技術領域

本發明屬于網絡安全技術領域，具體涉及一種web掛馬網頁的識別方法。

背景技術

網頁木馬是利用網頁來進行破壞的病毒，它包含在惡意網頁之中，使用腳本語言編寫惡意代碼，依靠系統的漏洞，如IE瀏覽器存在的漏洞來實現病毒的傳播；當用戶登錄了包含網頁病毒的惡意網站時，網頁木馬便被激活，受影響的系統一旦感染網頁病毒，就會遭到破壞，輕則瀏覽器首頁被修改，標題改變，系統自動彈出廣告，重則被裝上木馬，感染病毒，使用戶無法進行正常的使用，甚至會引起系統崩潰，敏感信息丟失等嚴重后果。

由于腳本語言易于掌握，所以網頁木馬非常容易編寫和修改，造成很難提取特征值，增加了殺毒軟件查殺以及用戶預防的困難。

發明內容

有鑒于此，本發明的主要目的在于提供一種web掛馬網頁的識別方法。

為達到上述目的，本發明的技術方案是這樣實現的：

本發明實施例提供一種web掛馬網頁的識別方法，該方法為：建立木馬特征庫，所述木馬特征庫中存儲有木馬特征；獲取待檢測網頁的源文件，并且從所述源文件中提取提取待檢測網頁中與掛馬相關的標簽代碼，從所述標簽代碼中提取待檢測網頁的定位符URL，將所述待檢測網頁的定位符URL與木馬特征庫中的URL進行匹配，如果匹配成功，則確定該待檢測網頁為掛馬網頁。

上述方案中，該方法還包括：如果匹配失敗，再對所述待檢測網頁進行動態檢測，若檢測結果為掛馬網頁，則提取該掛馬網頁的特征信息，并將該特征信息加入到所述木馬特征庫中。

上述方案中，所述建立木馬特征庫，具體為：從各大安全站點爬取掛馬網頁的木馬特征信息，所述木馬特征信息包括網頁木馬掛載位置、掛載位置對應的匹配模式串、木馬的后臺網址，從所述木馬特征信息中去除重復的木馬特征信息后存入木馬特征庫。

上述方案中，所述對所述待檢測網頁進行動態檢測，具體為：根據沙箱技術模擬對待檢測網頁進行頁面載入、渲染、dom生成，確定模擬頁面是否會觸發下載或更改系統文件或修改注冊表行為，如果有任意一種行為認為是掛馬行為，并且將該待檢測網頁相應包括木馬掛載位置及該掛載位置對應的匹配模式串以及該木馬后臺網址添加到木馬特征庫中。

上述方案中，所述從所述標簽代碼中提取待檢測網頁的定位符URL，具體為：所述標簽代碼包括Javascript標簽、a標簽、img 標簽、style標簽、iframe 標簽、link 標簽；根據所述Javascript標簽、a標簽、img 標簽、style標簽、iframe 標簽、link 標簽確定待檢測網頁的定位符URL。

與現有技術相比，本發明的有益效果：

本發明在web環境下對頁面掛馬進行有效識別的方法，以增強網頁木馬查殺有效性，降低web掛馬引起的網站安全問題風險。

附圖說明

圖1為本發明實施例提供一種web掛馬網頁的識別方法的流程圖。

具體實施方式

為了使本發明的目的、技術方案及優點更加清楚明白，以下結合附圖及實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，并不用于限定本發明。

本發明實施例提供一種web掛馬網頁的識別方法，該方法為：建立木馬特征庫，所述木馬特征庫中存儲有木馬特征；獲取待檢測網頁的源文件，并且從所述源文件中提取提取待檢測網頁中與掛馬相關的標簽代碼，從所述標簽代碼中提取待檢測網頁的定位符URL，將所述待檢測網頁的定位符URL與木馬特征庫中的URL進行匹配，如果匹配成功，則確定該待檢測網頁為掛馬網頁。

該方法還包括：如果匹配失敗，再對所述待檢測網頁進行動態檢測，若檢測結果為掛馬網頁，則提取該掛馬網頁的特征信息，并將該特征信息加入到所述木馬特征庫中，反之，如果檢測結果不是掛馬網頁，則允許服務器訪問該網頁；

所述建立木馬特征庫，具體為：從各大安全站點爬取掛馬網頁的木馬特征信息，所述木馬特征信息包括網頁木馬掛載位置、掛載位置對應的匹配模式串、木馬的后臺網址，從所述木馬特征信息中去除重復的木馬特征信息后存入木馬特征庫。

所述對所述待檢測網頁進行動態檢測，具體為：根據沙箱技術模擬對待檢測網頁進行頁面載入、渲染、dom生成，確定模擬頁面是否會觸發下載或更改系統文件或修改注冊表行為，如果有任意一種行為認為是掛馬行為，并且將該待檢測網頁相應包括木馬掛載位置及該掛載位置對應的匹配模式串以及該木馬后臺網址添加到木馬特征庫中。