[发明专利]改进的恶意软件检测方法和系统

权利要求书

1.一种用于检测恶意软件的方法，所述方法由计算设备上的处理器实施，所述方法包括：

所述处理器接收针对第一网页的请求；

所述处理器确定所述第一网页的至少一个预期属性；

所述处理器通过将所述第一网页与预定代码集组合来生成经修改网页，所述预定代码集被配置为检测客户端设备上是否存在所述恶意软件；

将所述经修改网页发送至所述客户端设备；

从所述客户端设备接收从所述经修改网页的执行版本收集的数据；

所述处理器确定所述经修改网页的执行版本的至少一个属性；

所述处理器将所述第一网页的所述至少一个预期属性与所述经修改网页的执行版本的所述至少一个属性进行比较；以及

所述处理器基于所述比较的结果确定所述客户端设备上是否存在所述恶意软件。

2.如权利要求1所述的方法，还包括：

向所述客户端设备发送指示所述客户端设备上存在所述恶意软件的警报消息。

3.如权利要求1所述的方法，其中，

所述第一网页的所述至少一个预期属性包括与所述第一网页相关联的第一数量的JavaScript元素，以及

确定所述客户端设备上是否存在所述恶意软件进一步包括：将所述第一数量的JavaScript元素与第二数量的JavaScript元素进行比较，所述第二数量的JavaScript元素与所述经修改网页的执行版本相关联。

4.如权利要求1所述的方法，其中，

所述第一网页的所述至少一个预期属性包括由对应于与所述第一网页相关联的JavaScript元素的标识组成的第一标识集，以及

确定所述客户端设备上是否存在所述恶意软件进一步包括：将所述第一标识集与第二标识集进行比较，所述第二标识集由对应于与所述经修改网页的执行版本相关联的JavaScript元素的标识组成。

5.如权利要求1所述的方法，其中，

所述第一网页的所述至少一个预期属性包括由与所述第一网页相关联的JavaScript元素组成的第一资源集，以及

确定所述客户端设备上是否存在所述恶意软件进一步包括：将所述第一资源集与第二资源集进行比较，所述第二资源集由与所述经修改网页的执行版本相关联的JavaScript元素组成。

6.如权利要求1所述的方法，其中，

所述第一网页的所述至少一个预期属性包括由与所述第一网页相关联的统一资源标识组成的第一统一资源标识集，以及

确定所述客户端设备上是否存在所述恶意软件进一步包括：将所述第一统一资源标识集与第二统一资源标识集进行比较，所述第二统一资源标识集由与所述经修改网页的执行版本相关联的统一资源标识组成。

7.如权利要求1所述的方法，其中，

所述第一网页的所述至少一个预期属性包括由与所述第一网页相关联的JavaScript功能名称组成的第一JavaScript功能名称集，以及

确定所述客户端设备上是否存在所述恶意软件进一步包括：将所述第一JavaScript功能名称集与第二JavaScript功能名称集进行比较，所述第二JavaScript功能名称集由与所述经修改网页的执行版本相关联的JavaScript功能名称组成。

8.如权利要求1所述的方法，其中，

所述第一网页的所述至少一个预期属性包括关于与所述第一网页相关联的JavaScript事件处理器的第一信息，以及

确定所述客户端设备上是否存在所述恶意软件进一步包括：将所述第一信息与第二信息进行比较，所述第二信息关于与所述经修改网页的执行版本相关联的JavaScript事件处理器。