[0122]如圖4所示��,根據(jù)本發(fā)明一個實施例的網(wǎng)站惡意代碼判斷裝置20包括:
[0123]代碼獲取單元21�,用于獲取終端判定的疑似惡意代碼和/或來自終端的網(wǎng)頁文件中的疑似惡意代碼;
[0124]檢測單元22�,用于通過多個引擎分別對疑似惡意代碼進行檢測,根據(jù)每個引擎的檢測結(jié)果判斷疑似惡意代碼是否為惡意代碼��;
[0125]發(fā)送單元23�,用于將疑似惡意代碼判斷結(jié)果發(fā)送至終端��。
[0126]網(wǎng)站惡意程序檢測裝置10和網(wǎng)站惡意代碼判斷裝置20的交互過程如圖5所示���,其中,網(wǎng)站惡意程序檢測裝置10包括但不僅限于網(wǎng)站的本地服務(wù)器��,網(wǎng)站惡意代碼判斷裝置20包括但不僅限于云端服務(wù)器��,本地服務(wù)器對于網(wǎng)頁文件中的源代碼進行初步檢測����,云端服務(wù)器則對疑似惡意代碼進行精確檢測,一方面提高檢測結(jié)果的準確度�,另一方面降低本地服務(wù)器的運算壓力,提高代碼檢測的整體速度�。
[0127]綜上所述,本發(fā)明通過對網(wǎng)頁文件中的源代碼進行檢測���,并通過預(yù)設(shè)服務(wù)器對疑似惡意代碼進行檢測�,可以快速且準確地檢測出目標網(wǎng)站中存在的惡意代碼���,從而減少網(wǎng)站被惡意攻擊的概率,提高網(wǎng)站的安全性��。
[0128]應(yīng)當注意,在此提供的算法和公式不與任何特定計算機�����、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)���。各種通用系統(tǒng)也可以與基于在此的示例一起使用�。根據(jù)上面的描述����,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外��,本發(fā)明也不針對任何特定編程語言���。應(yīng)當明白�����,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容�����,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式���。
[0129]在此處所提供的說明書中�����,說明了大量具體細節(jié)��。然而�����,能夠理解�,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐���。在一些實例中����,并未詳細示出公知的方法��、結(jié)構(gòu)和技術(shù)����,以便不模糊對本說明書的理解。
[0130]類似地,應(yīng)當理解��,為了精簡本發(fā)明并幫助理解本發(fā)明各個方面中的一個或多個����,在上面對本發(fā)明的示例性實施例的描述中��,本發(fā)明的各個特征有時被一起分組到單個實施例����、圖、或者對其的描述中�����。然而���,并不應(yīng)將該公開的方法和裝置解釋成反映如下意圖:即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征���。更確切地說,如權(quán)利要求書所反映����,發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此����,遵循【具體實施方式】的權(quán)利要求書由此明確地并入該【具體實施方式】��,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例����。
[0131]本領(lǐng)域那些技術(shù)人員可以理解�����,可以對實施例中的設(shè)備中的模塊進行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中���?��?梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件���。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外����,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求�、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求��、摘要和附圖)中公開的每個特征可以由提供相同���、等同或相似目的的替代特征來代替��。
[0132]此外,本領(lǐng)域的技術(shù)人員能夠理解���,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征�,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例�。
[0133]本發(fā)明的各個部件實施例可以以硬件實現(xiàn),或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)�,或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當理解����,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的網(wǎng)站安全檢測設(shè)備中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如���,計算機程序和計算機程序產(chǎn)品)����。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上,或者可以具有一個或者多個信號的形式����。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供���,或者以任何其他形式提供�。
[0134]以上所述僅是本發(fā)明的部分實施方式�����,應(yīng)當指出����,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下�����,還可以做出若干改進和潤飾��,這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍��。
【主權(quán)項】
1.一種網(wǎng)站惡意程序檢測方法���,其特征在于�,包括: 獲取目標網(wǎng)站的網(wǎng)頁文件; 根據(jù)惡意程序特征庫對所述網(wǎng)頁文件中的源代碼進行檢測�,識別出所述網(wǎng)頁文件中的疑似惡意代碼; 將所述疑似惡意代碼和/或網(wǎng)頁文件傳輸至預(yù)設(shè)服務(wù)器��,以使所述預(yù)設(shè)服務(wù)器判斷所述疑似惡意代碼是否為惡意代碼���; 獲取所述預(yù)設(shè)服務(wù)器返回的疑似惡意代碼判斷結(jié)果����。
2.根據(jù)權(quán)利要求1所述的網(wǎng)站惡意程序檢測方法��,其特征在于���,還包括: 根據(jù)所述判斷結(jié)果生成提示信息,以提示所述目標網(wǎng)站是否包含存在惡意代碼的網(wǎng)頁文件���。
3.根據(jù)權(quán)利要求1和2中任一項所述的網(wǎng)站惡意程序檢測方法�,其特征在于��,若判定所述疑似惡意代碼為惡意代碼��,則所述方法還包括: 根據(jù)接收到的第一指令將所述惡意代碼添加至白名單,以使被添加至白名單的代碼在再次檢測源代碼時被識別為非惡意代碼��; 或 根據(jù)接收到的第二指令將所述惡意代碼添加至黑名單��,以使被添加至黑名單的代碼在再次檢測源代碼時被識別為惡意代碼���。
4.根據(jù)權(quán)利要求1至3中任一項所述的網(wǎng)站惡意程序檢測方法����,其特征在于�����,所述識別出所述網(wǎng)頁文件中的疑似惡意代碼還包括: 查詢訪問所述疑似惡意代碼并將所述疑似惡意代碼添加至白名單的用戶數(shù)目���,若所述用戶數(shù)目大于預(yù)設(shè)數(shù)目��,則將所述疑似惡意代碼判定為非惡意代碼進行提示����。
5.一種網(wǎng)站惡意代碼判斷方法���,其特征在于��,包括: 獲取終端判定的疑似惡意代碼和/或來自所述終端的網(wǎng)頁文件中的疑似惡意代碼����;通過多個引擎分別對所述疑似惡意代碼進行檢測,根據(jù)每個引擎的檢測結(jié)果判斷所述疑似惡意代碼是否為惡意代碼���; 將疑似惡意代碼判斷結(jié)果發(fā)送至所述終端���。
6.一種網(wǎng)站惡意程序檢測裝置,其特征在于�,包括: 文件獲取單元,用于獲取目標網(wǎng)站的網(wǎng)頁文件�����; 識別單元����,用于根據(jù)惡意程序特征庫對所述網(wǎng)頁文件中的源代碼進行檢測����,識別出所述網(wǎng)頁文件中的疑似惡意代碼; 傳輸單元����,用于將所述疑似惡意代碼和/或網(wǎng)頁文件傳輸至服務(wù)器���,以使所述預(yù)設(shè)服務(wù)器檢測所述疑似惡意代碼是否為惡意代碼; 結(jié)果獲取單元����,用于獲取所述預(yù)設(shè)服務(wù)器返回的疑似惡意代碼檢測結(jié)果。
7.根據(jù)權(quán)利要求6所述網(wǎng)站惡意程序檢測裝置���,其特征在于���,還包括: 提示單元,用于根據(jù)所述判斷結(jié)果生成提示信息�����,以提示所述目標網(wǎng)站是否包含存在惡意代碼的網(wǎng)頁文件�����。
8.根據(jù)權(quán)利要求6和7中任一項所述網(wǎng)站惡意程序檢測裝置���,其特征在于�����,還包括: 添加單元����,在所述疑似惡意代碼為惡意代碼的情況下,根據(jù)接收到的第一指令將所述惡意代碼添加至白名單���,以使被添加至白名單的代碼在再次檢測源代碼時被識別為非惡意代碼���; 或 在所述疑似惡意代碼為惡意代碼的情況下,根據(jù)接收到的第二指令將所述惡意代碼添加至黑名單���,以使被添加至黑名單的代碼在再次檢測源代碼時被識別為惡意代碼����。
9.根據(jù)權(quán)利要求6至8中任一項所述網(wǎng)站惡意程序檢測裝置�����,其特征在于��,還包括: 查詢單元���,用于查詢訪問所述疑似惡意代碼并將所述疑似惡意代碼添加至白名單的用戶數(shù)目��,若所述用戶數(shù)目大于預(yù)設(shè)數(shù)目��,則將所述疑似惡意代碼判定為非惡意代碼進行提不O
10.一種網(wǎng)站惡意代碼判斷裝置����,其特征在于��,包括: 代碼獲取單元�,用于獲取終端判定的疑似惡意代碼和/或來自所述終端的網(wǎng)頁文件中的疑似惡意代碼; 檢測單元���,用于通過多個引擎分別對所述疑似惡意代碼和/或網(wǎng)頁文件進行檢測�,根據(jù)每個引擎的檢測結(jié)果判斷所述疑似惡意代碼是否為惡意代碼����; 發(fā)送單元,用于將疑似惡意代碼判斷結(jié)果發(fā)送至所述終端��。
【專利摘要】本發(fā)明涉及一種網(wǎng)站惡意程序檢測方法����,包括:獲取目標網(wǎng)站的網(wǎng)頁文件�����;根據(jù)惡意程序特征庫對網(wǎng)頁文件中的源代碼進行檢測�,識別出網(wǎng)頁文件中的疑似惡意代碼��;將疑似惡意代碼和/或網(wǎng)頁文件傳輸至預(yù)設(shè)服務(wù)器�����,以使預(yù)設(shè)服務(wù)器判斷疑似惡意代碼是否為惡意代碼���;獲取預(yù)設(shè)服務(wù)器返回的疑似惡意代碼判斷結(jié)果�����。通過本發(fā)明的技術(shù)方案�,可以快速且準確地檢測出目標網(wǎng)站中存在的惡意代碼��,從而減少網(wǎng)站被惡意攻擊的概率��,提高網(wǎng)站的安全性���。
【IPC分類】H04L29-06, G06F21-56
【公開號】CN104580203
【申請?zhí)枴緾N201410856928
【發(fā)明人】李紀峰
【申請人】北京奇虎科技有限公司, 奇智軟件(北京)有限公司
【公開日】2015年4月29日
【申請日】2014年12月31日