[发明专利]网页木马的检测方法和装置有效
申请号: | 201210531779.0 | 申请日: | 2012-12-11 |
公开(公告)号: | CN103065089A | 公开(公告)日: | 2013-04-24 |
发明(设计)人: | 周欣 | 申请(专利权)人: | 深信服网络科技(深圳)有限公司 |
主分类号: | G06F21/56 | 分类号: | G06F21/56 |
代理公司: | 深圳市世纪恒程知识产权代理事务所 44287 | 代理人: | 胡海国 |
地址: | 518000 广东省深圳市南山区*** | 国省代码: | 广东;44 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 网页 木马 检测 方法 装置 | ||
技术领域
本发明涉及到互联网技术领域,特别涉及到一种网页木马的检测方法和装置。
背景技术
网页木马攻击是目前互联网面临的最主要的危害之一,网页木马攻击主要利用浏览器、activex控件、文件以及常用应用软件的漏洞,攻击者通过篡改正常的网页,在正常的网页中插入一段恶意代码,当受害者访问被篡改的网页时,如果浏览器或者控件、文件解析器等存在漏洞,嵌入在网页中的木马就可以被下载到受害者的计算机中,通过下载的木马,攻击者便可以控制受害者的计算机。网页挂马对受害者的计算机的危害非常大,目前,主要通过如下几种方式进行防御:
1、根据漏洞特征进行防御
当发现漏洞后,分析漏洞特征码,然后提取特征进行防御。这种方法的最大缺点是无法做到事前防御,而且只能防御已经发布并公开的漏洞,而对于潜在的以及内部流通的安全漏洞则无法防御,所以经常出现漏报。
2、根据网页特征码进行防御
分析常见的攻击代码形式,如堆喷射代码,然后检测网页中是否存在这样的恶意代码。这种检测技术需要识别网页中的恶意代码,这就会存在两种问题:一是误报,比如介绍某种漏洞利用方法的网页,就可能会被误报为挂马网页;另一种是漏报,一些挂马网页可能会被加密,从而导致无法识别一些真正挂马的网页。
3、基于动态行为检测网页木马
通过客户端虚拟机,检测网页中是否有异常行为,比如大量申请内存和调用系统函数等,当检测到有异常行为时则发出告警。这种防御机制效率较低,而且一般只能部署在客户端上进行检测。
4、通过反病毒软件直接扫描挂马网页
通过杀毒软件检测嵌入到网页中的恶意木马,检测下载文件中是否存在恶意木马,这种技术比较常见,是杀毒软件主要的功能。但是,这种防御方式最主要的缺点是对于病毒的查杀需要依赖于病毒软件病毒库的完整性。
发明内容
本发明的主要目的为提供一种网页木马的检测方法和装置,旨在有效地提高对网页木马识别的准确性,并且降低误报率和漏报率。
本发明提供一种网页木马的检测方法,包括:
对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码;
当所述网页中存在恶意代码时,判断所述网页的地址是否跳转;
若是,则分析所述网页的流量行为,并比对所述网页的流量行为与预设的挂马网页特征,根据比对结果判断所述网页是否为挂马网页。
优选地,在执行所述对网页的静态页面进行扫描之前,还包括:
接收访问网页的请求报文,根据所述请求报文返回应答页面,并对所述应答页面进行缓存,对所述请求报文进行重组。
优选地,所述对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码包括:
扫描根据所述请求报文所返回的应答页面的静态页面;
根据预置的恶意代码库,检测该静态页面中是否存在与所述恶意代码库中的恶意代码相匹配的恶意代码。
优选地,在执行所述对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码之后,还包括:
当所述网页中不存在恶意代码时,则还原所述网页流量的原始内容,判断所述网页流量的原始内容中是否存在恶意代码。
优选地,所述预设的挂马网页特征包括:网页地址的跳转次数特征、网页跳转的域名特征、下载文件的格式特征以及请求报文的异常特征。
本发明还提供一种网页木马的检测装置,包括:
恶意代码检测模块,用于对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码;
第一判断模块,用于当所述网页中存在恶意代码时,判断所述网页的地址是否跳转;
分析及对比模块,用于分析所述网页的流量行为,并比对所述网页的流量行为与预设的挂马网页特征;
第二判断模块,用于根据比对结果判断所述网页是否为挂马网页。
优选地,网页木马的检测装置还包括:
接收及返回模块,用于接收访问网页的请求报文,根据所述请求报文返回应答页面;
缓存及重组模块,用于对所述应答页面进行缓存,对所述请求报文进行重组。
优选地,所述恶意代码检测模块包括:
扫描单元,用于扫描根据所述请求报文所返回的应答页面的静态页面;
检测单元,用于根据预置的恶意代码库,检测该静态页面中是否存在与所述恶意代码库中的恶意代码相匹配的恶意代码。
优选地,网页木马的检测装置还包括:
还原模块,用于当所述网页中不存在恶意代码时,则还原所述网页流量的原始内容;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服网络科技(深圳)有限公司,未经深信服网络科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210531779.0/2.html,转载请声明来源钻瓜专利网。
- 上一篇:一种快速散热的LED灯
- 下一篇:快速定位的法兰盘