專利名稱:網(wǎng)頁木馬的檢測方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到互聯(lián)網(wǎng)技術(shù)領(lǐng)域���,特別涉及到一種網(wǎng)頁木馬的檢測方法和裝置����。
背景技術(shù):
網(wǎng)頁木馬攻擊是目前互聯(lián)網(wǎng)面臨的最主要的危害之一��,網(wǎng)頁木馬攻擊主要利用瀏覽器��、activex控件����、文件以及常用應(yīng)用軟件的漏洞,攻擊者通過篡改正常的網(wǎng)頁��,在正常的網(wǎng)頁中插入一段惡意代碼����,當(dāng)受害者訪問被篡改的網(wǎng)頁時�����,如果瀏覽器或者控件�、文件解析器等存在漏洞,嵌入在網(wǎng)頁中的木馬就可以被下載到受害者的計算機中�����,通過下載的木馬,攻擊者便可以控制受害者的計算機��。網(wǎng)頁掛馬對受害者的計算機的危害非常大����,目前,主要通過如下幾種方式進(jìn)行防御1��、根據(jù)漏洞特征進(jìn)行防御當(dāng)發(fā)現(xiàn)漏洞后�,分析漏洞特征碼,然后提取特征進(jìn)行防御�。這種方法的最大缺點是無法做到事前防御,而且只能防御已經(jīng)發(fā)布并公開的漏洞�����,而對于潛在的以及內(nèi)部流通的安全漏洞則無法防御���,所以經(jīng)常出現(xiàn)漏報�����。2����、根據(jù)網(wǎng)頁特征碼進(jìn)行防御分析常見的攻擊代碼形式,如堆噴射代碼���,然后檢測網(wǎng)頁中是否存在這樣的惡意代碼�。這種檢測技術(shù)需要識別網(wǎng)頁中的惡意代碼����,這就會存在兩種問題一是誤報,比如介紹某種漏洞利用方法的網(wǎng)頁�����,就可能會被誤報為掛馬網(wǎng)頁�����;另一種是漏報��,一些掛馬網(wǎng)頁可能會被加密�����,從而導(dǎo)致無法識別一些真正掛馬的網(wǎng)頁��。3���、基于動態(tài)行為檢測網(wǎng)頁木馬通過客戶端虛擬機�,檢測網(wǎng)頁中是否有異常行為�,比如大量申請內(nèi)存和調(diào)用系統(tǒng)函數(shù)等,當(dāng)檢測到有異常行為時則發(fā)出告警�。這種防御機制效率較低,而且一般只能部署在客戶端上進(jìn)行檢測���。4�����、通過反病毒軟件直接掃描掛馬網(wǎng)頁通過殺毒軟件檢測嵌入到網(wǎng)頁中的惡意木馬��,檢測下載文件中是否存在惡意木馬��,這種技術(shù)比較常見���,是殺毒軟件主要的功能。但是����,這種防御方式最主要的缺點是對于病毒的查殺需要依賴于病毒軟件病毒庫的完整性��。
發(fā)明內(nèi)容
本發(fā)明的主要目的為提供一種網(wǎng)頁木馬的檢測方法和裝置����,旨在有效地提高對網(wǎng)頁木馬識別的準(zhǔn)確性���,并且降低誤報率和漏報率����。本發(fā)明提供一種網(wǎng)頁木馬的檢測方法�,包括對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描,檢測所述網(wǎng)頁中是否存在惡意代碼�;當(dāng)所述網(wǎng)頁中存在惡意代碼時,判斷所述網(wǎng)頁的地址是否跳轉(zhuǎn)�;若是,則分析所述網(wǎng)頁的流量行為��,并比對所述網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征����,根據(jù)比對結(jié)果判斷所述網(wǎng)頁是否為掛馬網(wǎng)頁。
優(yōu)選地�,在執(zhí)行所述對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描之前����,還包括接收訪問網(wǎng)頁的請求報文�����,根據(jù)所述請求報文返回應(yīng)答頁面����,并對所述應(yīng)答頁面進(jìn)行緩存����,對所述請求報文進(jìn)行重組。優(yōu)選地��,所述對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描��,檢測所述網(wǎng)頁中是否存在惡意代碼包括掃描根據(jù)所述請求報文所返回的應(yīng)答頁面的靜態(tài)頁面�;根據(jù)預(yù)置的惡意代碼庫,檢測該靜態(tài)頁面中是否存在與所述惡意代碼庫中的惡意代碼相匹配的惡意代碼��。優(yōu)選地�,在執(zhí)行所述對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描,檢測所述網(wǎng)頁中是否存在惡意代碼之后���,還包括當(dāng)所述網(wǎng)頁中不存在惡意代碼時����,則還原所述網(wǎng)頁流量的原始內(nèi)容,判斷所述網(wǎng)頁流量的原始內(nèi)容中是否存在惡意代碼����。優(yōu)選地,所述預(yù)設(shè)的掛馬網(wǎng)頁特征包括網(wǎng)頁地址的跳轉(zhuǎn)次數(shù)特征�����、網(wǎng)頁跳轉(zhuǎn)的域名特征�����、下載文件的格式特征以及請求報文的異常特征��。本發(fā)明還提供一種網(wǎng)頁木馬的檢測裝置����,包括惡意代碼檢測模塊,用于對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描��,檢測所述網(wǎng)頁中是否存在惡意代碼�����;第一判斷模塊,用于當(dāng)所述網(wǎng)頁中存在惡意代碼時�,判斷所述網(wǎng)頁的地址是否跳轉(zhuǎn);分析及對比模塊���,用于分析所述網(wǎng)頁的流量行為���,并比對所述網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征;第二判斷模塊�����,用于根據(jù)比對結(jié)果判斷所述網(wǎng)頁是否為掛馬網(wǎng)頁���。優(yōu)選地�,網(wǎng)頁木馬的檢測裝置還包括接收及返回模塊����,用于接收訪問網(wǎng)頁的請求報文,根據(jù)所述請求報文返回應(yīng)答頁面���;緩存及重組模塊�,用于對所述應(yīng)答頁面進(jìn)行緩存,對所述請求報文進(jìn)行重組��。優(yōu)選地�����,所述惡意代碼檢測模塊包括掃描單元����,用于掃描根據(jù)所述請求報文所返回的應(yīng)答頁面的靜態(tài)頁面;檢測單元���,用于根據(jù)預(yù)置的惡意代碼庫����,檢測該靜態(tài)頁面中是否存在與所述惡意代碼庫中的惡意代碼相匹配的惡意代碼�。優(yōu)選地,網(wǎng)頁木馬的檢測裝置還包括還原模塊�,用于當(dāng)所述網(wǎng)頁中不存在惡意代碼時,則還原所述網(wǎng)頁流量的原始內(nèi)容���;第三判斷模塊����,用于判斷所述網(wǎng)頁流量的原始內(nèi)容中是否存在惡意代碼。優(yōu)選地���,所述預(yù)設(shè)的掛馬網(wǎng)頁特征包括網(wǎng)頁地址的跳轉(zhuǎn)次數(shù)特征����、網(wǎng)頁跳轉(zhuǎn)的域名特征�����、下載文件的格式特征以及請求報文的異常特征�。本發(fā)明通過對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描�,以檢測網(wǎng)頁中是否存在惡意代碼;當(dāng)檢測到網(wǎng)頁中存在惡意代碼時��,進(jìn)一步判斷網(wǎng)頁的地址是否跳轉(zhuǎn)�;若是,則分析網(wǎng)頁的流量行為�����,并比對網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征�,根據(jù)比對結(jié)果判斷網(wǎng)頁是否為掛馬網(wǎng)頁。采用靜態(tài)頁面掃描�����、網(wǎng)頁流量行為分析和網(wǎng)頁流量深入分析的方法,對已知和未知的漏洞掛馬行為均可進(jìn)行識別���,以檢測訪問的網(wǎng)頁中是否存在木馬��,從而有效地提高了對網(wǎng)頁木馬識別的準(zhǔn)確性�����,并且降低了誤報率和漏報率���。
圖1為本發(fā)明網(wǎng)頁木馬的檢測方法第一實施例的流程示意圖;圖2為本發(fā)明網(wǎng)頁木馬的檢測方法第二實施例的流程示意圖���;圖3為本發(fā)明網(wǎng)頁木馬的檢測方法中檢測網(wǎng)頁中是否存在惡意代碼的流程示意圖����;圖4為本發(fā)明網(wǎng)頁木馬的檢測方法第三實施例的流程示意圖��;圖5為本發(fā)明網(wǎng)頁木馬的檢測裝置第一實施例的結(jié)構(gòu)示意圖�;圖6為本發(fā)明網(wǎng)頁木馬的檢測裝置第二實施例的結(jié)構(gòu)示意圖;圖7為本發(fā)明網(wǎng)頁木馬的檢測裝置中惡意代碼檢測模塊的結(jié)構(gòu)示意圖;圖8為本發(fā)明網(wǎng)頁木馬的檢測裝置第三實施例的結(jié)構(gòu)示意圖����。本發(fā)明目的的實現(xiàn)、功能特點及優(yōu)點將結(jié)合實施例�,參照附圖做進(jìn)一步說明。
具體實施例方式應(yīng)當(dāng)理解����,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明����。本發(fā)明提供一種網(wǎng)頁木馬的檢測方法,采用靜態(tài)頁面掃描����、網(wǎng)頁流量行為分析和網(wǎng)頁流量深入分析的方法�,對已知和未知的漏洞掛馬行為均可進(jìn)行識別,從而檢測訪問的網(wǎng)頁中是否存在木馬���。參照圖1����,圖1為本發(fā)明網(wǎng)頁木馬的檢測方法第一實施例的流程示意圖�。本實施例所提供的網(wǎng)頁木馬的檢測方法�����,包括步驟S10���,對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描,檢測網(wǎng)頁中是否存在惡意代碼�����;若是��,則執(zhí)行步驟S20 �����;步驟S20�,當(dāng)網(wǎng)頁中存在惡意代碼時,判斷網(wǎng)頁的地址是否跳轉(zhuǎn)�;若是,則執(zhí)行步驟 S30 ���;步驟S30���,分析網(wǎng)頁的流量行為�,并比對網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征�,根據(jù)比對結(jié)果判斷網(wǎng)頁是否為掛馬網(wǎng)頁。本實施例中��,以訪問網(wǎng)頁為在HTTP (Hypertext transfer protocol,超文本傳送協(xié)議)通信協(xié)議下的網(wǎng)頁進(jìn)行說明����。由于網(wǎng)頁掛馬通常是利用客戶端的漏洞,因此���,如果該網(wǎng)頁是掛馬網(wǎng)頁���,在網(wǎng)頁的靜態(tài)頁面中會有明顯的特征,即其中可能包括如堆噴射代碼���、iframe代碼和shellcode代碼等惡意腳本和惡意代碼。當(dāng)用戶訪問網(wǎng)頁時,對該網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描��,以檢測網(wǎng)頁中是否包括堆噴射代碼����、iframe代碼和shellcode代碼等惡意代碼。如果檢測出網(wǎng)頁中存在惡意代碼,進(jìn)一步判斷在訪問的過程中��,是否伴隨著網(wǎng)頁地址的跳轉(zhuǎn)�����。網(wǎng)頁木馬中基本沒有直接下載木馬的網(wǎng)頁�,當(dāng)用戶訪問被攻擊者篡改的網(wǎng)頁,惡意代碼返回到客戶端�����,并利用客戶端軟件的漏洞執(zhí)行了該惡意代碼后�����,需要將受害者的訪問跳轉(zhuǎn)到中轉(zhuǎn)站���,并經(jīng)過多次跳轉(zhuǎn)最終跳轉(zhuǎn)到木馬下載站點���。因此,在檢測出網(wǎng)頁中存在惡意代碼后���,需要進(jìn)一步判斷網(wǎng)頁地址是否跳轉(zhuǎn)�����,只有在檢測出網(wǎng)頁中存在惡意代碼��,并同時伴隨著網(wǎng)頁地址的跳轉(zhuǎn)時��,才說明當(dāng)前網(wǎng)頁為掛馬網(wǎng)頁���。當(dāng)檢測出網(wǎng)頁中存在惡意代碼�,并且判斷出在訪問的過程中伴隨著網(wǎng)頁地址的跳轉(zhuǎn)時����,分析該網(wǎng)頁的流量行為,并比對分析出的網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征�����,最終根據(jù)比對結(jié)果判斷當(dāng)前所訪問的網(wǎng)頁是否為掛馬網(wǎng)頁�����。本實施例中��,預(yù)設(shè)的掛馬網(wǎng)頁特征包括網(wǎng)頁地址的跳轉(zhuǎn)次數(shù)特征��、網(wǎng)頁跳轉(zhuǎn)的域名特征����、下載文件的格式特征或請求報文的異常特征等與正常網(wǎng)頁不同的特征。其中����,掛馬網(wǎng)頁的網(wǎng)頁地址的跳轉(zhuǎn)次數(shù)通常為3次到7次;掛馬網(wǎng)頁的網(wǎng)頁跳轉(zhuǎn)的域名有三個特點���,第一種是直接使用IP地址作為域名�����,第二種域名的外部域大多是net和com����,第三種是域名段數(shù)為2段�����;掛馬網(wǎng)頁所下載的文件的格SSexe文件�����;掛馬網(wǎng)頁的請求報文內(nèi)容和正常的瀏覽器發(fā)出的報文有明顯示的區(qū)別,如accept-Language���、accept-Encoding�、Referer> user-agent 等字段缺失或者和瀏覽器相比有明顯異常��。在本實施例中��,在一個為掛馬網(wǎng)頁的網(wǎng)頁中�,上述掛馬網(wǎng)頁特征不一定全部出現(xiàn),但如果該網(wǎng)頁是掛馬網(wǎng)頁��,必定會出現(xiàn)其中幾種情況����,本實施例設(shè)定如滿足上述兩種及以上掛馬網(wǎng)頁的特征,則可認(rèn)為當(dāng)前網(wǎng)頁為掛馬網(wǎng)頁����,此時在下載木馬程序。本發(fā)明實施例�,通過對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描,以檢測網(wǎng)頁中是否存在惡意代碼��;當(dāng)檢測到網(wǎng)頁中存在惡意代碼時�����,進(jìn)一步判斷網(wǎng)頁的地址是否跳轉(zhuǎn)��;若是����,則分析網(wǎng)頁的流量行為,并比對網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征��,根據(jù)比對結(jié)果判斷網(wǎng)頁是否為掛馬網(wǎng)頁�。采用靜態(tài)頁面掃描、網(wǎng)頁流量行為分析和網(wǎng)頁流量深入分析的方法�,對已知和未知的漏洞掛馬行為均可進(jìn)行識別,以檢測訪問的網(wǎng)頁中是否存在木馬�����,從而有效地提高了對網(wǎng)頁木馬識別的準(zhǔn)確性��,并且降低了誤報率和漏報率���。參照圖2�,圖2為本發(fā)明網(wǎng)頁木馬的檢測方法第二實施例的流程示意圖�����。基于上述實施例��,在執(zhí)行步驟SlO之前���,該方法還包括步驟S40�,接收訪問網(wǎng)頁的請求報文����,根據(jù)請求報文返回應(yīng)答頁面,并對應(yīng)答頁面進(jìn)行緩存����,對請求報文進(jìn)行重組。用戶請求訪問網(wǎng)頁���,首先向網(wǎng)絡(luò)端發(fā)送訪問該網(wǎng)頁的請求報文����,當(dāng)該請求報文通過網(wǎng)絡(luò)端的防火墻后�,接收該請求報文,并返回對應(yīng)的應(yīng)答頁面,然后將所返回的應(yīng)答頁面進(jìn)行緩存����;同時為了防止攻擊者將惡意代碼分布放置在多個網(wǎng)頁中,對所接收到的請求報文進(jìn)行重組��。接收用戶請求訪問網(wǎng)頁的請求報文��,并返回對應(yīng)的應(yīng)答頁面�����,將該應(yīng)答頁面進(jìn)行緩存��,同時對所接收到的請求報文進(jìn)行重組���,以防止攻擊者將惡意代碼分布放置在多個網(wǎng)頁中,這樣就為對已知和未知的漏洞掛馬行為進(jìn)行識別提供了前提保證�。參照圖3,圖3為本發(fā)明網(wǎng)頁木馬的檢測方法中檢測網(wǎng)頁中是否存在惡意代碼的流程示意圖�����。在本發(fā)明網(wǎng)頁木馬的檢測方法第一實施例中�,步驟SlO包括步驟S11,掃描根據(jù)請求報文所返回的應(yīng)答頁面的靜態(tài)頁面;步驟S12���,根據(jù)預(yù)置的惡意代碼庫�����,檢測該靜態(tài)頁面中是否存在與惡意代碼庫中的惡意代碼相匹配的惡意代碼���。在本實施例中,在接收到用戶請求訪問網(wǎng)頁的請求報文����,并根據(jù)該請求報文返回應(yīng)答頁面后,掃描該應(yīng)答頁面的靜態(tài)頁面��,以通過該靜態(tài)中是否存在惡意代碼的明顯特征����,判斷當(dāng)前所訪問的網(wǎng)頁中是否存在惡意代碼。本實施例中預(yù)置一用于檢測惡意代碼的惡意代碼庫�����,在該惡意代碼庫中存儲了掛馬網(wǎng)頁中有可能被插入的所有惡意代碼�����,當(dāng)檢測到靜態(tài)頁面中存在惡意代碼的明顯特征時,在惡意代碼庫中進(jìn)行匹配�,如果匹配成功,則說明當(dāng)前所訪問的網(wǎng)頁中存在惡意代碼�����,有可能存在掛馬威脅��。在接收到用戶請求訪問網(wǎng)頁的請求報文返回應(yīng)答頁面后����,掃描該應(yīng)答頁面的靜態(tài)頁面�����,當(dāng)檢測到靜態(tài)頁面中存在惡意代碼的明顯特征時�,在預(yù)置的惡意代碼庫中匹配成功,則說明當(dāng)前所訪問的網(wǎng)頁中存在惡意代碼���,有可能存在掛馬威脅��,進(jìn)一步保了能夠有效地提高對網(wǎng)頁木馬識別的準(zhǔn)確性��。參照圖4���,圖4為本發(fā)明網(wǎng)頁木馬的檢測方法第三實施例的流程示意圖��?����;诒景l(fā)明網(wǎng)頁木馬的檢測方法第一實施例�����,在執(zhí)行步驟SlO之后���,該方法還包括步驟S50,當(dāng)網(wǎng)頁中不存在惡意代碼時,貝U還原網(wǎng)頁流量的原始內(nèi)容,判斷網(wǎng)頁流量的原始內(nèi)容中是否存在惡意代碼����。在對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描,以檢測當(dāng)前所訪問的網(wǎng)頁中是否存在惡意代碼之后�,如判斷出該網(wǎng)頁中不存在惡意代碼時,則有可能是攻擊者為了逃避檢測對網(wǎng)頁作了變形�,此時,需要對網(wǎng)頁的流量進(jìn)行深入分析����,包括如http字符解碼(base64解碼����、US-ACSII解碼)���、shellcode解密和eval函數(shù)加密等�。利用深入分析機制���,還原網(wǎng)頁流量的原始內(nèi)容�,然后再進(jìn)行惡意代碼檢測����,即判斷還原后的網(wǎng)頁流量的原始內(nèi)容中是否存在惡意代碼�����。然后��,再進(jìn)一步進(jìn)行網(wǎng)頁地址是否跳轉(zhuǎn)的判斷�。在對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描之后,判斷出該網(wǎng)頁中不存在惡意代碼時�����,對網(wǎng)頁的流量進(jìn)行深入分析,還原網(wǎng)頁流量的原始內(nèi)容����,然后再判斷還原后的網(wǎng)頁流量的原始內(nèi)容中是否存在惡意代碼,更進(jìn)一步保證了有效地提高對網(wǎng)頁木馬識別的準(zhǔn)確性�����,進(jìn)一步保證了能夠降低誤報率和漏報率����。本發(fā)明還提供一種網(wǎng)頁木馬的檢測裝置。參照圖5����,圖5為本發(fā)明網(wǎng)頁木馬的檢測裝置第一實施例的結(jié)構(gòu)示意圖。本實施例所提供的網(wǎng)頁木馬的檢測裝置�����,包括惡意代碼檢測模塊10�,用于對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描,檢測網(wǎng)頁中是否存在惡意代碼��;第一判斷模塊20,用于當(dāng)網(wǎng)頁中存在惡意代碼時��,判斷網(wǎng)頁的地址是否跳轉(zhuǎn)�;分析及對比模塊30,用于分析網(wǎng)頁的流量行為�����,并比對網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征�;第二判斷模塊40,用于根據(jù)比對結(jié)果判斷網(wǎng)頁是否為掛馬網(wǎng)頁���。本實施例中���,以訪問網(wǎng)頁為在HTTP (Hypertext transfer protocol,超文本傳送協(xié)議)通信協(xié)議下的網(wǎng)頁進(jìn)行說明。由于網(wǎng)頁掛馬通常是利用客戶端的漏洞��,因此�,如果該網(wǎng)頁是掛馬網(wǎng)頁�,在網(wǎng)頁的靜態(tài)頁面中會有明顯的特征,即其中可能包括如堆噴射代碼����、iframe代碼和shellcode代碼等惡意腳本和惡意代碼�����。當(dāng)用戶訪問網(wǎng)頁時���,惡意代碼檢測模塊10對該網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描,以檢測網(wǎng)頁中是否包括堆噴射代碼����、iframe代碼和shellcode代碼等惡意代碼。
如果檢測出網(wǎng)頁中存在惡意代碼���,通過第一判斷模塊20進(jìn)一步判斷在訪問的過程中���,是否伴隨著網(wǎng)頁地址的跳轉(zhuǎn)。網(wǎng)頁木馬中基本沒有直接下載木馬的網(wǎng)頁���,當(dāng)用戶訪問被攻擊者篡改的網(wǎng)頁���,惡意代碼返回到客戶端,并利用客戶端軟件的漏洞執(zhí)行了該惡意代碼后��,需要將受害者的訪問跳轉(zhuǎn)到中轉(zhuǎn)站���,并經(jīng)過多次跳轉(zhuǎn)最終跳轉(zhuǎn)到木馬下載站點����。因此,在檢測出網(wǎng)頁中存在惡意代碼后�����,需要進(jìn)一步判斷網(wǎng)頁地址是否跳轉(zhuǎn)�����,只有在檢測出網(wǎng)頁中存在惡意代碼�����,并同時伴隨著網(wǎng)頁地址的跳轉(zhuǎn)時�,才說明當(dāng)前網(wǎng)頁為掛馬網(wǎng)頁。當(dāng)檢測出網(wǎng)頁中存在惡意代碼��,并且判斷出在訪問的過程中伴隨著網(wǎng)頁地址的跳轉(zhuǎn)時���,分析及對比模塊30分析該網(wǎng)頁的流量行為,并比對分析出的網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征�����,最終通過第二判斷模塊40根據(jù)比對結(jié)果判斷當(dāng)前所訪問的網(wǎng)頁是否為掛馬網(wǎng)頁。本實施例中���,預(yù)設(shè)的掛馬網(wǎng)頁特征包括網(wǎng)頁地址的跳轉(zhuǎn)次數(shù)特征�、網(wǎng)頁跳轉(zhuǎn)的域名特征����、下載文件的格式特征或請求報文的異常特征等與正常網(wǎng)頁不同的特征。其中�,掛馬網(wǎng)頁的網(wǎng)頁地址的跳轉(zhuǎn)次數(shù)通常為3次到7次;掛馬網(wǎng)頁的網(wǎng)頁跳轉(zhuǎn)的域名有三個特點��,第一種是直接使用IP地址作為域名�����,第二種域名的外部域大多是net和com���,第三種是域名段數(shù)為2段�;掛馬網(wǎng)頁所下載的文件的格式為exe文件�����;掛馬網(wǎng)頁的請求報文內(nèi)容和正常的瀏覽器發(fā)出的報文有明顯示的區(qū)別,如accept-Language�、accept-Encoding、Ref erer��、user-agent等字段缺失或者和瀏覽器相比有明顯異常�。在本實施例中,在一個為掛馬網(wǎng)頁的網(wǎng)頁中�����,上述掛馬網(wǎng)頁特征不一定全部出現(xiàn)���,但如果該網(wǎng)頁是掛馬網(wǎng)頁���,必定會出現(xiàn)其中幾種情況,本實施例設(shè)定如滿足上述兩種及以上掛馬網(wǎng)頁的特征���,則可認(rèn)為當(dāng)前網(wǎng)頁為掛馬網(wǎng)頁�,此時在下載木馬程序�����。本發(fā)明實施例,通過對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描�,以檢測網(wǎng)頁中是否存在惡意代碼;當(dāng)檢測到網(wǎng)頁中存在惡意代碼時�����,進(jìn)一步判斷網(wǎng)頁的地址是否跳轉(zhuǎn)��;若是�,則分析網(wǎng)頁的流量行為����,并比對網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征,根據(jù)比對結(jié)果判斷網(wǎng)頁是否為掛馬網(wǎng)頁��。采用靜態(tài)頁面掃描���、網(wǎng)頁流量行為分析和網(wǎng)頁流量深入分析的方法����,對已知和未知的漏洞掛馬行為均可進(jìn)行識別���,以檢測訪問的網(wǎng)頁中是否存在木馬����,從而有效地提高了對網(wǎng)頁木馬識別的準(zhǔn)確性,并且降低了誤報率和漏報率�����。參照圖6��,圖6為本發(fā)明網(wǎng)頁木馬的檢測裝置第二實施例的結(jié)構(gòu)示意圖���?����;谏鲜鰧嵤├?,網(wǎng)頁木馬的檢測裝置還包括接收及返回模塊50���,用于接收訪問網(wǎng)頁的請求報文��,根據(jù)請求報文返回應(yīng)答頁面�;緩存及重組模塊60�����,用于對應(yīng)答頁面進(jìn)行緩存,對請求報文進(jìn)行重組�。用戶請求訪問網(wǎng)頁,首先向網(wǎng)絡(luò)端發(fā)送訪問該網(wǎng)頁的請求報文�,當(dāng)該請求報文通過網(wǎng)絡(luò)端的防火墻后,接收及返回模塊50接收該請求報文�����,并返回對應(yīng)的應(yīng)答頁面���,然后通過緩存及重組模塊60將所返回的應(yīng)答頁面進(jìn)行緩存;同時為了防止攻擊者將惡意代碼分布放置在多個網(wǎng)頁中�,緩存及重組模塊60還需對所接收到的請求報文進(jìn)行重組。接收用戶請求訪問網(wǎng)頁的請求報文���,并返回對應(yīng)的應(yīng)答頁面���,將該應(yīng)答頁面進(jìn)行緩存,同時對所接收到的請求報文進(jìn)行重組���,以防止攻擊者將惡意代碼分布放置在多個網(wǎng)頁中����,這樣就為對已知和未知的漏洞掛馬行為進(jìn)行識別提供了前提保證。參照圖7�����,圖7為本發(fā)明網(wǎng)頁木馬的檢測裝置中惡意代碼檢測模塊的結(jié)構(gòu)示意圖����。在本發(fā)明網(wǎng)頁木馬的檢測裝置第一實施例中,惡意代碼檢測模塊10包括
掃描單元11��,用于掃描根據(jù)請求報文所返回的應(yīng)答頁面的靜態(tài)頁面���;檢測單元12��,用于根據(jù)預(yù)置的惡意代碼庫��,檢測該靜態(tài)頁面中是否存在與惡意代碼庫中的惡意代碼相匹配的惡意代碼�����。在本實施例中���,在接收到用戶請求訪問網(wǎng)頁的請求報文,并根據(jù)該請求報文返回應(yīng)答頁面后�����,通過掃描單元11掃描該應(yīng)答頁面的靜態(tài)頁面,以通過該靜態(tài)中是否存在惡意代碼的明顯特征����,判斷當(dāng)前所訪問的網(wǎng)頁中是否存在惡意代碼。本實施例中預(yù)置一用于檢測惡意代碼的惡意代碼庫�,在該惡意代碼庫中存儲了掛馬網(wǎng)頁中有可能被插入的所有惡意代碼,當(dāng)檢測到靜態(tài)頁面中存在惡意代碼的明顯特征時����,通過檢測單元12在惡意代碼庫中進(jìn)行匹配����,如果匹配成功,則說明當(dāng)前所訪問的網(wǎng)頁中存在惡意代碼�����,有可能存在掛馬威脅����。在接收到用戶請求訪問網(wǎng)頁的請求報文返回應(yīng)答頁面后,掃描該應(yīng)答頁面的靜態(tài)頁面�,當(dāng)檢測到靜態(tài)頁面中存在惡意代碼的明顯特征時��,在預(yù)置的惡意代碼庫中匹配成功�,則說明當(dāng)前所訪問的網(wǎng)頁中存在惡意代碼�,有可能存在掛馬威脅,進(jìn)一步保了能夠有效地提高對網(wǎng)頁木馬識別的準(zhǔn)確性��。參照圖8�����,圖8為本發(fā)明網(wǎng)頁木馬的檢測裝置第三實施例的結(jié)構(gòu)示意圖�����?;诒景l(fā)明網(wǎng)頁木馬的檢測裝置第一實施例,該裝置還包括還原模塊70����,用于當(dāng)網(wǎng)頁中不存在惡意代碼時,則還原網(wǎng)頁流量的原始內(nèi)容���;第三判斷模塊80�����,用于判斷網(wǎng)頁流量的原始內(nèi)容中是否存在惡意代碼���。在對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描�����,以檢測當(dāng)前所訪問的網(wǎng)頁中是否存在惡意代碼之后�����,如判斷出該網(wǎng)頁中不存在惡意代碼時�����,則有可能是攻擊者為了逃避檢測對網(wǎng)頁作了變形�,此時�,需要對網(wǎng)頁的流量進(jìn)行深入分析�����,包括如http字符解碼(base64解碼��、US-ACSII解碼)���、shellcode解密和eval函數(shù)加密等���。利用深入分析機制,通過還原模塊70還原網(wǎng)頁流量的原始內(nèi)容��,然后再進(jìn)行惡意代碼檢測����,即通過第三判斷模塊80判斷還原后的網(wǎng)頁流量的原始內(nèi)容中是否存在惡意代碼��。然后�,再進(jìn)一步進(jìn)行網(wǎng)頁地址是否跳轉(zhuǎn)的判斷。在對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描之后�����,判斷出該網(wǎng)頁中不存在惡意代碼時�����,對網(wǎng)頁的流量進(jìn)行深入分析��,還原網(wǎng)頁流量的原始內(nèi)容��,然后再判斷還原后的網(wǎng)頁流量的原始內(nèi)容中是否存在惡意代碼,更進(jìn)一步保證了有效地提高對網(wǎng)頁木馬識別的準(zhǔn)確性��,進(jìn)一步保證了能夠降低誤報率和漏報率�����。以上所述僅為本發(fā)明的優(yōu)選實施例����,并非因此限制本發(fā)明的專利范圍,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換�,或直接或間接運用在其他相關(guān)的技術(shù)領(lǐng)域,均同理包括在本發(fā)明的專利保護(hù)范圍��。
權(quán)利要求
1.一種網(wǎng)頁木馬的檢測方法�����,其特征在于�,包括 對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描,檢測所述網(wǎng)頁中是否存在惡意代碼�����; 當(dāng)所述網(wǎng)頁中存在惡意代碼時�����,判斷所述網(wǎng)頁的地址是否跳轉(zhuǎn)���; 若是�,則分析所述網(wǎng)頁的流量行為��,并比對所述網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征����,根據(jù)比對結(jié)果判斷所述網(wǎng)頁是否為掛馬網(wǎng)頁。
2.根據(jù)權(quán)利要求1所述的網(wǎng)頁木馬的檢測方法�����,其特征在于��,在執(zhí)行所述對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描之前��,還包括 接收訪問網(wǎng)頁的請求報文�,根據(jù)所述請求報文返回應(yīng)答頁面,并對所述應(yīng)答頁面進(jìn)行緩存�,對所述請求報文進(jìn)行重組。
3.根據(jù)權(quán)利要求2所述的網(wǎng)頁木馬的檢測方法��,其特征在于,所述對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描�,檢測所述網(wǎng)頁中是否存在惡意代碼包括 掃描根據(jù)所述請求報文所返回的應(yīng)答頁面的靜態(tài)頁面; 根據(jù)預(yù)置的惡意代碼庫��,檢測該靜態(tài)頁面中是否存在與所述惡意代碼庫中的惡意代碼相匹配的惡意代碼�����。
4.根據(jù)權(quán)利要求3所述的網(wǎng)頁木馬的檢測方法��,其特征在于��,在執(zhí)行所述對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描���,檢測所述網(wǎng)頁中是否存在惡意代碼之后��,還包括 當(dāng)所述網(wǎng)頁中不存在惡意代碼時�����,則還原所述網(wǎng)頁流量的原始內(nèi)容�����,判斷所述網(wǎng)頁流量的原始內(nèi)容中是否存在惡意代碼�����。
5.根據(jù)權(quán)利要求1至4中任一項所述的網(wǎng)頁木馬的檢測方法����,其特征在于��,所述預(yù)設(shè)的掛馬網(wǎng)頁特征包括網(wǎng)頁地址的跳轉(zhuǎn)次數(shù)特征����、網(wǎng)頁跳轉(zhuǎn)的域名特征、下載文件的格式特征以及請求報文的異常特征���。
6.一種網(wǎng)頁木馬的檢測裝置�����,其特征在于��,包括 惡意代碼檢測模塊�����,用于對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描���,檢測所述網(wǎng)頁中是否存在惡意代碼����; 第一判斷模塊�,用于當(dāng)所述網(wǎng)頁中存在惡意代碼時,判斷所述網(wǎng)頁的地址是否跳轉(zhuǎn)���; 分析及對比模塊���,用于分析所述網(wǎng)頁的流量行為,并比對所述網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征�; 第二判斷模塊,用于根據(jù)比對結(jié)果判斷所述網(wǎng)頁是否為掛馬網(wǎng)頁��。
7.根據(jù)權(quán)利要求6所述的網(wǎng)頁木馬的檢測裝置���,其特征在于��,還包括 接收及返回模塊��,用于接收訪問網(wǎng)頁的請求報文����,根據(jù)所述請求報文返回應(yīng)答頁面; 緩存及重組模塊�����,用于對所述應(yīng)答頁面進(jìn)行緩存���,對所述請求報文進(jìn)行重組。
8.根據(jù)權(quán)利要求7所述的網(wǎng)頁木馬的檢測裝置�,其特征在于,所述惡意代碼檢測模塊包括 掃描單元�����,用于掃描根據(jù)所述請求報文所返回的應(yīng)答頁面的靜態(tài)頁面��; 檢測單元���,用于根據(jù)預(yù)置的惡意代碼庫��,檢測該靜態(tài)頁面中是否存在與所述惡意代碼庫中的惡意代碼相匹配的惡意代碼���。
9.根據(jù)權(quán)利要求8所述的網(wǎng)頁木馬的檢測裝置,其特征在于���,還包括 還原模塊�����,用于當(dāng)所述網(wǎng)頁中不存在惡意代碼時�,則還原所述網(wǎng)頁流量的原始內(nèi)容; 第三判斷模塊�,用于判斷所述網(wǎng)頁流量的原始內(nèi)容中是否存在惡意代碼。
10.根據(jù)權(quán)利要求6至9中任一項所述的網(wǎng)頁木馬的檢測裝置�����,其特征在于����,所述預(yù)設(shè)的掛馬網(wǎng)頁特征包括網(wǎng)頁地址的跳轉(zhuǎn)次數(shù)特征、網(wǎng)頁跳轉(zhuǎn)的域名特征����、下載文件的格式特征以及請求報文的異常特征。
全文摘要
本發(fā)明公開了一種網(wǎng)頁木馬的檢測方法���,包括對網(wǎng)頁的靜態(tài)頁面進(jìn)行掃描��,檢測網(wǎng)頁中是否存在惡意代碼����;當(dāng)網(wǎng)頁中存在惡意代碼時,判斷網(wǎng)頁的地址是否跳轉(zhuǎn)�����;若是��,則分析網(wǎng)頁的流量行為��,并比對網(wǎng)頁的流量行為與預(yù)設(shè)的掛馬網(wǎng)頁特征��,根據(jù)比對結(jié)果判斷網(wǎng)頁是否為掛馬網(wǎng)頁���。本發(fā)明還公開了一種網(wǎng)頁木馬的檢測裝置。本發(fā)明所公開的方案��,采用靜態(tài)頁面掃描����、網(wǎng)頁流量行為分析和網(wǎng)頁流量深入分析的方法,對已知和未知的漏洞掛馬行為均可進(jìn)行識別�,以檢測訪問的網(wǎng)頁中是否存在木馬,從而有效地提高了對網(wǎng)頁木馬識別的準(zhǔn)確性�,并且降低了誤報率和漏報率���。
文檔編號G06F21/56GK103065089SQ201210531779
公開日2013年4月24日 申請日期2012年12月11日 優(yōu)先權(quán)日2012年12月11日
發(fā)明者周欣 申請人:深信服網(wǎng)絡(luò)科技(深圳)有限公司