網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法及裝置制造方法
【專利摘要】本發(fā)明涉及一種網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法�,包括:監(jiān)控對(duì)網(wǎng)站源代碼文件的修改操作并獲取變更的代碼片段;分析所述變更的代碼片段以抽取出外部鏈接��;判斷所述外部鏈接是否為可疑或者惡意鏈接�����;以及若檢測(cè)到所述可疑或者惡意鏈接則發(fā)出警告消息����。上述的網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法可實(shí)時(shí)監(jiān)控源代碼的變更內(nèi)容,有效的阻止了通過(guò)利用操作系統(tǒng)或第三方應(yīng)用漏洞獲取系統(tǒng)寫(xiě)權(quán)限后注入惡意的重定向網(wǎng)址到合法網(wǎng)站的頁(yè)面代碼中這樣一類常見(jiàn)的病毒傳播方式��。此外����,本發(fā)明還提供一種網(wǎng)站源代碼惡意鏈接注入監(jiān)控裝置���。
【專利說(shuō)明】3網(wǎng)站,而從外部抓取網(wǎng)站內(nèi)容無(wú)法在短時(shí)1]網(wǎng)站的安全性�;這樣會(huì)導(dǎo)致已經(jīng)感染的頁(yè)
0
丨勺源代碼動(dòng)態(tài)加載大量的數(shù)據(jù)庫(kù)內(nèi)容,對(duì)于[攻擊����,目前都有較成熟的解決方案����,而對(duì)源入的攻擊點(diǎn)之一。
3惡意鏈接注入監(jiān)控方法及裝置��,其可提升
去����,包括:監(jiān)控對(duì)網(wǎng)站源代碼文件的修改操3片段以抽取出外部鏈接;判斷所述外部鏈可疑或者惡意鏈接則發(fā)出警告消息���。
I����,包括:代碼監(jiān)控單元��,用于監(jiān)控對(duì)網(wǎng)站源至接抽取單元,用于分析所述變更的代碼片�?所述外部鏈接是否為可疑或者惡意鏈接;【專利附圖】
【附圖說(shuō)明】
[0009]圖1為第一實(shí)施例提供的一種網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法流程圖���。
[0010]圖2為第二實(shí)施例提供的一種網(wǎng)站源代碼惡意鏈接注入監(jiān)控裝置流程圖�。
【具體實(shí)施方式】
[0011]為更進(jìn)一步闡述本發(fā)明為實(shí)現(xiàn)預(yù)定發(fā)明目的所采取的技術(shù)手段及功效����,以下結(jié)合附圖及較佳實(shí)施例,對(duì)依據(jù)本發(fā)明的【具體實(shí)施方式】�����、結(jié)構(gòu)�、特征及其功效,詳細(xì)說(shuō)明如后����。
[0012]實(shí)施例1
[0013]參閱圖1,第一實(shí)施例提供一種網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法��,上述的監(jiān)控方法包括:
[0014]步驟S110�、監(jiān)控對(duì)網(wǎng)站源代碼文件的修改操作并獲取變更的代碼片段。
[0015]一般來(lái)說(shuō)����,網(wǎng)站源代碼文件會(huì)存儲(chǔ)在一個(gè)或多個(gè)目錄下����,通過(guò)實(shí)時(shí)監(jiān)控這些目錄下的源代碼文件����,當(dāng)有變更的時(shí)候,抽取變更的代碼段���。例如,首先可將網(wǎng)站源代碼文件進(jìn)行備份����,并對(duì)所有備份源代碼文件建立索引,存儲(chǔ)其修改時(shí)間����。然后通過(guò)比較監(jiān)控的目錄下源代碼文件的修改時(shí)間與備份的源代碼文件的修改時(shí)間即可獲知源代碼文件是否已經(jīng)被修改。進(jìn)一步地��,比較兩個(gè)版本的內(nèi)容即可提取出變更的代碼片段�。
[0016]此外,可以理解����,監(jiān)控源代碼文件的修改并不限于上述方法���,例如,還可通過(guò)監(jiān)測(cè)系統(tǒng)對(duì)磁盤(pán)的寫(xiě)操作��,并在檢測(cè)對(duì)網(wǎng)站源代碼目錄內(nèi)的文件進(jìn)行寫(xiě)操作時(shí)直接獲取變更的代碼片段�。
[0017]步驟S120、分析所述變更的代碼片段以抽取出外部鏈接�����。
[0018]變更的代碼片段可能是采用不同的編程語(yǔ)言例如HTMUJavascripts����、或者PHP等編寫(xiě)完成的。而不同的編程語(yǔ)言具有不同的語(yǔ)法�����,需要分別進(jìn)行分析�。具體地,步驟S120例如可包括:根據(jù)變更的代碼片段所采用的編程語(yǔ)言加載相應(yīng)的代碼分析器�;以及采用該代碼分析器解析所述代碼片段以抽取出所述外部鏈接。例如���,采用文件物件模型(DocumentObjectModel, DOM)加載分析HTML格式的代碼片段以抽取出外部鏈接���。
[0019]步驟S130�����、判斷所述外部鏈接是否為可疑或者惡意鏈接��。
[0020]首先��,可從鏈接自身及其父元素的屬性來(lái)分析外部鏈接是否屬于惡意鏈接��。例如,可判斷外部鏈接是否位于像素值為O的頁(yè)面元素中�����,或者是否位于坐標(biāo)位置明顯在屏幕之外的頁(yè)面元素中��。對(duì)于這些反常的鏈接����,即位于像素值為O的頁(yè)面元素中或者坐標(biāo)位置明顯在屏幕之外的頁(yè)面元素中的外部鏈接,均視為可疑鏈接����。
[0021]檢測(cè)到可疑鏈接后��,即可執(zhí)行步驟S140發(fā)出警告消息��。此外�,為進(jìn)一步確認(rèn)可疑鏈接的安全性�����,還可進(jìn)一步將可疑鏈接發(fā)送至第三方網(wǎng)址安全驗(yàn)證服務(wù)以檢測(cè)外部鏈接是否為已知的惡意鏈接��。例如 http://aq.qq.com/cn2/safe_school/url_query_index 就提供一種線上惡意鏈接驗(yàn)證服務(wù)�����。若確認(rèn)所有可疑鏈接均為安全外部鏈接�,則可不執(zhí)行步驟S140。
[0022]此外�,除了將上述的可疑鏈接發(fā)送至第三方網(wǎng)址安全驗(yàn)證服務(wù)進(jìn)行驗(yàn)證外,還可將所以提取出的外部鏈接發(fā)送至第三方網(wǎng)址安全驗(yàn)證服備進(jìn)行驗(yàn)證��。此時(shí)�,可以不從鏈接自身及其父元素的屬性來(lái)分析外部鏈接是否屬于惡意鏈接,而直接進(jìn)行線上驗(yàn)證。若第三方網(wǎng)址安全驗(yàn)證服務(wù)返回的結(jié)果表明具有可疑或者惡意鏈接則執(zhí)行步驟S140����。網(wǎng)站源代碼惡意鏈接注入監(jiān)控裝置200,包子析單元230���、以及安全警告單元240�����。氏碼文件的修改操作并獲取變更的代碼片多個(gè)目錄下���,通過(guò)實(shí)時(shí)監(jiān)控這些目錄下的源例如,首先可將網(wǎng)站源代碼文件進(jìn)行備份�����,時(shí)間���。然后通過(guò)比較監(jiān)控的目錄下源代碼0即可獲知源代碼文件是否已經(jīng)被修改。進(jìn)代碼片段���。
改并不限于上述方法���,例如��,還可通過(guò)監(jiān)測(cè)錄內(nèi)的文件進(jìn)行寫(xiě)操作時(shí)直接獲取變更的
[的代碼片段以抽取出外部鏈接����。變更的II?���、或者�??。?�?等編寫(xiě)完成的�。
進(jìn)行分析。具體地���,鏈接抽取單元220可加載相應(yīng)的代碼分析器�;以及采用該代碼I接�。例如,采用文件物件模型(000111116111:[0035]此外����,鏈接分析單元230除了將上述的可疑鏈接發(fā)送至第三方網(wǎng)址安全驗(yàn)證服務(wù)進(jìn)行驗(yàn)證外,還可將所以提取出的外部鏈接發(fā)送至第三方網(wǎng)址安全驗(yàn)證服備進(jìn)行驗(yàn)證。此時(shí)����,可以不從鏈接自身及其父元素的屬性來(lái)分析外部鏈接是否屬于惡意鏈接,而直接進(jìn)行線上驗(yàn)證��。若第三方網(wǎng)址安全驗(yàn)證服務(wù)返回的結(jié)果表明具有可疑或者惡意鏈接則將可疑或者惡意鏈接發(fā)送至安全警告單元240��。
[0036]安全警告單元240用于若檢測(cè)到所述可疑或者惡意鏈接則發(fā)出警告消息�����。例如�����,發(fā)送郵件或者采用即時(shí)通訊軟件發(fā)送消息告知系統(tǒng)管理員�����,進(jìn)行人工確認(rèn)�。
[0037]此外,監(jiān)控裝置200還可包括安全防護(hù)單元250�,用于在檢測(cè)到所述可疑或者惡意鏈接之后啟動(dòng)保護(hù)機(jī)制以防止監(jiān)控裝置200被惡意刪除�����、服務(wù)被惡意卸載或者終止。例如�����,安全防護(hù)單元250可以驅(qū)動(dòng)服務(wù)的形式加載于操作系統(tǒng)內(nèi)��,監(jiān)測(cè)并攔截外部程序?qū)τ诒O(jiān)控裝置200各功能模塊的操作��,以防止監(jiān)控裝置200被惡意刪除�、服務(wù)被惡意卸載或者終止。
[0038]本實(shí)施例的網(wǎng)站源代碼惡意鏈接注入監(jiān)控裝置實(shí)時(shí)監(jiān)控源代碼的變更內(nèi)容��,如果包含一些危險(xiǎn)的外部鏈接元素����,則立即發(fā)出警告給系統(tǒng)管理員,從而能夠?qū)崟r(shí)監(jiān)控網(wǎng)站的安全性���,進(jìn)而有效的阻止了通過(guò)利用操作系統(tǒng)或第三方應(yīng)用漏洞獲取系統(tǒng)寫(xiě)權(quán)限后注入惡意的重定向網(wǎng)址到合法網(wǎng)站的頁(yè)面代碼中這樣一類常見(jiàn)的病毒傳播方式���。
[0039]相比于傳統(tǒng)的外部抓取方式,可以做到實(shí)時(shí)保護(hù)��,避免了在等待被抓取的期間惡意鏈接的傳播。此外���,由于網(wǎng)站源代碼文件有限���,并且相對(duì)來(lái)說(shuō)變更的頻率較低,故本實(shí)施例的方法對(duì)系統(tǒng)的性能影響較低���。
[0040]此外�����,本發(fā)明實(shí)施例還提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)��,其內(nèi)存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令�,上述的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)例如為非易失性存儲(chǔ)器例如光盤(pán)����、硬盤(pán)、或者閃存����。上述的計(jì)算機(jī)可執(zhí)行指令用于讓計(jì)算機(jī)或者類似的運(yùn)算裝置完成上述的網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法中的各種操作。
[0041]以上所述��,僅是本發(fā)明的較佳實(shí)施例而已,并非對(duì)本發(fā)明作任何形式上的限制���,雖然本發(fā)明已以較佳實(shí)施例揭示如上,然而并非用以限定本發(fā)明���,任何本領(lǐng)域技術(shù)人員���,在不脫離本發(fā)明技術(shù)方案范圍內(nèi),當(dāng)可利用上述揭示的技術(shù)內(nèi)容做出些許更動(dòng)或修飾為等同變化的等效實(shí)施例��,但凡是未脫離本發(fā)明技術(shù)方案內(nèi)容����,依據(jù)本發(fā)明的技術(shù)實(shí)質(zhì)對(duì)以上實(shí)施例所作的任何簡(jiǎn)介修改、等同變化與修飾���,均仍屬于本發(fā)明技術(shù)方案的范圍內(nèi)�。
【權(quán)利要求】
1.一種網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法����,包括: 監(jiān)控對(duì)網(wǎng)站源代碼文件的修改操作并獲取變更的代碼片段; 分析所述變更的代碼片段以抽取出外部鏈接����; 判斷所述外部鏈接是否為可疑或者惡意鏈接��;以及 若檢測(cè)到所述可疑或者惡意鏈接則發(fā)出警告消息��。
2.如權(quán)利要求1所述的網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法�����,其特征在于�����,在檢測(cè)到所述可疑或者惡意鏈接之后還包括:啟動(dòng)保護(hù)機(jī)制以防止系統(tǒng)文件被惡意刪除����、服務(wù)被惡意卸載或者終止�。
3.如權(quán)利要求1所述的網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法,其特征在于���,判斷所述外部鏈接是否為可疑或者惡意鏈接包括:判斷所述外部鏈接是否位于像素值為O的頁(yè)面元素中所包含的鏈接�����,或者坐標(biāo)位置明顯在屏幕之外的頁(yè)面元素所包含的鏈接��。
4.如權(quán)利要求1所述的網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法�,其特征在于,判斷所述外部鏈接是否為可疑或者惡意鏈接包括:將所述外部鏈接發(fā)送至第三方網(wǎng)址驗(yàn)證服務(wù)以檢測(cè)所述外部鏈接是否為已知的惡意鏈接�。
5.如權(quán)利要求1所述的網(wǎng)站源代碼惡意鏈接注入監(jiān)控方法,其特征在于����,分析所述變更的代碼片段以抽取出外部鏈接包括:根據(jù)所述代碼片段所采用的編程語(yǔ)言加載相應(yīng)的代碼分析器�����;以及采用該代碼分析器解析所述代碼片段以抽取出所述外部鏈接�����。
6.一種網(wǎng)站源代碼惡意鏈接注入監(jiān)控裝置�,包括: 代碼監(jiān)控單元,用于監(jiān)控對(duì)網(wǎng)站源代碼文件的修改操作并獲取變更的代碼片段�����; 鏈接抽取單元���,用于分析所述變更的代碼片段以抽取出外部鏈接����; 鏈接分析單元,用于判斷所述外部鏈接是否為可疑或者惡意鏈接�����; 安全警告單元����,用于若檢測(cè)到所述可疑或者惡意鏈接則發(fā)出警告消息。
7.如權(quán)利要求6所述的網(wǎng)站源代碼惡意鏈接注入監(jiān)控裝置����,其特征在于,還包括安全防護(hù)單元����,用于在檢測(cè)到所述可疑或者惡意鏈接之后啟動(dòng)保護(hù)機(jī)制以防止系統(tǒng)文件被惡意刪除、服務(wù)被惡意卸載或者終止�����。
8.如權(quán)利要求6所述的網(wǎng)站源代碼惡意鏈接注入監(jiān)控裝置����,其特征在于�����,所述鏈接分析單元��,用于根據(jù)所述外部鏈接是否位于像素值為O的頁(yè)面元素中所包含的鏈接�����,或者坐標(biāo)位置明顯在屏幕之外的頁(yè)面元素所包含的鏈接判斷所述外部鏈接是否屬于可疑或者惡意鏈接。
9.如權(quán)利要求6所述的網(wǎng)站源代碼惡意鏈接注入監(jiān)控裝置���,其特征在于��,所述鏈接分析單元��,用于將所述外部鏈接發(fā)送至第三方網(wǎng)址驗(yàn)證服務(wù)以檢測(cè)所述外部鏈接是否為已知的惡意鏈接��。
10.如權(quán)利要求6所述的網(wǎng)站源代碼惡意鏈接注入監(jiān)控裝置���,其特征在于,所述鏈接抽取單元���,用于根據(jù)所述代碼片段所采用的編程語(yǔ)言加載相應(yīng)的代碼分析器���;以及采用該代碼分析器解析所述代碼片段以抽取出所述外部鏈接�。
【文檔編號(hào)】G06F21/56GK103839002SQ201210475499
【公開(kāi)日】2014年6月4日 申請(qǐng)日期:2012年11月21日 優(yōu)先權(quán)日:2012年11月21日
【發(fā)明者】魯四喜 申請(qǐng)人:騰訊科技(深圳)有限公司