本发明专利技术公开了一种基于WASM模块挖矿行为的网页检测方法及装置,包括:获取目标网址;提取目标网址中WASM模块的二进制文件;将二进制文件转换为可视化的RGB图像;将RGB图像输入网页检测模型中,以使网页检测模型基于RGB图像的图像纹理进行特征提取后,生成目标特征,并根据目标特征,生成目标网址的存在挖矿行为或不存在挖矿行为的检测结果。本发明专利技术可以实现通过WASM模块对应的RGB图像进行检测出该WASM模块是否存在挖矿行为,可以避免因为只是基于字节码级别的检测从而导致检测不准确的问题出现,则可以很好对代码编译为混淆式的挖矿行为进行检测,提高了网页检测的准确度。提高了网页检测的准确度。提高了网页检测的准确度。
【技术实现步骤摘要】
一种基于WASM模块挖矿行为的网页检测方法及装置
[0001]本专利技术涉及网页检测
,尤其涉及一种基于WASM模块挖矿行为的网页检测方法及装置。
技术介绍
[0002]黑客常将挖矿脚本嵌入到一网页中,以使在用户访问浏览该页面时,执行挖矿脚本从而逼迫用户退出页面,这种作为恶意的挖矿行为被许多网站用来当作网页在线广告收益的替代品,越来越多的黑客会通过攻击网站来向网页中偷偷嵌入挖矿脚本进行获取巨额利益。新一代挖矿病毒已出现将部分JS脚本代码编译入网页中的WASM模块中的混淆式挖矿行为,或出现将WASM程序反汇编为C语言代码,通过使用C语言混淆器将混淆后的C语言代码重新编译成网页的WASM模块,混淆后的Web程序可以通过WebAssembly和JavaScript的API完全访问网页的数据和功能。对于上述的混淆式的挖矿行为,现有技术常采用基于JS代码分析的检测器或WASM指令检测器来进行检测是否存在挖矿行为,因本质上还是字节码级别的检测以及基于操作码的检测,对于存在混淆技术的挖矿行为会很难准确检测出网页是否存在恶意挖矿行为,使得网页检测的准确度较低。
技术实现思路
[0003]本专利技术实施例提供一种基于WASM模块挖矿行为的网页检测方法及装置,能有效解决现有技术中因本质上还是字节码级别的检测以及基于操作码的检测,对于存在混淆技术的挖矿行为会很难准确检测出网页是否存在恶意挖矿行为,使得网页检测的准确度较低的问题。
[0004]本专利技术一实施例提供一种基于WASM模块挖矿行为的网页检测方法,包括:
[0005]获取目标网址;
[0006]提取所述目标网址中WASM模块的二进制文件;
[0007]将所述二进制文件转换为可视化的RGB图像;
[0008]将所述RGB图像输入网页检测模型中,以使所述网页检测模型基于所述RGB图像的图像纹理进行特征提取后,生成目标特征;根据所述目标特征,生成目标网址的检测结果;其中,所述检测结果包括:存在挖矿行为或不存在挖矿行为。
[0009]优选地,所述将所述二进制文件转换为可视化的RGB图像,包括:
[0010]提取所述二进制文件中的字节流,并将所述字节流生成对应的二维矩阵;
[0011]计算所述二维矩阵对应的局部熵值,以及计算所述二维矩阵对应的全局熵值;
[0012]将所述二维矩阵中的数值作为R通道数值,将局部熵值作为G通道数值,并将全局熵值作为B通道数值;
[0013]将所述R通道数值、所述G通道数值以及所述B通道数值映射到对应的通道中,生成可视化的RGB图像。
[0014]优选地,所述计算所述二维矩阵对应的局部熵值,包括:
[0015]获取所述二维矩阵的中心值在预设范围内的若干个数值的子矩阵,根据如下公式计算每一子矩阵对应的局部熵值:
[0016]H_local=
‑
a*∑(n/g)*log2(n/g)
[0017]其中,H_local为每一子矩阵对应的局部熵值,a为预设倍数,n为每个数值在子矩阵中的频数,g为数值的个数;
[0018]优选地,所述计算所述二维矩阵对应的全局熵值,包括:
[0019]根据如下公式计算得到所述二维矩阵对应的全局熵值:
[0020]L_local=
‑
a*∑(n/N)*log2(n/N);
[0021]其中,L_local为二维矩阵对应的全局熵值,a为预设倍数,n为每个数值在子矩阵中的频数,N为二维矩阵的数值总个数。
[0022]优选地,所述网页检测模型包括卷积层、池化层以及全连接层;
[0023]所述网页检测模型基于所述RGB图像的图像纹理进行特征提取后,生成目标特征,包括:
[0024]所述网页检测模型中的卷积层基于所述RGB图像的图像纹理,提取所述RGB图像的表层特征和深层特征,并将所述表层特征和深层特征发送至所述池化层;
[0025]所述池化层对所述表层特征和深层特征进行特征选择,以及对所述RGB图像进行下采样后,生成目标特征。
[0026]优选地,所述根据所述目标特征,生成目标网址的检测结果,包括:
[0027]通过网页检测模型中的全连接层,对所述目标特征进行分类,生成目标网址的检测结果。
[0028]优选地,所述网页检测模型的生成包括:
[0029]将样本WASM模块对应的RGB图像作为卷积神经网络的输入,以样本WASM模块实际的检测结果作为卷积神经网络输出,对所述卷积神经网络进行迭代训练;
[0030]在检测到所述卷积神经网络收敛时,将训练完成后的卷积神经网络作为所述网页检测模型。
[0031]一种基于WASM模块挖矿行为的网页检测装置,包括:网址获取模块、二进制文件提取模块、图像转换模块以及检测结果生成模块;
[0032]所述网址获取模块,用于获取目标网址;
[0033]所述二进制文件提取模块,用于提取所述目标网址中WASM模块的二进制文件;
[0034]所述图像转换模块,用于将所述二进制文件转换为可视化的RGB图像;
[0035]所述检测结果生成模块,用于将所述RGB图像输入网页检测模型中,以使所述网页检测模型基于所述RGB图像的图像纹理进行特征提取后,生成目标特征;根据所述目标特征,生成目标网址的检测结果;其中,所述检测结果包括:存在挖矿行为或不存在挖矿行为。
[0036]通过实施本专利技术具有如下有益效果:
[0037]本专利技术实施例提供了一种基于WASM模块挖矿行为的网页检测方法及装置,包括:获取目标网址;提取所述目标网址中WASM模块的二进制文件;将所述二进制文件转换为可视化的RGB图像;将所述RGB图像输入网页检测模型中,以使所述网页检测模型基于所述RGB图像的图像纹理进行特征提取后,生成目标特征;根据所述目标特征,生成目标网址的检测结果;其中,所述检测结果包括:存在挖矿行为或不存在挖矿行为。与现有技术相比,本专利技术
将WASM模块中的二进制文件转换为可视化的RGB图像,然后通过网页检测模型来基于所述RGB图像的图像纹理进行特征提取,因为不同的二进制文件可以生成不同的图像,因此存在恶意挖矿行为的WASM模块与不存在恶意挖矿行为的良性WASM模块对应的可视化RGB图像的纹理特征不同,在通过本专利技术的网页检测模型基于图像纹理对图像的特征进行提取后,可以分辨出不同的图像对应的不同的检测结果,因此本专利技术可以实现通过WASM模块对应的RGB图像进行检测出该WASM模块是否存在挖矿行为,可以避免因为只是基于字节码级别的检测从而导致检测不准确的问题出现;本专利技术通过将WASM模块对应的二进制文件转换为可视化的RGB图进行检测,而不是对WASM模块的代码进行检测,则可以很好对代码编译为混淆式的挖矿行为进行检测,提高了网页检测的准确度。
附图说明
[0038]图1是本专利技术一实施例提供的一种基于WASM模块挖矿行为的网页检测方法的流程示意图。
[003本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于WASM模块挖矿行为的网页检测方法,其特征在于,包括:获取目标网址;提取所述目标网址中WASM模块的二进制文件;将所述二进制文件转换为可视化的RGB图像;将所述RGB图像输入网页检测模型中,以使所述网页检测模型基于所述RGB图像的图像纹理进行特征提取后,生成目标特征;根据所述目标特征,生成目标网址的检测结果;其中,所述检测结果包括:存在挖矿行为或不存在挖矿行为。2.如权利要求1所述的一种基于WASM模块挖矿行为的网页检测方法,其特征在于,所述将所述二进制文件转换为可视化的RGB图像,包括:提取所述二进制文件中的字节流,并将所述字节流生成对应的二维矩阵;计算所述二维矩阵对应的局部熵值,以及计算所述二维矩阵对应的全局熵值;将所述二维矩阵中的数值作为R通道数值,将局部熵值作为G通道数值,并将全局熵值作为B通道数值;将所述R通道数值、所述G通道数值以及所述B通道数值映射到对应的通道中,生成可视化的RGB图像。3.如权利要求2所述的一种基于WASM模块挖矿行为的网页检测方法,其特征在于,所述计算所述二维矩阵对应的局部熵值,包括:获取所述二维矩阵的中心值在预设范围内的若干个数值的子矩阵,根据如下公式计算每一子矩阵对应的局部熵值:H_local=
‑
a*∑(n/g)*log2(n/g)其中,H_local为每一子矩阵对应的局部熵值,a为预设倍数,n为每个数值在子矩阵中的频数,g为数值的个数。4.如权利要求3所述的一种基于WASM模块挖矿行为的网页检测方法,其特征在于,所述计算所述二维矩阵对应的全局熵值,包括:根据如下公式计算所述二维矩阵对应的全局熵值:L_local=
‑
a*∑(n/N)*log2(n/N);其中,L_local为二维矩阵对应的全局熵值,a为预设倍数,n为每个数值在子矩阵中的频数,N...
【专利技术属性】
技术研发人员:张瑜,王慧,潘小明,石元泉,陈桂宏,彭景惠,陈艺芳,黄炜艺,陈溢爽,
申请(专利权)人:浙江省电子信息产品检验研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。