技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，涉及一種在線社交網(wǎng)絡(luò)惡意網(wǎng)頁識別方法，特別涉及基于惡意網(wǎng)頁特征提取的在線社交網(wǎng)絡(luò)惡意網(wǎng)頁識別方法。

背景技術(shù)

隨著在線社交網(wǎng)絡(luò)（Online?Social?Network，OSN）的蓬勃發(fā)展，各大在線社交網(wǎng)絡(luò)平臺已擁有巨大的用戶量，再加上其隱藏的用戶私密信息和潛在的經(jīng)濟利益，使其成為了越來越多網(wǎng)絡(luò)黑客們的焦點。在針對在線社交網(wǎng)絡(luò)的攻擊中，跨站腳本攻擊（Cross-site?Scripting，XSS）是一種常見的具有破壞力的攻擊方式之一，利用跨站腳本漏洞產(chǎn)生的網(wǎng)絡(luò)蠕蟲，可以在短時間內(nèi)感染大量的網(wǎng)絡(luò)用戶，甚至影響到服務(wù)器的正常運行。因此，提取有效的網(wǎng)頁特征以提高對在線社交網(wǎng)絡(luò)惡意網(wǎng)頁的識別是當(dāng)前亟待解決的問題。

現(xiàn)有的在線社交網(wǎng)絡(luò)惡意網(wǎng)頁分析大多采用復(fù)雜的靜態(tài)分析方法。通常，在網(wǎng)頁的源碼中包含了HTML、CSS、URI、JavaScript等元素，網(wǎng)頁中惡意的HTML、CSS、URI、JavaScript可能導(dǎo)致網(wǎng)頁在瀏覽器端加載的時候產(chǎn)生惡意的行為，例如竊取cookie、打開釣魚網(wǎng)站等。在線社交網(wǎng)絡(luò)中，用戶可以從網(wǎng)頁的文本框中自由的輸入一定長度的內(nèi)容，包括HTML、CSS、URI、JavaScript等代碼，為了避免用戶輸入內(nèi)容中可能包含的惡意代碼，在對輸入框中的內(nèi)容提交時，需要對其進(jìn)行靜態(tài)分析，可以分別從HTML、CSS、URI、JavaScript的角度，利用形式化的方法分析判斷這些元素結(jié)構(gòu)和內(nèi)容是否可能產(chǎn)生惡意行為。

在惡意網(wǎng)頁中，基于XSS漏洞的惡意代碼是最常見的一種網(wǎng)頁惡意代碼，針對這種類型的惡意代碼已經(jīng)有了許多成熟的分析手段。在非在線社交網(wǎng)絡(luò)（如：門戶網(wǎng)站、論壇網(wǎng)站等）的網(wǎng)頁分析過程中，從混淆代碼的角度切入，提取網(wǎng)頁中混淆代碼的特征，判斷網(wǎng)頁是否存在可疑的惡意代碼。提取的特征主要包括：關(guān)鍵字、JavaScript特征（包括長度、字符個數(shù)等）、URL特征等。

在已有的一系列在線社交網(wǎng)絡(luò)惡意網(wǎng)頁分析檢測識別方法中，靜態(tài)分析方法大多需要復(fù)雜的分析步驟，處理時間長，時效性不高，與動態(tài)分析方法相比，靜態(tài)分析方法本應(yīng)具有的低時間消耗并未得到完全的提現(xiàn)，而復(fù)雜的分析和計算過程導(dǎo)致的網(wǎng)頁請求延遲也會對網(wǎng)絡(luò)應(yīng)用帶來負(fù)面影響。因此，針對在線社交網(wǎng)絡(luò)惡意網(wǎng)頁，提出一種簡單而有效的特征提取方法，減低分析成本，是目前亟需研究解決的問題。

發(fā)明內(nèi)容

針對在線社交網(wǎng)絡(luò)惡意網(wǎng)頁檢測識別的問題，本發(fā)明的目的在于提出一種基于在線社交網(wǎng)絡(luò)惡意網(wǎng)頁特征提取的在線社交網(wǎng)絡(luò)惡意網(wǎng)頁檢測識別方法。在對在線社交網(wǎng)絡(luò)的網(wǎng)頁進(jìn)行分析之后，從以下惡意網(wǎng)頁特征進(jìn)行分析：關(guān)鍵字、JavaScript、HTML、URL及在線社交網(wǎng)絡(luò)自身特性的角度提取具有量化性質(zhì)的特征，利用提取的該些惡意網(wǎng)頁特征對在線社交網(wǎng)絡(luò)中的帶有XSS漏洞的惡意代碼的惡意網(wǎng)頁進(jìn)行識別。

本發(fā)明的技術(shù)方案如下：一種在線社交網(wǎng)絡(luò)惡意網(wǎng)頁檢測識別方法，其步驟包括：

1）對在線社交網(wǎng)絡(luò)中任意一個待檢測識別的網(wǎng)頁，統(tǒng)計該網(wǎng)頁中所有關(guān)鍵字的出現(xiàn)頻率；根據(jù)所述網(wǎng)頁中源代碼將網(wǎng)頁分成：HTML標(biāo)簽集合或JavaScript集合或URL集合中一種或者多種不同類型的集合；

2）從上述不為空的集合中提取辨別混淆性質(zhì)的網(wǎng)頁靜態(tài)特征得到可疑字段，結(jié)合所述可疑字段出現(xiàn)的時間得到網(wǎng)頁的關(guān)聯(lián)性特征；

3）創(chuàng)建關(guān)聯(lián)信息數(shù)據(jù)庫用于儲存該網(wǎng)頁的關(guān)聯(lián)性特征并實時更新數(shù)據(jù)庫中的網(wǎng)頁的關(guān)聯(lián)性特征，根據(jù)所述關(guān)聯(lián)性特征提取得到網(wǎng)頁傳播速度；

4）根據(jù)所述頁傳播速度，并結(jié)合統(tǒng)計得到的關(guān)鍵字的出現(xiàn)頻率、檢測得到的可疑的JavaScript腳本、可疑的HTML標(biāo)簽、可疑的URL中一種或者多種特征檢測識別出惡意網(wǎng)頁。

更進(jìn)一步，從網(wǎng)頁中源代碼取出符合HTML標(biāo)簽的代碼段收集成HTML標(biāo)簽集合，所述HTML標(biāo)簽由開始標(biāo)簽和/或結(jié)束標(biāo)簽組成，所述開始標(biāo)簽是被括號包圍的元素名，結(jié)束標(biāo)簽是被括號包圍的斜桿和元素名。

更進(jìn)一步，網(wǎng)頁中源代碼的JavaScript腳本出現(xiàn)在的位置為：<script></script>標(biāo)簽之間或者在“javascript:”后；根據(jù)所述腳本出現(xiàn)位置取出JavaScript腳本，收集成集合。

更進(jìn)一步，從網(wǎng)頁中源代碼取出查找以HTTP、HTTPS、FTP協(xié)議名稱為開頭的一段有效字符串分離提取出URL后得到URL集合。

更進(jìn)一步，對所述HTML標(biāo)簽集合提取辨別混淆性質(zhì)的網(wǎng)頁靜態(tài)特征方法如下：