文件等惡意程序插入到指定圖片文件中,打開它��,在Downloader file —欄中填寫即將插入的木馬等惡意程序的下載地址���,填寫完畢��,雙擊“make”按鈕即可�����,這樣在同目錄下即可生成一個圖片文件��,只不過這是插入了木馬等惡意程序代碼的�����。
[0085]進(jìn)一步地�,上述圖片文件表面上和尋常圖片文件看起來相同,但是一旦打開它��,那么就會自動下載并運行先前指定好的木馬等惡意程序���,且唯一表面上不同的是打開圖片不能正常顯示�����,而是以包括但不限于一個紅色的X號的顯示方式進(jìn)行顯示��。
[0086]更進(jìn)一步地����,由于JPEG圖像漏洞主要涉及操作系統(tǒng)中一個名為GdiPlus.dll的文件���,而眾多軟件都調(diào)用了這個動態(tài)鏈接庫處理JPEG圖片,使得該漏洞的涉及面非常廣�,所以針對JPEG圖像漏洞如何進(jìn)行后門等惡意程序的查殺,本發(fā)明提出了一種網(wǎng)站防護(hù)方法�。
[0087]具體地,對網(wǎng)站的網(wǎng)站日志文件通過⑶N(Content Delivery Network�����,內(nèi)容分發(fā)網(wǎng)絡(luò))記錄,并進(jìn)行分析���,識別出網(wǎng)站的日志文件中的每條日志數(shù)據(jù)并進(jìn)行進(jìn)一步分析�。其中����,網(wǎng)站的日志數(shù)據(jù)包括:host、時間�����、IP地址��、URL(Uniform Resource Locat1n�����,統(tǒng)一資源定位符)�、網(wǎng)頁參數(shù)等信息,可將檢測網(wǎng)站的日志數(shù)據(jù)的網(wǎng)頁參數(shù)提取出來�����,獲取網(wǎng)頁文件�。
[0088]進(jìn)一步地�,將網(wǎng)頁文件與預(yù)先存儲在數(shù)據(jù)庫中的網(wǎng)頁文件進(jìn)行比對�。具體地,統(tǒng)計網(wǎng)站每個網(wǎng)頁的訪問頻度�,即一段時間內(nèi)的訪問量PV,將訪問頻度低于預(yù)設(shè)訪問頻度閾值的網(wǎng)頁文件識別為可疑網(wǎng)頁文件��,其中���,訪問頻度異常權(quán)值與網(wǎng)頁文件的訪問頻度成反比�����,即訪問頻度越小�,訪問頻度異常權(quán)值越大��,反之����,訪問頻度越大���,則訪問頻度異常權(quán)值越?���。缓?或統(tǒng)計網(wǎng)站每個網(wǎng)頁的訪問來源數(shù)���,將訪問來源數(shù)低于預(yù)設(shè)訪問來源數(shù)閾值的網(wǎng)頁文件識別為可疑網(wǎng)頁文件�����,其中�,訪問來源異常權(quán)值與網(wǎng)頁文件的訪問來源數(shù)成反比�,即訪問來源數(shù)越小,訪問來源異常權(quán)值越大�,反之,訪問來源數(shù)越大�����,則訪問來源異常權(quán)值越?��?���;和/或分時段統(tǒng)計網(wǎng)站每個網(wǎng)頁的訪問量���,將分時段訪問量超出預(yù)設(shè)分時段訪問量閾值的次數(shù)大于規(guī)定次數(shù)的網(wǎng)頁文件識別為可疑文件����,并計算可疑網(wǎng)頁文件的分時段訪問異常權(quán)值。
[0089]例如����,按照一定時間段對網(wǎng)頁日志進(jìn)行分析,例如���,按照天來進(jìn)行分析����,一般所有文件的訪問量和高峰期是有明顯規(guī)律的����,如果是用戶訪問的話,就會按照時間有坡度的升降����,如果是機(jī)器自動訪問,則文件的訪問會有固定的時間點���,只有后門文件、木馬���、病毒等惡意程序的訪問是無序的��。因此�����,可以通過分時段地統(tǒng)計訪問量來檢測�,根據(jù)實際應(yīng)用情形設(shè)置分時段閾值,對于分時段訪問量超出分時段閾值的次數(shù)大于規(guī)定次數(shù)的網(wǎng)頁文件�,可將其識別為可疑網(wǎng)頁文件。例如����,分為12個時段,每個時段設(shè)置不同的分時段閾值�,規(guī)定超過分時段閾值的次數(shù)應(yīng)該小于3次,當(dāng)網(wǎng)頁文件有超過3個時段的訪問量超出對應(yīng)時段的分時段閾值時����,則將上述網(wǎng)頁識別為可疑網(wǎng)頁。
[0090]進(jìn)一步地����,將可疑網(wǎng)頁文件與預(yù)先存儲在數(shù)據(jù)庫中的網(wǎng)頁文件進(jìn)行比對,若網(wǎng)頁文件中的圖片與預(yù)先存儲在數(shù)據(jù)庫中的圖片不同����,則獲取網(wǎng)頁中的圖片�����,由此�����,提高了獲取網(wǎng)頁文件中圖片的高效性與準(zhǔn)確性�。
[0091]進(jìn)一步地�,檢測圖片中是否嵌入惡意程序。具體地��,加載惡意程序規(guī)則庫����;使用規(guī)則庫中的規(guī)則對圖片進(jìn)行匹配。由此����,提高了獲取圖片中嵌入惡意程序的準(zhǔn)確性。
[0092]進(jìn)一步地���,獲取網(wǎng)頁中的圖片屬性信息���;根據(jù)圖片屬性信息中的圖片創(chuàng)建時間和/或圖片權(quán)限,確定圖片的屬性異常度����;將屬性異常度大于預(yù)設(shè)異常度閾值的圖片判斷為嵌入惡意程序的圖片。
[0093]更進(jìn)一步地�����,根據(jù)圖片屬性信息中的圖片創(chuàng)建時間和/或圖片權(quán)限�����,確定圖片的屬性異常度��,進(jìn)一步包括:根據(jù)圖片創(chuàng)建時間確定圖片的屬性異常度為:計算圖片的創(chuàng)建時間與同網(wǎng)頁中其他圖片的時間的離散度�,確定時間離散度大于預(yù)設(shè)離散度閾值的圖片,并為其賦予創(chuàng)建時間異常權(quán)值����。其中,時間離散度的計算方法包括但不限于以下方式:
[0094]獲取同目錄下所有圖片的創(chuàng)建時間�����,按照時間先后排序,計算每個圖片的時間離散度�。離散度可以采用極差、距離均差的平方和�����、方差或標(biāo)準(zhǔn)差等數(shù)學(xué)方法進(jìn)行計算���,由此�����,提高了獲取圖片的時間離散度的多樣性與準(zhǔn)確性����。例如���,以極差的方式進(jìn)行計算�����,可以為:
[0095]當(dāng)前圖片的時間離散度=當(dāng)前圖片的創(chuàng)建時間-同目錄下最先創(chuàng)建的圖片的創(chuàng)建時間�。例如,當(dāng)前圖片的創(chuàng)建時間為某一天的10:30�����,而同目錄下最先創(chuàng)建的圖片的創(chuàng)建時間是同一天的10:28����,則此時當(dāng)前圖片的時間離散度為2分鐘���。
[0096]判斷每個圖片的時間離散度是否超過預(yù)設(shè)離散度閾值��,確定時間離散度大于預(yù)設(shè)離散度閾值的圖片����,并為其賦予創(chuàng)建時間異常權(quán)值�����。例如����,預(yù)設(shè)離散度值為5,則認(rèn)為上述例子中的當(dāng)前圖片為正常圖片�,否則為異常圖片。
[0097]更進(jìn)一步地,根據(jù)圖片權(quán)限確定圖片屬性異常度為:判斷圖片權(quán)限是否為默認(rèn)權(quán)限���,如果不是�,則為圖片賦予權(quán)限異常權(quán)值��;根據(jù)創(chuàng)建時間異常權(quán)值和/或權(quán)限異常權(quán)值確定圖片的屬性異常度�����。即可以理解為判斷圖片的權(quán)限是否為默認(rèn)權(quán)限�����,如果發(fā)現(xiàn)圖片權(quán)限不是默認(rèn)權(quán)限����,則賦予一個常數(shù)作為權(quán)限異常權(quán)值。例如�����,在Iinux下���,圖片的默認(rèn)權(quán)限通常為0744����。
[0098]更進(jìn)一步地,如果圖片中存在惡意程序����,則獲取圖片中惡意程序的位置,并利用填充字符對惡意程序進(jìn)行替換����。其中,填充字符包括:字母安全字符����,例如�����,a-z或者A-Z��、數(shù)字安全字符和/或空白占位符����。由此,提高了填充字符的多樣性與選擇性����。
[0099]根據(jù)本發(fā)明提出的惡意程序刪除方法���,通過獲取網(wǎng)頁文件中的圖片,檢測圖片中是否嵌入惡意程序���,如果圖片中存在惡意程序���,則獲取圖片中惡意程序的位置,并利用填充字符對惡意程序進(jìn)行替換����,從而,及時檢測出網(wǎng)站中圖片的惡意程序�����,可對其進(jìn)行有效的處理����,不僅減少了給網(wǎng)站帶來的危害的幾率,同時提高了網(wǎng)站的安全等級��。
[0100]如圖2所示����,根據(jù)本發(fā)明一個實施例的網(wǎng)站惡意代碼判斷方法�,包括:
[0101]SI’�����,獲取終端判定的疑似惡意代碼和/或來自終端的網(wǎng)頁文件中的疑似惡意代碼�����;
[0102]S2’����,通過多個引擎分別對疑似惡意代碼進(jìn)行檢測,根據(jù)每個引擎的檢測結(jié)果判斷疑似惡意代碼是否為惡意代碼�����;
[0103]S3’����,將疑似惡意代碼判斷結(jié)果發(fā)送至終端����。
[0104]由于不同引擎對于疑似惡意代碼的檢測方式不同���,判定的結(jié)果也存在差異,因此可以對每個引擎的判定結(jié)構(gòu)取交集����,例如獲取到三段疑似惡意代碼,
[0105]第一引擎對于三段疑似惡意代碼的檢測結(jié)果為:非惡意代碼��、惡意代碼�����、惡意代碼�;
[0106]第二引擎對于三段疑似惡意代碼的檢測結(jié)果為:非惡意代碼、惡意代碼�����、惡意代碼�;
[0107]第三引擎對于三段疑似惡意代碼的檢測結(jié)果為:非惡意代碼、惡意代碼��、非惡意代碼��,
[0108]那么三個引擎的判定結(jié)果取交集可以得到三段疑似惡意代碼的檢測結(jié)果為:非惡意代碼����、惡意代碼�、惡意代碼���,也就是說���,針對一段疑似惡意代碼,當(dāng)多個引擎都檢測其為非惡意代碼時����,那么就判定其為非惡意代碼,當(dāng)多個引擎中至少一個檢測其為惡意代碼時����,那么就判定其為惡意代碼,從而提高對于疑似惡意代碼判定的準(zhǔn)確度�����。
[0109]如圖3所示�����,根據(jù)本發(fā)明一個實施例的網(wǎng)站惡意程序檢測裝置10包括:
[0110]文件獲取單元11����,用于獲取目標(biāo)網(wǎng)站的網(wǎng)頁文件;
[0111]識別單元12��,用于根據(jù)惡意程序特征庫對網(wǎng)頁文件中的源代碼進(jìn)行檢測���,識別出網(wǎng)頁文件中的疑似惡意代碼���;
[0112]傳輸單元13,用于將疑似惡意代碼和/或網(wǎng)頁文件傳輸至服務(wù)器����,以使預(yù)設(shè)服務(wù)器檢測疑似惡意代碼是否為惡意代碼;
[0113]結(jié)果獲取單元14����,用于獲取預(yù)設(shè)服務(wù)器返回的疑似惡意代碼檢測結(jié)果。
[0114]優(yōu)選地�����,還包括:
[0115]提示單元15����,用于根據(jù)判斷結(jié)果生成提示信息�,以提示目標(biāo)網(wǎng)站是否包含存在惡意代碼的網(wǎng)頁文件���。
[0116]優(yōu)選地�,還包括:
[0117]標(biāo)識單元16�,在疑似惡意代碼為惡意代碼的情況下,根據(jù)接收到的第一指令為惡意代碼添加第一標(biāo)識���,以使被添加第一標(biāo)識的惡意代碼在再次檢測源代碼時被識別為非惡意代碼����;
[0118]或
[0119]在疑似惡意代碼為惡意代碼的情況下����,根據(jù)接收到的第二指令為惡意代碼添加第二標(biāo)識,以使被添加第二標(biāo)識的惡意代碼在再次檢測源代碼時被識別為惡意代碼���。
[0120]優(yōu)選地����,還包括:
[0121]查詢單元17����,用于查詢疑似惡意代碼被特定用戶訪問的次數(shù),若被特定用戶訪問的次數(shù)大于預(yù)設(shè)次數(shù)�,則將疑似惡意代碼判定為非惡意代碼進(jìn)行提示。