技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種web掛馬網(wǎng)頁(yè)的識(shí)別方法。

背景技術(shù)

網(wǎng)頁(yè)木馬是利用網(wǎng)頁(yè)來(lái)進(jìn)行破壞的病毒，它包含在惡意網(wǎng)頁(yè)之中，使用腳本語(yǔ)言編寫惡意代碼，依靠系統(tǒng)的漏洞，如IE瀏覽器存在的漏洞來(lái)實(shí)現(xiàn)病毒的傳播；當(dāng)用戶登錄了包含網(wǎng)頁(yè)病毒的惡意網(wǎng)站時(shí)，網(wǎng)頁(yè)木馬便被激活，受影響的系統(tǒng)一旦感染網(wǎng)頁(yè)病毒，就會(huì)遭到破壞，輕則瀏覽器首頁(yè)被修改，標(biāo)題改變，系統(tǒng)自動(dòng)彈出廣告，重則被裝上木馬，感染病毒，使用戶無(wú)法進(jìn)行正常的使用，甚至?xí)鹣到y(tǒng)崩潰，敏感信息丟失等嚴(yán)重后果。

由于腳本語(yǔ)言易于掌握，所以網(wǎng)頁(yè)木馬非常容易編寫和修改，造成很難提取特征值，增加了殺毒軟件查殺以及用戶預(yù)防的困難。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的主要目的在于提供一種web掛馬網(wǎng)頁(yè)的識(shí)別方法。

為達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

本發(fā)明實(shí)施例提供一種web掛馬網(wǎng)頁(yè)的識(shí)別方法，該方法為：建立木馬特征庫(kù)，所述木馬特征庫(kù)中存儲(chǔ)有木馬特征；獲取待檢測(cè)網(wǎng)頁(yè)的源文件，并且從所述源文件中提取提取待檢測(cè)網(wǎng)頁(yè)中與掛馬相關(guān)的標(biāo)簽代碼，從所述標(biāo)簽代碼中提取待檢測(cè)網(wǎng)頁(yè)的定位符URL，將所述待檢測(cè)網(wǎng)頁(yè)的定位符URL與木馬特征庫(kù)中的URL進(jìn)行匹配，如果匹配成功，則確定該待檢測(cè)網(wǎng)頁(yè)為掛馬網(wǎng)頁(yè)。

上述方案中，該方法還包括：如果匹配失敗，再對(duì)所述待檢測(cè)網(wǎng)頁(yè)進(jìn)行動(dòng)態(tài)檢測(cè)，若檢測(cè)結(jié)果為掛馬網(wǎng)頁(yè)，則提取該掛馬網(wǎng)頁(yè)的特征信息，并將該特征信息加入到所述木馬特征庫(kù)中。

上述方案中，所述建立木馬特征庫(kù)，具體為：從各大安全站點(diǎn)爬取掛馬網(wǎng)頁(yè)的木馬特征信息，所述木馬特征信息包括網(wǎng)頁(yè)木馬掛載位置、掛載位置對(duì)應(yīng)的匹配模式串、木馬的后臺(tái)網(wǎng)址，從所述木馬特征信息中去除重復(fù)的木馬特征信息后存入木馬特征庫(kù)。

上述方案中，所述對(duì)所述待檢測(cè)網(wǎng)頁(yè)進(jìn)行動(dòng)態(tài)檢測(cè)，具體為：根據(jù)沙箱技術(shù)模擬對(duì)待檢測(cè)網(wǎng)頁(yè)進(jìn)行頁(yè)面載入、渲染、dom生成，確定模擬頁(yè)面是否會(huì)觸發(fā)下載或更改系統(tǒng)文件或修改注冊(cè)表行為，如果有任意一種行為認(rèn)為是掛馬行為，并且將該待檢測(cè)網(wǎng)頁(yè)相應(yīng)包括木馬掛載位置及該掛載位置對(duì)應(yīng)的匹配模式串以及該木馬后臺(tái)網(wǎng)址添加到木馬特征庫(kù)中。

上述方案中，所述從所述標(biāo)簽代碼中提取待檢測(cè)網(wǎng)頁(yè)的定位符URL，具體為：所述標(biāo)簽代碼包括Javascript標(biāo)簽、a標(biāo)簽、img 標(biāo)簽、style標(biāo)簽、iframe 標(biāo)簽、link 標(biāo)簽；根據(jù)所述Javascript標(biāo)簽、a標(biāo)簽、img 標(biāo)簽、style標(biāo)簽、iframe 標(biāo)簽、link 標(biāo)簽確定待檢測(cè)網(wǎng)頁(yè)的定位符URL。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果：

本發(fā)明在web環(huán)境下對(duì)頁(yè)面掛馬進(jìn)行有效識(shí)別的方法，以增強(qiáng)網(wǎng)頁(yè)木馬查殺有效性，降低web掛馬引起的網(wǎng)站安全問(wèn)題風(fēng)險(xiǎn)。

附圖說(shuō)明

圖1為本發(fā)明實(shí)施例提供一種web掛馬網(wǎng)頁(yè)的識(shí)別方法的流程圖。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

本發(fā)明實(shí)施例提供一種web掛馬網(wǎng)頁(yè)的識(shí)別方法，該方法為：建立木馬特征庫(kù)，所述木馬特征庫(kù)中存儲(chǔ)有木馬特征；獲取待檢測(cè)網(wǎng)頁(yè)的源文件，并且從所述源文件中提取提取待檢測(cè)網(wǎng)頁(yè)中與掛馬相關(guān)的標(biāo)簽代碼，從所述標(biāo)簽代碼中提取待檢測(cè)網(wǎng)頁(yè)的定位符URL，將所述待檢測(cè)網(wǎng)頁(yè)的定位符URL與木馬特征庫(kù)中的URL進(jìn)行匹配，如果匹配成功，則確定該待檢測(cè)網(wǎng)頁(yè)為掛馬網(wǎng)頁(yè)。

該方法還包括：如果匹配失敗，再對(duì)所述待檢測(cè)網(wǎng)頁(yè)進(jìn)行動(dòng)態(tài)檢測(cè)，若檢測(cè)結(jié)果為掛馬網(wǎng)頁(yè)，則提取該掛馬網(wǎng)頁(yè)的特征信息，并將該特征信息加入到所述木馬特征庫(kù)中，反之，如果檢測(cè)結(jié)果不是掛馬網(wǎng)頁(yè)，則允許服務(wù)器訪問(wèn)該網(wǎng)頁(yè)；

所述建立木馬特征庫(kù)，具體為：從各大安全站點(diǎn)爬取掛馬網(wǎng)頁(yè)的木馬特征信息，所述木馬特征信息包括網(wǎng)頁(yè)木馬掛載位置、掛載位置對(duì)應(yīng)的匹配模式串、木馬的后臺(tái)網(wǎng)址，從所述木馬特征信息中去除重復(fù)的木馬特征信息后存入木馬特征庫(kù)。

所述對(duì)所述待檢測(cè)網(wǎng)頁(yè)進(jìn)行動(dòng)態(tài)檢測(cè)，具體為：根據(jù)沙箱技術(shù)模擬對(duì)待檢測(cè)網(wǎng)頁(yè)進(jìn)行頁(yè)面載入、渲染、dom生成，確定模擬頁(yè)面是否會(huì)觸發(fā)下載或更改系統(tǒng)文件或修改注冊(cè)表行為，如果有任意一種行為認(rèn)為是掛馬行為，并且將該待檢測(cè)網(wǎng)頁(yè)相應(yīng)包括木馬掛載位置及該掛載位置對(duì)應(yīng)的匹配模式串以及該木馬后臺(tái)網(wǎng)址添加到木馬特征庫(kù)中。