本发明专利技术公开了一种检测网页是否包含危险数据的网页挂马检测方法,包括步骤:获取网页内容;对所获取的网页内容进行静态分析,以检测可能包含危险数据的网页对象;获取所检测到的网页对象的对象内容;以及确定所述对象内容是否包含危险数据。本发明专利技术还公开了相应的网页挂马检测设备。本发明专利技术通过静态分析网页内容和动态解释执行可疑的对象内容来高效且准确地检测网页是否被挂马。
【技术实现步骤摘要】
本专利技术涉及计算机恶意代码检查领域,尤其涉及一种检测网页是否包含危险数 据,即网页是否被挂马的检测方法和系统。
技术介绍
计算机病毒、木马、间谍软件和恶意代码是计算机网络最主要的安全威胁。在计算 机病毒、木马、间谍软件和恶意代码的传播途径中,一条重要的途径就是通过构造特殊的网 页将病毒、木马传播、间谍软件和恶意代码传播到访问该网页的用户计算机中。在本技术领 域,将这种特殊的网页称为被挂马的网页。网页挂马,是指有目的地利用诸如第三方控件或 者浏览器漏洞之类的现有系统漏洞,构造出包括能够触发漏洞的危险数据的网页。当用户 访问这些被挂马的网页时,这些危险数据会在用户计算机上执行与危险数据相关的恶意代 码,利用现有系统的漏洞在用户计算机上未经许可地执行命令、修改主机配置,并进一步执 行诸如下载病毒、木马、间谍软件和恶意代码之类的操作。网页挂马主要利用浏览器脚本解 释引擎、JVMCJava虚拟机)和诸如ActiveX控件之类的控件的漏洞。在当前情况下,各种 浏览器脚本、Java应用小程序和各种控件在基于浏览器的应用中广泛使用,因此,也造成了 网页挂马成为计算机病毒、木马、间谍软件和恶意代码的重要途径。针对网页挂马的处理方式可以大致分为两种被动防御方式和主动扫描方式。被 动防御方式在用户访问某个网页时,监控浏览器处理该网页时的行为,如监控内存分配、跟 踪系统API调用以及进行数据比较,当发现行为异常时,确定该网页被挂马了,并阻止对网 页的进一步处理。主动扫描方式是主动请求网页内容,然后分析该网页内容以确定该网页 是否被挂马。在分析网页内容时采用的大多数挂马分析系统采用特征分析来进行。目前,已经提出了多种对网页挂马进行检测的方法。专利号为200610152531. 8的中国专利公开了一种基于统计特征的网页恶意脚本 检测方法。该专利技术基于这样的原理,即网页中的恶意代码必定经过处理,而处理后网页中的 正常字符和非正常字符的比例有着明显的差异,所以利用网页的字符统计特征(包括字符 频率统计、相邻字符跨度值统计、与字典匹配度统计)可以检测出网页是否包括恶意脚本。 但是,利用字符统计特征来检测恶意脚本存在准确率低、不能对未经过处理的危险数据进 行检测、因而不能充分检测到挂马的问题。另外基于统计的检测方法依赖于大量的统计数 据,这需要事先确定已知被挂马和未被挂马的网页,因而需要大量的工作量。申请号为200810198999. X的中国专利申请公开了一种网页防挂马的方法。该发 明的基本原理是监控javascript的内存分配情况,根据分配内存是否覆盖特定地址,通过 挂接API函数跟踪脚本执行过程,通过判断执行结果来检测网页是否被挂马。但是该网页 防挂马方法只能检测到与javascript脚本解释引擎相关的漏洞,尤其是利用javascript 脚本解释引擎中的heap spray的网页挂马方式。因此该方法存在能够进行检测的挂马不 够全面的问题。申请号为200810098131. 2的中国专利申请公开了一种网站恶意内容检测与认证方法及系统,其中的数据采集引擎以模拟用户行为的方式来对目标网站上的内容进行采 集;本地数据库存储所采集到的内容;恶意内容分析引擎对存储下来的内容进行分析以检 测其中是否存在恶意内容;认证授权数据库存储分析结果;反馈引擎将存在恶意内容的分 析结果反馈给目标网站;认证授权引擎在不存在恶意内容时对目标网站授予通过认证的标 志。在该申请中,恶意内容分析引擎通过特征分析和杀毒软件对存储的内容进行分析以检 测其中是否存在恶意内容,但是其中没有公开进行分析的具体处理方式。该专利申请主要 在于提供一种对网站进行认证的方法和系统,而没有对如何分析网页是否被挂马提供详细 分析。可以看出,虽然现有技术中提供了多种对网页挂马进行检测的方式,但是这些方 式均存在效率不高、准确度不高并且不能对各种危险数据进行全面检测的问题。因此,希望 提供一种可以高效、准确且全面地对网页是否被挂马进行检测的方法和系统。
技术实现思路
本专利技术的申请人发现,在网页被挂马时,通常利用特定方式将危险数据(如恶意 代码)嵌入到网页中,而且这些危险数据通常以特定方式利用系统漏洞。申请人基于此提 出了一种通过对代码嵌入到网页中的方式和系统漏洞被利用方式二者进行监控来检测网 页是否被挂马的方式,从而可以高效且全面地进行网页挂马检测。根据本专利技术的一个方面,提供了一种检测网页是否包含危险数据的网页挂马检测 方法,包括步骤获取网页内容;对所获取的网页内容进行静态分析,以检测可能包含危险 数据的网页对象;获取所检测到的网页对象的对象内容;以及确定所述对象内容是否包含 危险数据。根据本专利技术的一个实施例,根据可能包含危险数据的网页对象的对象特征对所获 取的网页内容进行特征匹配,以检测可能包含危险数据的网页对象。根据本专利技术的另一个实施例,根据危险数据特征对所述对象内容进行特征匹配, 以确定所述对象内容是否包含危险数据。根据本专利技术的另一个实施例,构造对象执行引擎来模拟执行所述对象内容,并且 监控所述对象内容的模拟执行,当出现异常行为时,确定所述对象内容包含危险数据。根据本专利技术的另一个实施例,当所述对象内容的模拟执行期间调用外部URL时, 则递归执行根据本专利技术的方法来检测链接所指向的网页内容是否包含危险数据。根据本专利技术的另一方面,提供了一种网页挂马检测设备,包括网页获取装置,用 于获取与URL相对应的网页内容;静态分析装置,用于对所获取的网页内容进行静态分析, 以检测出可能包含危险数据的网页对象;对象内容获取装置,用于为所检测出的可能包含 危险数据的网页对象获取对象内容;以及危险数据确定装置,用于判断所述对象内容是否 包含危险数据。根据本专利技术的一个实施例,网页挂马检测设备还包括对象特征库,而且静态分析 装置根据对象特征库所包括的对象特征,通过对所述网页内容进行特征匹配来检测出可能 包含危险数据的网页对象。根据本专利技术的另一个实施例,网页挂马检测设备还包括危险数据特征库,而且危 险数据确定装置包括特征匹配装置,用于参考危险数据特征库中的危险数据的特征信息来确定对象内容是否包含危险数据。根据本专利技术的另一个实施例,危险数据确定装置包括模拟执行装置,用于构造对 象执行引擎来模拟执行所述对象内容,并且通过监控所述对象内容执行期间的异常行为来 确定所述对象内容是否包括危险数据。本专利技术还提供了包括上述网页挂马检测设备的网站主动检测系统和网页爬虫系 统。 本专利技术通过静态分析网页内容和动态解释执行可疑的对象内容来高效且准确地 检测网页是否被挂马。本专利技术的基本原理是利用危险数据嵌入网页的方式以及危险数据利 用漏洞的方法来检测危险数据,因此可以实现全面对网页是否被挂马的准确检测。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通 技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术 的限制。而且在整个附图中,用相同的参考符号表示相同的部件。其中在附图中,参考数字 之后的字母标记指示多个相同的部件,当泛指这些部件时,将省略其最后的字母标记。在附 图中图1示出了根据本专利技术一个实施例的用于检测网页中是否包含危险数据的方法 的流程图100 ;图2示出了根据本文档来自技高网...
【技术保护点】
一种检测网页是否包含危险数据的网页挂马检测方法,包括步骤:获取网页内容;对所获取的网页内容进行静态分析,以检测可能包含危险数据的网页对象;获取所检测到的网页对象的对象内容;以及确定所述对象内容是否包含危险数据。
【技术特征摘要】
【专利技术属性】
技术研发人员:温玉杰,王晓明,
申请(专利权)人:中联绿盟信息技术北京有限公司,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。