本发明专利技术涉及网络安全技术领域,公开了一种网页恶意代码追踪方法、装置、设备及存储介质,所述方法包括:获取恶意代码对应的恶意代码特征;根据所述恶意代码特征检测目标网页的网页数据中是否存在所述恶意代码;若所述网页数据中存在所述恶意代码,则判定所述目标网页为包含所述恶意代码的恶意网页,从而可通过恶意代码对应的恶意代码特征检测目标网页中是否包含恶意代码,实现对包含相同恶意代码的网站进行追踪检测。行追踪检测。行追踪检测。
【技术实现步骤摘要】
网页恶意代码追踪方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种网页恶意代码追踪方法、装置、设备及存储介质。
技术介绍
[0002]目前,在进行网站的恶意代码检测时,通常是针对每个网站单独进行检测,检测较为复杂,需要耗费大量的时间,并且无法对包含相同恶意代码的网站进行追踪检测。
[0003]上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
[0004]本专利技术的主要目的在于提出一种网页恶意代码追踪方法、装置、设备及存储介质,旨在解决现有技术中无法对包含相同恶意代码的网站进行追踪检测的技术问题。
[0005]为实现上述目的,本专利技术提供一种网页恶意代码追踪方法,所述网页恶意代码追踪方法包括以下步骤:
[0006]获取恶意代码对应的恶意代码特征;
[0007]根据所述恶意代码特征检测目标网页的网页数据中是否存在所述恶意代码;
[0008]若所述网页数据中存在所述恶意代码,则判定所述目标网页为包含所述恶意代码的恶意网页。
[0009]可选地,所述根据所述恶意代码特征检测目标网页的网页数据中是否存在所述恶意代码,包括:
[0010]在检测到网页访问指令时,根据所述网页访问指令确定目标网页;
[0011]获取所述目标网页的网页数据;
[0012]根据所述网页数据依次进行第一级匹配和第二级匹配,以判断所述网页数据中是否存在所述恶意代码。
[0013]可选地,所述获取所述目标网页的网页数据,包括:
[0014]在检测到所述目标网页对应的数据返回操作时,通过浏览器的第一预设函数获取所述目标网页对应的网页数据块;
[0015]对所述网页数据块进行组合,得到所述目标网页的网页数据。
[0016]可选地,所述根据所述根据网页数据依次进行第一级匹配和第二级匹配之前,还包括:
[0017]通过浏览器的第二预设函数判断所述网页数据是否已完全获取;
[0018]相应地,所述网页数据依次进行第一级匹配和第二级匹配,包括:
[0019]若所述网页数据已完全获取,则根据网页数据依次进行第一级匹配和第二级匹配。
[0020]可选地,所述根据所述网页数据依次进行第一级匹配和第二级匹配,以判断所述
网页数据中是否存在所述恶意代码,包括:
[0021]根据所述网页数据通过浏览器进程进行第一级匹配,判断所述目标网页中是否存在含有恶意的js代码的可能性;
[0022]若所述目标网页中含有恶意的js代码,则根据所述网页数据通过TPI进程进行第二级匹配,以判断所述网页数据中是否存在所述恶意代码。
[0023]可选地,所述根据所述网页数据通过浏览器进程进行第一级匹配,判断所述目标网页中是否存在含有恶意的js代码的可能性,包括:
[0024]当第二预设函数触发时,获取目标URLLoader对象,并从所述目标URLLoader对象中提取目标RequestId;
[0025]从预设全局链表中查找所述目标RequestId对应的目标Request对象;
[0026]获取所述目标Request对象中的目标isFind变量,并根据所述目标isFind变量判断所述目标网页中是否存在含有恶意的js代码的可能性。
[0027]可选地,所述当第二预设函数触发时,获取目标URLLoader对象之前还包括:
[0028]当第一预设函数触发时,获取URLLoader对象,并从所述URLLoader对象中提取RequestId;
[0029]若预设全局链表中存在所述RequestId,则从所述预设全局链表中提取所述RequestId对应的Request对象;
[0030]若所述Request对象中的isFind变量为TRUE,则将所述网页数据以及所述网页数据对应的网页数据长度保存到所述Request对象中的数据链表中。
[0031]可选地,所述从所述URLLoader对象中提取RequestId之后,还包括:
[0032]若预设全局链表中不存在所述RequestId,则根据所述RequestId创建新的Request对象;
[0033]判断所述目标网页是否为html网页;
[0034]若所述目标网页不为html网页,则将所述Request对象中的ishtml变量置为False。
[0035]可选地,所述根据所述网页数据通过TPI进程进行第二级匹配,以判断所述网页数据中是否存在所述恶意代码,包括:
[0036]通过TPI进程从所述数据链表中获取所述网页数据,并获取所述网页数据中的js代码;
[0037]根据所述js代码生成创建一个主链表和多个副链表;
[0038]获取所述js代码对应的js源码,并根据所述js源码得到Token以及对应的数据;
[0039]将所述Token以及对应的数据保存到JsMap对象中,并通过所述Token将所述JsMap对象存储到所述副链表中,得到目标副链表;
[0040]根据所述恶意代码特征、所述主链表以及所述目标副链表进行特征匹配,以判断所述网页数据中是否存在所述恶意代码。
[0041]可选地,所述根据所述js代码生成创建一个主链表和多个副链表,包括:
[0042]将所述js代码解析为多个类型的编码,并根据所述多个类型的编码创建多个链表;
[0043]根据所述多个链表确定一个主链表和多个副链表。
[0044]可选地,所述根据所述恶意代码特征、所述主链表以及所述目标副链表进行特征匹配,以判断所述网页数据中是否存在所述恶意代码,包括:
[0045]从所述恶意代码特征中提取待处理JsMap;
[0046]根据所述目标副链表查找所述待处理JsMap对应所述主链表的代码位置;
[0047]将所述恶意代码中除所述待处理JsMap之外的其他JsMap作为第一待匹配JsMap,并根据所述代码位置确定第二待匹配JsMap;
[0048]根据所述第一待匹配JsMap与所述第二待匹配JsMap进行特征匹配,以判断所述网页数据中是否存在所述恶意代码。
[0049]可选地,所述根据所述目标isFind变量判断所述目标网页中是否存在含有恶意的js代码的可能性之后,还包括:
[0050]若所述目标isFind变量为TRUE,则判定所述目标网页中含有恶意的js代码。
[0051]可选地,所述判定所述目标网页为包含所述恶意代码的网页之后,还包括:
[0052]对所述目标网页进行拦截操作,并将所述目标网页对应的网页信息上传至服务器。
[0053]此外,为实现上述目的,本专利技术还提出一种网页恶意代码追踪装置,所述网页恶意代码追踪装置包括:
[0054]特征获取模块,用于获取恶意代码对应的恶意代码特征;
[0055]代码检测模块,用于根据所述恶意代本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网页恶意代码追踪方法,其特征在于,所述网页恶意代码追踪方法包括以下步骤:获取恶意代码对应的恶意代码特征;根据所述恶意代码特征检测目标网页的网页数据中是否存在所述恶意代码;若所述网页数据中存在所述恶意代码,则判定所述目标网页为包含所述恶意代码的恶意网页。2.如权利要求1所述的网页恶意代码追踪方法,其特征在于,所述根据所述恶意代码特征检测目标网页的网页数据中是否存在所述恶意代码,包括:在检测到网页访问指令时,根据所述网页访问指令确定目标网页;获取所述目标网页的网页数据;根据所述网页数据依次进行第一级匹配和第二级匹配,以判断所述网页数据中是否存在所述恶意代码。3.如权利要求2所述的网页恶意代码追踪方法,其特征在于,所述获取所述目标网页的网页数据,包括:在检测到所述目标网页对应的数据返回操作时,通过浏览器的第一预设函数获取所述目标网页对应的网页数据块;对所述网页数据块进行组合,得到所述目标网页的网页数据。4.如权利要求2所述的网页恶意代码追踪方法,其特征在于,所述根据所述根据网页数据依次进行第一级匹配和第二级匹配之前,还包括:通过浏览器的第二预设函数判断所述网页数据是否已完全获取;相应地,所述网页数据依次进行第一级匹配和第二级匹配,包括:若所述网页数据已完全获取,则根据网页数据依次进行第一级匹配和第二级匹配。5.如权利要求2所述的网页恶意代码追踪方法,其特征在于,所述根据所述网页数据依次进行第一级匹配和第二级匹配,以判断所述网页数据中是否存在所述恶意代码,包括:根据所述网页数据通过浏览器进程进行第一级匹配,判断所述目标网页中是否存在含有恶意的js代码的可能性;若所述目标网页中含有恶意的js代码,则根据所述网页数据通过TPI进程进行第二级匹配,以判断所述网页数据中是否存在所述恶意代码。6.如权利要求5所述的网页恶意代码追踪方法,其特征在于,所述根据所述网页数据通过浏览器进程进行第一级匹配,判断所...
【专利技术属性】
技术研发人员:郑劲松,金鑫,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。