本发明专利技术公开了一种检测网马的方法和装置,技术方案包括:从网页内容中获取html网页脚本信息;执行所述html网页脚本信息,并对执行过程中产生的行为特征进行记录;将所述行为特征与保存的漏洞特征码相匹配,当匹配成功时,确定该网页内容含有网马。本发明专利技术所述装置包括:脚本信息获取模块、行为特征提取模块和网马特征匹配模块。采用本发明专利技术所述技术方案能够比较全面的对网页中的网马进行检测,并且克服了现有技术中依赖第三方软件的检测局限性问题。
【技术实现步骤摘要】
本专利技术涉及互联网
,更具体地说S涉及.一种检测网马的方法及 装置。
技术介绍
在互连网领域中,网马是指表面上伪装成普通网^文件或者将恶意代码 直接插入到正常的网页文件中,当用户访问该网页时,就会利用对方系统或 浏览器的漏洞自动将配置好的木马下载到访问者的电脑上来自动执行,给用 户的利益带来极大的危害。目前,现有技术中检测网马的方法主要包括以下,种 一种是文本特征码匹配技术,该技术通过分析大量网马样本,提取出关 键的网马特征或特征组,在对网页内容进行扫描的过程中,通过判断该网页 内容是否能与所述提if又到的网码特征或特征组相匹配,从而确定该检测网页 是否含网马;一种是采用蜜罐技术,该技术利用存有漏洞的客户端蜜罐系统(如 WinXP、 lE6.0或者有漏洞的软件),同时基于可有效控制和恢复运行的初始 状态的虚拟机软件构建。并通过利用一些行为监控软件,通过手动或自动的 方式访问待检测网站,经过2 3分钟的交互后,.根据l控到的动态行为,来 判定客户端蜜罐系统是否已被攻击并植入木马。该行为特征主要包括是否下 载了可执行文件,是否运行了可执行文件等。在实现本专利技术的过程中,专利技术人发现现有技术存在以下缺点(1) 采用文本特征码匹配技术不能解决javascript脚本语句的变形问 题,如文本字符串分拆、用十六或十进制来代替字符等,不会被执行的变 形的文本字符串很可能被当作网马代码特征检出,所以存在严重的误报情 况;针对javascript语句或html ( Hyper Text Mark-up Language,超文本标 i己i吾言)网页的力口密问题也无法解决,^口 htmlship、 JScript.Encode力口 密、base64编码、US—ASCII编码等;(2) 采用蜜罐技术在真实环境中执行该网站的文件,虽能准确获得该 网站内容的行为,但存在检测版本的局限性。同一台机器上安装的各种软件 只对应一个版本,如果该网站利用某个软件的其它版本的漏洞来设置网马, 就检测不到;虽然蜜罐技术对于网马检测具有针对性,大大减少了所要分析 的数据,但在一定时间段内只能针对一个网页进行检测,并发性程度不高, 导致检测效率很低。
技术实现思路
本专利技术的目的是提供一种检测网马的方法及装置,解决了现有技术中网 马检测的局限性,能够比较全面的对网页中的网马进行检测,并且克服了现 有技术中依赖第三方软件的检测网马的局限性问题。本专利技术的技术方案如下本专利技术提供了一种检测网马的方法,该方法包括 从网页内容中获取html网页脚本信息;执行所述html网页脚本信息,并对执行过程中产生的行为特征进行记录;将所述行为特征与保存的漏洞特征码相匹配,当匹配成功时,确定该网 页内容含有网马。 ' 进一步地,从网页内容中获取htm网页脚本信息,具体过程包括 通过对网页内容的解析,获得html网页脚本信息,并保存;所述html网页脚本信息中包含html网页脚本信息标签及对应的语言类型 和内容,以及包含带有html网页脚本代码的标签名称及对应代码和所述代码 的语言类型。进一步地,执行所述html网页脚本信息,并对执行过程中产生的行为特 征进行记录,具体过程包括将所述html网页脚本信息转换为Javascript类型中的Javascript代码;对所述Javascript代码执行中引用的全局对象和默认对象进行定义,以 获得所述全局对象和默认对象所对应的行为特征;按照所述定义执行所述Javascript代码,并记录所述全局对象和默认对 象在执行过程中所产生的行为特征;所述行为特征包括对象名、对象函数 名、函数参数值、属性名和属性值中的至少一项内容。进一步地,所述方法还包括当匹配成功时,将与该网马对应的匹配信息输出;否则,反馈该网页无 网马的提示信息。进一步地,所述漏洞特征码的生成过程具体包括通过对大量网马的样本和漏洞的分析,将含有漏洞的控件名称、关键函 数名及对应的属性名、关键函数参数及对应的属性值,作为漏洞特征码,保 存在数据库中。本专利技术还提供了一种检测网马的装置,包括 脚本信息获取模块,用于从网页内容中获取html网页脚本信息; 行为特征提取模块,用于执行所述脚本信息获取模块获取的html网页脚本信息,并对4丸行过程中产生的行为特征进行记录;网马特征匹配才莫块,用于将所述行为特征^是耳又;漠块记录的行为特征与保存的漏洞特4正码相匹配,当匹配成功时,确定该网页内容含有网马。 优选的,所述脚本信息获取模块具体过程包括网页内容解析单元,用于对所述网页内容的进行解析,获得html网页脚 本信息;脚本信息存储单元,用于保存所述网页内^解析单元获取的html网页脚 本信息;所述html网页脚本信息中包含html网页脚本信息标签及对应的语言 类型和内容,以及包含带有html网页脚本代码的标签名称及对应代码和所述 代码的语言类型。优选的,所述行为特征提取模块具体包括代码转换单元,用于将所述html网页脚本信息转换为Javascript类型中的 Javascript代码;对象定义单元,用于对所述代码转换单元转换后的Javascript代码在执行过程中引用的全局对象和默认对象进行定义',以获得所述全局对象和默认对象所对应的行为特征;代码执行单元,用于根据所述对象定义单元对所述全局对象和默认对象的定义,执行所述Javascript代码,并记录所述全局对象和默认对象在执行过程中产生的行为特征;所述行为特征包括对'象名、对象函数名、函数参数值、属性名和属性值中的至少一项内容。优选的,所述网马特征匹配模块具体包括特征匹配单元,用于将所述行为特征与漏洞特征码进行匹配;结果处理单元,用于根据所述特征匹配单元的匹配结果,当匹配成功时,确定该网页内容含有网马,并将与该网马对应的匹配信息输出;否则,反馈该网页无网马的提示信息。优选的,网马特征匹配模块具体还包括特征码生成单元,用于通过对大量网马的才羊本和漏洞的分析,将含有漏 洞的控件名称、关键函数名及对应的属性名、关键函数参数及对应的属性 值,作为漏洞特征码。采用本专利技术所述技术方案,通过获取html scrip标签(网页脚本标签)及 带有scrip代码的标签,解决了现有技术中对于Javascript语句的变形问题, 可以更全面地对网页内容进行;险测;本专利技术通过将网页脚本信息转换为 Javascript类型下的Javascript代码,解决了现有技术对于Javascript类型的加密网页不能进行网马检测的问题;并且本专利技术所述的技术方案不需要第三 方的软件来实现,完全由程序自动4企测,更加高效。附图说明图1为本专利技术实施例 一种检测网马的方法的简要*:程图; 图2为本专利技术实施例一种检测网马的装置的简要结构图; 图3为本专利技术实施例1 一种;f企测网马的方法的流程图。具体实施例方式为了便于理解本专利技术所述的技术方案,下面结合具体实施例来进行说明。本专利技术实施例通过对网页内容的解析,获得html script脚本(网页脚 本,是可被浏览器执行的脚本语言,主要类型包括javascript、 vbscript, JScript.Encode等),并将vbscript和JScript.Encode类型的脚本转换为 javascript类型下的javasc本文档来自技高网...
【技术保护点】
一种检测网马的方法,其特征在于,包括: 从网页内容中获取html网页脚本信息; 执行所述html网页脚本信息,并对执行过程中产生的行为特征进行记录; 将所述行为特征与保存的漏洞特征码相匹配,当匹配成功时,确定该网页内容含有 网马。
【技术特征摘要】
【专利技术属性】
技术研发人员:张海清,林世飞,季昕华,杨勇,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。