The invention discloses a threat detection method, device and network system, which relates to the field of computer technology, and can solve the problem of missing Web sandbox in the scene of delayed loading. The method includes: loading the URL Web in the browser sandbox, the first display gets the URL logo page group page code and the first page group in the overall size of the display area in the browser; in the first group to display the page page code into preset code dynamic page code; first page group analysis and Implementation of dynamic code contains the default; monitoring has shown the value of a variable is greater than or equal to the preset value when sending a request message to display the page second page code to obtain group request; receiving response information carrying second display page group of pages code; in the Web sandbox test shows whether the group page page second carrying the attack code code.
【技术实现步骤摘要】
一种威胁检测方法、装置及网络系统
本申请涉及计算机
,尤其涉及一种威胁检测方法、装置及网络系统。
技术介绍
随着计算机网络技术的发展与普及,越来越多的用户开始关注网络安全性问题,利用网络(Web)应用实现的网络攻击也频繁出现。例如,攻击者为了达到自己的攻击目的,往往通过各种手段将脚本、链接、图片、flash动画、插件等形式的攻击代码嵌入到动态页面所引用的数据库中,当用户的浏览器浏览到这部分攻击代码时,攻击者即可达到目的。考虑到沙箱技术在攻击代码检测方面的优势,例如能够发现未知攻击、对运行沙箱的计算机本身的安全不会造成威胁等,人们将沙箱技术与浏览器技术相结合发展出Web沙箱,并利用Web沙箱对浏览器所访问的网页的安全性进行防护。沙箱是在计算机中创建一个虚拟执行环境,也可以被视为操作系统的副本。无论在沙箱中打开哪个可疑文件,该可疑文件对计算机的硬盘、操作系统中的注册表的操作都被定向指定到临时文件夹中。这样即便可疑文件带有木马病毒、广告插件等攻击代码,其影响范围也被限制在虚拟环境中的,不会影响真实的操作系统。随着沙箱的删除,沙箱中所运行过的文件也会自动清除,计算机也不会中毒。因此,用户可以通过在沙箱中运行某一未知文件,以确定该位置文件是否带有攻击代码。Web沙箱的检测原理是模拟用户浏览器的真实环境,并对当前页面在加载过程中发生的行为加以探测、分析,最终来判断当前页面是否对用户的系统环境有威胁行为。由于现有的Web页面大量采用了延迟加载技术,使得Web沙箱对网页进行安全性检测时检测效果受到较大影响,特别是漏检现象比较严重。延时加载技术是指当用户使用浏览器加载 ...
【技术保护点】
一种威胁检测方法,其特征在于,包括:威胁检测装置在Web沙箱的浏览器中加载统一资源定位符URL时,从Web服务器获取所述URL标识的第一显示页面组的页面代码和所述第一显示页面组在所述浏览器的显示区域中所占的整体尺寸,所述第一显示页面组的页面代码包含监测代码,所述监测代码用于获取并监测已显示变量的数值,所述已显示变量的数值用于表示在所述浏览器的显示区域中,所述第一显示页面组的第一个显示页面的起始位置到当前显示页面之间已显示的显示页面所占的尺寸;所述威胁检测装置在所述第一显示页面组的页面代码中植入预设的动态代码,所述预设的动态代码用于触发从所述当前显示页面切换至所述当前显示页面的后一显示页面;所述威胁检测装置解析并执行包含所述预设的动态代码的第一显示页面组的页面代码,依次显示所述第一显示页面组中的显示页面;若所述威胁检测装置通过所述监测代码监测到所述已显示变量的数值大于或等于预设数值,则向所述Web服务器发送请求消息,所述请求消息用以向所述Web服务器请求获取第二显示页面组的页面代码,所述第二显示页面组中的第一个显示页面为所述第一显示页面组中最后一个显示页面的后一显示页面,所述预设数值大于 ...
【技术特征摘要】
1.一种威胁检测方法,其特征在于,包括:威胁检测装置在Web沙箱的浏览器中加载统一资源定位符URL时,从Web服务器获取所述URL标识的第一显示页面组的页面代码和所述第一显示页面组在所述浏览器的显示区域中所占的整体尺寸,所述第一显示页面组的页面代码包含监测代码,所述监测代码用于获取并监测已显示变量的数值,所述已显示变量的数值用于表示在所述浏览器的显示区域中,所述第一显示页面组的第一个显示页面的起始位置到当前显示页面之间已显示的显示页面所占的尺寸;所述威胁检测装置在所述第一显示页面组的页面代码中植入预设的动态代码,所述预设的动态代码用于触发从所述当前显示页面切换至所述当前显示页面的后一显示页面;所述威胁检测装置解析并执行包含所述预设的动态代码的第一显示页面组的页面代码,依次显示所述第一显示页面组中的显示页面;若所述威胁检测装置通过所述监测代码监测到所述已显示变量的数值大于或等于预设数值,则向所述Web服务器发送请求消息,所述请求消息用以向所述Web服务器请求获取第二显示页面组的页面代码,所述第二显示页面组中的第一个显示页面为所述第一显示页面组中最后一个显示页面的后一显示页面,所述预设数值大于或等于所述第一显示页面组的第一个显示页面在所述浏览器的显示区域中所占的尺寸,且小于所述第一显示页面组在所述浏览器的显示区域中所占的整体尺寸;所述威胁检测装置接收所述Web服务器发送的响应消息,所述响应消息携带所述第二显示页面组的页面代码;所述威胁检测装置在所述Web沙箱中检测所述第二显示页面组的页面代码中是否携带有攻击代码。2.根据权利要求1所述的威胁检测方法,其特征在于,所述威胁检测装置从Web服务器获取所述URL标识的第一显示页面组的页面代码,包括:所述威胁检测装置通过套接字Socket接口接收所述Web服务器发送的所述URL标识的第一显示页面组的页面代码。3.根据权利要求1或2所述的威胁检测方法,其特征在于,设置钩子程序挂钩所述Web沙箱的网络层协议处理函数,所述钩子程序用于截获所述第一显示页面组的页面代码;所述威胁检测装置在所述第一显示页面组的页面代码中植入预设的动态代码,包括:在所述钩子程序获取到所述第一显示页面组的页面代码时,所述威胁检测装置将所述预设的动态代码植入至所述第一显示页面组的页面代码中。4.根据权利要求1或2所述的威胁检测方法,其特征在于,设置钩子程序挂钩所述Web沙箱的浏览器内核,所述钩子程序用于截获所述第一显示页面组的页面代码;所述威胁检测装置在所述第一显示页面组的页面代码中植入预设的动态代码,包括:在所述钩子程序获取到所述第一显示页面组的页面代码时,所述威胁检测装置将所述预设的动态代码植入至所述第一显示页面组的页面代码中。5.根据权利要求1-4中任意一项所述的威胁检测方法,其特征在于,所述动态代码被置于所述第一显示页面组的页面代码的末尾。6.一种威胁检测装置,其特征在于,包括:处理单元,用于在W...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。