[发明专利]一种超文本预处理器代码中的网页后门检测方法及装置

权利要求书

1.一种超文本预处理器代码中的网页后门检测方法，其特征是，包括如下步骤：

根据触发的网页后门检测命令，获取超文本预处理器代码；

将所述超文本预处理器代码转换为操作码；

在所述操作码中识别出具有特殊含义的操作码保留关键字；

在所述操作码中提取出所述操作码保留关键字标识的操作码片段，所述操作码片段是操作码操作符、操作码操作数和字符串中的至少两者；

所述操作码片段包括字符串，从所述字符串中提取字符串文本特征，对所述字符串文本特征进行降维运算，得到所述字符串对应的操作码特征；

所述操作码片段包括操作码操作符和操作码操作数，根据所述操作码操作符和操作码操作数分别生成对应的操作码特征，以得到多种操作码特征；

将所述多种操作码特征输入分类模型进行分类；

若通过所述分类模型确定操作码特征对应的操作码片段包含无含义的字符串，或确定操作码特征对应的操作码操作符和操作码操作数中的至少一种的数量以及顺序与非网页后门的超文本预处理器代码对应的操作码有所差别，得到所述超文本预处理器代码含有网页后门的分类结果。

2.如权利要求1所述的方法，其特征是，

所述操作码片段为操作码操作符；

根据所述操作码片段生成操作码特征的步骤为：

按照操作码操作符在所述操作码中的被执行顺序，将多个操作码操作符依次拼接得到操作码操作符序列；

从所述操作码操作符序列中提取N元模型特征，得到所述操作码特征；其中，N为大于1的整数。

3.如权利要求1所述的方法，其特征是，

所述操作码片段为操作码操作数；

根据所述操作码片段生成操作码特征的步骤为：

按照操作码操作数在所述操作码中的被执行顺序，将多个操作码操作数依次拼接得到操作码操作数序列；

从所述操作码操作数序列中提取N元模型特征，得到所述操作码特征；其中，N为大于1的整数。

4.如权利要求1所述的方法，其特征是，通过如下步骤得到所述分类模型：

获取样本超文本预处理器代码，以及所述样本超文本预处理器代码是否含有网页后门的样本分类结果；

将所述样本超文本预处理器代码转换为样本操作码；

在所述样本操作码中识别出操作码保留关键字；

在所述样本操作码中提取出所述操作码保留关键字标识的样本操作码片段；

根据所述样本操作码片段生成样本操作码特征；

将所述样本操作码特征与样本分类结果进行模型训练，得到所述分类模型。

5.一种超文本预处理器代码中的网页后门检测装置，其特征是，包括：

获取单元，被配置为执行：根据触发的网页后门检测命令，获取超文本预处理器代码；

转换单元，被配置为执行：将所述超文本预处理器代码转换为操作码；

识别单元，被配置为执行：在所述操作码中识别出具有特殊含义的操作码保留关键字；

提取单元，被配置为执行：在所述操作码中提取出所述操作码保留关键字标识的操作码片段，所述操作码片段是操作码操作符、操作码操作数和字符串中的至少两者；

生成单元，被配置为执行：根据所述操作码片段包括字符串，从所述字符串中提取字符串文本特征，对所述字符串文本特征进行降维运算，得到所述字符串对应的操作码特征；所述操作码片段包括操作码操作符和操作码操作数，根据所述操作码操作符和操作码操作数分别生成对应的操作码特征，以得到多种操作码特征；

分类单元，被配置为执行：将所述操作码特征输入分类模型进行分类，若通过所述分类模型确定操作码特征对应的操作码片段包含无含义的字符串，或确定操作码特征对应的操作码操作符和操作码操作数中的至少一种的数量以及顺序与非网页后门的超文本预处理器代码对应的操作码有所差别，得到所述超文本预处理器代码含有网页后门的分类结果。