[发明专利]一种恶意注入脚本网页检测方法和系统

权利要求书

1.一种恶意注入脚本网页检测方法，其特征在于包括以下步骤：

1)使用网页爬虫遍历并下载被扫描网站的所有网页的步骤；

2)对下载网页进行聚类分析的步骤；

3)提取各动态内容网页簇的网页簇模板的步骤；

4)利用网页簇模板检测簇中各动态内容网页是否包含恶意注入脚本的步骤；

步骤4)所述的利用网页簇模板检测簇中各网页是否包含恶意注入脚本的步骤包括以下步骤：

i)对于每一动态内容网页簇，将簇中每一动态网页转换为文档对象模型树，并与该网页簇模板相比较，找到超出网页簇模板轮廓的各个文档对象模型子树；

ii)对于超出网页簇模板轮廓的各文档对象模型子树，从中提取注入脚本；

iii)对提取的注入脚本进行语法正确性检测，如果语法正确，则确认其宿主动态内容网页为包含恶意注入脚本的网页。

2.如权利要求1所述的恶意注入脚本网页检测方法，其特征在于，所述的对下载网页进行聚类分析的步骤包括以下步骤：

1)对下载的网页集合进行预处理，过滤掉那些与静态Web对象请求相关的网页，只保留那些与动态Web对象请求相关的动态内容网页；

2)根据网页统一资源定位符URL对动态内容网页进行聚类，得到聚类后的动态内容网页簇。

3.如权利要求1所述的恶意注入脚本网页检测方法，其特征在于，所述的提取各动态内容网页簇的网页簇模板的步骤为：对于每一动态内容网页簇，提取其所共有的文档对象模型树作为该动态内容网页簇模板。

4.如权利要求1所述的恶意注入脚本网页检测方法，其特征在于，所述的从超出网页簇模板轮廓的文档对象模型子树中提取注入脚本的步骤为以下5种脚本提取方法的任意组合：

1)从文档对象模型树各<script>标签中提取Javascript/VBScript脚本；

2)从文档对象模型树各HTML标签的事件驱动函数中提取Javascript/VBScript脚本；

3)从文档对象模型树各HTML标签的特定属性值中提取Javascript/VBScript脚本；

4)从文档对象模型树各<STYLE>标签定义的样式表中提取Javascript/VBScript脚本；

5)从文档对象模型树各HTML标签的Style属性引入的样式表中提取JavaScript/VBScript脚本。

5.如权利要求1所述的一种恶意注入脚本网页检测方法，其特征在于，所述的对提取的注入脚本进行语法检测支持对两种注入脚本语言的检测：如果提取的脚本为Javascript脚本，则采用标准Javascript语法规范对提取的JavaScript脚本进行语法检测；如果提取的脚本类型为VBScript，则采用标准VBScript语法规范对提取的VBScript脚本进行语法检测。