CN104503962B - 一种网页暗链检测方法 - Google Patents

Abstract

本发明专利提出了一种网页暗链检测方法，该方法将待检测网页和最近一次的安全网页分成相同的区域块，对同一位置上的区域块按图片相似度进行比对。若图片相同，则检测图片对应的代码段，若代码段中的链接发生改变，则判断可能存在一个暗链；若图片不相同，则说明图片发生了篡改，不再进行暗链的检测。该方法提出利用图片对比的方式进行暗链检测，提升了检测速度，增加了检测效率，对网页安全具有重要意义。其主要创新点如下：1、将网页分为若干区域，并在同一区域位置的快照图像进行比对，具有创新性；2、对相同图像的代码段进行比对，对发生改变的图像不做代码比对，加快了检测速率。

Description

一种网页暗链检测方法

(一)技术领域

本发明涉及的是一种网页暗链检测方法。

(二)背景技术

暗链攻击指黑客通过在网站的网页内插入暗链，使暗链非法链接到色情、诈骗、反动信息的攻击行为。黑客通过植入暗链，不仅攫取了大量的非法收益，而且对网站的公信力造成了巨大的影响，对网站尤其是政务网站影响巨大。

暗链的攻击方式一般分为四种，第一种方法是通过修改级联样式表的样式，在样式中将标签的效果设置为透明隐藏的，使暗链隐藏；第二种方法是使暗链偏离页面中的可见位置，使暗链的标签定位在可见范围以外；第三种方法是暗链通过改变文字图片滚动的属性达到视觉隐藏的效果；第四种方法是将暗链的字体颜色设置为页面背景颜色，隐藏实际存在的暗链文字。

为有效检测出网页中存在的暗链，从而维护网站安全，本发明专利提出了一种网页暗链检测方法，该方法将待检测网页和最近一次的安全网页分成相同的区域块，对同一位置上的区域块按图片相似度进行比对。若图片相同，则检测图片对应的代码段，若代码段中的链接发生改变，则判断可能存在一个暗链；若图片不相同，则说明图片发生了篡改，不再进行暗链的检测。该方法提出利用图片对比的方式进行暗链检测，提升了检测速度，增加了检测效率，对网页安全具有重要意义。

(三)发明内容

本发明提供的是一种网页暗链检测方法。

该方法将待检测网页和最近一次的安全网页分成相同的区域块，对同一位置上的区域块按图片相似度进行比对。若图片相同，则检测图片对应的代码段，若代码段中的链接发生改变，则判断可能存在一个暗链；若图片不相同，则说明图片发生了篡改，不再进行暗链的检测。该方法提出利用图片对比的方式进行暗链检测，提升了检测速度，增加了检测效率，对网页安全具有重要意义。

本发明的目的是这样实现的：

待检测网页A和其上一次的安全网页C，按照标签可分别划分为n个和m个区域，分别表示为和

对第Z_i个区域进行快照，图像矩阵表示为M_i，表示为{(M_iR₀,M_iG₀,M_iB₀),…,(M_iR₂₅₅,M_iG₂₅₅,M_iB₂)}

待检测网页A的第k个区域的快照图像矩阵为表示为源网页C对应区域的快照图像矩阵为表示为

的直方图横坐标HA[p]，纵坐标EA[p]与标签值IA[l]组成一个三元组(HA[p],EA[p],IA[l])，令的直方图横坐标HC[p]，纵坐标EC[p]与标签值IC[l]组成一个IA[l]三元组(HC[p],EC[p],IC[l])；

的标签值为IA[l]，的标签值为IC[l]；

的直方图与的直方图的相似度为ρ；

可疑代码段集合为W；

可疑地址为t。

其具体方法步骤为：

1：待检测网页A和其最近一次的安全网页C，按照标签可分别划分为n个和m个区域，分别表示为和

2：对第Z_i个区域进行快照，图像矩阵表示为M_i，表示为{(M_iR₀,M_iG₀,M_iB₀),…,(M_iR₂₅₅,M_iG₂₅₅,M_iB₂)}；

3：令k＝1；

4：待检测网页A的第k个区域的快照图像矩阵为表示为最近一次安全网页C对应区域的快照图像矩阵为表示为

5：计算区域内像素点总个数N＝256*256；

6：令l＝1，p＝1，的直方图横坐标HA[p]＝0，的直方图横坐标HC[p]＝0，的直方图纵坐标EA[p]＝0，的直方图纵坐标EC[p]＝0；

7：令的直方图横坐标HA[p]，纵坐标EA[p]与标签值IA[l]组成一个三元组(HA[p],EA[p],IA[l])，令的直方图横坐标HC[p]，纵坐标EC[p]与标签值IC[l]组成一个IA[l]三元组(HC[p],EC[p],IC[l])；

8：计算的标签值计算的标签值

9：若IA[l]，IC[l]不存在，则p+1，执行步骤10，否则，执行步骤10；

10：HA[p]＝IA[l]，EA[p]+1，HC[p]＝IC[l]，EC[p]+1；

11：若l＞N，则执行步骤12，否则l+1，执行步骤8；

12：计算的直方图与的直方图的相似度

13：若ρ≠100％，则标记对应代码段为可疑代码段，加入集合W中，执行步骤14；否则，执行步骤14；

14：k+1；

15：若k＞n，则执行步骤16，否则，执行步骤6；

16：得到集合W，共包含了代码段q个，分别为(W₁,W₂,…,W_q)；

17：若W为空，则说明该网页未检测出暗链，执行步骤18，否则，执行步骤19；

18：程序结束；

21：令u＝1；

22：若对W_u中<href>标签匹配存在，则提取出<href>标签中<href＝””>双引号间的地址t；

23：若t发生变化，则判断暗链存在，执行步骤24，否则，执行步骤24；

24：u+1；

25：若u＞q，则执行步骤18，否则，执行步骤22。

本发明的关键在于对网页分成同样的区域，并在同一位置的区域做快照对比图像是否相同，若图片相同，则检测图片对应的代码段，若代码段中的链接发生改变，则判断可能存在一个暗链；若图片不相同，则说明图片发生了篡改，不再进行暗链的检测。提升了检测速度，增加了检测效率。

其主要创新点如下：

1、将网页分为若干区域，并在同一区域位置的快照图像进行比对，具有创新性；

2、对相同图像的代码段进行比对，对发生改变的图像不做代码比对，加快了检测速率。

(四)附图说明

无附图。

(五)具体实施方式

本发明所述算法的特征在于：

待检测网页A和其上一次的安全网页C，按照标签可分别划分为n个和m个区域，分别表示为和

对第Z_i个区域进行快照，图像矩阵表示为M_i，表示为{(M_iR₀,M_iG₀,M_iB₀),…,(M_iR₂₅₅,M_iG₂₅₅,M_iB₂)}

待检测网页A的第k个区域的快照图像矩阵为表示为源网页C对应区域的快照图像矩阵为表示为

的直方图横坐标HA[p]，纵坐标EA[p]与标签值IA[l]组成一个三元组(HA[p],EA[p],IA[l])，令的直方图横坐标HC[p]，纵坐标EC[p]与标签值IC[l]组成一个IA[l]三元组(HC[p],EC[p],IC[l])；

的标签值为IA[l]，的标签值为IC[l]；

的直方图与的直方图的相似度为ρ；

可疑代码段集合为W；

可疑地址为t；

其具体方法步骤为：

1：待检测网页A和其最近一次的安全网页C，按照标签可分别划分为n个和m个区域，分别表示为和

2：对第Z_i个区域进行快照，图像矩阵表示为M_i，表示为{(M_iR₀,M_iG₀,M_iB₀),…,(M_iR₂₅₅,M_iG₂₅₅,M_iB₂)}；

3：令k＝1；

4：待检测网页A的第k个区域的快照图像矩阵为表示为最近一次安全网页C对应区域的快 照图像矩阵为表示为

5：计算区域内像素点总个数N＝256*256；

6：令l＝1，p＝1，的直方图横坐标HA[p]＝0，的直方图横坐标HC[p]＝0，的直方图纵坐标EA[p]＝0，的直方图纵坐标EC[p]＝0；

7：令的直方图横坐标HA[p]，纵坐标EA[p]与标签值IA[l]组成一个三元组(HA[p],EA[p],IA[l])，令的直方图横坐标HC[p]，纵坐标EC[p]与标签值IC[l]组成一个IA[l]三元组(HC[p],EC[p],IC[l])；

8：计算的标签值计算的标签值

9：若IA[l]，IC[l]不存在，则p+1，执行步骤10，否则，执行步骤10；

10：HA[p]＝IA[l]，EA[p]+1，HC[p]＝IC[l]，EC[p]+1；

11：若l＞N，则执行步骤12，否则l+1，执行步骤8；

12：计算的直方图与的直方图的相似度

13：若ρ≠100％，则标记对应代码段为可疑代码段，加入集合W中，执行步骤14；否则，执行步骤14；

14：k+1；

15：若k＞n，则执行步骤16，否则，执行步骤6；

16：得到集合W，共包含了代码段q个，分别为(W₁,W₂,…,W_q)；

17：若W为空，则说明该网页未检测出暗链，执行步骤18，否则，执行步骤19；

18：程序结束；

21：令u＝1；

22：若对W_u中<href>标签匹配存在，则提取出<href>标签中<href＝””>双引号间的地址t；

23：若t发生变化，则判断暗链存在，执行步骤24，否则，执行步骤24；

24：u+1；

25：若u＞q，则执行步骤18，否则，执行步骤22。

一种网页暗链检测方法具体实施模式是这样的：

将待检测网页和最近一次的安全网页分成相同的区域块，对同一位置上的区域块按图片相似度进行比对。若图片相同，则检测图片对应的代码段，若代码段中的链接发生改变，则判断可能存在一个暗链；若图片不相同，则说明图片发生了篡改，不再进行暗链的检测。该方法提出利用图片对比的方式进行暗链检测，提升了检测速度，增加了检测效率，对网页安全具有重要意义。

Claims (1)

1.一种网页暗链检测方法，其特征是：将待检测网页和最近一次的安全网页分成相同的区域块，对同一位置上的区域块按图片相似度进行比对；若图片相同，则检测图片对应的代码段，若代码段中的链接发生改变，则判断可能存在一个暗链；若图片不相同，则说明图片发生了篡改，不再进行暗链的检测；其具体方法步骤为：

1：待检测网页A和其最近一次的安全网页C，按照标签可分别划分为n个和m个区域，分别表示为和

2：对第Z_i个区域进行快照，图像矩阵表示为M_i，表示为{(M_iR₀,M_iG₀,M_iB₀),…,(M_iR₂₅₅,M_iG₂₅₅,M_iB₂)}；

3：令k＝1；

4：待检测网页A的第k个区域的快照图像矩阵为表示为最近一次安全网页C对应区域的快照图像矩阵为表示为

5：计算区域内像素点总个数N＝256*256；

6：令l＝1，p＝1，的直方图横坐标HA[p]＝0，的直方图横坐标HC[p]＝0，的直方图纵坐标EA[p]＝0，的直方图纵坐标EC[p]＝0；

7：令的直方图横坐标HA[p]，纵坐标EA[p]与标签值IA[l]组成一个三元组(HA[p],EA[p],IA[l])，令的直方图横坐标HC[p]，纵坐标EC[p]与标签值IC[l]组成一个IA[l]三元组(HC[p],EC[p],IC[l])；

8：计算的标签值计算的标签值

9：若IA[l]，IC[l]不存在，则p+1，执行步骤10，否则，执行步骤10；

10：HA[p]＝IA[l]，EA[p]+1，HC[p]＝IC[l]，EC[p]+1；

11：若l＞N，则执行步骤12，否则l+1，执行步骤8；

12：计算的直方图与的直方图的相似度

13：若ρ≠100％，则标记对应代码段为可疑代码段，加入集合W中，执行步骤14；否则，执行步骤14；

14：k+1；

15：若k＞n，则执行步骤16，否则，执行步骤6；

16：得到集合W，共包含了代码段q个，分别为(W₁,W₂,…,W_q)；

17：若W为空，则说明该网页未检测出暗链，执行步骤18，否则，执行步骤19；

18：程序结束；

21：令u＝1；

22：若对W_u中<href>标签匹配存在，则提取出<href>标签中<href＝””>双引号间的地址t；

23：若t发生变化，则判断暗链存在，执行步骤24，否则，执行步骤24；

24：u+1；

25：若u＞q，则执行步骤18，否则，执行步骤22。