CN100571276C - 一种基于行为特征的网页木马检测方法 - Google Patents
一种基于行为特征的网页木马检测方法 Download PDFInfo
- Publication number
- CN100571276C CN100571276C CNB2006101525303A CN200610152530A CN100571276C CN 100571276 C CN100571276 C CN 100571276C CN B2006101525303 A CNB2006101525303 A CN B2006101525303A CN 200610152530 A CN200610152530 A CN 200610152530A CN 100571276 C CN100571276 C CN 100571276C
- Authority
- CN
- China
- Prior art keywords
- webpage
- web page
- wooden horse
- browser
- horse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明专利属于计算机安全领域,主要利用浏览器浏览含有木马程序的网页,通过对系统进程调度、内存变化等行为,来实现快速、准确地检测网页中是否含有木马。本发明的基本原理是当网页中隐藏的木马被运行时,系统必定产生一个新的进程而且此进程的父进程为浏览器进程,因此通过对系统进程的监控来快速、准确的检测网页中是否含有木马程序,从而解决网络中有害网页快速检测,为上网用户提供安全的网络环境。
Description
技术领域
本发明专利属于计算机安全领域,主要利用浏览器浏览含有木马程序的网页,通过对系统进程调度、内存变化等行为,来实现快速、准确地检测网页中是否含有木马,从而解决网络中有害网页快速检测,为上网用户提供安全的网络环境。
背景技术
计算机病毒、木马、间谍软件和恶意代码是近几年来计算机网络最主要的安全威胁。在计算机病毒、木马、间谍软件和恶意代码的传播途径中除垃圾邮件外,还有一条重要的途径就是利用构造特殊的网页将病毒、木马传播到访问该网页的用户计算机中。这种网页主要利用操作系统、浏览器、插件等的各种漏洞将可执行代码传播到用户计算机上进行执行,或利用系统中的解析器、控件的执行权限将网页中的恶意代码运行。由于这些特殊网页的配置和编码较为复杂,并且为了能够躲避杀毒软件查杀,大多由人工配置并且采用第三方软件进行加密变形处理,因而成为黑客用来传播木马程序最为有效的方法。
网页木马即利用网页代码来传播的木马,本质在于网页,而非木马本身。这些特殊网页通常是将木马程序的执行代码编码成为网页的组成部分,并配合特殊网页代码来激活木马程序执行,因此在黑客群体和杀毒软件公司、网络安全防御单位将其称为网页木马。
2004年6月末,杀毒软件公司从病毒的发作数量、危害程度综合考虑,总结并发布了2004年十大病毒及病毒发展趋势报告。报告结果显示间谍软件、QQ木马和网络游戏木马等网页木马成为热点。虽然木马类病毒在传播数量上还不及网络蠕虫,但其越来越明显的盗窃特性,会给受害用户造成更大更直接的损失。
2005年8月3日中国专业反病毒厂商之一日月光华软件公司官方网站(中国杀毒网http://www.viruschina.com/)遭到黑客袭击,网站被篡改,并携带病毒,经过反病毒厂商测试该网站共有三个病毒:Exploit.HTML.mht.bb、Backdoor.PcShare.5.r和trojan.PSW.LMIR.U,网民浏览后电脑可能被植入木马,而被黑客控制。这些病毒和木马程序的传播靠的就是网页木马。
在对网页木马的检测中杀毒软件公司积累了大量的经验和特征码,然而系统漏洞、浏览器漏洞和第三方插件的漏洞层出不穷,而且入侵者也在不断地对网页木马进行更新升级,并且采用加密和插入干扰字符的方法来躲避检测。用户要躲避网页木马的攻击,必须不断的安装补丁程序或者升级系统。但是每年每月甚至每一天都会有新的漏洞出现,就在2005年7月,国际报道美国微软称:黑客正在疯狂地试图利用Windows中的两处严重安全缺陷。其中的一个缺陷影响″色彩管理模块″--处理颜色的一个Windows组件;另一个缺陷与微软″Java虚拟机″的JView Profiler部分有关。微软称,该缺陷可以被用于控制用户的个人电脑。在对漏洞信息的获取上用户和黑客是不对等的,黑客会最先知道和利用漏洞,而用户不可能得到及时升级,这些用户的计算机将长期受到黑客的控制。因此切断网络木马的传播途径是防范木马最有效的方法,网页木马检测最主要的是要能检测出隐藏在网页代码中的漏洞利用代码。随着新的漏洞的出现就会有新的网页木马产生,所以检测、查杀网页木马将是个长期、艰巨的任务。
发明内容
为了查找出隐藏在网页中的木马程序,净化网络环境,保护网络用户,本专利提出基于行为特征的网页木马的检测方法,从而可快速判断网页木马的存在,对其进行预先阻拦。
本发明的基本原理是当网页中隐藏的木马被运行时,系统必定产生一个新的进程而且此进程的父进程为浏览器进程,因此通过对系统进程的监控来快速、准确的检测网页中是否含有木马程序。
本发明提出的基于行为特征的网页木马方法,包括以下几个步骤:
(1)使用浏览器运行待检测的网页。隐藏有木马程序的网页只有在使用浏览器运行该网页后,木马程序才会被激活。木马程序也是病毒的一种,因此木马也是可以运行的程序,只有在隐藏在网页代码中的木马程序被运行的情况下,才能够通过进程监控程序观察到进程的改变。
(2)使用浏览器程序将待检测的网页打开以后,运行进程监控程序监视进程变化,看是否有新进程产生。可以通过传递消息函数或者通过枚举来通知有没有新进程产生。如果浏览器所打开的网页是安全的网页,其网页代码中并不包含恶意的木马程序的话,就不会有新进程产生,进程列表也不会发生变化;若有新进程产生,而且所产生的新进程的父进程为浏览器进程的话,则能够判断此进程为木马进程,浏览器所运行的网页中含有木马程序。
(3)在进程监控程序所列出的进程列表中找出新产生的木马进程所对应的文件名,因为此木马程序在浏览器运行了含有该木马程序的网页代码后,已经被拷贝到本地机器的硬盘中,因此可以在硬盘中找到该木马程序,并将此文件进行复制,作为木马样本保存。
(4)在浏览器的缓存空间所保存的网页代码中搜索该木马进程文件名。在网页代码中搜索到新产生的木马进程名称之后,同时在网页代码中可以找到该文件所在的网页链接,该网页链接也就是浏览器所运行的木马程序所在的链接。
(5)将所保存的木马样本以及在网页代码中找到的木马程序所在的网页链接作为网页木马检测结果,并将检测结果中的木马程序提交至检测中心的木马特征库,然后将木马程序所在的网页链接作为有害链接提交至检测中心。
本发明提出的基于行为特征的网页木马的检测方法,具有以下优点:
(1)本发明提出的基于行为特征的网页木马检测方法,可以准确、及时地检测出杀毒软件不能检测出的隐藏在网页中的木马病毒。
(2)本发明提出的基于行为特征的网页木马检测方法,具有简单、易行的特点,非常适合用于网络安全机构对网络服务器上的网页木马进行检测。
附图说明
图1是基于行为特征的网页木马检测方法的总体流程图。
具体实施方式
本发明所提出的基于行为特征的网页木马检测方法,其总体流程如图1所示。首先需要使用浏览器程序浏览待检测的网页,即使用浏览器程序运行待检测的网页代码。木马程序也是病毒的一种,因此木马必定也是可以运行的程序,并且隐藏在网页代码中的木马程序只有在使用浏览器运行该网页后,木马程序才能够被激活并运行。只有在隐藏在网页代码中的木马程序被运行的情况下,才能够通过进程监控程序观察到进程的改变。
使用浏览器程序将待检测的网页打开以后,立即运行进程监控程序来监视进程的变化,观察进程列表中是否有新的进程产生。可以通过传递消息函数或者通过枚举来通知有没有新进程产生。如果浏览器程序所运行的网页是安全的网页,其网页代码中并不包含恶意的木马程序的话,就不可能会有新进程产生,进程监控程序也不会观察到进程列表发生变化;如果进程监控程序观察到进程列表中有新的进程产生,而且所产生的新进程的父进程如果为浏览器进程的话,则可以判断此进程必定为木马进程,而浏览器所运行的网页代码中必定含有木马程序。
接下来在进程监控程序所列出的进程列表中找出新产生的木马进程所对应的文件名,因为此木马程序在浏览器运行了含有该木马程序的网页代码后,已经被拷贝到本地机器的硬盘中,因此可以在硬盘中找到该木马程序,并将此文件进行复制,作为木马样本保存。
随后在浏览器的缓存空间所保存的网页代码中搜索该木马进程文件名。在网页代码中搜索到新产生的木马进程名称之后,同时在网页代码中可以找到该文件所在的网页链接,该网页链接也就是浏览器所运行的木马程序所在的链接。
最后将所保存的木马样本以及在网页代码中找到的木马程序所在的网页链接作为网页木马检测结果,并将检测结果中的木马程序提交至检测中心的木马特征库,然后将木马程序所在的网页链接作为有害链接提交至检测中心。
Claims (4)
1、一种基于行为特征的网页木马检测方法,其特征在于:利用浏览器浏览含有木马程序的网页,通过对系统进程调度、内存变化行为,来实现快速、准确地检测网页中是否含有木马,从而解决网络中有害网页快速检测,为上网用户提供安全的网络环境,其处理方法具体是:
a.使用浏览器浏览待检测的网页;
b.运行进程监控程序监视进程变化,看是否有新进程产生;
c.如果有新进程产生并且此进程的父进程为浏览器进程的话,就能够判断此进程为木马进程,浏览器所浏览的网页中含有木马程序;
d.在进程监控程序所列出的进程列表中找出新产生的木马进程所对应的文件名,并在硬盘中找到该文件,执行拷贝操作,将该文件作为木马样本进行保存;
e.在浏览器的缓存空间所保存的网页代码中找到该文件所在的网页链接;
f.将所保存的木马样本以及在网页代码中找到的木马程序所在的网页链接作为网页木马检测结果。
2、根据权利要求1所述的一种基于行为特征的网页木马检测方法,其特征在于:其中的监视进程变化看是否有新进程产生,是通过传递消息函数或枚举来对进程列表进行监视的。
3、根据权利要求1所述的一种基于行为特征的网页木马检测方法,其特征在于:其中判断一个新进程是否为木马进程,是通过判断一个新进程的父进程是否为浏览器进程来实现的,如果有新进程产生并且此进程的父进程为浏览器进程的话,就能够判断此进程为木马进程,浏览器所浏览的网页中含有木马程序。
4、根据权利要求1所述的一种基于行为特征的网页木马检测方法,其特征在于:网页木马检测结果包括找到的木马文件以及该木马文件所在的网页链接,首先在进程列表中找出新产生的木马进程所对应的文件名,并在硬盘中找到该文件,执行拷贝操作,将该文件作为木马样本进行保存;然后在浏览器的缓存空间所保存的网页代码中找到该文件所在的网页链接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101525303A CN100571276C (zh) | 2006-09-28 | 2006-09-28 | 一种基于行为特征的网页木马检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101525303A CN100571276C (zh) | 2006-09-28 | 2006-09-28 | 一种基于行为特征的网页木马检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1925494A CN1925494A (zh) | 2007-03-07 |
| CN100571276C true CN100571276C (zh) | 2009-12-16 |
Family
ID=37817959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006101525303A Expired - Fee Related CN100571276C (zh) | 2006-09-28 | 2006-09-28 | 一种基于行为特征的网页木马检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100571276C (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101673326B (zh) * | 2008-09-11 | 2012-04-18 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
| CN101562618B (zh) * | 2009-04-08 | 2012-03-28 | 深圳市腾讯计算机系统有限公司 | 一种检测网马的方法及装置 |
| CN101552779B (zh) * | 2009-05-04 | 2012-05-23 | 电子科技大学 | 网络木马的综合检测方法和综合检测装置 |
| CN101686239B (zh) * | 2009-05-26 | 2013-06-19 | 中山大学 | 一种木马发现系统 |
| CN101799855B (zh) * | 2010-03-12 | 2012-08-22 | 北京大学 | 一种基于ActiveX组件模拟的网页木马检测方法 |
| CN101859373A (zh) * | 2010-04-28 | 2010-10-13 | 国网电力科学研究院 | 一种移动可信终端安全接入方法 |
| CN101902481B (zh) * | 2010-08-10 | 2014-04-09 | 厦门市美亚柏科信息股份有限公司 | 一种网页木马实时监测方法及其装置 |
| CN102999718B (zh) * | 2011-09-16 | 2015-07-29 | 腾讯科技(深圳)有限公司 | 一种支付网页防修改方法和装置 |
| CN102932329B (zh) * | 2012-09-26 | 2016-03-30 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN104462962B (zh) * | 2013-09-13 | 2018-07-03 | 北京安赛创想科技有限公司 | 一种检测未知恶意代码和二进制漏洞的方法 |
| CN103699838B (zh) * | 2013-12-02 | 2018-05-04 | 百度国际科技(深圳)有限公司 | 病毒的识别方法及设备 |
| CN103617395B (zh) * | 2013-12-06 | 2017-01-18 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和系统 |
| US9485263B2 (en) * | 2014-07-16 | 2016-11-01 | Microsoft Technology Licensing, Llc | Volatility-based classifier for security solutions |
| CN108229150B (zh) * | 2016-12-21 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 客户端的信息校验方法和装置 |
| CN107423325A (zh) * | 2017-04-07 | 2017-12-01 | 杭州安恒信息技术有限公司 | 一种追溯网页篡改行为源的方法 |
| CN108363921A (zh) * | 2017-07-05 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种基于进程行为特征发现窃密木马的方法及系统 |
-
2006
- 2006-09-28 CN CNB2006101525303A patent/CN100571276C/zh not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| 网页木马与跨域漏洞. 江璜.电脑知识与技术,第1期. 2006 |
| 网页木马与跨域漏洞. 江璜.电脑知识与技术,第1期. 2006 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1925494A (zh) | 2007-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100571276C (zh) | 一种基于行为特征的网页木马检测方法 | |
| Chen et al. | Mystique: Uncovering information leakage from browser extensions | |
| Jueckstock et al. | Visiblev8: In-browser monitoring of javascript in the wild | |
| Melicher et al. | Riding out domsday: Towards detecting and preventing dom cross-site scripting | |
| Xu et al. | Jstill: mostly static detection of obfuscated malicious javascript code | |
| Stock et al. | Precise client-side protection against {DOM-based}{Cross-Site} scripting | |
| Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
| CN100478953C (zh) | 基于统计特征的网页恶意脚本检测方法 | |
| Scholte et al. | Have things changed now? An empirical study on input validation vulnerabilities in web applications | |
| CN100454309C (zh) | 基于链接分析的网页木马追踪技术 | |
| Cova et al. | Detection and analysis of drive-by-download attacks and malicious JavaScript code | |
| Shar et al. | Automated removal of cross site scripting vulnerabilities in web applications | |
| CN101673326B (zh) | 基于程序执行特征的网页木马检测方法 | |
| Mutchler et al. | Target fragmentation in Android apps | |
| Schlumberger et al. | Jarhead analysis and detection of malicious java applets | |
| Zhang et al. | Notice of retraction: A static analysis tool for detecting web application injection vulnerabilities for asp program | |
| Izquierdo et al. | Collaboro: a collaborative (meta) modeling tool | |
| Li et al. | WebShield: Enabling Various Web Defense Techniques without Client Side Modifications. | |
| US20130160124A1 (en) | Disinfection of a File System | |
| Continella et al. | Prometheus: Analyzing WebInject-based information stealers | |
| Grier et al. | Designing and implementing the OP and OP2 web browsers | |
| Cao et al. | JShield: Towards real-time and vulnerability-based detection of polluted drive-by download attacks | |
| Zhang et al. | An execution-flow based method for detecting cross-site scripting attacks | |
| Akram et al. | How to build a vulnerability benchmark to overcome cyber security attacks | |
| Zhu et al. | Shadowblock: A lightweight and stealthy adblocking browser |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091216 Termination date: 20110928 |