CN104503962A - 一种网页暗链检测方法 - Google Patents

一种网页暗链检测方法 Download PDF

Info

Publication number
CN104503962A
CN104503962A CN201410273616.6A CN201410273616A CN104503962A CN 104503962 A CN104503962 A CN 104503962A CN 201410273616 A CN201410273616 A CN 201410273616A CN 104503962 A CN104503962 A CN 104503962A
Authority
CN
China
Prior art keywords
webpage
expressed
ordinate
histogram
perform step
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410273616.6A
Other languages
English (en)
Other versions
CN104503962B (zh
Inventor
刘建毅
雷鸣涛
王维光
古恒
王枞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN201410273616.6A priority Critical patent/CN104503962B/zh
Publication of CN104503962A publication Critical patent/CN104503962A/zh
Application granted granted Critical
Publication of CN104503962B publication Critical patent/CN104503962B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Image Analysis (AREA)

Abstract

本发明专利提出了一种网页暗链检测方法,该方法将待检测网页和最近一次的安全网页分成相同的区域块,对同一位置上的区域块按图片相似度进行比对。若图片相同,则检测图片对应的代码段,若代码段中的链接发生改变,则判断可能存在一个暗链;若图片不相同,则说明图片发生了篡改,不再进行暗链的检测。该方法提出利用图片对比的方式进行暗链检测,提升了检测速度,增加了检测效率,对网页安全具有重要意义。其主要创新点如下:1、将网页分为若干区域,并在同一区域位置的快照图像进行比对,具有创新性;2、对相同图像的代码段进行比对,对发生改变的图像不做代码比对,加快了检测速率。

Description

一种网页暗链检测方法
(一)技术领域
本发明涉及的是一种网页暗链检测方法。
(二)背景技术
暗链攻击指黑客通过在网站的网页内插入暗链,使暗链非法链接到色情、诈骗、反动信息的攻击行为。黑客通过植入暗链,不仅攫取了大量的非法收益,而且对网站的公信力造成了巨大的影响,对网站尤其是政务网站影响巨大。
暗链的攻击方式一般分为四种,第一种方法是通过修改级联样式表的样式,在样式中将标签的效果设置为透明隐藏的,使暗链隐藏;第二种方法是使暗链偏离页面中的可见位置,使暗链的标签定位在可见范围以外;第三种方法是暗链通过改变文字图片滚动的属性达到视觉隐藏的效果;第四种方法是将暗链的字体颜色设置为页面背景颜色,隐藏实际存在的暗链文字。
为有效检测出网页中存在的暗链,从而维护网站安全,本发明专利提出了一种网页暗链检测方法,该方法将待检测网页和最近一次的安全网页分成相同的区域块,对同一位置上的区域块按图片相似度进行比对。若图片相同,则检测图片对应的代码段,若代码段中的链接发生改变,则判断可能存在一个暗链;若图片不相同,则说明图片发生了篡改,不再进行暗链的检测。该方法提出利用图片对比的方式进行暗链检测,提升了检测速度,增加了检测效率,对网页安全具有重要意义。
(三)发明内容
本发明提供的是一种网页暗链检测方法。
该方法将待检测网页和最近一次的安全网页分成相同的区域块,对同一位置上的区域块按图片相似度进行比对。若图片相同,则检测图片对应的代码段,若代码段中的链接发生改变,则判断可能存在一个暗链;若图片不相同,则说明图片发生了篡改,不再进行暗链的检测。该方法提出利用图片对比的方式进行暗链检测,提升了检测速度,增加了检测效率,对网页安全具有重要意义。
本发明的目的是这样实现的:
待检测网页A和其上一次的安全网页C,按照标签可分别划分为n个和m个区域,分别表示为 { Z A 1 , Z A 2 , . . . , Z A n } { Z C 1 , Z C 2 , . . . , Z C m } ;
对第Zi个区域进行快照,图像矩阵表示为Mi,表示为 
待检测网页A的第k个区域的快照图像矩阵为表示为  { ( M A k R 0 , M A k G 0 , M A k B 0 ) , . . . , ( M A k R 255 , M A k G 255 , M A k B 255 ) } , 源网页C对应区域的快照图像矩阵为表示为 { ( M C k R 0 , M C k G 0 , M C k B 0 ) , . . . , ( M C k R 255 , M C k G 255 , M C k B 255 ) } ;
某图像的像素点个数为N;
的直方图横坐标HA[p],纵坐标EA[p]与标签值IA[l]组成一个三元组 的直方图横坐标HC[p],纵坐标EC[p]与标签值IC[l]组成一个IA[l]三元组(HC[p],EC[p],IC[l]);
的标签值为IA[l],的标签值为IC[l];
的直方图与的直方图的相似度为ρ;
可疑代码段集合为W;
可疑地址为t;
其具体方法步骤为:
 (1):待检测网页A和其最近一次的安全网页C,按照标签可分别划分为n个和m个区域,分别表示为 { Z A 1 , Z A 2 , . . . , Z A n } { Z C 1 , Z C 2 , . . . , Z C m } ;
 (2):对第Zi个区域进行快照,图像矩阵表示为Mi,表示为 
 (3):令k=1;
 (4):待检测网页A的第k个区域的快照图像矩阵为表示为  { ( M A k R 0 , M A k G 0 , M A k B 0 ) , . . . , ( M A k R 255 , M A k G 255 , M A k B 255 ) } , 最近一次安全网页C对应区域的快照图像矩阵为表示为 { ( M C k R 0 , M C k G 0 , M C k B 0 ) , . . . , ( M C k R 255 , M C k G 255 , M C k B 255 ) } ;
 (5):计算像素点总个数为N;
(6):令l=0,p=1,的直方图横坐标HA[p]=0,的直方图横坐标HC[p]=0,的直方图纵坐标EA[p]=0,的直方图纵坐标EC[p]=0;
 (7):令的直方图横坐标HA[p],纵坐标EA[p]与标签值IA[l]组成一个三元组(HA[p],EA[p],IA[l]),令的直方图横坐标HC[p],纵坐标EC[p]与标签值IC[l]组成一个 IA[l]三元组(HC[p],EC[p],IC[l]);
 (8):计算的标签值计算的标签值 
 (9):若IA[l],IC[l]不存在,则p+1,执行步骤10,否则,执行步骤10;
 (10):HA[p]=IA[l],EA[p]+1,EC[p]=IC[l],EC[p]+1;
 (11):若l>N,则执行步骤11,否则,执行步骤8;
 (12):计算的直方图与的直方图的相似度
 (13):若ρ≠100%,则标记对应代码段为可疑代码段,加入集合W中,执行步骤14;否则,执行步骤14;
 (14):k+1;
 (15):若k>n,则执行步骤16,否则,执行步骤6;
 (16):得到集合W,共包含了代码段q个,分别为(W1,W2,…,Wq);
 (17):若W为空,则说明该网页未检测出暗链,执行步骤18,否则,执行步骤19;
 (18):程序结束; 
(19)令u=1;
(20)若对Wu中<href>标签匹配存在,则提取出<href>标签中<href=””>双引号间的地址t;(21)若t发生变化,则判断暗链存在,执行步骤22,否则,执行步骤22;
(22)u+1;
(23)若u>q,则执行步骤18,否则,执行步骤20。
本发明的关键在于对网页分成同样的区域,并在同一位置的区域做快照对比图像是否相同,若图片相同,则检测图片对应的代码段,若代码段中的链接发生改变,则判断可能存在一个暗链;若图片不相同,则说明图片发生了篡改,不再进行暗链的检测。提升了检测速度,增加了检测效率。
其主要创新点如下:
1、将网页分为若干区域,并在同一区域位置的快照图像进行比对,具有创新性;
2、对相同图像的代码段进行比对,对发生改变的图像不做代码比对,加快了检测速率。
(四)附图说明
无附图。
(五)具体实施方式
本发明所述算法的特征在于:
待检测网页A和其上一次的安全网页C,按照标签可分别划分为n个和m个区域,分别表示为 { Z A 1 , Z A 2 , . . . , Z A n } { Z C 1 , Z C 2 , . . . , Z C m } ;
对第Zi个区域进行快照,图像矩阵表示为Mi,表示为 
待检测网页A的第k个区域的快照图像矩阵为表示为  { ( M A k R 0 , M A k G 0 , M A k B 0 ) , . . . , ( M A k R 255 , M A k G 255 , M A k B 255 ) } , 源网页C对应区域的快照图像矩阵为表示为 { ( M C k R 0 , M C k G 0 , M C k B 0 ) , . . . , ( M C k R 255 , M C k G 255 , M C k B 255 ) } ;
某图像的像素点个数为N;
的直方图横坐标HA[p],纵坐标EA[p]与标签值IA[l]组成一个三元组 l]令的直方图横坐标HC[p],纵坐标EC[p]与标签值IC[l]组成一个IA[l]三元组(HC[p],EC[p],IC[l]);
的标签值为IA[l],的标签值为IC[l];
的直方图与的直方图的相似度为ρ;
可疑代码段集合为W;
可疑地址为t;
其具体方法步骤为:
 (1):待检测网页A和其最近一次的安全网页C,按照标签可分别划分为n个和m个区域,分别表示为 { Z A 1 , Z A 2 , . . . , Z A n } { Z C 1 , Z C 2 , . . . , Z C m } ;
 (2):对第Zi个区域进行快照,图像矩阵表示为Mi,表示为 
 (3):令k=1;
 (4):待检测网页A的第k个区域的快照图像矩阵为表示为  { ( M A k R 0 , M A k G 0 , M A k B 0 ) , . . . , ( M A k R 255 , M A k G 255 , M A k B 255 ) } , 最近一次安全网页C对应区域的快照图像矩阵为表示为 { ( M C k R 0 , M C k G 0 , M C k B 0 ) , . . . , ( M C k R 255 , M C k G 255 , M C k B 255 ) } ;
 (5):计算像素点总个数为N;
 (6):令l=0,p=1,的直方图横坐标HA[p]=0,的直方图横坐标HC[p]=0,的直方图纵坐标EA[p]=0,的直方图纵坐标EC[p]=0;
 (7):令的直方图横坐标HA[p],纵坐标EA[p]与标签值IA[l]组成一个三元组(HA[p],EA[p],IA[l]),令的直方图横坐标HC[p],纵坐标EC[p]与标签值IC[l]组成一个IA[l]三元组(HC[p],EC[p],IC[l]);
 (8):计算的标签值计算的标签值 
 (9):若IA[l],IC[l]不存在,则p+1,执行步骤10,否则,执行步骤10;
 (10):HA[p]=IA[l],EA[p]+1,EC[p]=IC[l],EC[p]+1;
 (11):若l>N,则执行步骤11,否则,执行步骤8;
 (12):计算的直方图与的直方图的相似度
 (13):若ρ≠100%,则标记对应代码段为可疑代码段,加入集合W中,执行步骤14;否则,执行步骤14;
 (14):k+1;
 (15):若k>n,则执行步骤16,否则,执行步骤6;
 (16):得到集合W,共包含了代码段q个,分别为(W1,W2,…,Wq);
 (17):若W为空,则说明该网页未检测出暗链,执行步骤18,否则,执行步骤19;
 (18):程序结束; 
(19)令u=1;
(20)若对Wu中<href>标签匹配存在,则提取出<href>标签中<href=””>双引号间的地址t;
(21)若t发生变化,则判断暗链存在,执行步骤22,否则,执行步骤22;
(22)u+1;
(23)若u>q,则执行步骤18,否则,执行步骤20。
一种网页暗链检测方法具体实施模式是这样的:
将待检测网页和最近一次的安全网页分成相同的区域块,对同一位置上的区域块按图片相似度进行比对。若图片相同,则检测图片对应的代码段,若代码段中的链接发生改变,则判断可能存在一个暗链;若图片不相同,则说明图片发生了篡改,不再进行暗链的检测。该方法提出利用图片对比的方式进行暗链检测,提升了检测速度,增加了检测效率,对网页安全具有重要意义。

Claims (2)

1.一种网页暗链检测方法,其特征是:待检测网页A和其上一次的安全网页C,按照标签可分别划分为n个和m个区域,分别表示为
对第Zi个区域进行快照,图像矩阵表示为Mi,表示为 
待检测网页A的第k个区域的快照图像矩阵为表示为 源网页C对应区域的快照图像矩阵为表示为
某图像的像素点个数为N;
的直方图横坐标HA[p],纵坐标EA[p]与标签值IA[l]组成一个三元组 的直方图横坐标HC[p],纵坐标EC[p]与标签值IC[l]组成一个IA[l]三元组(HC[p],EC[p],IC[l]);
的标签值为IA[l],的标签值为IC[l];
的直方图与的直方图的相似度为ρ;
可疑代码段集合为W;
可疑地址为t。
2.根据权利要求1所述的暗链检测方法,其特征是:其具体方法步骤为:
(1)待检测网页A和其最近一次的安全网页C,按照标签可分别划分为n个和m个区域,分别表示为
(2)对第Zi个区域进行快照,图像矩阵表示为Mi,表示为 
(3)令k=1;
(4)待检测网页A的第k个区域的快照图像矩阵为表示为 最近一次安全网页C对应区域的快照图像矩阵为表示为
(5)计算像素点总个数为N;
(6)令l=0,p=1,的直方图横坐标HA[p]=0,的直方图横坐标HC[p]=0,的直方图纵坐标EA[p]=0,的直方图纵坐标EC[p]=0;
(7)令的直方图横坐标HA[p],纵坐标EA[p]与标签值IA[l]组成一个三元组(HA[p],EA[p],IA[l]),令的直方图横坐标HC[p],纵坐标EC[p]与标签值IC[l]组成一个IA[l]三元组(HC[p],EC[p],IC[l]);
(8)计算的标签值计算的标签值 
(9)若IA[l],IC[l]不存在,则p+1,执行步骤10,否则,执行步骤10;
(10)HA[p]=IA[l],EA[p]+1,EC[p]=IC[l],EC[p]+1;
(11)若l>N,则执行步骤11,否则,执行步骤8;
(12)计算的直方图与的直方图的相似度
(13)若ρ≠100%,则标记对应代码段为可疑代码段,加入集合W中,执行步骤14;否则,执行步骤14;
(14)k+1;
(15)若k>n,则执行步骤16,否则,执行步骤6;
(16)得到集合W,共包含了代码段q个,分别为(W1,W2,…,Wq);
(17)若W为空,则说明该网页未检测出暗链,执行步骤18,否则,执行步骤19;
(18)程序结束;
(19)令u=1;
(20)若对Wu中<href>标签匹配存在,则提取出<href>标签中<href=””>双引号间的地址t;
(21)若t发生变化,则判断暗链存在,执行步骤22,否则,执行步骤22;
(22)u+1;
(23)若u>q,则执行步骤18,否则,执行步骤20。
CN201410273616.6A 2014-06-18 2014-06-18 一种网页暗链检测方法 Expired - Fee Related CN104503962B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410273616.6A CN104503962B (zh) 2014-06-18 2014-06-18 一种网页暗链检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410273616.6A CN104503962B (zh) 2014-06-18 2014-06-18 一种网页暗链检测方法

Publications (2)

Publication Number Publication Date
CN104503962A true CN104503962A (zh) 2015-04-08
CN104503962B CN104503962B (zh) 2017-11-03

Family

ID=52945360

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410273616.6A Expired - Fee Related CN104503962B (zh) 2014-06-18 2014-06-18 一种网页暗链检测方法

Country Status (1)

Country Link
CN (1) CN104503962B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107729386A (zh) * 2017-09-19 2018-02-23 杭州安恒信息技术有限公司 一种基于聚合度分析的暗链检测技术
CN107784107A (zh) * 2017-10-31 2018-03-09 杭州安恒信息技术有限公司 基于逃逸行为分析的暗链检测方法及装置
CN110069693A (zh) * 2019-04-29 2019-07-30 百度在线网络技术(北京)有限公司 用于确定目标页面的方法和装置
CN110309667A (zh) * 2019-04-16 2019-10-08 网宿科技股份有限公司 一种网站暗链检测方法和装置
CN111611470A (zh) * 2019-02-22 2020-09-01 北京搜狗科技发展有限公司 一种数据处理方法、装置和电子设备
CN111782991A (zh) * 2020-07-15 2020-10-16 浙江军盾信息科技有限公司 一种网站异常暗链的检测方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080275833A1 (en) * 2007-05-04 2008-11-06 Microsoft Corporation Link spam detection using smooth classification function
CN101534306A (zh) * 2009-04-14 2009-09-16 深圳市腾讯计算机系统有限公司 一种钓鱼网站的检测方法及装置
CN102663018A (zh) * 2012-03-21 2012-09-12 北京华清泰和科技有限公司 网站监控预警方法
CN102682097A (zh) * 2012-04-27 2012-09-19 北京神州绿盟信息安全科技股份有限公司 检测网页中暗链的方法和设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080275833A1 (en) * 2007-05-04 2008-11-06 Microsoft Corporation Link spam detection using smooth classification function
CN101534306A (zh) * 2009-04-14 2009-09-16 深圳市腾讯计算机系统有限公司 一种钓鱼网站的检测方法及装置
CN102663018A (zh) * 2012-03-21 2012-09-12 北京华清泰和科技有限公司 网站监控预警方法
CN102682097A (zh) * 2012-04-27 2012-09-19 北京神州绿盟信息安全科技股份有限公司 检测网页中暗链的方法和设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
王莉丽: "《隐藏型垃圾网页检测研究》", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
黄华军 等: "《网络钓鱼防御技术研究》", 《信息网络安全》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107729386A (zh) * 2017-09-19 2018-02-23 杭州安恒信息技术有限公司 一种基于聚合度分析的暗链检测技术
CN107729386B (zh) * 2017-09-19 2019-09-13 杭州安恒信息技术股份有限公司 一种基于聚合度分析的暗链检测技术
CN107784107A (zh) * 2017-10-31 2018-03-09 杭州安恒信息技术有限公司 基于逃逸行为分析的暗链检测方法及装置
CN107784107B (zh) * 2017-10-31 2020-06-30 杭州安恒信息技术股份有限公司 基于逃逸行为分析的暗链检测方法及装置
CN111611470A (zh) * 2019-02-22 2020-09-01 北京搜狗科技发展有限公司 一种数据处理方法、装置和电子设备
CN110309667A (zh) * 2019-04-16 2019-10-08 网宿科技股份有限公司 一种网站暗链检测方法和装置
CN110309667B (zh) * 2019-04-16 2022-08-30 网宿科技股份有限公司 一种网站暗链检测方法和装置
CN110069693A (zh) * 2019-04-29 2019-07-30 百度在线网络技术(北京)有限公司 用于确定目标页面的方法和装置
CN110069693B (zh) * 2019-04-29 2021-12-24 百度在线网络技术(北京)有限公司 用于确定目标页面的方法和装置
CN111782991A (zh) * 2020-07-15 2020-10-16 浙江军盾信息科技有限公司 一种网站异常暗链的检测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN104503962B (zh) 2017-11-03

Similar Documents

Publication Publication Date Title
CN104503962A (zh) 一种网页暗链检测方法
Rao et al. A computer vision technique to detect phishing attacks
CN111191695B (zh) 一种基于深度学习的网站图片篡改检测方法
EP2920688B1 (en) Method and device for detecting malicious url
CN102622435B (zh) 一种检测黑链的方法和装置
US7492957B1 (en) Using run length encoding to detect target images
Pan et al. Image steganography method based on PVD and modulus function
TW201039248A (en) Method and system for identifying image and outputting identification result
CN109597972B (zh) 一种基于网页框架的网页动态变化和篡改检测方法
CN113887438B (zh) 人脸图像的水印检测方法、装置、设备及介质
Shivakumar et al. Automated forensic method for copy-move forgery detection based on Harris interest points and SIFT descriptors
CN102779245A (zh) 基于图像处理技术的网页异常检测方法
WO2015149552A1 (zh) 一种中文域名仿冒攻击的检测方法
CN105975523A (zh) 一种基于栈的暗链检测方法
CN110378421B (zh) 一种基于卷积神经网络的煤矿火灾识别方法
CN105978850A (zh) 一种基于图形匹配的仿冒网站检测系统及检测方法
CN105704099A (zh) 一种检测隐藏在网站脚本中非法链接的方法
CN102446211A (zh) 图像备案和验证的方法及系统
CN106357682A (zh) 一种钓鱼网站检测方法
JP2010055512A5 (zh)
CN108920955B (zh) 一种网页后门检测方法、装置、设备及存储介质
KR20120078030A (ko) 비 pe파일의 악성 컨텐츠 포함 여부를 판단하는 방법 및 시스템
CN106156615A (zh) 基于类可分性判距的旁路区分器方法及系统
CN104966019B (zh) 一种启发式文档威胁检测方法及系统
CN103065101A (zh) 一种文档防伪方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20171103