一种基于孤岛文件的网页木马检测方法技术

一种检测网页木马的方法，包括：抓取HTTP协议请求的网页，并对网页进行解析；获取页面的DOM结构，提取页面中的链接，分析链接指向的文件，将每个链接指向的文件列入一个列表内；分析网页目录，确定网页目录下的文件是否存在于所述列表内；若有网页目录中有文件不在所述列表内，则不再所述列表内的文件为孤岛文件，对孤岛文件的访问记录进行跟踪；对于有疑似行为的孤岛文件进行特征比对，根据比对结果判断该文件是否为网页木马。本发明专利技术所述技术方案的有益效果在于：本发明专利技术所述技术方案能够对网页木马进行有效的检测，并根据检测结果及时处理网页木马，有效的保护了用户的计算机。

A method of detecting homepage Trojan horse based on isolated island file

Including the method for detecting web Trojan: grab HTTP protocol request \, and analyzes\; DOM structure for the page, extract the links in the page, link to the analysis of documents, each link to the documents included in a list of web pages; determine the web page directory, file directory is present in the list; if the file is not in the list in the web directory, is no longer the list of files within the file as the island on the island, file access records for tracking; for suspected acts of island file feature comparison, according to the comparison results to determine whether the file is a trojan. The beneficial effect of the technical scheme of the invention is that the technical proposal of the invention can effectively detect web Trojan horses, and timely handle web Trojan horses according to the detection results, thus effectively protecting the user's computer.

【技术实现步骤摘要】
一种基于孤岛文件的网页木马检测方法
本专利技术涉及网页安全领域，具体而言，涉及一种基于孤岛文件的网页木马检测方法。
技术介绍
网页木马是计算机木马的一种。攻击者通过篡改网页，在正常的网页中插入恶意代码。当目标用户访问被篡改的网页时，恶意代码会利用网页控件、浏览器和系统等漏洞，向目标用户的计算机内植入木马或病毒。通过植入的木马或病毒，攻击者可以轻易地控制目标用户的计算机，或是窃取目标用户的信息等。由于植入过程不易被目标用户察觉，且植入的木马或病毒危害很大，网页木马已成为互联网安全的严重威胁之一。目前，主要使用特征检测和行为检测的方式对网页木马进行检测。它们一般通过对于已有网页木马的恶意代码和恶意行为等特征进行分析，当存在符合相应特征的网页时则判定为网页木马。这种方法对于特征不变的木马十分有效。然而漏洞层出不穷，利用漏洞的恶意代码也在不断变化。单纯通过特征进行检测已经不能及时地发现和检测网页木马。
技术实现思路
本专利技术是针对现有技术的不足，提出了一种基于孤岛文件的网页木马检测方法，该方法的应用可以及时发现网页木马并清除，从而保护用户的计算机。一种检测网页木马的方法，包括：抓取HTTP协议请求的网页，并对网页进行解析；获取页面的DOM结构，提取页面中的链接，分析链接指向的文件，将每个链接指向的文件列入一个列表内；分析网页目录，确定网页目录下的文件是否存在于所述列表内；若有网页目录中有文件不在所述列表内，则不再所述列表内的文件为孤岛文件，对孤岛文件的访问记录进行跟踪；对于有疑似行为的孤岛文件进行特征比对，根据比对结果判断该文件是否为网页木马。一种检测网页木马的装置，其包括网页爬行单元、解析单元和检测单元；所述网页爬行单元，遍历URL中遵循HTTP协议的站点，抽取站点层次结构，将站点内可浏览的页面传递给解析单元；同时对站点目录进行扫描，获取目录下所有文件的列表；所述解析单元，从网页爬行单元获取网页，解析网页的DOM结构，提取页面中的所有链接，获取链接href属性中所指向的文件并将文件列入一个列表内；所述检测单元，将网页爬行单元中获取的所有文件的列表与解析单元中生成的链接指向的文件列表进行比对，得到孤岛文件列表；通过行为分析和特征分析等常规方法对孤岛文件进行检测以判断是否为木马。本专利技术所述技术方案的有益效果在于：本专利技术所述技术方案能够对网页木马进行有效的检测，并根据检测结果及时处理网页木马，有效的保护了用户的计算机。具体实施方式为了使本领域技术人员更好地理解本专利技术的技术方案，下面结合具体实施例对本专利技术作进一步的详细说明。本专利技术的基本原理是：为了确保文件能通过正常的浏览行为访问到，网页目录下的文件必有一个网页内的链接显式地指向到。而没有被链接指向的文件则不会通过正常的浏览行为访问到，从而被称为“孤岛文件”。为了隐蔽地向目标用户植入木马，攻击者上传的网页木马不会以正常的方式通过链接指向。因此，通过对孤岛文件的分析就能检测筛选出网页木马。一种检测网页木马的方法，包括：抓取HTTP协议请求的网页，并对网页进行解析；获取页面的DOM结构，提取页面中的链接，分析链接指向的文件，将每个链接指向的文件列入一个列表内；分析网页目录，确定网页目录下的文件是否存在于所述列表内；若有网页目录中有文件不在所述列表内，则不再所述列表内的文件为孤岛文件，对孤岛文件的访问记录进行跟踪；对于有疑似行为的孤岛文件进行特征比对，根据比对结果判断该文件是否为网页木马。一种检测网页木马的装置，其包括网页爬行单元、解析单元和检测单元；所述网页爬行单元，遍历URL中遵循HTTP协议的站点，抽取站点层次结构，将站点内可浏览的页面传递给解析单元；同时对站点目录进行扫描，获取目录下所有文件的列表；所述解析单元，从网页爬行单元获取网页，解析网页的DOM结构，提取页面中的所有链接，获取链接href属性中所指向的文件并将文件列入一个列表内；所述检测单元，将网页爬行单元中获取的所有文件的列表与解析单元中生成的链接指向的文件列表进行比对，得到孤岛文件列表；通过行为分析和特征分析等常规方法对孤岛文件进行检测以判断是否为木马。以上对本专利技术所提供的一种检测网页木马的方法进行了详细介绍，本文中应用了实施例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。本文档来自技高网...

【技术保护点】
一种检测网页木马的方法，其特征在于，包括：抓取HTTP协议请求的网页，并对网页进行解析；获取页面的DOM结构，提取页面中的链接，分析链接指向的文件，将每个链接指向的文件列入一个列表内；分析网页目录，确定网页目录下的文件是否存在于所述列表内；若有网页目录中有文件不在所述列表内，则不再所述列表内的文件为孤岛文件，对孤岛文件的访问记录进行跟踪；对于有疑似行为的孤岛文件进行特征比对，根据比对结果判断该文件是否为网页木马。

【技术特征摘要】
1.一种检测网页木马的方法，其特征在于，包括：抓取HTTP协议请求的网页，并对网页进行解析；获取页面的DOM结构，提取页面中的链接，分析链接指向的文件，将每个链接指向的文件列入一个列表内；分析网页目录，确定网页目录下的文件是否存在于所述列表内；若有网页目录中有文件不在所述列表内，则不再所述列表内的文件为孤岛文件，对孤岛文件的访问记录进行跟踪；对于有疑似行为的孤岛文件进行特征比对，根据比对结果判断该文件是否为网页木马。2.一种检测网页木马的装置，其特征在于：其所述...

【专利技术属性】
技术研发人员：方杨森，王彦杰，
申请(专利权)人：中科信息安全共性技术国家工程研究中心有限公司，
类型：发明
国别省市：北京,11