[发明专利]基于防火墙的防挂马方法

说明书

本发明公开了一种基于防火墙的防挂马方法，涉及网络安全领域。本发明包括如下步骤：S1：网络爬虫获取正常网页内标签JS和CSS内的内容作为正特征组；S2：提取挂马网站标签JS和CSS中代码内容作为负特征组；步骤S3：选取正、负特征组中的差异特征；S4：利用TrustRank算法计算网页差异特征的信任贡献值；S5：设置阈值并与网页计算出的信任贡献值进行比对；S6：若信任贡献值低于阈值，则进行拦截处理。本发明通过网络爬虫提取正常网页和挂马网页代码中标签JS和CSS分别作为正、负特征组，利用正、负特征租计算网页特征差异的信任值，利用信任贡献值与阈值的比对快速判断出挂马网页并更新信息数据库负特征组，提高了防火墙监测挂马网页效率、耗时短、成本低。

技术领域

本发明属于技网络安全领域，特别是涉及一种基于防火墙的防挂马方法。

背景技术

挂马是网络安全的主要威胁之一。所谓挂马，就是黑客通过SQL注入、服务器漏洞等方法获取网站管理员账号，然后在网站的后台通过数据库“备份/恢复”或者上传漏洞获取一个webshell，利用该webshell修改网站内容，向页面中加入恶意转向代码，也可以直接通过弱口令获得服务器或网站传输协议(FTP)，然后直接对网站页面直接进行修改。当访问被植入恶意代码的页面时，就会自动访问被转向的地址或下载木马病毒。

目前，网站挂马防范大多是通过上传一个挂马网站的特征库，然后在内网用户上网时防火墙会将统一资源定位符(URL)与挂马网站特征库中的每一项进行匹配，如果URL中的某一部分与挂马网站特征库中的某一项相同，那么防火墙会判定该URL为挂马网站，从而进行拦截，存在检测效率低、耗时长以及成本高的问题。

本发明通过提供一种基于防火墙的防挂马方法，能够有效解决上述问题。

发明内容

本发明的目的在于提供一种基于防火墙的防挂马方法，通过网络爬虫提取正常网页和挂马网页代码中标签JS和CSS分别作为正、负特征组，利用正、负特征租计算网页特征差异的信任值，利用信任贡献值与阈值的比对快速判断出挂马网页并更新信息数据库负特征组，解决了现有的防火墙监测挂马网页效率低、耗时长、成本高的问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为一种基于防火墙的防挂马方法，包括如下步骤：

步骤S1：通过网络爬虫获取正常网页内标签JS和CSS内的内容作为正特征组并对获取的代码备份至信息数据库；

步骤S2：预先建立大量挂马网站特征库，并提取挂马网站标签JS和CSS中代码内容作为负特征组；

步骤S3：选取正特征组和负特征组分布具有明显差异的特征作为差异特征；

步骤S4：根据差异特征的分布，利用TrustRank算法计算网页差异特征的信任贡献值；

步骤S5：设置信任贡献值的阈值并与网页计算出的信任贡献值进行比对；

步骤S6：若信任贡献值超出阈值，则认为网页正常允许用户浏览，若信任贡献值低于阈值，则认为网页被挂马并进行拦截处理；

步骤S7：将挂马网页进行标签JS和CSS的提取，存入信息数据库作为负特征组。

优选地，所述步骤S1中，用户浏览网站前，需要对用户名以及用户登录密码进行验证，且每次效验用户登录IP，当监测出用户登录IP出现异常或用户登录后出现重复登录，系统将启用身份认证数据库对用户的注册账号发送认识信息，对用户认证失败的IP地址进行封存静止该IP登录该账号。

优选地，所述步骤S2中，差异特征是指统计web网页中已标记为正常和挂马的网页标签内容，根据统计信息分析正常网页特征分布与挂马网页特征分布的不同，确定正常网页与挂马网页特征分布有明显差异的特征。