公開了一種檢測惡意網頁的方法及相關裝置，用以改善惡意網頁的檢測效率。該方法包括：安全設備獲取終端設備訪問待檢測網頁過程中產生的至少一個訪問請求報文；根據訪問請求報文生成至少一個重定向鏈，每個重定向鏈中的每個記錄分別保存一個訪問請求報文攜帶的資源地址；所述至少一個重定向鏈中的第一重定向鏈包括至少兩個記錄，所述至少兩個記錄中相鄰的第一記錄和第二記錄以第一單向關系連接，第一記錄為出記錄，第二記錄為入記錄，第一記錄保存的資源地址所指示的資源中包括重定向指示，所述重定向指示用于將所述終端設備重定向到第二記錄保存的資源地址；如果第一重定向鏈符合預定規則，確定所述待檢測網頁是惡意網頁。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種檢測惡意網頁的方法及一種檢測惡意網頁的裝置。

背景技術

網頁是惡意代碼的一種常見傳播載體。惡意代碼包括木馬程序、病毒程序等等。攻擊者將惡意代碼以腳本或者層疊樣式表(英文：Cascading Style Sheets，CSS)元素的形式嵌入在網頁文件中。當用戶訪問已嵌入惡意代碼的網頁文件時，惡意代碼就會在用戶不知情的情況下被下載到用戶使用的終端設備中并在主機中運行，從而造成破壞，例如破壞用戶的操作系統或者盜取用戶的保密信息等等。被訪問后會導致用戶使用的終端設備被破壞的網頁被稱為惡意網頁。

惡意網頁中的第一類即為上述被嵌入惡意代碼的網頁。為了檢測出惡意網頁，網頁服務器(web server)的所有者可以使用反病毒引擎將網頁目錄中的網頁文件與病毒特征庫中的特征進行匹配，根據匹配結果識別惡意網頁。攻擊者為了逃避檢測，使用了一種更為隱蔽的基于網頁的惡意代碼傳播技術，其原理是攻擊者入侵網頁服務器，修改網頁服務器提供的正常網頁文件以在網頁文件中植入鏈接。該鏈接指向已嵌入惡意代碼的網頁。用戶訪問被修改的網頁文件時，將被重定向到已嵌入惡意代碼的網頁。由于被修改后的網頁文件本身并不包括惡意代碼，所以上述檢測方法無法防范用戶使用的終端設備被惡意代碼破壞。

攻擊者能夠在不改變網頁外觀的條件下實現對網頁的非法修改。例如攻擊者在正常網頁文件中插入一個iframe元素

iframe src＝“mal url”width＝“0”height＝“0”frameborder＝“0”/iframe

其中，mal url為已嵌入惡意代碼的網頁的統一資源定位符(英文：UniformResource Locator，URL)。由于插入的iframe元素的長度和寬度都為0，所以該iframe元素在用戶網頁瀏覽器打開網頁時不可見。

客戶端蜜罐技術被用來檢測惡意網頁。客戶端蜜罐技術通常是在虛擬機中安裝一個真實的客戶端程序(例如網頁瀏覽器)以及一些帶有漏洞的插件。當用虛擬機中的客戶端程序訪問網頁時，監控虛擬機運行環境的變化，如注冊表修改、文件系統改變、活動進程變化、磁盤訪問等。依據這些變化反映出的特征判定網頁瀏覽器所訪問的網頁是否是惡意網頁。然而，使用客戶端蜜罐技術檢測惡意網頁的有效性受到多種因素制約，例如每次檢測結束后恢復虛擬機的初始環境會耗費較長時間和系統資源，導致檢測效率不高。

發明內容

本申請提供一種檢測惡意網頁的方法和裝置，用以改善惡意網頁的檢測效率。

第一方面，提供了一種檢測惡意網頁的方法，包括：安全設備獲取終端設備訪問待檢測網頁過程中產生的至少一個訪問請求報文；根據所述至少一個訪問請求報文生成至少一個重定向鏈，所述至少一個重定向鏈中的每個重定向鏈中的每個記錄分別保存所述至少一個訪問請求報文中的一個訪問請求報文攜帶的資源地址；所述至少一個重定向鏈中的第一重定向鏈包括至少兩個記錄，所述至少兩個記錄中相鄰的第一記錄和第二記錄以第一單向關系連接，所述第一記錄為出記錄，所述第二記錄為入記錄，所述第一記錄保存的資源地址所指示的資源中包括重定向指示，所述重定向指示用于將所述終端設備重定向到所述第二記錄保存的資源地址；以及如果所述第一重定向鏈符合預定規則，確定所述待檢測網頁是惡意網頁。