分析网页方法和装置制造方法及图纸

本发明专利技术实施例提供了一种分析网页方法和装置。该方法包括：将欲分析的网页中的运行函数替换为输出函数；通过调用所述输出函数，输出所述网页的内容；分析输出的所述网页的内容，确定所述网页是否为恶意网页。通过将网页中的运行函数替换为输出函数进行解密，实现了即时分析网页是否是恶意网页。

【技术实现步骤摘要】

本专利技术实施例涉及网络技术，特别涉及一种分析网页方法和装置。
技术介绍
随着互联网时代网络应用不断扩展，在为互联网用户提供越来越便利的 服务的同时也带了了很多安全性的隐患。目前，以经济利益为驱动的恶意事 件越来越多，网页挂马的形势也越来越严峻。网民中无论家庭用户、企业用 户还是政府用户，都无法区分出有恶意链接或已经被挂马的网站，被种木马病毒，从而导致邮箱、银行、证券、IM工具等账号被盗，导致直接或间接的 经济损失。目前绝大多数挂马的恶意网页都釆用了脚本加密变形的技术，加密后的 网页无法直接用特征比对的方式来进行分析判断，因此就不能使用传统杀毒 软件分析用户浏览的网页是否是恶意的。现在针对恶意网页的分析一般使用 沙箱检测的方法进行行为判断，既先下载网页并将该网页放在浏览器中运行， 然后监测浏览器的行为，比如是否有写入注册表的动作，是否有下载运行的 动作等来判断网页的合法性。在实现本专利技术过程中，专利技术人发现现有技术中至少存在如下问题采 用沙箱检测的方法进行分析网页是否是恶意网页时，需要先下载网页并通 过浏览器运行该网页，根据浏览器的行为判断网页是否合法，因此，不能 即时分析是否是恶意网页。
技术实现思路
4本专利技术实施例提供了 一种分析网页方法和装置，以实现对网页是否为恶 意网页进行即时分析。本专利技术实施例提供了一种分析网页方法，其中包括 将欲分析的网页中的运行函数替换为输出函数； 通过调用所述输出函数，输出所述网页的内容； 分析输出的所述网页的内容，确定所述网页是否为恶意网页。 本专利技术实施例提供了一种分析网页装置，其中包括 处理模块，用于将欲分析的网页中的运行函数替换为输出函数； 输出模块，用于通过调用所述输出函数，输出所述网页的内容； 分析模块，用于分析输出的所述网页的内容，确定所述网页是否为恶意 网页。由以上技术方案可知，本专利技术实施例提供的一种分析网页方法和装置， 通过将欲分析的网页中的运行函数替换为输出函数，通过输出网页内容并分 析，确定该网页是否是恶意网页，实现了对网页是否为恶意网页的即时分析。附图说明图1为本专利技术分析网页方法实施例一流程图； 图2为本专利技术分析网页方法实施例二流程图； 图3为本专利技术分析网页方法实施例三流程图； 图4为本专利技术分析网页装置实施例一结构示意图； 图5为本专利技术分析网页装置实施例二结构示意图。具体实施例方式下面通过具体实施例并结合附图对本专利技术做进一步的详细描述。 图1为本专利技术分析网页方法实施例一流程图。如图1所示，本专利技术实施 例提供了一种分析网页方法，该方法包括步骤IOO、将欲分析的网頁中的逸行函数替换为输出函数； 步骤IOI、通过调用输出函数，输出网页的内容； 步骤102、分析输出的网页的内容，确定网页是否为恶意网页。 由以上技术方案可知，本专利技术实施例提供的分析网页方法，通过将欲分 析的网页中的运行函数替换为输出函数，并由输出函数将该网页的内容输出 并最终分析该网页是否是恶意网页。本专利技术实施例提供的分析网页方法无需 通过浏览器运行该网页来进行行为判断，实现了即时分析网页是否是恶意网 页。图2为本专利技术分析网页方法实施例二流程图。本实施例的网页采用脚本 加密，如图2所示，本专利技术实，例提供了一种分析网页方法，该方法包括步骤200、采用字符串替换的方式将欲分析的网页中的运行函数替换为 输出函数。现有技术中将加密后的网页通过解析器解密，解密后的网页就通过浏览 器直接运行。而本专利技术实施例仅想得到脚本加密的网页解密后的内容，只是 希望将网页解密后的内容输出而不是将网页中的内容在浏览器中运行。经过 分析发现，网页如果能在浏览器中运行，那么至少需要一个关键的脚本运行 函数，该运行函数用于将网页传递到浏览器中解密运行。因此通过步骤200 将欲分析的网页中的运行函数替换为自定义的拥有输出功能的输出函数，例 如，可以通过函数劫持的方法将运行函数替换为输出函数，即用字符串替换 的方式将欲分析的网页中的运行函数替换为输出函数。也就是说，通过将运 行函数替换为输出函数，网页解密后就由输出函数将解密后的网页的内容输 出，而不是将解密后的网页的内容发送到浏览器中运行。步骤201、加载解析器。对于采用脚本语言加密的网页和通常接触的数据加密技术不同，脚本语 言是一种解释语言，解密的代码和加密密钥都是以明文形式存在于网页里面， 也就是说解密函数是已经存在于脚本加密的网页中，该解密函数可以轻易的获得。在具体实现过程中，在用户在浏览器中输入网址时，浏览器将获得用 户指定的网页信息，通过分析确定用户指定要浏览的网页是否是通it^本力口 密的网页，如果网页是通过脚本加密的，则加载解析器。其中，步骤201也 可以在步骤200之前执行，本专利技术实施例对步骤200和步骤201的执行顺序 不^故限制。步骤202、采用解析器对欲分析的网页进行解密。具体为，将通过字符串方式替换处理过的网页放入解析器中运行解密， 解析器可以调用脚本加密的网页中自带的解密函数对该网页自身进行解密。 在运行解密的过程中，当解析器调用运行函数时，转为调用输出函数。也就 是说，经过字符串替换处理过的网页，在解析器运行过程中，不再调用运行 函数，而是调用输出函数，将解析器解密后的网页的内容输出。在解析器解 密脚本加密的网页时，由于不再调用运行函数，解密后的网页就不会被送到 浏览器中运行。步骤203、通过特征比对的方法分析输出的网页的内容，确定网页是否 为恶意网页。具体为，输出的网页的内容通过解析器解密后，可以通过特征比对的方 法，将解密后输出的网页内容进行特征比对分析，如果解密后输出的网页内 容中含有恶意代码，就确认该网页就是恶意网页，则阻止用户浏览该网页。 也就是说，可以通过特征比对的方法分析由输出函数输出的解密的网页内容 是否有恶意代码从而判断网页是否是恶意网页，如果网页是恶意网页，则阻 止用户浏览该网页；如果网页不是恶意网页，则允许用户浏览该网页。阻止 用户浏览的方法可以是通过网关或软件将传输的数据流截断；或者通过以弹 出警告信息的形式，提醒用户网页是恶意网页。下面以JavaScript脚本语言加密的网页为例，对本专利技术实施例作进一步 的解释。其中eval()、 document, wr i te ()为脚本加密的网页的运4亍函数，用 于将用户指定要浏览的网页发送到浏览器中运行，函数myout()是自定义的输出函数，用于输出解密后的网页内容。首先，获取用户要浏览的网页，如果该网页是通过脚本加密，则加载解析器用于解密该网页；其次，如果在网 页中查找到上述两个运行函数eval () 、 document, write ()，则使用字符串替 换方式替换为myout()输出函数；然后再将通过字符串替换方式处理过的网 页放在JavaScript脚本解析器(采用开源的spidermonkey解析器)中运行解 密。在解析器的解密过程中，当运行到调用运行函数时，转为调用myout() 输出函数，既将解密后的网页内容以参数形式传递给myout()输出函数，而 不是传递给eval()、 document, write ()运行函数。解析器通过调用网页自带 的解密函数解密运行完毕后，通过myout()输出函数输出的内容就是解密后 的网页内容；最后，通过特征比对的方法分析通本文档来自技高网...

【技术保护点】
一种分析网页方法，其特征在于，包括：　将欲分析的网页中的运行函数替换为输出函数；　通过调用所述输出函数，输出所述网页的内容；　分析输出的所述网页的内容，确定所述网页是否为恶意网页。

【技术特征摘要】

【专利技术属性】
技术研发人员：王新颖，
申请(专利权)人：成都市华为赛门铁克科技有限公司，
类型：发明
国别省市：90[中国|成都]