[发明专利]web挂马网页的识别方法

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种web挂马网页的识别方法。

背景技术

网页木马是利用网页来进行破坏的病毒，它包含在恶意网页之中，使用脚本语言编写恶意代码，依靠系统的漏洞，如IE浏览器存在的漏洞来实现病毒的传播；当用户登录了包含网页病毒的恶意网站时，网页木马便被激活，受影响的系统一旦感染网页病毒，就会遭到破坏，轻则浏览器首页被修改，标题改变，系统自动弹出广告，重则被装上木马，感染病毒，使用户无法进行正常的使用，甚至会引起系统崩溃，敏感信息丢失等严重后果。

由于脚本语言易于掌握，所以网页木马非常容易编写和修改，造成很难提取特征值，增加了杀毒软件查杀以及用户预防的困难。

发明内容

有鉴于此，本发明的主要目的在于提供一种web挂马网页的识别方法。

为达到上述目的，本发明的技术方案是这样实现的：

本发明实施例提供一种web挂马网页的识别方法，该方法为：建立木马特征库，所述木马特征库中存储有木马特征；获取待检测网页的源文件，并且从所述源文件中提取提取待检测网页中与挂马相关的标签代码，从所述标签代码中提取待检测网页的定位符URL，将所述待检测网页的定位符URL与木马特征库中的URL进行匹配，如果匹配成功，则确定该待检测网页为挂马网页。

上述方案中，该方法还包括：如果匹配失败，再对所述待检测网页进行动态检测，若检测结果为挂马网页，则提取该挂马网页的特征信息，并将该特征信息加入到所述木马特征库中。

上述方案中，所述建立木马特征库，具体为：从各大安全站点爬取挂马网页的木马特征信息，所述木马特征信息包括网页木马挂载位置、挂载位置对应的匹配模式串、木马的后台网址，从所述木马特征信息中去除重复的木马特征信息后存入木马特征库。

上述方案中，所述对所述待检测网页进行动态检测，具体为：根据沙箱技术模拟对待检测网页进行页面载入、渲染、dom生成，确定模拟页面是否会触发下载或更改系统文件或修改注册表行为，如果有任意一种行为认为是挂马行为，并且将该待检测网页相应包括木马挂载位置及该挂载位置对应的匹配模式串以及该木马后台网址添加到木马特征库中。

上述方案中，所述从所述标签代码中提取待检测网页的定位符URL，具体为：所述标签代码包括Javascript标签、a标签、img 标签、style标签、iframe 标签、link 标签；根据所述Javascript标签、a标签、img 标签、style标签、iframe 标签、link 标签确定待检测网页的定位符URL。

与现有技术相比，本发明的有益效果：

本发明在web环境下对页面挂马进行有效识别的方法，以增强网页木马查杀有效性，降低web挂马引起的网站安全问题风险。

附图说明

图1为本发明实施例提供一种web挂马网页的识别方法的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例提供一种web挂马网页的识别方法，该方法为：建立木马特征库，所述木马特征库中存储有木马特征；获取待检测网页的源文件，并且从所述源文件中提取提取待检测网页中与挂马相关的标签代码，从所述标签代码中提取待检测网页的定位符URL，将所述待检测网页的定位符URL与木马特征库中的URL进行匹配，如果匹配成功，则确定该待检测网页为挂马网页。

该方法还包括：如果匹配失败，再对所述待检测网页进行动态检测，若检测结果为挂马网页，则提取该挂马网页的特征信息，并将该特征信息加入到所述木马特征库中，反之，如果检测结果不是挂马网页，则允许服务器访问该网页；

所述建立木马特征库，具体为：从各大安全站点爬取挂马网页的木马特征信息，所述木马特征信息包括网页木马挂载位置、挂载位置对应的匹配模式串、木马的后台网址，从所述木马特征信息中去除重复的木马特征信息后存入木马特征库。

所述对所述待检测网页进行动态检测，具体为：根据沙箱技术模拟对待检测网页进行页面载入、渲染、dom生成，确定模拟页面是否会触发下载或更改系统文件或修改注册表行为，如果有任意一种行为认为是挂马行为，并且将该待检测网页相应包括木马挂载位置及该挂载位置对应的匹配模式串以及该木马后台网址添加到木马特征库中。