与第二dom树的深度,进而可以得到当前页面与预定页面的相似度。
根据本公开的实施例,比较第一dom树的深度与第二dom树的深度可以是计算第一dom树的深度与第二dom树的深度之间的莱文斯坦比,进而可以通过莱文斯坦比表示当前页面与预定页面的相似度。所谓莱文斯坦比,可以用来表示两个字符串的相似程度,莱文斯坦比的值越接近1,表示两个字符串相似度越高,在莱文斯坦比等于1的情况下,表示两个字符串相等。
通过本公开的实施例,通过比较第一dom树的深度和第二dom树的深度,可以确定当前页面和预定页面的相似度,且由于dom树结构较为复杂,因此很难被黑客通过其他特征手段绕过,进而可以提高非法页面的检出率。
作为一种可选的实施例,预定页面可以包括多个预定页面;第二dom树的深度可以包括多个第二dom树的深度;每个预定页面可以对应于一个第二dom树的深度;比较第一dom树的深度与第二dom树的深度,得到当前页面与预定页面的相似度,可以包括:确定多个第二dom树中与第一dom树类型相似或相同的第三dom树;以及比较第一dom树的深度与第三dom树的深度,得到当前页面与第三dom树的对应页面的相似度。
图3A示意性示出了根据本公开实施例的通过比较dom树的深度得到当前页面与预定页面的相似度的流程图。
如图3A所示,比较第一dom树的深度与第二dom树的深度,得到当前页面与预定页面的相似度可以包括操作S301和操作S302,其中:
在操作S301,确定多个第二dom树中与第一dom树类型相似或相同的第三dom树。
在操作S302,比较第一dom树的深度与第三dom树的深度,得到当前页面与第三dom树的对应页面的相似度。
在本公开的实施例,在预定页面包括多个预定页面时,为了降低计算量,可以只比较与当前页面的类型相似或相同的预定页面。
具体地,可以从多个第二dom树中确定出与第一dom树类型相似或相同的第三dom树,并比较该第一dom树的深度与第三dom树的深度,进而可以得到当前页面与第三dom树的对应页面的相似度。其中,比较该第一dom树的深度与第三dom树的深度可以是计算第一dom树的深度与第三dom树的深度之间的莱文斯坦比。
通过本公开的实施例,只比较类型相同或相似的dom树的深度,可以减少计算量,提高检测速度。
图3B示意性示出了根据本公开实施例的确定第三dom树的流程图。
如图3B所示,确定多个第二dom树中与第一dom树类型相似或相同的第三dom树可以包括操作S401~操作S404,其中:
在操作S401,从第一dom树中提取满足预设深度的第四dom树。
在操作S402,从每个第二dom树中提取满足预设深度的第五dom树,得到多个第五dom树。
在操作S403,确定多个第五dom树中与第四dom树相似或相同的目标dom树。
在操作S404,将与目标dom树对应的第二dom树确定为第三dom树。
在本公开的实施例中,第四dom树可以是指第一dom树中起始位置到预设深度之间的部分,第五dom树可以是指第二dom树中起始位置到预设深度之间的部分,其中,预设深度小于每个dom树的深度。
根据本公开的实施例,确定与第一dom树类型相似或相同的第三dom树可以是,将第四dom树与每个第五dom树进行比较,并将多个第五dom树与第四dom树相似或相同的dom树作为目标dom树,进而可以将与目标dom树对应的第二dom树确定为第三dom树。
由于dom树可以指页面中按顺序排列的标签集合,因此,第四dom树可以指第一dom树中起始位置到预设深度之间的按顺序排列的标签集合,第五dom树可以指第二dom树中起始位置到预设深度之间的按顺序排列的标签集合。进而,将第四dom树与每个第五dom树进行比较可以是比较第一dom树中起始位置到预设深度之间的按顺序排列的标签集合与每个第二dom树中起始位置到预设深度之间的按顺序排列的标签集合。
通过本公开的实施例,通过将多个第五dom树中与第四dom树相似或相同的dom树作为目标dom树,并将与目标dom树对应的第二dom树确定为第三dom树,进而可以只比较第一dom树的深度与第三dom的深度,减少了系统的计算量,提高了系统的检测速度。
作为一种可选的实施例,预定页面可以包括多个预定页面;第二dom树的深度可以包括多个第二dom树的深度;每个预定页面对应于一个第二dom树的深度;比较第一dom树的深度与第二dom树的深度,得到当前页面与预定页面的相似度,可以包括:比较第一dom树的深度与多个第二dom树的深度中的每个的深度,得到当前页面与多个预定页面的相似度。
在本公开的实施例中,在预定页面包括多个预定页面时,为了提高准确度,可以将当前页面与每个预定页面进行比较。
具体地,可以将第一dom树的深度与每个第二dom树的深度进行比较,进而可以得到当前页面与每个预定页面的相似度,该相似度可以包括多个相似度。其中,比较该第一dom树的深度与每个第二dom树的深度可以是计算第一dom树的深度与每个第二dom树的深度之间的莱文斯坦比,进而可以得到多个莱文斯坦比。
通过本公开的实施例,将第一dom树与每个第二dom树进行比较,可以防止遗漏或者误判,提高了非法页面的检出率。
图3C示意性示出了根据本公开实施例的判断当前页面是否是非法页面的流程图。
如图3C所示,基于相似度,判断当前页面是否是非法页面可以包括操作S501和操作S502,其中:
在操作S501,判断相似度是否大于相似度阈值。
在操作S502,在相似度大于相似度阈值的情况下,确定当前页面是非法页面。
在本公开的实施例中,相似度可以由莱文斯坦比表示,相似度阈值可以为0.9,则在相似度大于0.9的情况下,可以确定当前页面是非法页面。其中,本公开实施例设定的0.9的阈值是经过与超过10万个随机正常页面进行计算得出的。
根据本公开的实施例,比较第一dom树的深度与第三dom树的深度,可以得到当前页面与预定页面的第一相似度。则基于相似度,判断当前页面是否是非法页面可以是,判断第一相似度是否大于第一相似度阈值,在第一相似度大于第一相似度阈值的情况下,确定当前页面是非法页面。其中,第一相似度可以是第一dom树的深度与第三dom树的深度之间的第一莱文斯坦比,第一相似度阈值可以是0.9,则在第一莱文斯坦比大于0.9的情况下,可以确定当前页面是非法页面。
根据本公开的实施例,比较第一dom树的深度与每个第二dom树的深度,可以得到当前页面与多个预定页面中各预定页面的第二相似度,得到多个第二相似度。则基于相似度,判断当前页面是否是非法页面可以是,判断多个第二相似度中是否存在大于第二相似度阈值的相似度,在多个第二相似度中存在大于第二相似度阈值的相似度的情况下,可以确定当前页面是非法页面。其中,多个第二相似度可以是第一dom树的深度与多个第二dom树的深度之间的第二莱文斯坦比,第二莱文斯坦比包括多个第二莱文斯坦比,第一相似度阈值可以是0.9,则在多个第二莱文斯坦比中存在大于0.9的莱文斯坦比的情况下,可以确定当前页面是非法页面。
通过本公开的实施例,在相似度大于相似度阈值的情况下,可以确定当前页面是非法页面,还可以发出警报或者通过显示屏显示提示信息,以便管理人员可以及时制止黑客的非法入侵。
下面以黑客入侵为例,详细说明本公开提供的非法页面检测方法。
目前,黑客对于网站的控制主要是通过webshell进行的,webshell可以分为小马和大马。小马功能简单代码简短,一般用于上传功能或者执行命令功能;大马的功能非常丰富,可以用于操控、管理网站。因此,黑客在入侵的过程中,通常是先上传小马,再上传大马,本公开实施例所指的webshell可以是大马。
黑客对于上传的webshell,最后都需要尝试连接,这是一个必要的步骤,因此检测webshell的连接行为是一个很关键的点。下面可以参考图3D中描述的连接webshell的过程。
图3D示意性示出了根据本公开实施例的连接webshell的流程图。
如图3D所示,其中:
在操作S601,黑客发起webshell的请求。
在操作S602,服务器返回一个登陆页面。
在操作S603,黑客输入之前设定的密码。
在操作S604,检测密码是否正确。
在操作S605,服务器给黑客返回一个管理页面。
在本公开的实施例中,黑客访问自己预先通过其他手段上传到服务器上的webshell,然后webshell所在的服务器向黑客返回一个登陆页面,黑客输入预先设置的密码,若密码正确,则服务器可以返回webshell的管理页面;若密码不正确,则服务器可以继续返回登陆页面。
根据本公开的实施例,可以看出,黑客一旦连接webshell就需要访问一个具有管理界面的网页(又称为管理页面),所以我们可以根据这个管理页面的dom树结构特征来检测webshell连接的行为。需要说明的是,本公开主要是对于webshell中的大马进行检测。
图3E示意性示出了根据本公开另一实施例的非法页面检测方法的流程图。
如图3E所示,其中:
在操作S701,提取http返回的管理页面;
在操作S702,提取管理页面的dom树;
在操作S703,计算提取的dom树和样本库中的dom树的莱文斯坦比;
在操作S704,判断莱文斯坦比是否大于0.9;
在操作S705,若是,则判断是webshell的连接行为;
在操作S706,若不是,则判断不是webshell的连接行为。
在本公开的实施例中,可以收集黑客上常用的webshell,并去重处理。然后提取这些webshell的管理页面的dom树,并将这些dom树存储到样本库中。在服务器返回管理页面后,可以提取该管理页面的dom树,然后计算提取到的dom树和样本库中的dom树的莱文斯坦比。预先设置莱文斯坦比的阈值为0.9,当提取到的dom树和样本库里面的dom树的莱文斯坦比大于0.9时,判断该管理页面对应的webshell是样本库中存在一种webshell,进而可以判定这是一个webshell的连接行为,即该管理页面是非法页面。反之,则判定不是webshell的连接行为,即该管理页面不是非法页面。
根据本公开的实施例,可以通过预先编写的模块用来提取管理页面的dom树。具体地,可以提取管理页面的所有标签节点,并按序排列,进一步可以将按序排列的标签节点进行压缩,以去除重复的标签节点例如去除重复的表格标签节点,并将剩余的按序排列的标签节点作为该管理页面的dom树。
图4示意性示出了根据本公开实施例的非法页面检测系统的框图。
如图4所示,该非法页面检测系统400可以包括第一获取模块410、第二获取模块420、比较模块430和判断模块440,其中:
第一获取模块410用于获取当前页面的第一框架特征信息。
第二获取模块420用于获取预定页面的第二框架特征信息。
比较模块430用于比较第一框架特征信息与第二框架特征信息,得到当前页面与预定页面的相似度。
判断模块440用于基于相似度,判断当前页面是否是非法页面。
通过本公开的实施例,由于框架特征信息比较复杂,即便黑客对框架特征信息做了些许调整,也可以基于相似度准确判断当前页面是否是非法页面;并且由于被黑客利用的变种webshell的母体webshell的种类不多,收集该母体webshell的管理页面的框架特征信息作为第二框架特征信息,可以减少工作人员的维护量。
作为一种可选的实施例,当前页面的第一框架特征信息包括当前页面的第一dom树的深度;预定页面的第二框架特征信息包括预定页面的第二dom树的深度;比较模块还用于,比较第一dom树的深度与第二dom树的深度,得到当前页面与预定页面的相似度。
通过本公开的实施例,通过比较第一dom树的深度和第二dom树的深度,可以确定当前页面和预定页面的相似度,且由于dom树结构较为复杂,因此很难被黑客通过其他特征手段绕过,进而可以提高非法页面的检出率。
作为一种可选的实施例,预定页面包括多个预定页面;第二dom树的深度包括多个第二dom树的深度;每个预定页面对应于一个第二dom树的深度;比较模块包括:第一确定单元,用于确定多个第二dom树中与第一dom树类型相似或相同的第三dom树;以及比较单元,用于比较第一dom树的深度与第三dom树的深度,得到当前页面与第三dom树的对应页面的相似度。
图5A示意性示出了根据本公开实施例的比较模块的框图。
如图5A所示,比较模块430可以包括第一确定单元431和比较单元432,其中:
第一确定单元431用于确定多个第二dom树中与第一dom树类型相似或相同的第三dom树。
比较单元432用于比较第一dom树的深度与第三dom树的深度,得到当前页面与第三dom树的对应页面的相似度。
通过本公开的实施例,只比较类型相同或相似的dom树的深度,可以减少计算量,提高检测速度。
图5B示意性示出了根据本公开实施例的确定单元的框图。
如图5B所示,第一确定单元431可以包括第一提取子单元4311、第二提取子单元4312、第一确定子单元4313和第二确定子单元4314,其中:
第一提取子单元4311用于从第一dom树中提取满足预设深度的第四dom树。
第二提取子单元4312用于从每个第二dom树中提取满足预设深度的第五dom树,得到多个第五dom树。
第一确定子单元4313用于确定多个第五dom树中与第四dom树相似或相同的目标dom树。
第二确定子单元4314用于将与目标dom树对应的第二dom树确定为第三dom树。
通过本公开的实施例,通过将多个第五dom树中与第四dom树相似或相同的dom树作为目标dom树,并将与目标dom树对应的第二dom树确定为第三dom树,进而可以只比较第一dom树的深度与第三dom的深度,减少了系统的计算量,提高了系统的检测速度。
作为一种可选的实施例,预定页面包括多个预定页面;第二dom树的深度包括多个第二dom树的深度;每个预定页面对应于一个第二dom树的深度;比较模块还用于,比较第一dom树的深度与多个第二dom树的深度中的每个的深度,得到当前页面与多个预定页面的相似度。
通过本公开的实施例,将第一dom树与每个第二dom树进行比较,可以防止遗漏或者误判,提高了非法页面的检出率。
图5C示意性示出了根据本公开实施例的判断模块的框图
如图5C所示,判断模块440可以包括判断单元441和第二确定单元442,其中:
判断单元441用于判断相似度是否大于相似度阈值。
第二确定单元442用于在相似度大于相似度阈值的情况下,确定当前页面是非法页面。
通过本公开的实施例,在相似度大于相似度阈值的情况下,可以确定当前页面是非法页面,还可以发出警报或者通过显示屏显示提示信息,以便管理人员可以及时制止黑客的非法入侵。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块410、第二获取模块420、比较模块430、判断模块440、第一确定单元431、比较单元432、判断单元441、第二确定单元442、第一提取子单元4311、第二提取子单元4312、第一确定子单元4313和第二确定子单元4314中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块410、第二获取模块420、比较模块430、判断模块440、第一确定单元431、比较单元432、判断单元441、第二确定单元442、第一提取子单元4311、第二提取子单元4312、第一确定子单元4313和第二确定子单元4314中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块410、第二获取模块420、比较模块430、判断模块440、第一确定单元431、比较单元432、判断单元441、第二确定单元442、第一提取子单元4311、第二提取子单元4312、第一确定子单元4313和第二确定子单元4314中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图6示意性示出了根据本公开实施例的适于实现非法页面检测方法的计算机系统的框图。图6示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括处理器610和计算机可读存储介质620。该计算机系统600可以执行根据本公开实施例的方法。
具体地,处理器610例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器610还可以包括用于缓存用途的板载存储器。处理器610可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质620,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
计算机可读存储介质620可以包括计算机程序621,该计算机程序621可以包括代码/计算机可执行指令,其在由处理器610执行时使得处理器610执行根据本公开实施例的方法或其任何变形。
计算机程序621可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序621中的代码可以包括一个或多个程序模块,例如包括模块621A、模块621B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器610执行时,使得处理器610可以执行根据本公开实施例的方法或其任何变形。
本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现:获取当前页面的第一框架特征信息;获取预定页面的第二框架特征信息;比较第一框架特征信息与第二框架特征信息,得到当前页面与预定页面的相似度;以及基于相似度,判断当前页面是否是非法页面。
根据本公开的实施例,计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线、光缆、射频信号等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (10)
1.一种非法页面检测方法,包括:
获取当前页面的第一框架特征信息,所述当前页面的第一框架特征信息包括所述当前页面的第一dom树的深度;
获取预定页面的第二框架特征信息,所述预定页面的第二框架特征信息包括所述预定页面的第二dom树的深度,所述预定页面为预先收集的非法页面;
比较所述第一dom树的深度与所述第二dom树的深度,得到所述当前页面与所述预定页面的相似度;以及
基于所述相似度,判断所述当前页面是否是非法页面;
其中,所述预定页面包括多个预定页面;
所述第二dom树的深度包括多个第二dom树的深度;
每个预定页面对应于一个第二dom树的深度;
所述比较所述第一dom树的深度与所述第二dom树的深度,得到所述当前页面与所述预定页面的相似度,包括:
确定所述多个第二dom树中与所述第一dom树类型相似或相同的第三dom树;以及
比较所述第一dom树的深度与所述第三dom树的深度,得到所述当前页面与所述第三dom树的对应页面的相似度。
2.根据权利要求1所述的方法,其中,确定所述多个第二dom树中与所述第一dom树类型相似或相同的第三dom树,包括:
从所述第一dom树中提取满足预设深度的第四dom树;
从每个第二dom树中提取满足所述预设深度的第五dom树,得到多个第五dom树;
确定所述多个第五dom树中与所述第四dom树相似或相同的目标dom树;以及
将与所述目标dom树对应的第二dom树确定为所述第三dom树。
3.根据权利要求1所述的方法,其中:
所述预定页面包括多个预定页面;
所述第二dom树的深度包括多个第二dom树的深度;
每个预定页面对应于一个第二dom树的深度;
所述比较所述第一dom树的深度与所述第二dom树的深度,得到所述当前页面与所述预定页面的相似度,包括:
比较所述第一dom树的深度与所述多个第二dom树的深度中的每个的深度,得到所述当前页面与所述多个预定页面的相似度。
4.根据权利要求1所述的方法,其中,所述基于所述相似度,判断所述当前页面是否是非法页面,包括:
判断所述相似度是否大于相似度阈值;以及
在所述相似度大于所述相似度阈值的情况下,确定所述当前页面是非法页面。
5.一种非法页面检测系统,包括:
第一获取模块,用于获取当前页面的第一框架特征信息,所述当前页面的第一框架特征信息包括所述当前页面的第一dom树的深度;
第二获取模块,用于获取预定页面的第二框架特征信息,所述预定页面的第二框架特征信息包括所述预定页面的第二dom树的深度,所述预定页面为预先收集的非法页面;
比较模块,用于比较所述第一dom树的深度与所述第二dom树的深度,得到所述当前页面与所述预定页面的相似度;以及
判断模块,用于基于所述相似度,判断所述当前页面是否是非法页面;
其中,所述预定页面包括多个预定页面;
所述第二dom树的深度包括多个第二dom树的深度;
每个预定页面对应于一个第二dom树的深度;
所述比较模块包括:
第一确定单元,用于确定所述多个第二dom树中与所述第一dom树类型相似或相同的第三dom树;以及
比较单元,用于比较所述第一dom树的深度与所述第三dom树的深度,得到所述当前页面与所述第三dom树的对应页面的相似度。
6.根据权利要求5所述的系统,其中,所述第一确定单元包括:
第一提取子单元,用于从所述第一dom树中提取满足预设深度的第四dom树;
第二提取子单元,用于从每个第二dom树中提取满足所述预设深度的第五dom树,得到多个第五dom树;
第一确定子单元,用于确定所述多个第五dom树中与所述第四dom树相似或相同的目标dom树;以及
第二确定子单元,用于将与所述目标dom树对应的第二dom树确定为所述第三dom树。
7.根据权利要求5所述的系统,其中:
所述预定页面包括多个预定页面;
所述第二dom树的深度包括多个第二dom树的深度;
每个预定页面对应于一个第二dom树的深度;
所述比较模块还用于,比较所述第一dom树的深度与所述多个第二dom树的深度中的每个的深度,得到所述当前页面与所述多个预定页面的相似度。
8.根据权利要求5所述的系统,其中,所述判断模块包括:
判断单元,用于判断所述相似度是否大于相似度阈值;以及
第二确定单元,用于在所述相似度大于所述相似度阈值的情况下,确定所述当前页面是非法页面。
9.一种计算机系统,包括:
一个或多个处理器;
计算机可读存储介质,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至4中任一项所述的非法页面检测方法。
10.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使所述处理器实现权利要求1至4中任一项所述的非法页面检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810390940.4A CN108650250B (zh) | 2018-04-27 | 2018-04-27 | 非法页面检测方法、系统、计算机系统和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810390940.4A CN108650250B (zh) | 2018-04-27 | 2018-04-27 | 非法页面检测方法、系统、计算机系统和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108650250A CN108650250A (zh) | 2018-10-12 |
| CN108650250B true CN108650250B (zh) | 2021-07-23 |
Family
ID=63748251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810390940.4A Active CN108650250B (zh) | 2018-04-27 | 2018-04-27 | 非法页面检测方法、系统、计算机系统和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108650250B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110191124B (zh) * | 2019-05-29 | 2022-02-22 | 安天科技集团股份有限公司 | 基于web前端开发数据的网站鉴别方法、装置及存储设备 |
| CN111597107B (zh) * | 2020-04-22 | 2023-04-28 | 北京字节跳动网络技术有限公司 | 信息输出方法、装置和电子设备 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101510887B (zh) * | 2009-03-27 | 2012-01-25 | 腾讯科技(深圳)有限公司 | 鉴别网站的方法及装置 |
| CN102129528B (zh) * | 2010-01-19 | 2013-05-15 | 北京启明星辰信息技术股份有限公司 | 一种web网页篡改识别方法及系统 |
| CN102316081A (zh) * | 2010-06-30 | 2012-01-11 | 北京启明星辰信息技术股份有限公司 | 一种相似网页的识别方法及装置 |
| JP5695586B2 (ja) * | 2012-02-24 | 2015-04-08 | 株式会社日立製作所 | Xml文書検索装置及びプログラム |
| US9509715B2 (en) * | 2014-08-21 | 2016-11-29 | Salesforce.Com, Inc. | Phishing and threat detection and prevention |
| US9386037B1 (en) * | 2015-09-16 | 2016-07-05 | RiskIQ Inc. | Using hash signatures of DOM objects to identify website similarity |
| CN107204960B (zh) * | 2016-03-16 | 2020-11-24 | 阿里巴巴集团控股有限公司 | 网页识别方法及装置、服务器 |
| CN107612908B (zh) * | 2017-09-15 | 2020-06-05 | 杭州安恒信息技术股份有限公司 | 网页篡改监测方法及装置 |
-
2018
- 2018-04-27 CN CN201810390940.4A patent/CN108650250B/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| "Sensitive Information Acquisition Based on Machine Learning";Wenqian Shang;《2012 International Conference on Industrial Control and Electronics Engineering》;20121004;全文 * |
| 基于集成学习的钓鱼网页深度检测系统;冯庆等;《计算机系统应用》;20161015(第10期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108650250A (zh) | 2018-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110413908B (zh) | 基于网站内容对统一资源定位符进行分类的方法和装置 | |
| US8949981B1 (en) | Techniques for providing protection against unsafe links on a social networking website | |
| US9208235B1 (en) | Systems and methods for profiling web applications | |
| CN109446819B (zh) | 越权漏洞检测方法及装置 | |
| US8826143B2 (en) | Central logout from multiple websites | |
| US10148664B2 (en) | Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems | |
| US11106754B1 (en) | Methods and systems for hyperlinking user-specific content on a website or mobile applications | |
| CN107508809B (zh) | 识别网址类型的方法及装置 | |
| US12235917B2 (en) | Methods and systems for generating custom content using universal deep linking across web and mobile applications | |
| US10645117B2 (en) | Systems and methods to detect and notify victims of phishing activities | |
| CN109729095B (zh) | 数据处理方法、装置和计算设备及介质 | |
| US20150128222A1 (en) | Systems and methods for social media user verification | |
| US12034751B2 (en) | Systems and methods for detecting malicious hands-on-keyboard activity via machine learning | |
| CN110096872B (zh) | 网页入侵脚本攻击工具的检测方法及服务器 | |
| WO2018085499A1 (en) | Techniques for classifying a web page based upon functions used to render the web page | |
| US9923896B2 (en) | Providing access to a restricted resource via a persistent authenticated device network | |
| US20190215333A1 (en) | Persistent cross-site scripting vulnerability detection | |
| US9727726B1 (en) | Intrusion detection using bus snooping | |
| CN108650250B (zh) | 非法页面检测方法、系统、计算机系统和可读存储介质 | |
| CN107992738A (zh) | 一种账号登录异常检测方法、装置及电子设备 | |
| CN104462985A (zh) | bat漏洞的检测方法以及装置 | |
| US9972043B2 (en) | Credibility enhancement for online comments and recommendations | |
| CN104573486B (zh) | 漏洞检测方法和装置 | |
| CN115470489A (zh) | 检测模型训练方法、检测方法、设备以及计算机可读介质 | |
| US11288151B2 (en) | System and method of determining boot status of recovery servers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100016 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |