一种网站入侵篡改检测方法、装置、设备及存储介质与流程

1.本发明实施例涉及计算机技术领域，尤其涉及一种网站入侵篡改检测方法、装置、设备及存储介质。


背景技术：

2.随着数字化社会的迅速发展，互联网已经对商业、工业、银行、财政、教育、政府和娱乐及人们的工作和生活产生了深远的影响，许多传统的信息正在被移植到互联网上。网站作为电子政务、电子商务的重要平台，一旦被黑客攻破，重要信息和数据会被获取、破坏或篡改，同时也会造成重大的经济损失和恶劣的社会影响。因此，如何对网站是否发生入侵篡改进行检测变得尤为重要。


技术实现要素：

3.本发明提供一种网站入侵篡改检测方法、装置、设备及存储介质，以实现对网站发生入侵篡改的准确检测。
4.第一方面，本发明实施例提供了一种网站入侵篡改检测方法，所述方法包括：
5.获取待检测网站的网页信息集合，所述网页信息集合至少包括以下至少一种网页信息：网页源码、网页域名、网页图片和网页文本信息；
6.从所述网页信息集合中选择待检测网页信息，确定所述待检测网页信息对应的检测方式并进行相应的篡改检测，确定篡改检测结果。
7.第二方面，本发明实施例还提供了一种网站入侵篡改检测装置，该装置包括：
8.信息集获取模块，用于获取待检测网站的网页信息集合，所述网页信息集合至少包括以下至少一种网页信息：网页源码、网页域名、网页图片和网页文本信息；
9.检测模块，用于从所述网页信息集合中选择待检测网页信息，确定所述待检测网页信息对应的检测方式并进行相应的篡改检测，并确定篡改检测结果。
10.第三方面，本发明实施例还提供了一种计算机设备，该设备包括：
11.一个或多个处理器；
12.存储器，用于存储一个或多个程序，
13.当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如本发明实施例中任一所述的一种网站入侵篡改检测方法。
14.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明实施例中任一所述的一种网站入侵篡改检测动方法。
15.本发明实施例提供了一种网站入侵篡改检测方法、装置、设备及存储介质，通过获取待检测网站的网页信息集合，所述网页信息集合至少包括以下至少一种网页信息：网页源码、网页域名、网页图片和网页文本信息；从所述网页信息集合中选择待检测网页信息，确定所述待检测网页信息对应的检测方式并进行相应的篡改检测，并确定篡改检测结果。
通过获取网页信息集合，对网页信息集合中的待检测网页信息进行入侵篡改检测，保证待检测网站的安全性。根据待检测网页信息的信息类型选择合适的检测方式，对待检测网站进行不同角度的检测，提高检测结果的准确性。
附图说明
16.图1是本发明实施例一中的一种网站入侵篡改检测方法的流程图；
17.图2是本发明实施例一中的一种网站入侵篡改检测系统的架构示意图；
18.图3是本发明实施例二中的一种网站入侵篡改检测方法的流程图；
19.图4是本发明实施例二中的一种网站入侵篡改检测方法的实现示例图；
20.图5是本发明实施例三中的一种网站入侵篡改检测装置的结构示意图；
21.图6是本发明实施例四中的一种计算机设备的结构示意图。
具体实施方式
22.为使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施例方式作进一步地详细描述。应当明确，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
23.下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
24.在本技术的描述中，需要理解的是，术语“第一”、“第二”、“第三”等仅用于区别类似的对象，而不必用于描述特定的顺序或先后次序，也不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本技术中的具体含义。此外，在本技术的描述中，除非另有说明，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
25.实施例一
26.图1给出了本技术实施例一提供的一种网站入侵篡改检测方法的流程图，该方法适用于检测网站是否发生入侵及篡改的情况。该方法可以由计算机设备执行，该计算机设备可以是两个或多个物理实体构成，也可以是一个物理实体构成。一般而言，计算机设备可以是笔记本、台式计算机以及智能平板等。
27.图2为本实施例提供的一种网站入侵篡改检测系统的架构示意图，该系统包括数据源接入模块11、元数据筛选模块12、高性能检测引擎13、轻量级消息队列14、restful_api接口15和入侵篡改检测分析模块16。其中，数据源接入模块11用于获取待检测网站111的数据，待检测网站可以是重点网站、备案网站等。元数据筛选模块12对数据进行筛选，数据筛选包括数据格式筛选、数据有效性筛选和数据格式解析。高性能检测引擎13实现数据检测，数据检测包括植入暗链检测、网页图片检测和网页文本信息检测，得到篡改检测结果。通过轻量级消息队列14对数据进行处理，轻量级消息队列14包括消息数据生产者producer，消
息、数据消费者consumers，消息队列message。通过开放的restful_api接口15将检测得到的篡改检测结果发送给入侵篡改检测分析模块16，进行检测结果分析。
28.如图1所示，本实施例一提供的一种网站入侵篡改检测方法，具体包括如下步骤：
29.s101、获取待检测网站的网页信息集合，网页信息集合至少包括以下至少一种网页信息：网页源码、网页域名、网页图片和网页文本信息。
30.在本实施例中，待检测网站具体可以理解为具有检测是否被入侵篡改需求的网站，本技术中的待检测网站可以是任意网站。待检测网站可以预先设置，根据不同网站的重要程度预设设置，当待检测网站的数量不止一个时，对于每个待检测网站均采用同样的方式进行入侵篡改检测。网页信息集合具体可以理解为由不同类型的网页信息构成的数据集。网页图片具体可以理解为网页中展示的图片；网页文本信息具体可以理解为网页中的文字信息，例如、中文、英文等文字。采集待检测网站的网页信息，网页信息为网页源码、网页域名、网页图片或网页文本信息。获取待检测网站的网页信息的方式可以是通过爬虫采集。其中，网页域名从md5.txt文件中提取，网页文本信息从md5.txt和md5.html文件中获取。
31.s102、从网页信息集合中选择待检测网页信息，确定待检测网页信息对应的检测方式并进行相应的篡改检测，并确定篡改检测结果。
32.在本实施例中，待检测网页信息具体可以理解为具有检测需求的网页信息，由于网页信息的类型有多种，不同的网页信息需要通过不同的方式进行检测。篡改检测结果具体可以理解为进行入侵篡改检测后得到的检测结果，可以是发生篡改，未发生篡改；在篡改检测结果为发生篡改时，篡改检测结果可以直接通过篡改类型表示。
33.具体的，从网页信息集合中选定一种网页信息作为待检测网页信息，进行检测。在进行检测时，对网页信息集合中的网页信息可以仅选择其中一项进行检测，也可以选择多项网页信息进行检测。当需要对多种类型的网页信息均进行检测时，可以首先选择一种网页信息作为待检测网页信息，在完成此待检测网页信息的检测后，再次从网页信息集合中选择一种网页信息作为新的待检测网页信息，并选择合适的检测方式进行检测。当待检测网页信息为网页源码或网页域名时，进行植入链检测，植入链检测包括正则表达式检测、泛二级域名检测、网站检测。当待检测网页信息为网页图片或网页文本信息时，通过机器学习或神经网络技术进行内容检测，例如，检测网页图片或网页文本信息中是否包含负面信息或负面文字。通过篡改检测，得到篡改检测结果。
34.本发明实施例提供了一种网站入侵篡改检测方法，通过获取待检测网站的网页信息集合，所述网页信息集合至少包括以下至少一种网页信息：网页源码、网页域名、网页图片和网页文本信息；从所述网页信息集合中选择待检测网页信息，确定所述待检测网页信息对应的检测方式并进行相应的篡改检测，并确定篡改检测结果。通过获取网页信息集合，对网页信息集合中的待检测网页信息进行入侵篡改检测，保证待检测网站的安全性。根据待检测网页信息的信息类型选择合适的检测方式，对待检测网站进行不同角度的检测，提高检测结果的准确性。
35.实施例二
36.图3为本发明实施例二提供的一种网站入侵篡改检测方法的流程图。本实施例的技术方案在上述技术方案的基础上进一步细化，具体主要包括如下步骤：
37.s201、获取待检测网站的网页信息集合。
38.当所述待检测网页信息为网页源码时，执行s202-s203，确定篡改检测结果。
39.s202、获取预确定的正则表达式集合。
40.在本实施例中，正则表达式集合具体可以理解为由一个或者多个正则表达式构成的数据集。
41.需要知道的是，在网页源码进行检测时，其原理是通过对网页源码分析，检测其中的暗链(即hidden links，是黑帽seo的作弊手法之一)。为了检测网页源码结构是否被恶意修改(使内容不可见)，针对黑帽seo常用收发“暗链”进行检测，实现对网页源码结构是否被篡改的检测。
42.暗链常见类型有3类：设置标签的属性颜色不可见，位置不可见，属性不显示。针对不同的暗链类型，通过设置相应的正则表达式进行检测。预先确定检测不同类型暗链所需的正则表达式，根据各正则表达式形成正则表达式集合并存储。在对网页源码进行入侵篡改检测时，直接获取正则表达式集合。
43.s203、根据正则表达式集合中的正则表达式对网页源码进行字符串匹配检测，确定篡改检测结果。
44.依次通过正则表达式集合中的正则表达式对网页源码进行字符串匹配，若匹配成功，则网页源码被篡改；若匹配均不成功，则网页源码未被篡改。
45.当所述待检测网页信息为网页域名时，执行s204-s207或执行s208-s210确定，篡改检测结果。
46.s204、获取网页源码并进行分析，确定网页超链接集合。
47.在本实施例中，网页超链接集合具体可以理解为网页的所有超链接构成的数据集合，即所有外链集合。如果待检测网页信息为网页域名，此时进行的入侵篡改检测可以是泛二级域名检测，也可以是网站域名是否被篡改检测，对于两种不同类型的检测，采用不同的方式进行检测。进行泛二级域名检测，通过s204-s209步骤进行检测；进行网站域名是否被篡改检测，通过s210-s212步骤进行检测。
48.具体的，当对网页域名进行泛二级域名检测时，获取网页源码，并对网页源码进行分析，得到一个或者多个网页超链接，由一个或者多个网页超链接构成网页超链接集合。
49.s205、根据网页超链接集合和网页域名确定目标二级域名。
50.在本实施例中，目标二级域名具体可以理解为与网页域名的二级域名不匹配的网页超链接的二级域名。
51.具体的，分别对网页超链接集合中的网页超链接和网页域名提取二级域名，并将网页超链接集合和网页域名的二级域名进行循环匹配，根据匹配结果确定目标二级域名。
52.作为本实施例的一个可选实施例，本可选实施例进一步将根据网页超链接集合和网页域名确定目标二级域名优化为：
53.a1、对网页超链接集合中的网页超链接提取二级域名，得到至少一个超链接二级域名。
54.在本实施例中，超链接二级域名具体可以理解为网页超链接的二级域名。对网页超链接集合中的每个网页超链接分别提取二级域名，得到超链接二级域名。
55.a2、对网页域名提取二级域名，得到网页二级域名。
56.在本实施例中，网页二级域名具体可以理解为网页域名对应的二级域名。提取网页域名的二级域名，得到网页二级域名。
57.a3、将各超链接二级域名分别与网页二级域名比较。
58.对于每个超链接二级域名，分别将其余网页二级域名进行匹配比较，确定超链接二级域名与网页二级域名是否相同。
59.a4、将比较结果为不同的超链接二级域名确定为目标二级域名。
60.确定比较结果为不同的超链接二级域名，将此部分超链接二级域名确定为目标二级域名。
61.s206、统计目标二级域名的数量。
62.s207、判断数量是否大于第一预设数量阈值，若是，执行s208；否则，执行s209。
63.s208、确定篡改检测结果为泛二级域名篡改。
64.s209、确定篡改检测结果为未发生篡改。
65.在本实施例中，第一预设数量阈值具体可以理解为判断目标二级域名的数量是否在正常范围内的边界值。第一预设数量阈值可以根据需求设置。比较数量和第一预设数量阈值的大小，当数量大于第一预设数量阈值时，确定篡改检测结果为泛二级域名篡改；当数量小于或等于第一预设数量阈值时，确定篡改检测结果为未发生篡改。
66.s210、将网页域名通过预设的网页安全接口输出到域名检测平台。
67.在本实施例中，网页安全接口具体可以理解为进行网页入侵篡改检查，保证网页安全的接口。域名检测平台具体可以进行网页域名是否为篡改检测的平台，域名检测平台还可以验证网站的其他功能是否准确。通过网页安全接口将网页域名输出到域名检测平台，以使域名检测平台进行域名检测。
68.s211、接收域名检测平台返回的域名检测结果。
69.在本实施例中，域名检测结果可以是域名正常或域名异常。域名检测平台对网页域名进行检测，验证网页域名是否正常。
70.s212、对域名检测结果进行分析，确定篡改检测结果。
71.当域名检测结果为正常时，篡改检测结果为未发生篡改；当域名检测结果为异常时，篡改检测结果为发生网站域名篡改。
72.当所述待检测网页信息为网页图片时，执行s213-s215，确定篡改检测结果。
73.s213、将网页图片输入到预确定的图片检测网络模型中，图片检测网络模型根据检测数据集和分类数据集进行训练得到。
74.在本实施例中，图片检测网络模型具体可以理解为用于识别图片中存在的对象的神经网络模型。检测数据集(detection datasets)有很多限制，分类标签的信息太少，图片的数量小于分类数据集(classification datasets)，而且检测数据集的成本太高，使其无法当作分类数据集进行使用。而分类数据集却有着大量的图片和十分丰富分类信息。本技术提出了一种新的训练方法
–
联合训练算法，通过把这检测数据集和分类数据集的数据混合到一起，使用一种分层的观点对物体进行分类，用巨量的分类数据集数据来扩充检测数据集，从而把两种不同的数据集混合起来。在检测数据集和分类数据集上训练物体检测器(object detectors)，用检测数据集的数据学习物体的准确位置，用分类数据集的数据来增加分类的类别量、提升模型的健壮性。通过检测数据集和分类数据集中的数据进行训练
得到图片检测网络模型，将网页图片输入到图片检测网络模型中，图片检测网络模型根据学习到的经验对网页图片进行预测处理。
75.作为本实施例的一个可选实施例，本可选实施例进一步优化包括了图片检测网络模型的训练，图片检测网络模型的训练步骤包括：
76.b1、获取检测数据集和分类数据集，检测数据集和分类数据集中的待训练图片对应关联标准信息，标准信息包括标准位置信息和标准类别信息。
77.在本实施例中，待训练图片具体可以理解为用于进行模型训练的图片；标准信息具体可以理解为待训练图片中目标进行标注的信息，例如，待训练图片中包括一只猫、一个印章，对猫标注的标准信息即为猫，横坐标为30-50像素点，纵坐标为40-70像素点，其中，猫即为标准类别信息；横坐标为30-50像素点，纵坐标为40-70像素点，为标准位置信息。标准位置信息还可以通过其他方式表示，例如，左顶点的坐标，以及长、宽，由此可以确定矩阵框，矩形框的位置即为目标的位置。检测数据集和分类数据集中的待训练图片预先进行标注，在进行模型训练时，直接获取数据集即可。
78.b2、将当前迭代下对应的待训练图片输入到当前的待训练网络模型中，得到预测信息，预测信息包括预测位置信息和预测类别信息。
79.在本实施例中，待训练网络模型具体可以理解为未完成训练的、基于深度学习的神经网络模型。预测信息具体可以理解为模型预测得到信息，预测信息包括预测位置信息进而预测类别信息。
80.具体的，将当前迭代下对应的待训练图片输入至当前的待训练网络模型中，待训练网络模型根据当前的网络参数进行预测，得到待训练图片中各目标对应的预测位置信息和预测类别信息。
81.b3、采用给定的损失函数表达式，结合标准信息和预测信息，获得相应的损失函数。
82.在本实施例中，损失函数表达式可以理解为计算损失函数的表达式，在对待训练网络模型进行反向传播时，需要通过损失函数调整模型的参数。损失函数可以是gan损失函数、l1损失函数、focal损失函数、vgg perceptual损失函数等。
83.具体的，对于每个待训练图片，根据其对应的标准信息和预测信息，采用损失函数表达式进行计算，得到对应的损失函数。当一个图片中有多个目标时，由于每个目标均对应标准信息和预测信息，可以依次计算每个目标对应的损失函数，得到多个损失函数后，根据多个损失函数进行计算，得到最终的损失函数，作为此次迭代的损失函数。
84.b4、基于损失函数对待训练网络模型进行反向传播，得到用于下一迭代的待训练网络模型，直至满足迭代收敛条件，得到图片检测网络模型。
85.在神经网络模型的训练过程中，通过反向传播方法不断更新调整模型，直至模型的输出与目标趋于一致。在确定了损失函数后，利用该损失函数对待训练网络模型进行反向传播，得到满足收敛条件的图片检测网络模型。本发明实施例对具体的反向传播过程不做限定，可根据具体情况进行设置。模型训练完成后，就可以通过图片检测网络模型实现对图片中对象进行类别和位置的预测。
86.s214、根据图片检测网络模型的输出结果确定目标对象。
87.在本实施例中，目标对象具体可以理解为网页图片中的对象。网页图片输入到图
片检测网络模型中后，图片检测网络模型根据网络参数对网页图片进行预测处理，得到存在目标对象的位置，以及目标对象的类别。
88.s215、对目标对象中的待检测文字进行异常检测，根据异常检测结果确定篡改检测结果。
89.在本实施例中，待检测文字具体可以理解为目标对象中包含的文字，例如，目标对象为印章，印章中的文字即为待检测文字。异常检测结果可以是文字异常、文字正常。目标对象中可能存在待检测文字，待检测文字可能是异常文字，例如，包含了负面信息、不当言论等，对待检测文字进行文字是否异常的检测，根据异常检测结果确定篡改检测结果，例如，文字异常时，篡改检测结果为发生篡改；文字正常时，篡改检测结果为未发生篡改。
90.当所述待检测网页信息为网页文本信息时，执行s216-s219。
91.s216、获取网页源码，并确定网页源码中的文本标签。
92.在本实施例中，文本标签为通过html设计网页页面时的文本标签。在检测网页文本信息是否发生了入侵篡改时，需要获取网页源码，根据网页源码对网页文本信息进行入侵篡改检测。直接获取网页源码，对网页源码进行分析，得到网页源码中的所有文本标签。
93.s217、根据各文本标签和网页文本信息确定目标文本。
94.在本实施例中，目标文本具体可以理解为从网页文本信息中筛选出的文本。根据文本标签确定网页文本信息中的文本，进而对文本的长度进行筛选，得到满足条件的目标文本。
95.作为本实施例的一个可选实施例，本可选实施例进一步将根据各文本标签和网页文本信息确定目标文本优化为：
96.c1、确定各文本标签在网页文本信息中所对应文本的文本长度。
97.在本实施例中，文本长度具体可以理解为文本中所包括数据的长度。查找每个文本标签在网页文本信息中对应的文本，确定各文本的文本长度。
98.c2、确定各文本长度中满足预设长度条件的目标文本长度。
99.在本实施例中，预设长度条件为预先设置的长度范围，例如2-20。依次判断每个文本长度是否满足预设长度条件，若是，确定此文本长度为目标文本长度。
100.c3、将目标文本长度对应的文本确定为目标文本。
101.确定各目标文本长度对应的文本，将此部分文本确定为目标文本。
102.s218、对各目标文本进行异常检测，确定异常文本。
103.在本实施例中，异常文本具体可以理解为包含异常文字、信息的文本。对各目标文本进行分析，确定异常文本中的信息是否异常，例如，目标文本信息中是否包含过多的敏感信息。
104.作为本实施例的一个可选实施例，本可选实施例进一步将对各目标文本进行异常检测，确定异常文本优化为：
105.d1、针对每个目标文本，确定目标文本和预确定的异常文字信息库的编辑距离。
106.在本实施例中，异常文本信息库具体可以理解为由异常词、异常句子构成的信息库。编辑距离具体可以理解为由一个字串转成另一个字串所需的最少编辑操作次数。许可的编辑操作包括将一个字符替换成另一个字符，插入一个字符，删除一个字符。对于每个目标文本，通过序列比对等方式计算此目标文本中各词或句子与异常文字信息库的编辑距
离。计算编辑距离的方式可通过机器学习建模进行计算。
107.d2、统计编辑距离满足预设距离条件的异常词数量。
108.在本实施例中，异常词数量具体可以理解为异常词的数量。预设距离条件具体可以理解为预先设定的距离范围条件，例如，大于0.75。比较目标文本中每个词或句子对应的编辑距离与预设距离条件，确定满足预设距离条件的编辑距离，此部分编辑距离对应的词或句子为异常词，统计异常词的数量得到异常词数量。
109.d3、当异常词数量大于第三预设数量阈值时，确定目标文本为异常文本。
110.在本实施例中，第三预设数量阈值具体可以理解为用于判断目标文本是否异常的数量阈值，可根据需求预先设置。比较异常词数量与第三预设数量阈值的大小，当异常词数量大于第三预设数量阈值时，确定目标文本为异常文本，可能发生篡改；异常词数量小于或等于第三预设数量阈值时，确定目标文本为正常文本，未发生篡改。
111.s219、判断异常文本的数量是否大于第二预设数量阈值，若是，执行s220；否则，执行s221。
112.s220、确定篡改检测结果为网页篡改。
113.s221、确定篡改检测结果为未发生篡改。
114.在本实施例中，第二预设数量阈值具体可以理解为判断异常文本的数量是否符合要求的阈值。本技术中的第一预设数量阈值、第二预设数量阈值和第三预设数量阈值的取值可以相同，也可以不同，在实际应用中根据需求设置即可。统计异常文本的数量，并比较异常文本的数量和第二预设数量阈值的大小。当异常文本的数量大于第二预设数量阈值时，确定篡改检测结果为网页篡改。
115.通过对常见文字篡改行为进行分析，提取被篡改文本的特征，形成异常文字信息库。利用机器学习技术对网页文字内容进行建模，自动判断文本是否被恶意篡改。并且可设置预警方式，在网页文本信息发生篡改后进行预警，输出篡改信息及危险度评分。对文字的篡改可能发生在页面的任何地方，被篡改的形式也多种多样，本技术实施例能够自动检测多种文字被篡改的形式。
116.作为本实施例的一个可选实施例，本可选实施例进一步优化包括：根据至少一个篡改检测结果生成预警工单，并发送至对应的用户。
117.在本实施例中，预警工单具体可以理解为对用户进行预警的工单，用于提醒用户网站已经被篡改，及时处理以保证网站安全。本技术实施例中的用户可以是待检测网站对应的管理人员、维护人员等。预先选择待检测网站对应关联的用户。当至少有一个或超过预设数量的篡改检测结果为发生篡改时，生成预警工单下发给对应的用户。预警工单中可以包括发生篡改的类型，例如，泛二级域名发生篡改，以便用户可以及时确定篡改类型，执行相应的处理。发送的方式可以设置为发送至邮箱、通过短信发送至手机、或者通过作业系统发送给对应的账号。同时，根据篡改检测结果还可以生成运营报告。
118.进一步地，图4为本技术实施例提供的一种网站入侵篡改检测方法的实现示例图。
119.s301、开始。
120.s302、对待检测网站采集网络数据。
121.采集网络数据的方式可以是通过爬虫的方式进行采集。
122.s303、从网络数据获取网页数据文件。
123.s304、从网络数据获取网页源码文件。
124.s305、从网络数据获取网页截图文件。
125.s306、根据网页源码文件和网页数据文件可以得到网页url、网页域名、网页标签、网页关键字、网页描述、网页短文本、短文本超链接、网页文本集合、网页链接集合，即包括了网页源码、网页域名和网页文本信息。
126.s307、根据网页url、网页域名、网页标签、网页关键字、网页描述、网页短文本、短文本超链接、网页文本集合、网页链接集合，得到网页url、网页域名和网页链接集合。
127.s308、判断url是否有效，若否，执行s309；否则，执行s310。
128.s309、丢弃数据。
129.s310、进行植入链检测。植入链检测包括：网站检测、泛二级域名检测和正则表达式检测，并执行s322。
130.其中，网站检测即为通过域名检测平台对网页域名进行检测，得到检测结果。泛二级域名检测即为通过网页超链接集合和网页域名确定二级域名进行检测，得到检测结果。正则表达式检测即为通过正则表达式对网页源码进行检测，得到检测结果。
131.s311、根据网页url、网页域名、网页标签、网页关键字、网页描述、网页短文本、短文本超链接、网页文本集合、网页链接集合，得到网页短文本、短文本超链接。
132.s312、判断网页短文本、短文本超链接是否包含中文，若是，执行s313；否则，执行s314。
133.在网页短文本、短文本超链接包含中文的情况下，确定文本标签在网页文本信息中所对应文本的文本长度。
134.s313、判断文本长度是否满足预设长度条件，若否，执行s314；否则，执行s315。
135.确定文本长度满足预设长度条件的目标文本长度，并将目标文本长度对应的文本确定为目标文本。
136.s314、丢弃数据。
137.s315、对目标文本进行异常检测，确定异常文本。
138.s316、对异常文本的数量与第二预设数量阈值进行比较，得到篡改检测结果，并执行s322。
139.s317、根据网页截图文件获取网页图片。
140.s318、判断网页图片是否有效，若否，执行s319；否则，执行s320。
141.s319、丢弃数据。
142.s320、对网页图片进行检测。
143.对网页图片进行检测的方式可以是通过图片检测网络模型进行检测。
144.s321、得到篡改检测结果，并执行s322。
145.s322、对篡改检测结果进行汇总。
146.s323、输出检测结果，分别执行s324和s325。
147.s324、生成运营报告。
148.s325、生成预警工单并下发。
149.s326、结束。
150.本发明实施例提供了一种网站入侵篡改检测方法，通过获取待检测网站的网页信
息集合，所述网页信息集合至少包括以下至少一种网页信息：网页源码、网页域名、网页图片和网页文本信息；从所述网页信息集合中选择待检测网页信息，确定所述待检测网页信息对应的检测方式并进行相应的篡改检测，并确定篡改检测结果。通过获取网页信息集合，对网页信息集合中的待检测网页信息进行入侵篡改检测，保证待检测网站的安全性。根据待检测网页信息的信息类型选择合适的检测方式，对待检测网站进行不同角度的检测，提高检测结果的准确性。并且检测过程中通过检测数据集合分类数据集训练得到图片洁厕网络模型，既保证位置预测的准确性，又可以增加分类的类别量，提升模型的健壮性，从而提高入侵篡改检测的准确性。
151.实施例三
152.图5为本发明实施例三提供的一种网站入侵篡改检测装置的结构示意图，该装置包括：信息集获取模块41和检测模块42。
153.其中，信息集获取模块41，用于获取待检测网站的网页信息集合，所述网页信息集合至少包括以下至少一种网页信息：网页源码、网页域名、网页图片和网页文本信息；
154.检测模块42，用于从所述网页信息集合中选择待检测网页信息，确定所述待检测网页信息对应的检测方式并进行相应的篡改检测，并确定篡改检测结果。
155.本发明实施例提供了一种网站入侵篡改检测装置，通过获取待检测网站的网页信息集合，所述网页信息集合至少包括以下至少一种网页信息：网页源码、网页域名、网页图片和网页文本信息；从所述网页信息集合中选择待检测网页信息，确定所述待检测网页信息对应的检测方式并进行相应的篡改检测，并确定篡改检测结果。通过获取网页信息集合，对网页信息集合中的待检测网页信息进行入侵篡改检测，保证待检测网站的安全性。根据待检测网页信息的信息类型选择合适的检测方式，对待检测网站进行不同角度的检测，提高检测结果的准确性。
156.进一步地，当所述待检测网页信息为网页源码时，检测模块42包括：
157.表达式获取单元，用于获取预确定的正则表达式集合；
158.匹配检测单元，用于根据所述正则表达式集合中的正则表达式对所述网页源码进行字符串匹配检测，确定篡改检测结果。
159.进一步地，当所述待检测网页信息为网页域名时，检测模块42包括：
160.超链接确定单元，用于获取网页源码并进行分析，确定网页超链接集合；
161.二级域名确定单元，用于根据所述网页超链接集合和网页域名确定目标二级域名；
162.数量确定单元，用于统计所述目标二级域名的数量；
163.二级域名检测单元，用于判断所述数量是否大于第一预设数量阈值时，若是，确定篡改检测结果为泛二级域名篡改；否则，确定篡改检测结果为未发生篡改。
164.进一步地，二级域名确定单元，具体用于对所述网页超链接集合中的网页超链接提取二级域名，得到至少一个超链接二级域名；对所述网页域名提取二级域名，得到网页二级域名；将各所述超链接二级域名分别与网页二级域名比较；将比较结果为不同的超链接二级域名确定为目标二级域名。
165.进一步地，当所述待检测网页信息为网页域名时，检测模块42包括：
166.域名输出单元，用于将所述网页域名通过预设的网页安全接口输出到域名检测平
台；
167.检测结果接收单元，用于接收所述域名检测平台返回的域名检测结果；
168.检测结果分析单元，用于对所述域名检测结果进行分析，确定篡改检测结果。
169.进一步地，当所述待检测网页信息为网页图片时，检测模块42包括：
170.模型输入单元，用于将所述网页图片输入到预确定的图片检测网络模型中，所述图片检测网络模型根据检测数据集和分类数据集进行训练得到；
171.模型输出单元，用于根据所述图片检测网络模型的输出结果确定目标对象；
172.异常检测单元，用于对所述目标对象中的待检测文字进行异常检测，根据异常检测结果确定篡改检测结果。
173.进一步地，该装置还包括：
174.数据集获取模块，用于获取检测数据集和分类数据集，所述检测数据集和分类数据集中的待训练图片对应关联标准信息，所述标准信息包括标准位置信息和标准类别信息；
175.预测信息确定模块，用于将当前迭代下对应的待训练图片输入到当前的待训练网络模型中，得到预测信息，所述预测信息包括预测位置信息和预测类别信息；
176.损失函数确定模块，用于采用给定的损失函数表达式，结合所述标准信息和预测信息，获得相应的损失函数；
177.反向传播模块，用于基于所述损失函数对所述待训练网络模型进行反向传播，得到用于下一迭代的待训练网络模型，直至满足迭代收敛条件，得到图片检测网络模型。
178.进一步地，当所述待检测网页信息为网页文本信息时，检测模块42包括：
179.标签确定单元，用于获取网页源码，并确定所述网页源码中的文本标签；
180.目标文本确定单元，用于根据各所述文本标签和网页文本信息确定目标文本；
181.异常文本确定单元，用于对各所述目标文本进行异常检测，确定异常文本；
182.篡改检测单元，用于判断所述异常文本的数量是否大于第二预设数量阈值，若是，确定篡改检测结果为网页篡改；否则，确定篡改检测结果为未发生篡改。
183.进一步地，目标文本确定单元，具体用于确定各所述文本标签在网页文本信息中所对应文本的文本长度；确定各所述文本长度中满足预设长度条件的目标文本长度；将所述目标文本长度对应的文本确定为目标文本。
184.进一步地，异常文本确定单元，具体用于针对每个目标文本，确定所述目标文本和预确定的异常文字信息库的编辑距离；统计所述编辑距离满足预设距离条件的异常词数量；当异常词数量大于第三预设数量阈值时，确定所述目标文本为异常文本。
185.进一步地，该装置还包括：
186.工单发送模块，用于根据至少一个篡改检测结果生成预警工单，并发送至对应的用户。
187.本发明实施例所提供的网站入侵篡改检测装置可执行本发明任意实施例所提供的网站入侵篡改检测方法，具备执行方法相应的功能模块和有益效果。
188.实施例四
189.图6为本发明实施例四提供的一种计算机设备的结构示意图，如图6所示，该设备包括处理器50、存储器51、输入装置52和输出装置53；设备中处理器50的数量可以是一个或
多个，图6中以一个处理器50为例；设备中的处理器50、存储器51、输入装置52和输出装置53可以通过总线或其他方式连接，图6中以通过总线连接为例。
190.存储器51作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的网站入侵篡改检测方法对应的程序指令/模块(例如，网站入侵篡改检测装置中的信息集获取模块41和检测模块42)。处理器50通过运行存储在存储器51中的软件程序、指令以及模块，从而执行设备的各种功能应用以及数据处理，即实现上述的网站入侵篡改检测方法。
191.存储器51可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器51可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器51可进一步包括相对于处理器50远程设置的存储器，这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
192.输入装置52可用于接收输入的数字或字符信息，以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置53可包括显示屏等显示设备。
193.实施例五
194.本发明实施例五还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行一种网站入侵篡改检测方法，该方法包括：
195.获取待检测网站的网页信息集合，所述网页信息集合至少包括以下至少一种网页信息：网页源码、网页域名、网页图片和网页文本信息；
196.从所述网页信息集合中选择待检测网页信息，确定所述待检测网页信息对应的检测方式并进行相应的篡改检测，确定篡改检测结果。
197.当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的网站入侵篡改检测方法中的相关操作。
198.通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(read-only memory,rom)、随机存取存储器(random access memory,ram)、闪存(flash)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
199.值得注意的是，上述网站入侵篡改检测装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。
200.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行
了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。