本发明专利技术涉及一种确定修改的网页的系统和方法。示例性方法包括:从恶意软件的配置文件中提取多个恶意软件触发代码片段;通过将多个恶意软件触发代码片段添加到模板页面中来创建验证网页;将与验证网页的初始状态有关的数据存储在数据库中;打开验证网页且识别与验证网页的打开状态有关的数据;将与验证网页的初始状态有关的数据和与验证网页的打开状态有关的数据进行比较;和基于检测到的与验证网页的初始状态有关的数据和与验证网页的打开状态有关的数据之间的差异,识别验证网页的至少一个修改的代码片段。
【技术实现步骤摘要】
本专利技术总体涉及计算机安全领域,更具体地,涉及一种用于确定修改的网页的系统和方法。
技术介绍
当前,个人计算设备的数量不断上升。计算机和移动设备在各种操作系统的控制下工作且解决各种各样的问题。许多用户使用这些设备用于因特网浏览。此外,新的恶意软件正在被不断开发,包括计算机病毒、特洛伊木马(Trojanhorse)和因特网蠕虫。该恶意软件的相当大一部分目的在于攻击在因特网上工作的用户。一种普遍类型的对因特网用户的攻击是这样的攻击:恶意软件替换正在显示给用户的网页的内容。恶意软件将HTML代码插入到网页中。经常,该攻击被称为“浏览器中间人”或者“网页代码注入”。该攻击可起始于使用木马应用程序,例如该木马应用程序将恶意扩展或插件安装在受害者的网页浏览器中,当浏览器重新启动时启动该恶意扩展或插件。然后,出现截获用户的目的用于特定网站(更经常为银行网站)的流量。接下来,正在显示给用户的网页在下载或打开阶段被修改,使得可以修改该网页的特定要素的外观、窃取受害者的正在输入的认证数据、或者将用户正在转移的资金重新导向至不同的账户。目的在于增加用户在因特网上工作的安全性的当前的技术解决方案考虑到将恶意代码注入到网页中这样的攻击。然而,它们并未提供用于确定网页是否已经被恶意软件修改的有效解决方案。
技术实现思路
公开了用于确定修改的网页的系统和方法。根据示例性方面,一种方法包括:从恶意软件的至少一个配置文件中提取多个恶意软件触发代码片段;通过将所述多个恶意软件触发代码片段添加到模板页面中来创建验证网页;将与所述验证网页的初始状态有关的数据存储在数据库中;打开所述验证网页且识别与所述验证网页的打开状态有关的数据;将与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据进行比较;和基于检测到的与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据之间的差异,识别所述验证网页的至少一个修改的代码片段。根据一个方面,所述方法包括:打开所述验证网页是通过网络浏览器打开所述验证网页。根据一个方面,所述创建验证网页包括根据对页面的最大数目的限制、对所有页面总的最大尺寸的限制、对一个页面的最大尺寸的限制和对包含不超过1500个字符的统一资源定位符(URL)的长度的限制中的至少一个或多个限制来创建所述验证网页。根据一个方面,所述方法包括将所述恶意软件的至少一个配置文件存储在恶意软件配置文件的数据库中。根据一个方面,所述方法包括通过硬件处理器根据多个准则选择用于创建所述验证网页的所述至少一个配置文件。根据一个方面,所述多个准则包括时间间隔和代码注入在所述至少一个配置文件中的频率。根据一个方面,所述方面包括通过从所述恶意软件的具有最普遍的注入代码的所述至少一个配置文件中选择N个片段,来选择用于创建所述验证网页的多个代码片段,其中,根据对所述验证网页的尺寸的限制确定数目N。根据一个方面,所述方法包括通过虚拟机执行在至少一个修改的代码片段中的代码以分析所述恶意软件的行为。根据一个方面,所述方法包括:通过所述硬件处理器,分析在所述验证网页的至少一个修改的代码片段中的URL代码;和通过所述硬件处理器,识别至网络钓鱼资源的至少一个链接。根据另一示例性方面,公开了用于确定被恶意软件修改的网页的系统。根据该方面,所述系统包括:至少一个数据库,所述至少一个数据库被配置成存储恶意软件的至少一个配置文件;和硬件处理器,所述硬件处理器配置成:从所述恶意软件的至少一个配置文件中提取多个恶意软件触发代码片段;通过将所述多个恶意软件触发代码片段添加到模板页面中来创建验证网页;将与所述验证网页的初始状态有关的数据存储在所述至少一个数据库中;打开所述验证网页且识别与所述验证网页的打开状态有关的数据;将与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据进行比较;和基于检测到的与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据之间的差异,识别所述验证网页的至少一个修改的代码片段。上述示例性方面的简要概括用于对本专利技术提供基本的了解。该概括不是全部预期方面的广泛概述,且既不意图识别全部方面的关键或者重要的要素也不意图勾画本专利技术的任何方面或全部方面的范围。其唯一目的在于以简化的形式呈现出一个或多个方面,作为用于下面所进行的本专利技术的更为详尽的描述的前奏。为了完成上述内容,本专利技术的一个或多个方面包括在权利要求中所描述的且示例性提出的特征。附图说明并入到说明书中且构成本说明书的一部分的附图,阐述了本专利技术的一个或多个示例性方面,并且与具体实施方式一起用于解释这些方面的原理和实现方式。图1示出用户使用网络浏览器在网络中工作的示例。图2示出根据示例性方面的用于确定修改的网页的系统的框图。图3示出根据示例性方面的用于确定修改的网页的方法的流程图。图4示出根据示例性方面的在其上可实施所公开的系统和方法的通用计算机系统的示例。具体实施方式在本文中,在用于确定修改的网页的系统、方法和计算机程序产品的上下文中,描述了示例性方面。本领域的普通技术人员将意识到下面的描述仅仅是说明性的且不意图以任何方式进行限制。对于受益于本专利技术的本领域技术人员将易于想象到其它方面。现在,将详细地提及如在附图中所示的示例性方面的实现。尽可能在整个附图和下面的描述中,相同的附图标记将用于指相同的类似的项目。下面的公开内容介绍了将用于描述所公开的系统和方法的各个方面的许多定义和概念。恶意软件的“配置文件”为存储恶意软件的设置的二进制文件(例如,文本、XML、JSON等),该设置尤其是命令服务器的地址、攻击的目标的URL地址(或者它们的片段和掩码)、和实际网页注入代码。“网页注入代码”为被恶意软件注入到被显示给用户的网页内的代码。所述代码通常携带可对用户的数据的机密性造成危害的功能(例如,钓鱼攻击,由于该钓鱼攻击用户可对于其账户记录失去控制),或者携带可对用户造成金融危害的功能(例如当进行在线支付时更换接收者)。图1示出了用户使用网络浏览器在网络上工作的示例。如所示,在计算设备120(诸如个人计算机、移动电话、笔记本电脑)上工作的用户110,可利用服务器130。该服务器130可为包含各种网页的网络服务器、电子邮件服务器和数据库服务器。通常,用户110通过浏览器140访问服务器130,浏览器140诸如为Internet浏览器或类似浏览器。如上所述,在用户110的计算设备120上可存在恶意软件150。恶意软件150可将恶意代码注入到从服务器130接收的且在浏览器140中打开的网页中。为了检测在用户110的计算设备120上恶意软件150的存在,可以使用包含与网站和网络资源链接的HTML片段的网页,而该网页可以是恶意程序150的攻击目标。通常,在用户110的计算设备120上打开网页后,恶意软件150通过将其注入代码添加到网页而改变该网页。在网页打开后网页的状态可被保存,然后修改的代码片段可在网页中被识别。如果这种代码片段被发现,则这可表明在用户110的计算设备120上存在恶意软件150。在更详细地分析网页修改后,确定恶意软件150的存在。图2示出了根据示例性方面的用于确定修改的网页的系统的框图。在示例性方面中,验证网页创建模块21本文档来自技高网...
【技术保护点】
一种用于确定修改的网页的方法,所述方法包括:通过硬件处理器,从恶意软件的至少一个配置文件中提取多个恶意软件触发代码片段;通过所述硬件处理器,通过将所述多个恶意软件触发代码片段添加到模板页面中来创建验证网页;将与所述验证网页的初始状态有关的数据存储在数据库中;打开所述验证网页且识别与所述验证网页的打开状态有关的数据;通过所述硬件处理器,将与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据进行比较;和基于检测到的与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据之间的差异,识别所述验证网页的至少一个修改的代码片段。
【技术特征摘要】
2015.06.30 RU 2015125971;2015.08.25 US 14/834,8531.一种用于确定修改的网页的方法,所述方法包括:通过硬件处理器,从恶意软件的至少一个配置文件中提取多个恶意软件触发代码片段;通过所述硬件处理器,通过将所述多个恶意软件触发代码片段添加到模板页面中来创建验证网页;将与所述验证网页的初始状态有关的数据存储在数据库中;打开所述验证网页且识别与所述验证网页的打开状态有关的数据;通过所述硬件处理器,将与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据进行比较;和基于检测到的与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据之间的差异,识别所述验证网页的至少一个修改的代码片段。2.根据权利要求1所述的方法,其中,打开所述验证网页包括通过网络浏览器打开所述验证网页。3.根据权利要求1所述的方法,其中,所述创建验证网页包括:根据对页面的最大数目的限制、对所有页面总的最大尺寸的限制、对一个页面的最大尺寸的限制和对包含不超过1500个字符的统一资源定位符URL的长度的限制中的至少一个或多个限制来创建所述验证网页。4.根据权利要求1所述的方法,还包括将所述恶意软件的所述至少一个配置文件存储在恶意软件配置文件的数据库中。5.根据权利要求4所述的方法,还包括通过所述硬件处理器根据多个准则选择用于创建所述验证网页的所述至少一个配置文件。6.根据权利要求5所述的方法,其中,所述多个准则包括时间间隔和将代码注入在所述至少一个配置文件中的频率。7.根据权利要求4所述的方法,还包括通过从所述恶意软件的具有最普遍
\t的注入代码的所述至少一个配置文件中选择N个片段,来选择用于创建所述验证网页的多个代码片段,其中,根据对所述验证网页的尺寸的限制确定数目N。8.根据权利要求1所述的方法,还包括通过虚拟机执行在所述至少一个修改的代码片段中的代码以分析所述恶意软件的行为。9.根据权利要求1所述的方法,还包括:通过所述硬件处理器,分析在所述验证网页的至少一个修改的代码片段中的URL代码;和通过所述硬件处理器,识别至网络...
【专利技术属性】
技术研发人员:弗拉基米尔·A·库斯科夫,亚历山大·A·罗曼恩科,奥列格·V·库普列夫,
申请(专利权)人:卡巴斯基实验室股份制公司,
类型:发明
国别省市:俄罗斯;RU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。