技術領域

本發明涉及互聯網技術領域，更具體地說，涉及一種檢測網馬的方法及 裝置。

背景技術

在互連網領域中，網馬是指表面上偽裝成普通網頁文件或者將惡意代碼 直接插入到正常的網頁文件中，當用戶訪問該網頁時，就會利用對方系統或 瀏覽器的漏洞自動將配置好的木馬下載到訪問者的電腦上來自動執行，給用 戶的利益帶來極大的危害。

目前，現有技術中檢測網馬的方法主要包括以下兩種：

一種是文本特征碼匹配技術，該技術通過分析大量網馬樣本，提取出關 鍵的網馬特征或特征組，在對網頁內容進行掃描的過程中，通過判斷該網頁 內容是否能與所述提取到的網碼特征或特征組相匹配，從而確定該檢測網頁 是否含網馬；

一種是采用蜜罐技術，該技術利用存有漏洞的客戶端蜜罐系統(如： WinXP、IE6.0或者有漏洞的軟件)，同時基于可有效控制和恢復運行的初始 狀態的虛擬機軟件構建。并通過利用一些行為監控軟件，通過手動或自動的 方式訪問待檢測網站，經過2～3分鐘的交互后，根據監控到的動態行為，來 判定客戶端蜜罐系統是否已被攻擊并植入木馬。該行為特征主要包括是否下 載了可執行文件，是否運行了可執行文件等。

在實現本發明的過程中，發明人發現現有技術存在以下缺點：

(1)采用文本特征碼匹配技術不能解決javascript腳本語句的變形問 題，如：文本字符串分拆、用十六或十進制來代替字符等，不會被執行的變 形的文本字符串很可能被當作網馬代碼特征檢出，所以存在嚴重的誤報情 況；針對javascript語句或html(Hyper?Text?Mark-up?Language，超文本標 記語言)網頁的加密問題也無法解決，如：htmlship、JScript.Encode加 密、base64編碼、US_ASCII編碼等；

(2)采用蜜罐技術在真實環境中執行該網站的文件，雖能準確獲得該 網站內容的行為，但存在檢測版本的局限性。同一臺機器上安裝的各種軟件 只對應一個版本，如果該網站利用某個軟件的其它版本的漏洞來設置網馬， 就檢測不到；雖然蜜罐技術對于網馬檢測具有針對性，大大減少了所要分析 的數據，但在一定時間段內只能針對一個網頁進行檢測，并發性程度不高， 導致檢測效率很低。

發明內容

本發明的目的是提供一種檢測網馬的方法及裝置，解決了現有技術中網 馬檢測的局限性，能夠比較全面的對網頁中的網馬進行檢測，并且克服了現 有技術中依賴第三方軟件的檢測網馬的局限性問題。

本發明的技術方案如下：

本發明提供了一種檢測網馬的方法，該方法包括：

從網頁內容中獲取html網頁腳本信息；

執行所述html網頁腳本信息，并對執行過程中產生的行為特征進行記 錄；

將所述行為特征與保存的漏洞特征碼相匹配，當匹配成功時，確定該網 頁內容含有網馬。

進一步地，從網頁內容中獲取html網頁腳本信息，具體過程包括：

通過對網頁內容的解析，獲得html網頁腳本信息，并保存；

所述html網頁腳本信息中包含html網頁腳本信息標簽及對應的語言類型 和內容，以及包含帶有html網頁腳本代碼的標簽名稱及對應代碼和所述代碼 的語言類型。

進一步地，執行所述html網頁腳本信息，并對執行過程中產生的行為特 征進行記錄，具體過程包括：

將所述html網頁腳本信息轉換為Javascript類型中的Javascript代碼；

對所述Javascript代碼執行中引用的全局對象和默認對象進行定義，以 獲得所述全局對象和默認對象所對應的行為特征；

按照所述定義執行所述Javascript代碼，并記錄所述全局對象和默認對 象在執行過程中所產生的行為特征；所述行為特征包括對象名、對象函數 名、函數參數值、屬性名和屬性值中的至少一項內容。

進一步地，所述方法還包括：

當匹配成功時，將與該網馬對應的匹配信息輸出；否則，反饋該網頁無 網馬的提示信息。

進一步地，所述漏洞特征碼的生成過程具體包括：

通過對大量網馬的樣本和漏洞的分析，將含有漏洞的控件名稱、關鍵函 數名及對應的屬性名、關鍵函數參數及對應的屬性值，作為漏洞特征碼，保 存在數據庫中。

本發明還提供了一種檢測網馬的裝置，包括：