CN103065089B - 网页木马的检测方法和装置 - Google Patents
网页木马的检测方法和装置 Download PDFInfo
- Publication number
- CN103065089B CN103065089B CN201210531779.0A CN201210531779A CN103065089B CN 103065089 B CN103065089 B CN 103065089B CN 201210531779 A CN201210531779 A CN 201210531779A CN 103065089 B CN103065089 B CN 103065089B
- Authority
- CN
- China
- Prior art keywords
- webpage
- malicious code
- horse
- page
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种网页木马的检测方法,包括:对网页的静态页面进行扫描,检测网页中是否存在恶意代码;当网页中存在恶意代码时,判断网页的地址是否跳转;若是,则分析网页的流量行为,并比对网页的流量行为与预设的挂马网页特征,根据比对结果判断网页是否为挂马网页。本发明还公开了一种网页木马的检测装置。本发明所公开的方案,采用静态页面扫描、网页流量行为分析和网页流量深入分析的方法,对已知和未知的漏洞挂马行为均可进行识别,以检测访问的网页中是否存在木马,从而有效地提高了对网页木马识别的准确性,并且降低了误报率和漏报率。<!--1-->
Description
技术领域
本发明涉及到互联网技术领域,特别涉及到一种网页木马的检测方法和装置。
背景技术
网页木马攻击是目前互联网面临的最主要的危害之一,网页木马攻击主要利用浏览器、activex控件、文件以及常用应用软件的漏洞,攻击者通过篡改正常的网页,在正常的网页中插入一段恶意代码,当受害者访问被篡改的网页时,如果浏览器或者控件、文件解析器等存在漏洞,嵌入在网页中的木马就可以被下载到受害者的计算机中,通过下载的木马,攻击者便可以控制受害者的计算机。网页挂马对受害者的计算机的危害非常大,目前,主要通过如下几种方式进行防御:
1、根据漏洞特征进行防御
当发现漏洞后,分析漏洞特征码,然后提取特征进行防御。这种方法的最大缺点是无法做到事前防御,而且只能防御已经发布并公开的漏洞,而对于潜在的以及内部流通的安全漏洞则无法防御,所以经常出现漏报。
2、根据网页特征码进行防御
分析常见的攻击代码形式,如堆喷射代码,然后检测网页中是否存在这样的恶意代码。这种检测技术需要识别网页中的恶意代码,这就会存在两种问题:一是误报,比如介绍某种漏洞利用方法的网页,就可能会被误报为挂马网页;另一种是漏报,一些挂马网页可能会被加密,从而导致无法识别一些真正挂马的网页。
3、基于动态行为检测网页木马
通过客户端虚拟机,检测网页中是否有异常行为,比如大量申请内存和调用系统函数等,当检测到有异常行为时则发出告警。这种防御机制效率较低,而且一般只能部署在客户端上进行检测。
4、通过反病毒软件直接扫描挂马网页
通过杀毒软件检测嵌入到网页中的恶意木马,检测下载文件中是否存在恶意木马,这种技术比较常见,是杀毒软件主要的功能。但是,这种防御方式最主要的缺点是对于病毒的查杀需要依赖于病毒软件病毒库的完整性。
发明内容
本发明的主要目的为提供一种网页木马的检测方法和装置,旨在有效地提高对网页木马识别的准确性,并且降低误报率和漏报率。
本发明提供一种网页木马的检测方法,包括:
对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码;
当所述网页中存在恶意代码时,判断所述网页的地址是否跳转;
若是,则分析所述网页的流量行为,并比对所述网页的流量行为与预设的挂马网页特征,根据比对结果判断所述网页是否为挂马网页。
优选地,在执行所述对网页的静态页面进行扫描之前,还包括:
接收访问网页的请求报文,根据所述请求报文返回应答页面,并对所述应答页面进行缓存,对所述请求报文进行重组。
优选地,所述对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码包括:
扫描根据所述请求报文所返回的应答页面的静态页面;
根据预置的恶意代码库,检测该静态页面中是否存在与所述恶意代码库中的恶意代码相匹配的恶意代码。
优选地,在执行所述对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码之后,还包括:
当所述网页中不存在恶意代码时,则还原所述网页流量的原始内容,判断所述网页流量的原始内容中是否存在恶意代码。
优选地,所述预设的挂马网页特征包括:网页地址的跳转次数特征、网页跳转的域名特征、下载文件的格式特征以及请求报文的异常特征。
本发明还提供一种网页木马的检测装置,包括:
恶意代码检测模块,用于对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码;
第一判断模块,用于当所述网页中存在恶意代码时,判断所述网页的地址是否跳转;
分析及对比模块,用于分析所述网页的流量行为,并比对所述网页的流量行为与预设的挂马网页特征;
第二判断模块,用于根据比对结果判断所述网页是否为挂马网页。
优选地,网页木马的检测装置还包括:
接收及返回模块,用于接收访问网页的请求报文,根据所述请求报文返回应答页面;
缓存及重组模块,用于对所述应答页面进行缓存,对所述请求报文进行重组。
优选地,所述恶意代码检测模块包括:
扫描单元,用于扫描根据所述请求报文所返回的应答页面的静态页面;
检测单元,用于根据预置的恶意代码库,检测该静态页面中是否存在与所述恶意代码库中的恶意代码相匹配的恶意代码。
优选地,网页木马的检测装置还包括:
还原模块,用于当所述网页中不存在恶意代码时,则还原所述网页流量的原始内容;
第三判断模块,用于判断所述网页流量的原始内容中是否存在恶意代码。
优选地,所述预设的挂马网页特征包括:网页地址的跳转次数特征、网页跳转的域名特征、下载文件的格式特征以及请求报文的异常特征。
本发明通过对网页的静态页面进行扫描,以检测网页中是否存在恶意代码;当检测到网页中存在恶意代码时,进一步判断网页的地址是否跳转;若是,则分析网页的流量行为,并比对网页的流量行为与预设的挂马网页特征,根据比对结果判断网页是否为挂马网页。采用静态页面扫描、网页流量行为分析和网页流量深入分析的方法,对已知和未知的漏洞挂马行为均可进行识别,以检测访问的网页中是否存在木马,从而有效地提高了对网页木马识别的准确性,并且降低了误报率和漏报率。
附图说明
图1为本发明网页木马的检测方法第一实施例的流程示意图;
图2为本发明网页木马的检测方法第二实施例的流程示意图;
图3为本发明网页木马的检测方法中检测网页中是否存在恶意代码的流程示意图;
图4为本发明网页木马的检测方法第三实施例的流程示意图;
图5为本发明网页木马的检测装置第一实施例的结构示意图;
图6为本发明网页木马的检测装置第二实施例的结构示意图;
图7为本发明网页木马的检测装置中恶意代码检测模块的结构示意图;
图8为本发明网页木马的检测装置第三实施例的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种网页木马的检测方法,采用静态页面扫描、网页流量行为分析和网页流量深入分析的方法,对已知和未知的漏洞挂马行为均可进行识别,从而检测访问的网页中是否存在木马。
参照图1,图1为本发明网页木马的检测方法第一实施例的流程示意图。
本实施例所提供的网页木马的检测方法,包括:
步骤S10,对网页的静态页面进行扫描,检测网页中是否存在恶意代码;若是,则执行步骤S20;
步骤S20,当网页中存在恶意代码时,判断网页的地址是否跳转;若是,则执行步骤S30;
步骤S30,分析网页的流量行为,并比对网页的流量行为与预设的挂马网页特征,根据比对结果判断网页是否为挂马网页。
本实施例中,以访问网页为在HTTP(Hypertexttransferprotocol,超文本传送协议)通信协议下的网页进行说明。由于网页挂马通常是利用客户端的漏洞,因此,如果该网页是挂马网页,在网页的静态页面中会有明显的特征,即其中可能包括如堆喷射代码、iframe代码和shellcode代码等恶意脚本和恶意代码。当用户访问网页时,对该网页的静态页面进行扫描,以检测网页中是否包括堆喷射代码、iframe代码和shellcode代码等恶意代码。
如果检测出网页中存在恶意代码,进一步判断在访问的过程中,是否伴随着网页地址的跳转。网页木马中基本没有直接下载木马的网页,当用户访问被攻击者篡改的网页,恶意代码返回到客户端,并利用客户端软件的漏洞执行了该恶意代码后,需要将受害者的访问跳转到中转站,并经过多次跳转最终跳转到木马下载站点。因此,在检测出网页中存在恶意代码后,需要进一步判断网页地址是否跳转,只有在检测出网页中存在恶意代码,并同时伴随着网页地址的跳转时,才说明当前网页为挂马网页。
当检测出网页中存在恶意代码,并且判断出在访问的过程中伴随着网页地址的跳转时,分析该网页的流量行为,并比对分析出的网页的流量行为与预设的挂马网页特征,最终根据比对结果判断当前所访问的网页是否为挂马网页。本实施例中,预设的挂马网页特征包括:网页地址的跳转次数特征、网页跳转的域名特征、下载文件的格式特征或请求报文的异常特征等与正常网页不同的特征。其中,挂马网页的网页地址的跳转次数通常为3次到7次;挂马网页的网页跳转的域名有三个特点,第一种是直接使用IP地址作为域名,第二种域名的外部域大多是net和com,第三种是域名段数为2段;挂马网页所下载的文件的格式为exe文件;挂马网页的请求报文内容和正常的浏览器发出的报文有明显示的区别,如accept-Language、accept-Encoding、Referer、user-agent等字段缺失或者和浏览器相比有明显异常。
在本实施例中,在一个为挂马网页的网页中,上述挂马网页特征不一定全部出现,但如果该网页是挂马网页,必定会出现其中几种情况,本实施例设定如满足上述两种及以上挂马网页的特征,则可认为当前网页为挂马网页,此时在下载木马程序。
本发明实施例,通过对网页的静态页面进行扫描,以检测网页中是否存在恶意代码;当检测到网页中存在恶意代码时,进一步判断网页的地址是否跳转;若是,则分析网页的流量行为,并比对网页的流量行为与预设的挂马网页特征,根据比对结果判断网页是否为挂马网页。采用静态页面扫描、网页流量行为分析和网页流量深入分析的方法,对已知和未知的漏洞挂马行为均可进行识别,以检测访问的网页中是否存在木马,从而有效地提高了对网页木马识别的准确性,并且降低了误报率和漏报率。
参照图2,图2为本发明网页木马的检测方法第二实施例的流程示意图。
基于上述实施例,在执行步骤S10之前,该方法还包括:
步骤S40,接收访问网页的请求报文,根据请求报文返回应答页面,并对应答页面进行缓存,对请求报文进行重组。
用户请求访问网页,首先向网络端发送访问该网页的请求报文,当该请求报文通过网络端的防火墙后,接收该请求报文,并返回对应的应答页面,然后将所返回的应答页面进行缓存;同时为了防止攻击者将恶意代码分布放置在多个网页中,对所接收到的请求报文进行重组。
接收用户请求访问网页的请求报文,并返回对应的应答页面,将该应答页面进行缓存,同时对所接收到的请求报文进行重组,以防止攻击者将恶意代码分布放置在多个网页中,这样就为对已知和未知的漏洞挂马行为进行识别提供了前提保证。
参照图3,图3为本发明网页木马的检测方法中检测网页中是否存在恶意代码的流程示意图。
在本发明网页木马的检测方法第一实施例中,步骤S10包括:
步骤S11,扫描根据请求报文所返回的应答页面的静态页面;
步骤S12,根据预置的恶意代码库,检测该静态页面中是否存在与恶意代码库中的恶意代码相匹配的恶意代码。
在本实施例中,在接收到用户请求访问网页的请求报文,并根据该请求报文返回应答页面后,扫描该应答页面的静态页面,以通过该静态中是否存在恶意代码的明显特征,判断当前所访问的网页中是否存在恶意代码。本实施例中预置一用于检测恶意代码的恶意代码库,在该恶意代码库中存储了挂马网页中有可能被插入的所有恶意代码,当检测到静态页面中存在恶意代码的明显特征时,在恶意代码库中进行匹配,如果匹配成功,则说明当前所访问的网页中存在恶意代码,有可能存在挂马威胁。
在接收到用户请求访问网页的请求报文返回应答页面后,扫描该应答页面的静态页面,当检测到静态页面中存在恶意代码的明显特征时,在预置的恶意代码库中匹配成功,则说明当前所访问的网页中存在恶意代码,有可能存在挂马威胁,进一步保了能够有效地提高对网页木马识别的准确性。
参照图4,图4为本发明网页木马的检测方法第三实施例的流程示意图。
基于本发明网页木马的检测方法第一实施例,在执行步骤S10之后,该方法还包括:
步骤S50,当网页中不存在恶意代码时,则还原网页流量的原始内容,判断网页流量的原始内容中是否存在恶意代码。
在对网页的静态页面进行扫描,以检测当前所访问的网页中是否存在恶意代码之后,如判断出该网页中不存在恶意代码时,则有可能是攻击者为了逃避检测对网页作了变形,此时,需要对网页的流量进行深入分析,包括如http字符解码(base64解码、US-ACSII解码)、shellcode解密和eval函数加密等。利用深入分析机制,还原网页流量的原始内容,然后再进行恶意代码检测,即判断还原后的网页流量的原始内容中是否存在恶意代码。然后,再进一步进行网页地址是否跳转的判断。
在对网页的静态页面进行扫描之后,判断出该网页中不存在恶意代码时,对网页的流量进行深入分析,还原网页流量的原始内容,然后再判断还原后的网页流量的原始内容中是否存在恶意代码,更进一步保证了有效地提高对网页木马识别的准确性,进一步保证了能够降低误报率和漏报率。
本发明还提供一种网页木马的检测装置。
参照图5,图5为本发明网页木马的检测装置第一实施例的结构示意图。
本实施例所提供的网页木马的检测装置,包括:
恶意代码检测模块10,用于对网页的静态页面进行扫描,检测网页中是否存在恶意代码;
第一判断模块20,用于当网页中存在恶意代码时,判断网页的地址是否跳转;
分析及对比模块30,用于分析网页的流量行为,并比对网页的流量行为与预设的挂马网页特征;
第二判断模块40,用于根据比对结果判断网页是否为挂马网页。
本实施例中,以访问网页为在HTTP(Hypertexttransferprotocol,超文本传送协议)通信协议下的网页进行说明。由于网页挂马通常是利用客户端的漏洞,因此,如果该网页是挂马网页,在网页的静态页面中会有明显的特征,即其中可能包括如堆喷射代码、iframe代码和shellcode代码等恶意脚本和恶意代码。当用户访问网页时,恶意代码检测模块10对该网页的静态页面进行扫描,以检测网页中是否包括堆喷射代码、iframe代码和shellcode代码等恶意代码。
如果检测出网页中存在恶意代码,通过第一判断模块20进一步判断在访问的过程中,是否伴随着网页地址的跳转。网页木马中基本没有直接下载木马的网页,当用户访问被攻击者篡改的网页,恶意代码返回到客户端,并利用客户端软件的漏洞执行了该恶意代码后,需要将受害者的访问跳转到中转站,并经过多次跳转最终跳转到木马下载站点。因此,在检测出网页中存在恶意代码后,需要进一步判断网页地址是否跳转,只有在检测出网页中存在恶意代码,并同时伴随着网页地址的跳转时,才说明当前网页为挂马网页。
当检测出网页中存在恶意代码,并且判断出在访问的过程中伴随着网页地址的跳转时,分析及对比模块30分析该网页的流量行为,并比对分析出的网页的流量行为与预设的挂马网页特征,最终通过第二判断模块40根据比对结果判断当前所访问的网页是否为挂马网页。本实施例中,预设的挂马网页特征包括:网页地址的跳转次数特征、网页跳转的域名特征、下载文件的格式特征或请求报文的异常特征等与正常网页不同的特征。其中,挂马网页的网页地址的跳转次数通常为3次到7次;挂马网页的网页跳转的域名有三个特点,第一种是直接使用IP地址作为域名,第二种域名的外部域大多是net和com,第三种是域名段数为2段;挂马网页所下载的文件的格式为exe文件;挂马网页的请求报文内容和正常的浏览器发出的报文有明显示的区别,如accept-Language、accept-Encoding、Referer、user-agent等字段缺失或者和浏览器相比有明显异常。
在本实施例中,在一个为挂马网页的网页中,上述挂马网页特征不一定全部出现,但如果该网页是挂马网页,必定会出现其中几种情况,本实施例设定如满足上述两种及以上挂马网页的特征,则可认为当前网页为挂马网页,此时在下载木马程序。
本发明实施例,通过对网页的静态页面进行扫描,以检测网页中是否存在恶意代码;当检测到网页中存在恶意代码时,进一步判断网页的地址是否跳转;若是,则分析网页的流量行为,并比对网页的流量行为与预设的挂马网页特征,根据比对结果判断网页是否为挂马网页。采用静态页面扫描、网页流量行为分析和网页流量深入分析的方法,对已知和未知的漏洞挂马行为均可进行识别,以检测访问的网页中是否存在木马,从而有效地提高了对网页木马识别的准确性,并且降低了误报率和漏报率。
参照图6,图6为本发明网页木马的检测装置第二实施例的结构示意图。
基于上述实施例,网页木马的检测装置还包括:
接收及返回模块50,用于接收访问网页的请求报文,根据请求报文返回应答页面;
缓存及重组模块60,用于对应答页面进行缓存,对请求报文进行重组。
用户请求访问网页,首先向网络端发送访问该网页的请求报文,当该请求报文通过网络端的防火墙后,接收及返回模块50接收该请求报文,并返回对应的应答页面,然后通过缓存及重组模块60将所返回的应答页面进行缓存;同时为了防止攻击者将恶意代码分布放置在多个网页中,缓存及重组模块60还需对所接收到的请求报文进行重组。
接收用户请求访问网页的请求报文,并返回对应的应答页面,将该应答页面进行缓存,同时对所接收到的请求报文进行重组,以防止攻击者将恶意代码分布放置在多个网页中,这样就为对已知和未知的漏洞挂马行为进行识别提供了前提保证。
参照图7,图7为本发明网页木马的检测装置中恶意代码检测模块的结构示意图。
在本发明网页木马的检测装置第一实施例中,恶意代码检测模块10包括:
扫描单元11,用于扫描根据请求报文所返回的应答页面的静态页面;
检测单元12,用于根据预置的恶意代码库,检测该静态页面中是否存在与恶意代码库中的恶意代码相匹配的恶意代码。
在本实施例中,在接收到用户请求访问网页的请求报文,并根据该请求报文返回应答页面后,通过扫描单元11扫描该应答页面的静态页面,以通过该静态中是否存在恶意代码的明显特征,判断当前所访问的网页中是否存在恶意代码。本实施例中预置一用于检测恶意代码的恶意代码库,在该恶意代码库中存储了挂马网页中有可能被插入的所有恶意代码,当检测到静态页面中存在恶意代码的明显特征时,通过检测单元12在恶意代码库中进行匹配,如果匹配成功,则说明当前所访问的网页中存在恶意代码,有可能存在挂马威胁。
在接收到用户请求访问网页的请求报文返回应答页面后,扫描该应答页面的静态页面,当检测到静态页面中存在恶意代码的明显特征时,在预置的恶意代码库中匹配成功,则说明当前所访问的网页中存在恶意代码,有可能存在挂马威胁,进一步保了能够有效地提高对网页木马识别的准确性。
参照图8,图8为本发明网页木马的检测装置第三实施例的结构示意图。
基于本发明网页木马的检测装置第一实施例,该装置还包括:
还原模块70,用于当网页中不存在恶意代码时,则还原网页流量的原始内容;
第三判断模块80,用于判断网页流量的原始内容中是否存在恶意代码。
在对网页的静态页面进行扫描,以检测当前所访问的网页中是否存在恶意代码之后,如判断出该网页中不存在恶意代码时,则有可能是攻击者为了逃避检测对网页作了变形,此时,需要对网页的流量进行深入分析,包括如http字符解码(base64解码、US-ACSII解码)、shellcode解密和eval函数加密等。利用深入分析机制,通过还原模块70还原网页流量的原始内容,然后再进行恶意代码检测,即通过第三判断模块80判断还原后的网页流量的原始内容中是否存在恶意代码。然后,再进一步进行网页地址是否跳转的判断。
在对网页的静态页面进行扫描之后,判断出该网页中不存在恶意代码时,对网页的流量进行深入分析,还原网页流量的原始内容,然后再判断还原后的网页流量的原始内容中是否存在恶意代码,更进一步保证了有效地提高对网页木马识别的准确性,进一步保证了能够降低误报率和漏报率。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围。
Claims (8)
1.一种网页木马的检测方法,其特征在于,包括:
对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码,当检测到静态页面中存在恶意代码的明显特征时,在恶意代码库中进行匹配;
当所述网页中存在恶意代码时,判断所述网页的地址是否跳转;
若是,则分析所述网页的流量行为,并比对所述网页的流量行为与预设的挂马网页特征,根据比对结果判断所述网页是否为挂马网页,预设的挂马网页特征包括:网页地址的跳转次数特征、网页跳转的域名特征、下载文件的格式特征或请求报文的异常特征,与正常网页不同的特征;
在所述比对结果为是时,判断所述网页为挂马网页;
在所述比对结果为否时,判断所述网页不为挂马网页。
2.根据权利要求1所述的网页木马的检测方法,其特征在于,在执行所述对网页的静态页面进行扫描之前,还包括:
接收访问网页的请求报文,根据所述请求报文返回应答页面,并对所述应答页面进行缓存,对所述请求报文进行重组。
3.根据权利要求2所述的网页木马的检测方法,其特征在于,所述对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码包括:
扫描根据所述请求报文所返回的应答页面的静态页面;
根据预置的恶意代码库,检测该静态页面中是否存在与所述恶意代码库中的恶意代码相匹配的恶意代码。
4.根据权利要求3所述的网页木马的检测方法,其特征在于,在执行所述对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码之后,还包括:
当所述网页中不存在恶意代码时,则还原所述网页流量的原始内容,判断所述网页流量的原始内容中是否存在恶意代码。
5.一种网页木马的检测装置,其特征在于,包括:
恶意代码检测模块,用于对网页的静态页面进行扫描,检测所述网页中是否存在恶意代码,当检测到静态页面中存在恶意代码的明显特征时,在恶意代码库中进行匹配;
第一判断模块,用于当所述网页中存在恶意代码时,判断所述网页的地址是否跳转;
分析及对比模块,用于分析所述网页的流量行为,并比对所述网页的流量行为与预设的挂马网页特征,预设的挂马网页特征包括:网页地址的跳转次数特征、网页跳转的域名特征、下载文件的格式特征或请求报文的异常特征,与正常网页不同的特征;
第二判断模块,用于根据比对结果判断所述网页是否为挂马网页;
在所述比对结果为是时,判断所述网页为挂马网页;
在所述比对结果为否时,判断所述网页不为挂马网页。
6.根据权利要求5所述的网页木马的检测装置,其特征在于,还包括:
接收及返回模块,用于接收访问网页的请求报文,根据所述请求报文返回应答页面;
缓存及重组模块,用于对所述应答页面进行缓存,对所述请求报文进行重组。
7.根据权利要求6所述的网页木马的检测装置,其特征在于,所述恶意代码检测模块包括:
扫描单元,用于扫描根据所述请求报文所返回的应答页面的静态页面;
检测单元,用于根据预置的恶意代码库,检测该静态页面中是否存在与所述恶意代码库中的恶意代码相匹配的恶意代码。
8.根据权利要求7所述的网页木马的检测装置,其特征在于,还包括:
还原模块,用于当所述网页中不存在恶意代码时,则还原所述网页流量的原始内容;
第三判断模块,用于判断所述网页流量的原始内容中是否存在恶意代码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210531779.0A CN103065089B (zh) | 2012-12-11 | 2012-12-11 | 网页木马的检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210531779.0A CN103065089B (zh) | 2012-12-11 | 2012-12-11 | 网页木马的检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103065089A CN103065089A (zh) | 2013-04-24 |
CN103065089B true CN103065089B (zh) | 2016-03-09 |
Family
ID=48107717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210531779.0A Active CN103065089B (zh) | 2012-12-11 | 2012-12-11 | 网页木马的检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103065089B (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103905422B (zh) * | 2013-12-17 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及系统 |
CN104796426B (zh) * | 2015-04-29 | 2018-04-27 | 上海络安信息技术有限公司 | 网页后门的检测方法 |
CN105184159B (zh) * | 2015-08-27 | 2018-11-27 | 深信服科技股份有限公司 | 网页篡改的识别方法和装置 |
CN106453357A (zh) * | 2016-11-01 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种网络购票异常行为的识别方法、系统及设备 |
CN108229159B (zh) * | 2016-12-09 | 2022-04-01 | 武汉安天信息技术有限责任公司 | 一种恶意代码检测方法及系统 |
CN107180194B (zh) * | 2017-05-11 | 2020-05-05 | 北京安赛创想科技有限公司 | 基于视觉分析系统进行漏洞检测的方法及装置 |
CN107231364B (zh) * | 2017-06-13 | 2020-06-09 | 深信服科技股份有限公司 | 一种网站漏洞检测方法及装置、计算机装置及存储介质 |
CN109426531A (zh) * | 2017-08-18 | 2019-03-05 | 蒋龙友 | 一种混合动力车app系统页面的转换方法 |
CN109347882B (zh) * | 2018-11-30 | 2021-12-21 | 深信服科技股份有限公司 | 网页木马监测方法、装置、设备及存储介质 |
CN110401660B (zh) * | 2019-07-26 | 2022-03-01 | 秒针信息技术有限公司 | 虚假流量的识别方法、装置、处理设备及存储介质 |
CN110929257B (zh) * | 2019-10-30 | 2022-02-01 | 武汉绿色网络信息服务有限责任公司 | 一种网页中携带恶意代码的检测方法和装置 |
CN112685739B (zh) * | 2020-12-31 | 2022-11-04 | 卓尔智联(武汉)研究院有限公司 | 恶意代码检测方法、数据交互方法及相关设备 |
CN113709154B (zh) * | 2021-08-25 | 2023-08-15 | 平安国际智慧城市科技股份有限公司 | 浏览器安全处理方法、装置、计算机设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101820419A (zh) * | 2010-03-23 | 2010-09-01 | 北京大学 | 一种挂马网页中网页木马挂接点自动定位方法 |
CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060075494A1 (en) * | 2004-10-01 | 2006-04-06 | Bertman Justin R | Method and system for analyzing data for potential malware |
CN101552779B (zh) * | 2009-05-04 | 2012-05-23 | 电子科技大学 | 网络木马的综合检测方法和综合检测装置 |
-
2012
- 2012-12-11 CN CN201210531779.0A patent/CN103065089B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101820419A (zh) * | 2010-03-23 | 2010-09-01 | 北京大学 | 一种挂马网页中网页木马挂接点自动定位方法 |
CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103065089A (zh) | 2013-04-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103065089B (zh) | 网页木马的检测方法和装置 | |
US10305919B2 (en) | Systems and methods for inhibiting attacks on applications | |
JP6624771B2 (ja) | クライアントベースローカルマルウェア検出方法 | |
CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
US9973531B1 (en) | Shellcode detection | |
US8943594B1 (en) | Cyber attack disruption through multiple detonations of received payloads | |
US20190332771A1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
US8578499B1 (en) | Script-based scan engine embedded in a webpage for protecting computers against web threats | |
CN101667230B (zh) | 一种监控脚本执行的方法和装置 | |
Kirda et al. | Client-side cross-site scripting protection | |
CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
US20130312081A1 (en) | Malicious code blocking system | |
CN102571812B (zh) | 一种网络威胁的跟踪识别方法及装置 | |
Stasinopoulos et al. | Commix: automating evaluation and exploitation of command injection vulnerabilities in Web applications | |
CN101820419A (zh) | 一种挂马网页中网页木马挂接点自动定位方法 | |
CN105049440B (zh) | 检测跨站脚本攻击注入的方法及系统 | |
CN105512559A (zh) | 一种用于提供访问页面的方法与设备 | |
CN103617395A (zh) | 一种基于云安全拦截广告程序的方法、装置和系统 | |
CN101964026A (zh) | 网页挂马检测方法和系统 | |
US20170353434A1 (en) | Methods for detection of reflected cross site scripting attacks | |
CN102185859A (zh) | 计算机系统和数据交互方法 | |
CN106713318B (zh) | 一种web站点安全防护方法及系统 | |
Stasinopoulos et al. | Commix: Detecting and exploiting command injection flaws | |
Liang et al. | Malicious web pages detection based on abnormal visibility recognition |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200622 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: 518000 Nanshan Science and Technology Pioneering service center, No. 1 Qilin Road, Guangdong, Shenzhen 418, 419, Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |
|
TR01 | Transfer of patent right |