[发明专利]基于程序执行特征的网页木马检测方法无效
| 申请号: | 200810222212.9 | 申请日: | 2008-09-11 |
| 公开(公告)号: | CN101673326A | 公开(公告)日: | 2010-03-17 |
| 发明(设计)人: | 陶然;李志勇;蔡镇河;王越;杜华;张昊 | 申请(专利权)人: | 北京理工大学 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00;G06F17/30 |
| 代理公司: | 北京理工大学专利中心 | 代理人: | 张利萍 |
| 地址: | 100081北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明属于计算机安全领域,涉及基于程序执行特征的网页木马检测方法。本发明利用网络爬虫抓取网页源码,然后经过多层解码后得到可识别的脚本程序,在保留脚本程序的同时对其进行反汇编处理得到汇编源码,再判断这些源码是否存在大量无效指令填充、调用系统级函数、明显的URL链接,最后通过汇编码来深层次的检测网页中是否含有木马。由于现有挂马网站相当一部分都植入了ShellCode,要使网页中的ShellCode能在本地机器中执行,需利用系统漏洞实现缓冲区溢出,使程序跳转到ShellCode代码段上。因此只要分析执行ShellCode的条件,并根据其执行特征来分析源码,就能对待检测网页是否是网页木马做出快速检测。 | ||
| 搜索关键词: | 基于 程序 执行 特征 网页 木马 检测 方法 | ||
【主权项】:
1.基于程序执行特征的网页木马检测方法,其特征在于具体步骤包括:a.使用网络爬虫软件获取被检测网页的HTML源代码;b.运行脚本解释模块对经步骤a获取得到的网页源代码进行多层解码处理,从而得到可识别的脚本源码;c.对经步骤b得到的脚本源码进行字节unicode解码,如果解码结果中出现明显的系统调用和URL下载连接,则说明该脚本要完成木马的自动下载,告警值加1,然后进行步骤d;若未出现明显的系统调用和URL下载连接,则直接进行步骤d;d.对经步骤b得到的可识别的脚本源码进行反汇编操作,然后判断该汇编代码是否是可执行的,如果是,则说明这一脚本含有Shellcode代码,告警值加1,然后进行步骤e;若该汇编代码是不可执行的,则直接进行步骤e;e.对脚本源码进行程序流程分析,如果发现有明显的对内存写入大量数据的操作,那么就说明这个脚本源码要实现某种溢出操作,告警值加1;f.如果告警值为累计为3的话就说明该网页是一个网页木马,如果告警值累计1或是2的话,说明该网页是个疑似网页木马,如果告警值累计为0的话就说明该网页是个正常网页。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京理工大学,未经北京理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200810222212.9/,转载请声明来源钻瓜专利网。
