[发明专利]基于防火墙的防挂马的方法及防火墙

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于防火墙的防挂马的方法及防火墙。

背景技术

当前的网络世界中，挂马是网络安全的主要威胁之一，所谓挂马，就是黑客通过SQL注入、服务器漏洞等方法获取网站管理员账号，然后在网站的后台通过数据库“备份/恢复”或者上传漏洞获取一个webshell(以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。)，利用该webshell修改网站内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或网站ftp(文件传输协议)，然后直接对网站页面进行修改。当访问被植入恶意代码的页面时，就会自动访问被转向的地址或下载木马病毒。

目前防火墙设备基本都有挂马防护的模块，而该模块所采用的技术大多都是通过上传一个挂马网站的特征库(挂马网站特征库内容为挂马网站的域名或域名的一部分)，然后在内网用户上网时防火墙会将统一资源定位符与挂马网站特征库中的每一项进行匹配，如果统一资源定位符中的某一部分与挂马网站特征库中的某一项相同，那么防火墙会判定该统一资源定位符为挂马网站，从而进行拦截，否则直接放行。

然后由于挂马网站数量的增加导致挂马网站特征库也在不断地扩大，一般在一个挂马网站特征库中会有上万条匹配项，这样防火墙内网用户在上网时每一个统一资源定位符都会去和特征库中的匹配项一一匹配，这样降低了防火墙的工作效率，从而影响了防火墙的性能。

发明内容

有鉴于此，本发明提供一种基于防火墙的防挂马的方法及防火墙，能够提高防火墙的工作效率，从而提升防火墙的性能。

为此目的，一方面，本发明提出一种基于防火墙的防挂马的方法，包括：

获取待浏览的网页相应的统一资源定位符；

通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组，判断所述统一资源定位符是否为挂马网站的统一资源定位符；其中，所述挂马网站特征库由多个特征组组成，每一个特征组由多个特征项组成，所述特征项为挂马网站的域名或者域名的一部分；

若确定出所述统一资源定位符是挂马网站的统一资源定位符，则对所述统一资源定位符进行拦截处理。

另一方面，本发明提出一种防火墙，包括：

获取单元，用于获取待浏览的网页相应的统一资源定位符；

判断单元，通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组，判断所述统一资源定位符是否为挂马网站的统一资源定位符；其中，所述挂马网站特征库由多个特征组组成，每一个特征组由多个特征项组成，所述特征项为挂马网站的域名或者域名的一部分；

拦截单元，用于若所述判断单元确定出所述统一资源定位符是挂马网站的统一资源定位符，则对所述统一资源定位符进行拦截处理。

本发明实施例所述的基于防火墙的防挂马的方法及防火墙，通过查询预先建立的挂马网站特征库中对应待浏览的网页相应的统一资源定位符的特征组，判断所述统一资源定位符是否为挂马网站的统一资源定位符，并在所述统一资源定位符是挂马网站的统一资源定位符时，对所述统一资源定位符进行拦截处理，相较于现有技术将所述统一资源定位符与挂马网站特征库中的每一项进行匹配来判断所述统一资源定位符是否为挂马网站的统一资源定位符，本发明只需要查询对应所述统一资源定位符的特征组即可确定出所述统一资源定位符是否为挂马网站的统一资源定位符，因而能够提高防火墙的工作效率，从而提升防火墙的性能。

附图说明

图1为本发明基于防火墙的防挂马的方法一实施例的流程示意图；

图2为本发明防火墙一实施例的方框结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本实施例公开一种基于防火墙的防挂马的方法，包括：

S1、获取待浏览的网页相应的统一资源定位符；

S2、通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组，判断所述统一资源定位符是否为挂马网站的统一资源定位符；其中，所述挂马网站特征库由多个特征组组成，每一个特征组由多个特征项组成，所述特征项为挂马网站的域名或者域名的一部分；