[发明专利]一种检测利用WebAssembly进行攻击的方法

权利要求书

1.一种检测利用WebAssembly进行攻击的方法，其特征在于，包括：

获取网站的网页源码；

从所述网页源码中查找可疑wasm模块，并还原所述可疑wasm模块的文件；

对还原后的文件进行反编译；

对反编译后的文件进行黑名单字符匹配；

若黑名单字符匹配成功，则确定所述可疑wasm模块为恶意wasm模块。

2.根据权利要求1所述的检测利用WebAssembly进行攻击的方法，其特征在于，所述获取网站的网页源码包括：

对所述网站发起请求，从与所述网站交互时的流量提取所述网站的网页源码。

3.根据权利要求1所述的检测利用WebAssembly进行攻击的方法，其特征在于，所述从所述网页源码中查找可疑wasm模块包括：

通过正则匹配的方式从所述网页源码中查找可疑wasm模块。

4.根据权利要求1所述的检测利用WebAssembly进行攻击的方法，其特征在于，还包括：

若黑名单字符匹配不成功，则模拟执行反编译后的文件；

监测模拟执行反编译后的文件的过程中是否发生可疑操作；

若模拟执行反编译后的文件的过程中发生可疑操作，则确定所述可疑wasm模块为恶意wasm模块。

5.根据权利要求1所述的检测利用WebAssembly进行攻击的方法，其特征在于，还包括：

确定所述可疑wasm模块为恶意wasm模块后，输出wasm模块攻击告警。

6.一种检测利用WebAssembly进行攻击的装置，其特征在于，包括：

获取模块，用于获取网站的网页源码；

查找模块，用于从所述网页源码中查找可疑wasm模块，并还原所述可疑wasm模块的文件；

反编译模块，用于对还原后的文件进行反编译；

匹配模块，用于对反编译后的文件进行黑名单字符匹配；

第一确定模块，用于若黑名单字符匹配成功，则确定所述可疑wasm模块为恶意wasm模块。

7.根据权利要求6所述的检测利用WebAssembly进行攻击的装置，其特征在于，还包括：

执行模块，用于若黑名单字符匹配不成功，则模拟执行反编译后的文件；

监测模块，用于监测模拟执行反编译后的文件的过程中是否发生可疑操作；

第二确定模块，用于若模拟执行反编译后的文件的过程中发生可疑操作，则确定所述可疑wasm模块为恶意wasm模块。

8.根据权利要求7所述的检测利用WebAssembly进行攻击的装置，其特征在于，还包括：

告警模块，用于确定所述可疑wasm模块为恶意wasm模块后，输出wasm模块攻击告警。

9.一种检测利用WebAssembly进行攻击的设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至5任一项所述的检测利用WebAssembly进行攻击的方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的检测利用WebAssembly进行攻击的方法的步骤。