技術領域

本申請涉及計算機安全技術，特別是涉及一種網頁中惡意代碼的檢測方法及系統。

背景技術

黑客通常是在網頁中使用惡意的動態腳本來構造的惡意網頁代碼，如通過在javascript腳本中書寫惡意代碼，腳本運行時其中的惡意代碼會觸發漏洞，然后在操作系統中運行下載病毒木馬的程序，進而對操作系統造成危害。

因此需要查找出惡意代碼并阻止其運行，才能阻止惡意代碼后續對操作系統的危害。目前大部分殺毒軟件都是通過檢測特征碼，即一個或多個特定的字符串特征，針對單個網頁源代碼的文本內容進行靜態檢測，所述靜態檢測是對惡意代碼的文本進行靜態分析的方法。

靜態檢測的具體做法是，首先打開一個網頁時會先將網頁下載到本地緩存中，然后再讀取網頁的源代碼來顯示網頁，殺毒軟件在讀取源代碼的過程中就會進行匹配檢測，若匹配到上述的特征碼，就認為該網頁中含有惡意代碼，會將該網頁攔截不予顯示。

但是黑客可以將惡意代碼嵌入網頁中由第三方來支持運行的腳本中，例如將惡意代碼嵌入Flash支持運行的腳本中，Flash支持運行的腳本是通過虛擬機進行解析后，通過瀏覽器接口來動態運行的。Flash支持運行的腳本本身并不存在于網頁的源代碼中，因此殺毒軟件沒有辦法檢測Flash支持運行的腳本，也就不會執行攔截操作，使得嵌入Flash支持運行的腳本中的惡意代碼能夠觸發漏洞，下載木馬來危害操作系統，因此殺毒軟件無法有效檢測出網頁中的惡意代碼。

發明內容

本申請提供了一種網頁中惡意代碼的檢測方法及系統，以解決殺毒軟件無法有效檢測出網頁中惡意代碼的問題。

為了解決上述問題，本申請公開了一種網頁中惡意代碼的檢測方法，包括：

捕獲瀏覽器接口的接口函數；

在瀏覽器接口調用所述接口函數傳遞要運行的腳本給腳本解釋引擎之前，攔截所述要運行的腳本；

對腳本中的內容進行分析并檢測惡意代碼。

優選的，所述對腳本中的內容進行分析并檢測惡意代碼，包括：

根據預置的詞組規則將腳本中的內容進行分解為特定的詞組；

根據特征碼對所述特定的詞組進行惡意代碼檢測。

優選的，所述根據預置的詞組規則將腳本中的內容分解為特定的詞組，包括：

以預置的詞組規則中的詞法分割符為分割標識，將腳本中的內容分割為多個代碼塊；

將每個代碼塊分別與所述詞組規則中的詞組定義進行匹配，以查找特定的詞組，所述特定的詞組包括函數名、關鍵字和變量內容。

優選的，所述特征碼中包括惡意代碼慣用的函數名、關鍵字、變量內容或其中若干項的組合，所述根據特征碼對所述特定的詞組進行惡意代碼檢測，包括：

將所述特征碼分別與所述特定的詞組進行匹配，檢測所述特定的詞組是否存在惡意代碼慣用的函數名、關鍵字、變量內容或其中若干項的組合。

優選的，將檢測到的惡意代碼中慣用的函數名、關鍵字、變量內容或其中若干項的組合以預置的公式進行計算；若計算結果超過惡意代碼閾值，則該腳本中含有惡意代碼。

優選的，若檢測到腳本中含有惡意代碼，則阻斷惡意代碼的執行并報告檢測到的惡意代碼。

優選的，在IE內核瀏覽器中，所述捕獲瀏覽器接口的接口函數，包括：

使用鉤子函數捕獲IE內核瀏覽器中IActiveScriptParse接口的ParseScriptText函數。

優選的，在IE內核瀏覽器中，所述在瀏覽器接口調用所述接口函數傳遞要運行的腳本給腳本解釋引擎之前，攔截所述要運行的腳本，包括：

在IActiveScriptParse接口調用ParseScriptText函數傳遞要運行的腳本給腳本解釋引擎之前，通過所述鉤子函數攔截要運行的腳本。

相應的，本申請還公開了一種網頁中惡意代碼的檢測系統，包括：

捕獲模塊，用于捕獲瀏覽器接口的接口函數；

攔截模塊，用于在瀏覽器接口調用所述接口函數傳遞要運行的腳本給腳本解釋引擎之前，攔截所述要運行的腳本；

分析并檢測模塊，用于對腳本中的內容進行分析并檢測惡意代碼。

優選的，所述分析并檢測模塊，包括：

詞組分解子模塊，用于根據預置的詞組規則將腳本中的內容分解為特定的詞組；

惡意代碼檢測子模塊，用于根據特征碼對所述特定的詞組進行惡意代碼檢測。

優選的，所述詞組分解子模塊，包括：

分割單元，用于以預置的詞組規則中的詞法分割符為分割標識，將腳本中的內容分割為多個代碼塊；