CN103425931B - 一种网页异常脚本检测方法及系统 - Google Patents
一种网页异常脚本检测方法及系统 Download PDFInfo
- Publication number
- CN103425931B CN103425931B CN201210578161.XA CN201210578161A CN103425931B CN 103425931 B CN103425931 B CN 103425931B CN 201210578161 A CN201210578161 A CN 201210578161A CN 103425931 B CN103425931 B CN 103425931B
- Authority
- CN
- China
- Prior art keywords
- script
- abnormal
- page
- end mark
- beginning flag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种网页异常脚本检测方法及系统,首先,获取网络数据包,对网络数据包进行协议解码,提取出网页内容;扫描所述网页内容,找出网页脚本的起始标志和结束标志,并判断所述起始标志和/或结束标志是否异常,若是,则所述网页脚本为异常脚本,否则提取网页脚本内容,并对网页脚本内容进行解码,对比解码前后的网页脚本的相似性,若相似度低于设定值,则所述网页脚本为异常脚本,否则所述网页脚本不是异常脚本。从而,完成对于未知网页异常脚本的检测,提高检测效率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网页异常脚本检测方法及系统。
背景技术
目前,网络应用越来越丰富,网页的使用和视觉效果离不开网页中内嵌的脚本。然而,普通用户上网所使用的浏览器,由于各种原因,可能存在这样或者那样的漏洞。黑客常常通过在网页中内嵌恶意脚本利用这些漏洞,触发恶意脚本的执行,达到传播恶意代码的目的,谋取非法利益。
恶意脚本编写者为了逃避反病毒软件的检测,利用脚本解释器的特点,对代码进行不同的编码转换,加塞各种无效字符等操作,即通常所说的代码加花,经过这个处理之后,并不影响实际的执行效果。比如,在脚本的起始标志或者结束标志中,添加空格、回车、换行、tab等字符,让以<script>为开始标志,以</script>为结束标志的脚本提取方法失效,这在一定程度上影响脚本病毒的检出率。
发明内容
针对上述技术问题,本发明提供了一种网页异常脚本检测方法及系统,本方法认为检测出异常编码的网页脚本是异常脚本,所以其解决了脚本提取方法失效,从而影响病毒检出率的问题。
本发明采用如下方法来实现:一种网页异常脚本检测方法,包括:
获取网络数据包,对网络数据包进行协议解码,提取出网页内容;
其中,获取网络数据包的方法可以为:pcap捕包、零拷贝捕包或者专用网卡捕包;所述对网络数据包进行协议解码,提取出网页内容可以为:根据TCP协议的端口信息或者传输层负载的起始内容是否为HTTP的起始关键词(如:get、post、http等)来识别HTTP协议,并对HTTP连接的服务器应答内容进行协议解码,提取出网页内容。
扫描所述网页内容,找出网页脚本的起始标志和结束标志,并判断所述起始标志和/或结束标志是否异常,若是,则所述网页脚本是异常脚本,否则提取网页脚本内容,并对网页脚本内容进行解码,对比解码前后的网页脚本的相似性,若相似度低于设定值,则所述网页脚本是异常脚本,否则所述网页脚本不是异常脚本。
其中,所述扫描所述网页内容,找出网页脚本的起始标志和结束标志的方法为:在html网页中内嵌脚本的起始标志和结束标志分别为<script和</script>,在实际的网页代码中,浏览器的兼容性可以允许出现一些变形,比如中间夹杂空格等字符,使用有限自动机的搜索,忽略无效字符,还原变形后数据;
其中,所述提取网页脚本内容包括:如果脚本的内容在多个包中,则需要缓存这些包,按顺序重组后,提取脚本内容
其中,所述起始标志和/或结束标志异常包括:标志中夹杂大量的多余字符或者大小写混杂。
其中,所述对网页脚本内容进行解码可以利用脚本解释器或者脚本解码模拟器来完成解码工作。例如,脚本使用了转义符来转变,使用%XX编码来转变ASCII码字符,使用%uXXXX编码来转变中文字符,或者使用URI等编码来转化字符,脚本解码模拟器就是执行反向编码转化。
方法中,将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。
方法中,将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。
上述方法中,将病毒库与待检测网页内容进行匹配,若匹配成功,则存在异常脚本,否则不存在异常脚本。
对于已知的恶意脚本样本可以提取其异常的起始标志和/或结束标志,或者脚本内容中的异常编码作为特征字符串加入病毒库,用于检测新提取的网页内容是否存在异常脚本。
本发明所述方法可以用在网页中内嵌脚本文件或者独立脚本文件的检测。
一种网页异常脚本检测系统,包括:
提取模块,用于获取网络数据包,对网络数据包进行协议解码,提取出网页内容;
判定模块,用于扫描所述网页内容,找出网页脚本的起始标志和结束标志,并判断所述起始标志和/或结束标志是否异常,若是,则所述网页脚本是异常脚本,否则提取网页脚本内容,并对网页脚本内容进行解码,对比解码前后的网页脚本的相似性,若相似度低于设定值,则所述网页脚本是异常脚本,否则所述脚本不是异常脚本。
系统中,将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。
系统中,将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。
系统中,将病毒库与待检测网页内容进行匹配,若匹配成功,则存在异常脚本,否则不存在异常脚本。
综上所述,本发明提供了一种网页异常脚本检测方法及系统,通过检测网业脚本的起始标志和/或结束标志是否存在异常,若是则所述网页脚本为异常脚本,否则解码网页脚本内容,判断解码前后网页脚本内容的相似性,若相似度低,则所述网页脚本为异常脚本。从而避免了由于恶意代码编写者修改了脚本的起始标志和/或结束标志,从而传统的提取脚本的方法失效,提高了异常脚本的检出率。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种网页异常脚本检测方法流程图;
图2为本发明提供的一种网页异常脚本检测系统结构图。
具体实施方式
本发明给出了一种网页异常脚本检测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种网页异常脚本检测方法,如图1所示,包括:
S101获取网络数据包,对网络数据包进行协议解码,提取出网页内容;
S102扫描所述网页内容,找出网页脚本的起始标志和结束标志,并判断所述起始标志和/或结束标志是否异常,若是,则所述网页脚本是异常脚本,否则执行S103;
S103提取网页脚本内容,并对网页脚本内容进行解码,对比解码前后的网页脚本的相似性,并判断相似度是否低于设定值,若是,则所述网页脚本是异常脚本,否则所述网页脚本不是异常脚本。
优选地,将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。
优选地,将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。
更为优选地,将病毒库与待检测网页内容进行匹配,若匹配成功,则存在异常脚本,否则不存在异常脚本。
本发明还提供了一种网页异常脚本检测系统,如图2所示,包括:
提取模块201,用于获取网络数据包,对网络数据包进行协议解码,提取出网页内容;
判定模块202,用于扫描所述网页内容,找出网页脚本的起始标志和结束标志,并判断所述起始标志和/或结束标志是否异常,若是,则所述网页脚本是异常脚本,否则提取网页脚本内容,并对网页脚本内容进行解码,对比解码前后的网页脚本的相似性,若相似度低于设定值,则所述网页脚本是异常脚本,否则所述脚本不是异常脚本。
优选地,将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。
优选地,将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。
更为优选地,将病毒库与待检测网页内容进行匹配,若匹配成功,则存在异常脚本,否则不存在异常脚本。
如上所述,本发明给出了一种网页异常脚本检测方法及系统,其与传统方法的区别在于,传统方法通过提取网页脚本,然后针对提取的网页脚本进行是否恶意的检测;本方案检测是否存在异常的脚本起始标志和/或结束标志,若存在则认为所述网页脚本为异常脚本,解决了传统检测方法有时无法成功提取网页脚本的问题。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种网页异常脚本检测方法,其特征在于,包括:
获取网络数据包,对网络数据包进行协议解码,提取出网页内容;
扫描所述网页内容,找出网页脚本的起始标志和结束标志,并判断所述起始标志和/或结束标志是否异常,若是,则所述网页脚本是异常脚本,否则提取网页脚本内容,并对网页脚本内容进行解码,对比解码前后的网页脚本的相似性,若相似度低于设定值,则所述网页脚本是异常脚本,否则所述网页脚本不是异常脚本;
其中,所述起始标志和/或结束标志异常包括:标志中夹杂大量的多余字符或者大小写混杂。
2.如权利要求1所述的方法,其特征在于,将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。
3.如权利要求1所述的方法,其特征在于,将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。
4.如权利要求2或3所述的方法,其特征在于,将病毒库与待检测网页内容进行匹配,若匹配成功,则存在异常脚本,否则不存在异常脚本。
5.一种网页异常脚本检测系统,其特征在于,包括:
提取模块,用于获取网络数据包,对网络数据包进行协议解码,提取出网页内容;
判定模块,用于扫描所述网页内容,找出网页脚本的起始标志和结束标志,并判断所述起始标志和/或结束标志是否异常,若是,则所述网页脚本是异常脚本,否则提取网页脚本内容,并对网页脚本内容进行解码,对比解码前后的网页脚本的相似性,若相似度低于设定值,则所述网页脚本是异常脚本,否则所述脚本不是异常脚本;
其中,所述起始标志和/或结束标志异常包括:标志中夹杂大量的多余字符或者大小写混杂。
6.如权利要求5所述的系统,其特征在于,将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。
7.如权利要求5所述的系统,其特征在于,将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。
8.如权利要求6或7所述的系统,其特征在于,将病毒库与待检测网页内容进行匹配,若匹配成功,则存在异常脚本,否则不存在异常脚本。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210578161.XA CN103425931B (zh) | 2012-12-27 | 2012-12-27 | 一种网页异常脚本检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210578161.XA CN103425931B (zh) | 2012-12-27 | 2012-12-27 | 一种网页异常脚本检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103425931A CN103425931A (zh) | 2013-12-04 |
| CN103425931B true CN103425931B (zh) | 2017-07-18 |
Family
ID=49650652
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210578161.XA Active CN103425931B (zh) | 2012-12-27 | 2012-12-27 | 一种网页异常脚本检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103425931B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105630790B (zh) * | 2014-10-28 | 2019-06-04 | 阿里巴巴集团控股有限公司 | 网页编码的分析方法及装置 |
| CN104978525A (zh) * | 2014-11-18 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种基于结构化异常的启发式脚本检测方法及系统 |
| CN105677558A (zh) * | 2015-07-02 | 2016-06-15 | 哈尔滨安天科技股份有限公司 | 一种基于形式归一化的脚本启发式检测方法及系统 |
| CN107180194B (zh) * | 2017-05-11 | 2020-05-05 | 北京安赛创想科技有限公司 | 基于视觉分析系统进行漏洞检测的方法及装置 |
| CN109165130B (zh) * | 2018-09-30 | 2022-01-25 | 福建星瑞格软件有限公司 | 一种验证解码数据库封包的测试方法及装置 |
| CN109684437B (zh) * | 2018-11-16 | 2020-10-30 | 东软集团股份有限公司 | 用于文件比较的内容对齐方法、装置、存储介质和设备 |
| CN110086811B (zh) * | 2019-04-29 | 2022-03-22 | 深信服科技股份有限公司 | 一种恶意脚本检测方法及相关装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6282698B1 (en) * | 1998-02-09 | 2001-08-28 | Lucent Technologies Inc. | Detecting similarities in Java sources from bytecodes |
| CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
| CN101741645A (zh) * | 2009-12-17 | 2010-06-16 | 成都市华为赛门铁克科技有限公司 | 存储式跨站脚本攻击检测方法、装置及系统及攻击检测装置 |
| CN101820419A (zh) * | 2010-03-23 | 2010-09-01 | 北京大学 | 一种挂马网页中网页木马挂接点自动定位方法 |
| CN102542201A (zh) * | 2011-12-26 | 2012-07-04 | 北京奇虎科技有限公司 | 一种网页中恶意代码的检测方法及系统 |
| CN102622543A (zh) * | 2012-02-06 | 2012-08-01 | 北京百度网讯科技有限公司 | 一种动态检测恶意网页脚本的方法和装置 |
-
2012
- 2012-12-27 CN CN201210578161.XA patent/CN103425931B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6282698B1 (en) * | 1998-02-09 | 2001-08-28 | Lucent Technologies Inc. | Detecting similarities in Java sources from bytecodes |
| CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
| CN101741645A (zh) * | 2009-12-17 | 2010-06-16 | 成都市华为赛门铁克科技有限公司 | 存储式跨站脚本攻击检测方法、装置及系统及攻击检测装置 |
| CN101820419A (zh) * | 2010-03-23 | 2010-09-01 | 北京大学 | 一种挂马网页中网页木马挂接点自动定位方法 |
| CN102542201A (zh) * | 2011-12-26 | 2012-07-04 | 北京奇虎科技有限公司 | 一种网页中恶意代码的检测方法及系统 |
| CN102622543A (zh) * | 2012-02-06 | 2012-08-01 | 北京百度网讯科技有限公司 | 一种动态检测恶意网页脚本的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103425931A (zh) | 2013-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103425931B (zh) | 一种网页异常脚本检测方法及系统 | |
| CN103810425B (zh) | 恶意网址的检测方法及装置 | |
| CN102129528B (zh) | 一种web网页篡改识别方法及系统 | |
| US9083735B2 (en) | Method and apparatus for detecting computer fraud | |
| CN102663319B (zh) | 下载链接安全提示方法及装置 | |
| CN102624713B (zh) | 网站篡改识别的方法及装置 | |
| CN102622543B (zh) | 一种动态检测恶意网页脚本的方法和装置 | |
| CN113645224B (zh) | 一种网络攻击检测方法、装置、设备及存储介质 | |
| CN101895516B (zh) | 一种跨站脚本攻击源的定位方法及装置 | |
| CN102739663A (zh) | 网页检测方法与扫描引擎 | |
| CN104767747A (zh) | 点击劫持安全检测方法和装置 | |
| WO2016188029A1 (zh) | 解析二维码的方法及装置、计算机可读存储介质、计算机程序产品与终端设备 | |
| CN106909846B (zh) | 一种基于虚拟解析的漏洞检测方法及其装置 | |
| CN104063401A (zh) | 一种网页样式地址合并的方法和装置 | |
| CN111835777A (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| WO2020082763A1 (zh) | 基于决策树的钓鱼网站检测方法、装置及计算机设备 | |
| US20140123288A1 (en) | Network intrusion detection apparatus and method using perl compatible regular expressions-based pattern matching technique | |
| CN102780684A (zh) | Xss防御系统 | |
| CN113141331A (zh) | 一种xss攻击检测方法、装置、设备及介质 | |
| CN106357682A (zh) | 一种钓鱼网站检测方法 | |
| CN103136251A (zh) | 识别网页的方法和装置 | |
| CN115664859A (zh) | 基于云打印场景下的数据安全分析方法、装置、设备及介质 | |
| CN103425930B (zh) | 一种在线实时脚本检测方法及系统 | |
| CN114006746A (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
| CN103475673A (zh) | 钓鱼网站识别方法、装置及客户端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a Applicant after: Beijing ahtech network Safe Technology Ltd Address before: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14 Applicant before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Abnormal web script detection method and system Effective date of registration: 20181119 Granted publication date: 20170718 Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2018990001084 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20200508 Granted publication date: 20170718 Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd. Registration number: 2018990001084 |