本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種web掛馬網(wǎng)頁的識別方法。

背景技術(shù)：

網(wǎng)頁木馬是利用網(wǎng)頁來進行破壞的病毒，它包含在惡意網(wǎng)頁之中，使用腳本語言編寫惡意代碼，依靠系統(tǒng)的漏洞，如ie瀏覽器存在的漏洞來實現(xiàn)病毒的傳播；當(dāng)用戶登錄了包含網(wǎng)頁病毒的惡意網(wǎng)站時，網(wǎng)頁木馬便被激活，受影響的系統(tǒng)一旦感染網(wǎng)頁病毒，就會遭到破壞，輕則瀏覽器首頁被修改，標(biāo)題改變，系統(tǒng)自動彈出廣告，重則被裝上木馬，感染病毒，使用戶無法進行正常的使用，甚至?xí)鹣到y(tǒng)崩潰，敏感信息丟失等嚴(yán)重后果。

由于腳本語言易于掌握，所以網(wǎng)頁木馬非常容易編寫和修改，造成很難提取特征值，增加了殺毒軟件查殺以及用戶預(yù)防的困難。

技術(shù)實現(xiàn)要素：

有鑒于此，本發(fā)明的主要目的在于提供一種web掛馬網(wǎng)頁的識別方法。

為達到上述目的，本發(fā)明的技術(shù)方案是這樣實現(xiàn)的：

本發(fā)明實施例提供一種web掛馬網(wǎng)頁的識別方法，該方法為：建立木馬特征庫，所述木馬特征庫中存儲有木馬特征；獲取待檢測網(wǎng)頁的源文件，并且從所述源文件中提取提取待檢測網(wǎng)頁中與掛馬相關(guān)的標(biāo)簽代碼，從所述標(biāo)簽代碼中提取待檢測網(wǎng)頁的定位符url，將所述待檢測網(wǎng)頁的定位符url與木馬特征庫中的url進行匹配，如果匹配成功，則確定該待檢測網(wǎng)頁為掛馬網(wǎng)頁。

上述方案中，該方法還包括：如果匹配失敗，再對所述待檢測網(wǎng)頁進行動態(tài)檢測，若檢測結(jié)果為掛馬網(wǎng)頁，則提取該掛馬網(wǎng)頁的特征信息，并將該特征信息加入到所述木馬特征庫中。

上述方案中，所述建立木馬特征庫，具體為：從各大安全站點爬取掛馬網(wǎng)頁的木馬特征信息，所述木馬特征信息包括網(wǎng)頁木馬掛載位置、掛載位置對應(yīng)的匹配模式串、木馬的后臺網(wǎng)址，從所述木馬特征信息中去除重復(fù)的木馬特征信息后存入木馬特征庫。

上述方案中，所述對所述待檢測網(wǎng)頁進行動態(tài)檢測，具體為：根據(jù)沙箱技術(shù)模擬對待檢測網(wǎng)頁進行頁面載入、渲染、dom生成，確定模擬頁面是否會觸發(fā)下載或更改系統(tǒng)文件或修改注冊表行為，如果有任意一種行為認為是掛馬行為，并且將該待檢測網(wǎng)頁相應(yīng)包括木馬掛載位置及該掛載位置對應(yīng)的匹配模式串以及該木馬后臺網(wǎng)址添加到木馬特征庫中。

上述方案中，所述從所述標(biāo)簽代碼中提取待檢測網(wǎng)頁的定位符url，具體為：所述標(biāo)簽代碼包括javascript標(biāo)簽、a標(biāo)簽、img標(biāo)簽、style標(biāo)簽、iframe標(biāo)簽、link標(biāo)簽；根據(jù)所述javascript標(biāo)簽、a標(biāo)簽、img標(biāo)簽、style標(biāo)簽、iframe標(biāo)簽、link標(biāo)簽確定待檢測網(wǎng)頁的定位符url。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果：

本發(fā)明在web環(huán)境下對頁面掛馬進行有效識別的方法，以增強網(wǎng)頁木馬查殺有效性，降低web掛馬引起的網(wǎng)站安全問題風(fēng)險。

附圖說明

圖1為本發(fā)明實施例提供一種web掛馬網(wǎng)頁的識別方法的流程圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實施例，對本發(fā)明進行進一步詳細說明。應(yīng)當(dāng)理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

本發(fā)明實施例提供一種web掛馬網(wǎng)頁的識別方法，該方法為：建立木馬特征庫，所述木馬特征庫中存儲有木馬特征；獲取待檢測網(wǎng)頁的源文件，并且從所述源文件中提取提取待檢測網(wǎng)頁中與掛馬相關(guān)的標(biāo)簽代碼，從所述標(biāo)簽代碼中提取待檢測網(wǎng)頁的定位符url，將所述待檢測網(wǎng)頁的定位符url與木馬特征庫中的url進行匹配，如果匹配成功，則確定該待檢測網(wǎng)頁為掛馬網(wǎng)頁。

該方法還包括：如果匹配失敗，再對所述待檢測網(wǎng)頁進行動態(tài)檢測，若檢測結(jié)果為掛馬網(wǎng)頁，則提取該掛馬網(wǎng)頁的特征信息，并將該特征信息加入到所述木馬特征庫中，反之，如果檢測結(jié)果不是掛馬網(wǎng)頁，則允許服務(wù)器訪問該網(wǎng)頁；

所述建立木馬特征庫，具體為：從各大安全站點爬取掛馬網(wǎng)頁的木馬特征信息，所述木馬特征信息包括網(wǎng)頁木馬掛載位置、掛載位置對應(yīng)的匹配模式串、木馬的后臺網(wǎng)址，從所述木馬特征信息中去除重復(fù)的木馬特征信息后存入木馬特征庫。

所述對所述待檢測網(wǎng)頁進行動態(tài)檢測，具體為：根據(jù)沙箱技術(shù)模擬對待檢測網(wǎng)頁進行頁面載入、渲染、dom生成，確定模擬頁面是否會觸發(fā)下載或更改系統(tǒng)文件或修改注冊表行為，如果有任意一種行為認為是掛馬行為，并且將該待檢測網(wǎng)頁相應(yīng)包括木馬掛載位置及該掛載位置對應(yīng)的匹配模式串以及該木馬后臺網(wǎng)址添加到木馬特征庫中。

所述從所述標(biāo)簽代碼中提取待檢測網(wǎng)頁的定位符url，具體為：所述標(biāo)簽代碼包括javascript標(biāo)簽、a標(biāo)簽、img標(biāo)簽、style標(biāo)簽、iframe標(biāo)簽、link標(biāo)簽；根據(jù)所述javascript標(biāo)簽、a標(biāo)簽、img標(biāo)簽、style標(biāo)簽、iframe標(biāo)簽、link標(biāo)簽確定待檢測網(wǎng)頁的定位符url。

以上所述，僅為本發(fā)明的較佳實施例而已，并非用于限定本發(fā)明的保護范圍。

技術(shù)特征：

技術(shù)總結(jié)
本發(fā)明公開了一種web掛馬網(wǎng)頁的識別方法，建立木馬特征庫，所述木馬特征庫中存儲有木馬特征；獲取待檢測網(wǎng)頁的源文件，并且從所述源文件中提取提取待檢測網(wǎng)頁中與掛馬相關(guān)的標(biāo)簽代碼，從所述標(biāo)簽代碼中提取待檢測網(wǎng)頁的定位符URL，將所述待檢測網(wǎng)頁的定位符URL與木馬特征庫中的URL進行匹配，如果匹配成功，則確定該待檢測網(wǎng)頁為掛馬網(wǎng)頁。本發(fā)明在web環(huán)境下對頁面掛馬進行有效識別的方法，以增強網(wǎng)頁木馬查殺有效性，降低web掛馬引起的網(wǎng)站安全問題風(fēng)險。

技術(shù)研發(fā)人員：陳曉兵;趙敏;何建鋒;陳宏偉
受保護的技術(shù)使用者：西安交大捷普網(wǎng)絡(luò)科技有限公司
技術(shù)研發(fā)日：2017.08.01
技術(shù)公布日：2017.10.03