一种挂马防范的方法和系统技术方案

技术编号:13326353 阅读:109 留言:0更新日期:2016-07-11 15:45
本发明专利技术公开了一种挂马防范的方法和系统,该方法包括:S1:统计当前网络中的每一应用程序的流量;S2:在预先获取的挂马特征库中,获取与第一应用程序相关的挂马网站的域名,以得到第一挂马特征库;第一应用程序是在当前网络中的流量大于预设流量的应用程序;S3:将预识别网站的统一资源定位符与第一挂马特征库中的挂马网站的域名进行匹配,若匹配成功,拦截预识别网站。该方法对网络环境中的各个程序的流量进行统计,选出与流量较大的应用程序相关的挂马网站的域名,得到一挂马网站数量较少的挂马特征库,在该挂马特征库中进行网站挂马的识别和拦截,缩小了统一资源定位符的匹配范围,从而提高挂马识别和处理的效率,提高网络防火墙的性能。

【技术实现步骤摘要】

本专利技术属于网络安全领域,具体涉及一种挂马防范的方法和系统
技术介绍
挂马是网络安全的主要威胁之一。所谓挂马,就是黑客通过SQL( StructuredQuery Language)注入、服务器漏洞等方法获取网站管理员账号,然后在网站的后台通过数据库“备份/恢复”或者上传漏洞获取一个webshell,利用该webshell修改网站内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或网站传输协议(FTP),然后直接对网站页面直接进行修改。当访问被植入恶意代码的页面时,就会自动访问被转向的地址或下载木马病毒。目前,防火墙设备的挂马防范大多是通过上传一个挂马网站的特征库(挂马网站特征库内容为挂马网站的域名),然后在内网用户上网时防火墙会将统一资源定位符(URL)与挂马网站特征库中的每一项进行匹配,如果URL中的某一部分与挂马网站特征库中的某一项相同,那么防火墙会判定该URL为挂马网站,从而进行拦截。然而,随着挂马网站数量的增加,挂马网站特征库不断扩大,一个挂马网站特征库中有上万条匹配项,这内网用户在上网时每一个URL都会去和特征库中的匹配项匹配,这种匹配方式耗时长、效率低、成本高,严重影响了防火墙的性能。
技术实现思路
本专利技术所要解决的技术问题是如何提高挂马识别和处理的效率,提高网络防火墙的性能。针对该技术问题,本专利技术提供了一种挂马防范的方法,包括:S1:统计当前网络中的每一应用程序的流量;S2:在预先获取的挂马特征库中,获取与第一应用程序相关的挂马网站的域名,以得到第一挂马特征库;所述第一应用程序是在所述当前网络中的流量大于预设流量的应用程序;S3:将预识别网站的统一资源定位符与所述第一挂马特征库中的挂马网站的域名进行匹配,若匹配成功,拦截所述预识别网站。优选地,所述步骤SI之前还包括:将所述预先获取的挂马特征库中的挂马网站的域名按照所述挂马网站所属的应用程序分类存储。优选地,所述步骤S2包括:S21:按照流量由大到小的顺序,对所述当前网络中的应用程序进行排序,以得到应用程序序列;S22:获取所述应用程序序列中处于预设位置之前的应用程序,以作为所述第一应用程序;S23:在所述预先获取的挂马特征库中,获取与所述第一应用程序相关的挂马网站的域名,以作为所述第一挂马特征库。优选地,所述步骤S2之后还包括:S2’:判断所述第一挂马特征库是否是在预设时间点之前获取的,若是,跳回步骤Slo优选地,所述步骤S3包括:S31:获取所述预识别网站的统一资源定位符;S32:判断所述第一挂马特征库中是否存在与所述统一资源定位符相关的挂马网站的域名,若存在,拦截所述预识别网站。另一方面,本专利技术还提供了一种挂马防范的系统,包括:统计模块,用于统计当前网络中的每一应用程序的流量;获取模块,用于在预先获取的挂马特征库中,获取与第一应用程序相关的挂马网站的域名,以得到第一挂马特征库;所述第一应用程序是在所述当前网络中的流量大于预设流量的应用程序;处理模块,用于将预识别网站的统一资源定位符与所述第一挂马特征库中的挂马网站的域名进行匹配,若匹配成功,拦截所述预识别网站。优选地,所述挂马防范的系统还包括:存储模块,用于将所述预先获取的挂马特征库中的挂马网站的域名按照所述挂马网站所属的应用程序分类存储。优选地,所述获取模块包括:排序单元,用于按照流量由大到小的顺序,对所述当前网络中的应用程序进行排序,以得到应用程序序列;第一获取单元,用于获取所述应用程序序列中处于预设位置之前的应用程序,以作为所述第一应用程序;第二获取单元,用于在所述预先获取的挂马特征库中,获取与所述第一应用程序相关的挂马网站的域名,以作为所述第一挂马特征库。优选地,所述挂马防范的系统还包括判断模块,用于判断所述第一挂马特征库是否是在预设时间点之前获取的;所述统计模块还用于在所述判断模块判定所述第一挂马特征库是在预设时间点之前获取的时,统计当前网络中的每一应用程序的流量。优选地,所述处理模块还包括:第三获取单元,用于获取所述预识别网站的统一资源定位符;第一判断单元,用于判断所述第一挂马特征库中是否存在与所述统一资源定位符相关的挂马网站的域名;第一拦截单元,用于在所述第一判断单元判定所述第一挂马特征库中存在与所述统一资源定位符相关的挂马网站的域名时,拦截所述预识别网站。本专利技术提供的挂马防范的方法和系统中,对网络环境中的各个程序的流量进行统计,选出与流量较多的应用程序相关的挂马网站的域名,得到一个具有较少挂马网站的挂马特征库,在该挂马特征库中进行网站挂马的识别和拦截,缩小了统一资源定位符的匹配范围,从而提高挂马识别和处理的效率,缩短了挂马网站识别的时间,提高网络防火墙的性會K。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术一实施例提供的挂马防范的方法的流程图;图2是本专利技术一实施例提供的挂马防范的方法中第一挂马特征库的获取方法的流程图;图3是本专利技术一实施例提供的挂马防范的系统的结构框图。【具体实施方式】为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。实施例1:图1是本实施例提供的挂马防范的方法的流程图,参见图1,该方法包括:步骤S1:统计当前网络中的每一应用程序的流量;步骤S2:在预先获取的挂马特征库中,获取与第一应用程序相关的挂马网站的域名,以得到第一挂马特征库;其中,第一应用程序是在当前网络中的流量大于预设流量的应用程序;步骤S3:将预识别网站的统一资源定位符与第一挂马特征库中的挂马网站的域名进行匹配,若匹配成功,拦截预识别网站。需要说明的是:步骤S当前第1页1 2 3 本文档来自技高网...

【技术保护点】
一种挂马防范的方法,其特征在于,包括:S1:统计当前网络中的每一应用程序的流量;S2:在预先获取的挂马特征库中,获取与第一应用程序相关的挂马网站的域名,以得到第一挂马特征库;所述第一应用程序是在所述当前网络中的流量大于预设流量的应用程序;S3:将预识别网站的统一资源定位符与所述第一挂马特征库中的挂马网站的域名进行匹配,若匹配成功,拦截所述预识别网站。

【技术特征摘要】

【专利技术属性】
技术研发人员:张辉
申请(专利权)人:汉柏科技有限公司
类型:发明
国别省市:天津;12

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1