[发明专利]基于防火墙的防挂马的方法及防火墙

权利要求书

1.一种基于防火墙的防挂马的方法，其特征在于，包括：

获取待浏览的网页相应的统一资源定位符；

通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组，判断所述统一资源定位符是否为挂马网站的统一资源定位符；其中，所述挂马网站特征库由多个特征组组成，每一个特征组由多个特征项组成，所述特征项为挂马网站的域名或者域名的一部分；

若确定出所述统一资源定位符是挂马网站的统一资源定位符，则对所述统一资源定位符进行拦截处理。

2.根据权利要求1所述的基于防火墙的防挂马的方法，其特征在于，所述挂马网站特征库由27个特征组组成，包括第一特征组，第二特征组，…，第二十七特征组，其中，对于第一特征组中任一个特征项，若该特征项的前四个字符组成的子串为“www.”，则该特征项中第五个字符为字符a或者字符A，否则，该特征项的第一个字符为字符a或者字符A，对于第i特征组中任一个特征项，若该特征项的前四个字符组成的子串为“www.”，则该特征项中第五个字符为英文字母表中字母a后的第i-1个字母或者字母A后的第i-1个字母，否则，该特征项的第一个字符为英文字母表中字母a后的第i-1个字母或者字母A后的第i-1个字母，i为从2到26的整数，对于第二十七特征组中任一个特征项，若该特征项的前四个字符组成的子串为“www.”，则该特征项中第五个字符为除英文字母外的其它字符，否则，该特征项的第一个字符为除英文字母外的其它字符。

3.根据权利要求2所述的基于防火墙的防挂马的方法，其特征在于，所述通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组，判断所述统一资源定位符是否为挂马网站的统一资源定位符，包括：

识别所述统一资源定位符中前11个字符组成的子串“http://www.”后面的第一个字符；

根据识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符确定出对应所述统一资源定位符的特征组；其中，若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符为英文字母表中的字母，则对于确定出的对应所述统一资源定位符的特征组中任一个特征项，若该特征项的前四个字符组成的子串是“www.”，则该特征项中第五个字符为识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符的大写形式或者小写形式，否则，该特征项的第一个字符为识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符的大写形式或者小写形式，或者，若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符不是英文字母表中的字母，则对于确定出的对应所述统一资源定位符的特征组中任一个特征项，若该特征项的前四个字符组成的子串是“www.”，则该特征项中第五个字符为除英文字母外的其它字符，否则，该特征项的第一个字符为除英文字母外的其它字符；

将所述统一资源定位符与确定出的对应所述统一资源定位符的特征组中的特征项进行匹配，根据所述匹配的结果，若所述统一资源定位符与确定出的对应所述统一资源定位符的特征组中的一个特征项相匹配，则确定出所述统一资源定位符是挂马网站的统一资源定位符，否则，确定出所述统一资源定位符不是挂马网站的统一资源定位符。

4.根据权利要求3所述的基于防火墙的防挂马的方法，其特征在于，所述第一特征组的特征字符为字符a和字符A，所述第i特征组的特征字符为英文字母表中字母a后的第i-1个字母和字母A后的第i-1个字母；

其中，所述根据识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符确定出对应所述统一资源定位符的特征组，包括：

判断识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符是否为英文字母表中从字母a至字母z中的字母或者从字母A至字母Z中的字母；

若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符是英文字母表中从字母a至字母z中的字母或者从字母A至字母Z中的字母，则确定出对应所述统一资源定位符的特征组为特征字符之一与识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符相同的特征组，否则，则确定出对应所述统一资源定位符的特征组为所述第二十七特征组。