本發明公開了一種WEB木馬檢測方法及系統，用以克服利用靜態匹配方式檢測的漏檢以及動態檢測效率低的缺陷，及實現對隱藏在重定向鏈以及混淆頁面中的木馬的檢測的問題。所述方法包括：選取重定向鏈特征和頁面統計特征作為網頁木馬檢測的分類特征；獲取樣本集，所述樣本集包括多個正樣本和多個負樣本；提取每個樣本的分類特征值，并基于提取的每個分類特征值對所述樣本集進行網頁木馬分類訓練，得到分類模型；提取待測網頁的分類特征值，將提取的待測網頁分類特征值輸入到所述分類模型中對所述待測網頁進行分類檢測。

技術領域

本發明涉及計算機領域，特別是涉及一種WEB木馬檢測方法及系統。

背景技術

近年來，互聯網發展飛速，給人們獲得有效實時信息和資源提供了極大的幫助，滿足了大眾足不出戶就可以縱觀世界的愿望，逐漸成為人們生活必備的部分。網絡技術的先進性已經成為我們生活的主導因素，我們日常的各種活動都已經依賴于互聯網，例如個人娛樂活動，醫療活動，銀行金融活動，以及其他生活的方方面面。為保持這種先進性，大量的功能性措施已經加入到現代化瀏覽器中，然而這些先進性也帶來了大量缺陷漏洞。這些漏洞缺陷會逐漸成為隱患，被更多圖謀不軌的人所利用。惡意程序主要包括計算機病毒、蠕蟲、木馬、僵尸程序等，近年來，不同類別的惡意程序之間的界限逐漸模糊，木馬和僵尸程序成為黑客最常利用的攻擊手段。當前的成型網頁木馬檢測技術大致分為兩類，第一類就是利用技術靜態分析網頁以及內嵌代碼(例如JavaScript，flash)，它們的特征具有典型的惡意性。例如網頁的URLS特征，內容特征以及其他特征，或者是開發能利用的惡意腳本片段。第二類是利用動態技術，這些方法大都依賴于感知化的瀏覽器，常提到的有客戶端蜜罐，監控各種行為，其中監控主機注冊行為特征是一種典型的方法。

盡管現存的檢測系統，可以滿足部分互聯網用戶安全可靠上網，但是攻擊技術不斷更新，這些方法仍然還有許多局限性，使得檢測面臨著更多的挑戰。

發明內容

為了克服上述現有技術的缺陷，本發明要解決的技術問題是提供一種WEB木馬檢測方法及系統，用以克服利用靜態匹配方式檢測的漏檢以及動態檢測效率低的缺陷，及實現對隱藏在重定向鏈以及混淆頁面中的木馬的檢測的問題。

為解決上述技術問題，本發明中的一種WEB木馬檢測方法，包括：

選取重定向鏈特征和頁面統計特征作為網頁木馬檢測的分類特征；

獲取樣本集，所述樣本集包括多個正樣本和多個負樣本；

提取每個樣本的分類特征值，并基于提取的每個分類特征值對所述樣本集進行網頁木馬分類訓練，得到分類模型；

提取待測網頁的分類特征值，將提取的待測網頁分類特征值輸入到所述分類模型中對所述待測網頁進行分類檢測。

作為本發明的WEB木馬檢測方法的改進，所述重定向鏈特征包括重定向鏈的長度特征、URL相似度特征、內部域名特征、自循環特征和域名的IP特征；

所述頁面統計特征包括meta標簽個數、script標簽個數、eval()函數統計出現的次數、unescape()和escape()函數的個數、decode和encode函數個數以及document.write()函數個數。

作為本發明的WEB木馬檢測方法的進一步改進，提取每個樣本的重定向鏈的URL相似度特征值步驟，具體包括：計算每個樣本的重定向鏈中任意兩個URL地址的相似度值；從計算得到的所有相似度值中提取最低相似度值作為該樣本的重定向鏈的URL相似度特征值；

提取每個樣本的重定向鏈的內部域名特征值步驟，具體包括：判斷每個樣本的重定向鏈中是否至少存在一步從一個網頁到另一個網頁用相同的域名；如果存在則提取布爾型為1，如果不存在則提取布爾型為0；