本發明公開網頁掛馬檢測方法，建立安全列表，對于一定周期內的安全頁面不再進行檢測以節約資源、提高響應速度，并且周期的進行掛馬檢測，保證其安全可靠性；對不在安全列表且具有外部鏈接的頁面，與木馬特征庫進行匹配，判斷是否掛馬，而對于不具有外部鏈接或者與特征庫匹配失敗的未知頁面，進行沙箱模擬，判斷是否觸發異常操作，進行進一步判斷。該方案能有效改進特征匹配存在的問題，增強木馬查殺有效性，降低安全風險。

技術領域

本發明屬于網絡安全技術領域，尤其是涉及一種網頁掛馬的檢測方法。

背景技術

目前很多的網絡攻擊行為都來自于應用層面，并且許多站點都存在各種層面的Web安全問題。企業的入侵檢測系統、網絡防火墻、網絡防病毒等網絡安全防護系統，在面對來自Web應用層的安全威脅，尚缺乏足夠的應對。

網頁木馬就是一種利用網頁來進行破壞的病毒，通過入侵了網站（多是網站主頁）之后，將特定的網頁木馬嵌入到其網站的頁面中，一旦用戶打開該網頁，就會自動下載并運行其木馬程序，達到傳播的目的。網頁木馬被激活后，可能會篡改瀏覽器首頁、改變頁面標題、自動彈出廣告，甚至使用戶無法進行正常使用的、導致系統崩潰、敏感信息丟失等。

目前的網頁木馬都是利用腳本語言通過在正常頁面掛鏈接的方式傳播，掛馬查殺最重要的環節是有效檢測出掛馬網頁。傳統的基于特征匹配的檢測方法，依賴特征庫的準確性和實時性，對于變化多端的各種掛馬腳本難以及時發現和阻止，仍有待改進。

發明內容

鑒于以上背景，本發明旨在提供一種網頁掛馬的檢測方法，以解決特征匹配檢測的實時性和準確性問題。具體技術方案如下所述。

一種網頁掛馬的檢測方法，包括：獲取網頁文件，解析并判斷頁面文本內容是否具有外部資源鏈接，若具有則繼續；將所述外部資源鏈接與木馬特征庫進行匹配，若匹配成功則告警并生成日志；若頁面不具有外部資源鏈接，或，頁面具有外部資源鏈接但與木馬特征庫匹配失敗，則判斷頁面是否觸發異常操作，如果未觸發則結束，否則告警并生成日志；將上述告警對應的網頁確定為掛馬頁面。

較佳的，所述判斷頁面是否具有外部資源鏈接，包括：提取頁面中的外部引用標簽，判斷是否具有JavaScript、A、IMG、CssStyle、frame、iframe至少其一，若具有則確定當前頁面引用了外部資源；

所述外部資源鏈接與木馬特征庫進行匹配，包括：提取所述標簽引用的外部資源URL，與所述木馬特征庫中的URL進行匹配，若匹配成功則確定當前頁面掛馬；

進一步的，所述外部資源鏈接與木馬特征庫進行匹配之前，包括：爬取已知木馬信息存入木馬特征庫，根據被爬取到的次數對對應的木馬特征進行威脅級別標記，被爬取到的次數越多，威脅級別越高；則相應的，所述外部資源鏈接與木馬特征庫進行匹配，判斷匹配成功的各外部鏈接資源的威脅等級，將其中的最高威脅等級確定為當前頁面威脅等級，若當前頁面威脅等級達到預設級別則直接判斷頁面掛馬，進行告警并生成日志。

較佳的，所述判斷是否觸發異常操作，包括通過沙箱技術模擬載入、渲染、dom生成，若頁面觸發下載、更改系統文件、修改注冊表的至少一種行為，則判斷頁面觸發異常操作。

若頁面未觸發異常操作，將頁面信息加入到安全列表，根據該頁面未觸發異常的累計次數確定其安全級別，未觸發次數越多，安全級別越高。

較佳的，網頁掛馬檢測之前，先將頁面信息與安全列表匹配，確定其安全級別，對未達到預設安全級別的頁面進行掛馬檢測；對達到預設安全級別的頁面，周期的進行掛馬檢測，若檢測結果為掛馬則從安全列表刪除，否則更新其安全級別。

根據以上所述的網頁掛馬檢測方法，將與木馬特征庫匹配失敗但觸發異常操作的外部資源鏈接信息更新至木馬特征庫；并根據其異常觸發的累計次數標記威脅級別，觸發次數越多，威脅級別越高。

基于上述技術方案，本發明的網頁掛馬檢測方法，相較于現有技術實現了以下有益效果：