[发明专利]网页木马的检测方法和装置

权利要求书

1.一种网页木马的检测方法，其特征在于，包括：

对网页的静态页面进行扫描，检测所述网页中是否存在恶意代码；

当所述网页中存在恶意代码时，判断所述网页的地址是否跳转；

若是，则分析所述网页的流量行为，并比对所述网页的流量行为与预设的挂马网页特征，根据比对结果判断所述网页是否为挂马网页。

2.根据权利要求1所述的网页木马的检测方法，其特征在于，在执行所述对网页的静态页面进行扫描之前，还包括：

接收访问网页的请求报文，根据所述请求报文返回应答页面，并对所述应答页面进行缓存，对所述请求报文进行重组。

3.根据权利要求2所述的网页木马的检测方法，其特征在于，所述对网页的静态页面进行扫描，检测所述网页中是否存在恶意代码包括：

扫描根据所述请求报文所返回的应答页面的静态页面； 

根据预置的恶意代码库，检测该静态页面中是否存在与所述恶意代码库中的恶意代码相匹配的恶意代码。

4.根据权利要求3所述的网页木马的检测方法，其特征在于，在执行所述对网页的静态页面进行扫描，检测所述网页中是否存在恶意代码之后，还包括：

当所述网页中不存在恶意代码时，则还原所述网页流量的原始内容，判断所述网页流量的原始内容中是否存在恶意代码。

5.根据权利要求1至4中任一项所述的网页木马的检测方法，其特征在于，所述预设的挂马网页特征包括：网页地址的跳转次数特征、网页跳转的域名特征、下载文件的格式特征以及请求报文的异常特征。

6.一种网页木马的检测装置，其特征在于，包括：

恶意代码检测模块，用于对网页的静态页面进行扫描，检测所述网页中是否存在恶意代码；

第一判断模块，用于当所述网页中存在恶意代码时，判断所述网页的地址是否跳转；

分析及对比模块，用于分析所述网页的流量行为，并比对所述网页的流量行为与预设的挂马网页特征； 

第二判断模块，用于根据比对结果判断所述网页是否为挂马网页。

7.根据权利要求6所述的网页木马的检测装置，其特征在于，还包括：

接收及返回模块，用于接收访问网页的请求报文，根据所述请求报文返回应答页面；

缓存及重组模块，用于对所述应答页面进行缓存，对所述请求报文进行重组。

8.根据权利要求7所述的网页木马的检测装置，其特征在于，所述恶意代码检测模块包括：

扫描单元，用于扫描根据所述请求报文所返回的应答页面的静态页面； 

检测单元，用于根据预置的恶意代码库，检测该静态页面中是否存在与所述恶意代码库中的恶意代码相匹配的恶意代码。

9.根据权利要求8所述的网页木马的检测装置，其特征在于，还包括：

还原模块，用于当所述网页中不存在恶意代码时，则还原所述网页流量的原始内容；

第三判断模块，用于判断所述网页流量的原始内容中是否存在恶意代码。

10.根据权利要求6至9中任一项所述的网页木马的检测装置，其特征在于，所述预设的挂马网页特征包括：网页地址的跳转次数特征、网页跳转的域名特征、下载文件的格式特征以及请求报文的异常特征。