[发明专利]一种检测利用WebAssembly进行攻击的方法

说明书

本申请公开了一种检测利用WebAssembly进行攻击的方法，涉及攻击流量检测技术领域，包括：获取网站的网页源码；从所述网页源码中查找可疑wasm模块，并还原所述可疑wasm模块的文件；对还原后的文件进行反编译；对反编译后的文件进行黑名单字符匹配；若黑名单字符匹配成功，则确定所述可疑wasm模块为恶意wasm模块。应用该方法在IP域名未被标记为恶意之前就能够及早发现恶意攻击事件。本申请还公开了一种检测利用WebAssembly进行攻击的装置、设备以及计算机可读存储介质，均具有上述技术效果。

技术领域

本申请涉及攻击流量检测技术领域，特别涉及一种检测利用WebAssembly进行攻击的方法；还涉及一种检测利用WebAssembly进行攻击的装置、设备以及计算机可读存储介质。

背景技术

WebAssembly(简称为wasm)是一种应用于浏览器内的客户端程序编程语言，用来提供比JavaScript更快速的编译与执行。WebAssembly让开发者能够运用自己熟悉的程式语言进行编译，再基于虚拟化的引擎在浏览器内执行。在一份研究中发现，Alexa排名前一百万的网站，使用WebAssembly代码的网站比例约为六百分之一，其中一半用于恶意目的，例如，挖掘数字货币或混淆恶意代码。因此，检测利用WebAssembly进行的攻击尤为重要。

然而，现有技术往往是在威胁情报层面上进行检测防御，针对恶意域名、恶意证书进行监控，当流量中出现对被标记的IP域名的访问时才进行封禁阻塞。上述方式并没有从根本上去检测攻击特征，存在一定的滞后性，当攻击者自建服务器或是搭建中转服务器时即可绕过检测策略，只有IP域名被标记为恶意时才能够检测出。

有鉴于此，如何解决上述技术缺陷已成为本领域技术人员亟待解决的技术问题。

发明内容

本申请的目的是提供一种检测利用WebAssembly进行攻击的方法，应用该方法在IP域名未被标记为恶意之前就能够及早发现恶意攻击事件。本申请的另一个目的是提供一种检测利用WebAssembly进行攻击的装置、设备以及计算机可读存储介质，均具有上述技术效果。

为解决上述技术问题，本申请提供了一种检测利用WebAssembly进行攻击的方法，包括：

获取网站的网页源码；

从所述网页源码中查找可疑wasm模块，并还原所述可疑wasm模块的文件；

对还原后的文件进行反编译；

对反编译后的文件进行黑名单字符匹配；

若黑名单字符匹配成功，则确定所述可疑wasm模块为恶意wasm模块。

可选的，所述获取网站的网页源码包括：

对所述网站发起请求，从与所述网站交互时的流量提取所述网站的网页源码。

可选的，所述从所述网页源码中查找可疑wasm模块包括：

通过正则匹配的方式从所述网页源码中查找可疑wasm模块。

可选的，还包括：

若黑名单字符匹配不成功，则模拟执行反编译后的文件；

监测模拟执行反编译后的文件的过程中是否发生可疑操作；

若模拟执行反编译后的文件的过程中发生可疑操作，则确定所述可疑wasm模块为恶意wasm模块。

可选的，还包括：

确定所述可疑wasm模块为恶意wasm模块后，输出wasm模块攻击告警。

为解决上述技术问题，本申请还提供了一种检测利用WebAssembly进行攻击的装置，包括：