CN103617390A - 一种恶意网页判断方法、装置和系统 - Google Patents
一种恶意网页判断方法、装置和系统 Download PDFInfo
- Publication number
- CN103617390A CN103617390A CN201310547456.5A CN201310547456A CN103617390A CN 103617390 A CN103617390 A CN 103617390A CN 201310547456 A CN201310547456 A CN 201310547456A CN 103617390 A CN103617390 A CN 103617390A
- Authority
- CN
- China
- Prior art keywords
- label
- network address
- scanning
- scanning engine
- script
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种恶意网页判断方法、装置和系统。该方法包括:分析网页的源码,解析出所述网页的标签,将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描,查看是否存在恶意行为,根据各扫描引擎的扫描结果判断所述网页是否为恶意网页。本发明的技术方案,由于解析出网页的标签,将不同类型的标签输入的各自对应的不同扫描引擎中分别进行扫描,提高了网页检测的效率,并且由于不同的扫描引擎都有针对性地对相应的标签进行扫描,提高了判断的准确性。此外,随着网页规模的增长,如果出现了新的类型的标签,则相应地开发对应的扫描引擎即可,但不会因此而降低效率和准确性。
Description
技术领域
本发明涉及互联网技术领域,具体涉及一种恶意网页判断方法、装置和系统。
背景技术
网页木马攻击是当前最流行的网络攻击之一,目前网页木马大量使用浏览器的缓冲区溢出漏洞。攻击者通过溢出漏洞改变和控制程序的执行流程,最终控制系统下载运行木马为主要目的。
传统的技术是通过对网页代码全文线性搜索,寻找特殊的字符串,找到则视为是恶意网页。但是这种全文线性搜索的方式存在如下缺陷:
1.随着网页规模的增长,互联网上研究安全的页面越来越多,页面里面显示的字符串中就包含传统方法所需要的特征,而这些特征并不会起作用,而只起显示功能,传统的线性搜索字符串匹配技术无法解决识别出这种情况,容易造成误报。
2.网页标签中的属性值有着多种描述方式,主要是随着其编码不同而不同,这样传统线性搜索就会出现遗漏的情况。
3.传统线性搜索带来的问题是效率低。随着特征码的增长,全文搜索会变得越来越慢。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种恶意网页判断方法和装置。
依据本发明的一个方面,提供了一种恶意网页判断方法,该方法包括:
分析网页的源码,解析出所述网页的标签;
将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描,查看是否存在恶意行为;
根据各扫描引擎的扫描结果判断所述网页是否为恶意网页。
可选地,所述将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描包括如下各项中的一项或多项:
将JS脚本标签输入到JS脚本扫描引擎中进行扫描;
将VBS脚本标签输入到VBS脚本扫描引擎中进行扫描;
将JAVA格式的标签输入到JAVA格式标签扫描引擎中进行扫描;
将FRAME标签和OBJECT标签输入到网址扫描引擎中进行扫描。
可选地,所述将FRAME标签和OBJECT标签输入到网址扫描引擎中进行扫描包括:
所述网址扫描引擎将标签中的网址发送到云端服务器进行查询,并接收云端服务器返回的该网址是否安全的信息。
可选地,该方法进一步包括:
在云端服务器预先构建网址数据库,该网址数据库中至少存储了被标记为恶意网址的密文;
所述网址扫描引擎将标签中的网址发送到云端服务器进行查询包括:从网址信息中提取网址密文,将网址密文提交给云端服务器,云端服务器将网址密文与网址数据库中存储的密文匹配,完成网址的安全查询。
可选地,所述将JS脚本标签输入到JS脚本扫描引擎中进行扫描包括:
所述JS脚本扫描引擎在虚拟机中运行JS脚本,查看是否有下列行为中的一项或多项:代码加密、脚本读写磁盘文件、脚本执行堆喷射代码。
可选地,该方法在解析出所述网页的标签之后进一步包括:
对解析出的标签进行筛选,排除不需要扫描的标签。
可选地,该方法进一步包括:
当根据各扫描引擎的扫描结果判断所述网页为恶意网页时,删除该网页的文件。
可选地,该方法进一步包括:
当根据各扫描引擎的扫描结果判断所述网页为恶意网页时,将扫描结果上传到云端服务器。
根据本发明的另一方面,提供了一种恶意网址判断装置,该装置包括:解析单元,判断单元,以及与网页的不同类型标签分别对应的多个扫描引擎;
所述解析单元,适于分析网页的源码,解析出所述网页的标签,并将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中;
所述多个扫描引擎,适于对各自所接收的对应类型的标签进行扫描,查看是否存在恶意行为,并将扫描结果输出给判断单元;
判断单元,适于根据各扫描引擎的扫描结果判断所述网页是否为恶意网页。
可选地,所述多个扫描引擎包括以下中的一种或多种:
JS脚本扫描引擎,适于对JS脚本标签进行扫描;
VBS脚本扫描引擎,适于对VBS脚本标签进行扫描;
JAVA格式标签扫描引擎,适于对JAVA格式的标签进行扫描;
网址扫描引擎,适于对FRAME标签和OBJECT标签进行扫描。
可选地,所述网址扫描引擎,适于将标签中的网址发送到云端服务器进行查询,并接收云端服务器返回的该网址是否安全的信息。
可选地,所述JS脚本扫描引擎,适于在虚拟机中运行JS脚本,查看是否有下列行为中的一项或多项:代码加密、脚本读写磁盘文件、脚本执行堆喷射代码。
可选地,该装置进一步包括:
筛选单元,适于对所述解析单元解析出的标签进行筛选,排除不需要扫描的标签。
可选地,该装置进一步包括:
删除单元,适于在所述判断单元根据各扫描引擎的扫描结果判断所述网页为恶意网页时,删除该网页的文件。
可选地,该装置进一步包括:
上传单元,适于在所述判断单元根据各扫描引擎的扫描结果判断所述网页为恶意网页时,将扫描结果上传到云端服务器。
依据本发明的又一个方面,还提供了一种恶意网址判断系统,该系统包括:云端服务器和如上述任一项所述的装置。
可选地,所述云端服务器,适于预先构建网址数据库,该网址数据库中至少存储了被标记为恶意网址的密文,在接收到扫描引擎发送的网址密文后,将网址密文与网址数据库中存储的密文匹配,完成网址的安全查询。
根据本发明的这种分析网页的源码,解析出所述网页的标签,将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描,查看是否存在恶意行为,根据各扫描引擎的扫描结果判断所述网页是否为恶意网页的技术方案,由于解析出网页的标签,将不同类型的标签输入的各自对应的不同扫描引擎中分别进行扫描,提高了网页检测的效率,并且由于不同的扫描引擎都有针对性地对相应的标签进行扫描,提高了判断的准确性。此外,随着网页规模的增长,如果出现了新的类型的标签,则相应地开发对应的扫描引擎即可,但不会因此而降低效率和准确性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种恶意网页判断方法的流程图;
图2示出了根据本发明又一个实施例的一种恶意网页判断方法的流程图;
图3示出了根据本发明一个实施例的一种恶意网址判断装置的结构图;
图4示出了根据本发明又一个实施例的一种恶意网址判断装置的结构图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的一种恶意网页判断方法的流程图。如图1所示,该方法包括:
步骤S110,分析网页的源码,解析出所述网页的标签。
在本步骤中,静态分析网页的源码,解析出网页的标签,如脚本标签等,并提取标签的属性,标签的代码。
这里,网页的标签即为HTML标签。HTML标签是由尖括号包围的关键词,比如<html>。
HTML标签通常是成对出现的,比如<div>和</div>,标签对中的第一个标签是开始标签,第二个标签是结束标签,开始和结束标签也被称为开放标签和闭合标签。
也有单独呈现的标签,如:<img src="images/1.jpg"/>等。
一般成对出现的标签,其内容在两个标签中间。单独呈现的标签,则在标签属性中赋值。如<h1>标题</h1>和<input type="text"value="按钮"/>。
步骤S120,将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描,查看是否存在恶意行为。
这里,针对不同的类型的标签分别设置针对性的扫描引擎。可以根据不同类型标签的属性和特点,以及恶意代码在该标签中出现的可能形式,设计相应扫描引擎扫描规则。不同类型的扫描引擎具体如何进行扫描不是本申请的重点,后续会举例说明,但不做过多讨论。不同类型的扫描引擎可以根据实际情况进行开发设计。
步骤S130,根据各扫描引擎的扫描结果判断所述网页是否为恶意网页。
在本步骤中,综合各扫描引擎的扫描结果进行最后的判断,例如所有扫描引擎都没有报警,则判定该网页不是恶意网页;又例如,有任一个扫描引擎报警,则判定该网页是恶意网页。
图1所示的方法中,由于解析出网页的标签,将不同类型的标签输入的各自对应的不同扫描引擎中分别进行扫描,提高了网页检测的效率,并且由于不同的扫描引擎都有针对性地对相应的标签进行扫描,提高了判断的准确性。此外,随着网页规模的增长,如果出现了新的类型的标签,则相应地开发对应的扫描引擎即可,但不会因此而降低扫描的效率和准确性。
在本发明的一个实施例中,图1所示方法的步骤S120中所述将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描包括如下各项中的一项或多项:
1)将JS(JavaScript)脚本标签输入到JS脚本扫描引擎中进行扫描;
JS脚本扫描引擎在虚拟机中运行JS脚本,查看是否有下列行为中的一项或多项:代码加密、脚本读写磁盘文件、脚本执行堆喷射代码。
目前流行的网页木马攻击大部分利用了一种堆喷射(Heap-SprayingAttacks)攻击方法,其中堆喷射(Heap--Spraying)型网页木马因其通用性强、生成恶意网页简单而被广泛采用,该攻击方法是攻击者通过javascript操作浏览器的堆内存,将恶意代码(shellcode)填充进入浏览器的堆内存中,通过缓冲区溢出漏洞改变程序的执行流程使得浏览器堆内存中的恶意代码(shellcode)得以执行。还有触发active xss漏洞行为等。
2)将VBS(Visual Basic Script)脚本标签输入到VBS脚本扫描引擎中进行扫描;
3)将JAVA格式的标签输入到JAVA格式标签扫描引擎中进行扫描;
4)将FRAME标签和OBJECT标签输入到网址扫描引擎中进行扫描;
对于FRAME或者OBJECT类型的,进行静态分析,分析其宽度和高度属性的值,或者分析其是否是一个隐藏的frame等。有些恶意软件故意隐藏其大小。
以下列举三个不同类型的恶意样本:
举例1,html中带iframe类型的恶意样本(html iframe是个恶意的url):
<html>
<iframe src=”http://bad_domain.com/evil.js”></iframe>
</html>
举例2,html中带vbs类型的恶意样本(会下载执行一个病毒,病毒地址是http://211.154.154.66/arp.exe):
举例3,html中带js标签的恶意样本(会生成一个隐藏网页,这个网页是一个恶意的url):
在本发明的一个实施例中,所述将FRAME标签和OBJECT标签输入到网址扫描引擎中进行扫描还包括:所述网址扫描引擎将标签中的网址发送到云端服务器进行查询,并接收云端服务器返回的该网址是否安全的信息。
这样,客户端不再依赖于本地的恶意网址库,客户端访问任何网址都可以实时从云端服务器实时查询网址是否安全,客户端段通过云端返回的网址查询信息进行判定,如果是恶意网站就进行实时拦截,如果是正常网站则不进行任何操作。同时网址的安全信息在云端服务器无缝更新,可以实时快速有效地保护客户端的网页浏览安全。
在本发明的一个实施例中,在云端服务器预先构建网址数据库,该网址数据库中至少存储了被标记为恶意网址的密文。具体地,网址数据库中的数据键值按照网址url、网址host和网址domain三种关键信息的特征值进行存储,三种关键信息的键值可以分别按照正常网址和恶意网址进行标记。具体地,标记为恶意网址的密文包括以下信息的一种或多种:恶意URL的特征值、恶意URL的主机名的特征值和恶意URL的子域名的特征值。
所述网址扫描引擎将标签中的网址发送到云端服务器进行查询包括:从网址信息中提取网址密文,将网址密文提交给云端服务器,云端服务器将网址密文与网址数据库中存储的密文匹配,完成网址的安全查询和验证。客户端根据云端服务器的验证结果决定是否继续对网址的访问行为。该方法不依赖客户端本地的数据库,将网址的安全查询和验证放在云端服务器侧完成。由于云端服务器侧的数据库可以及时的更新互联网上的各类恶意网址,它的升级周期远远短于客户端本地的数据库,而且云端服务器侧的数据库中恶意网址的信息存储量很大,覆盖面很广,从而能够快速有效地拦截恶意网站。
在云端服务器侧,结合如下方式构建网址数据库:
(1)利用全网蜘蛛服务器集群,完成对已知活动网页的变化监测,活动网页的判断依据是看是否有人使用,完成对新增HOST和网页的发现,监测的变化信息和发现的新增网页。
(2)客户端上报
全网蜘蛛无法覆盖的网页,需要客户端上报来解决。
云端服务器通过机器学习对恶意网址进行标记,并提供管理平台,方便人工增、删、改、查恶意网址,对于误报的网页能够及时剔除,对于漏报的网页能够强行入库。
在本发明的一个实施例中,图1所示的方法进一步包括:当根据各扫描引擎的扫描结果判断所述网页为恶意网页时,将扫描结果上传到云端服务器。
在本发明的一个实施例中,图1所示的方法在步骤S110中解析出所述网页的标签之后,并在步骤S120之前进一步:对解析出的标签进行筛选,排除不需要扫描的标签。
例如,保留脚本标签、内嵌网页标签、图片标签、frame标签、嵌入对象object标签及嵌入java小脚本等,而对于一些对于恶意病毒判断不相干的没有实质内容的标签可以过滤掉。这里,没有实质内容的标签例如是那些定义格式的标签,如:
<b>定义粗体文本;
<p>定义段落;
<br>定义简单的折行;
<font>定义文本的字体、字体尺寸、字体颜色。
在本发明的一个实施例中,图1所示的方法还可以进一步包括:当在步骤S130中判断所述网页为恶意网页时,删除该网页的文件。
则图2示出了根据本发明又一个实施例的一种恶意网页判断方法的流程图。如图2所示,该方法包括:
步骤S210,分析网页的源码,解析出所述网页的标签。
步骤S220,对解析出的标签进行筛选,排除不需要扫描的标签。
步骤S230,将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描,查看是否存在恶意行为。
步骤S240,当判断所述网页为恶意网页时,删除该网页的文件。
图3示出了根据本发明一个实施例的一种恶意网址判断装置的结构图。如图3所示,该恶意网址判断装置300包括:解析单元301,判断单元304,以及与网页的不同类型标签分别对应的多个扫描引擎,在图3中示意出了扫描三个扫描引擎,分别标记为3031、3032和3033。
所述解析单元301,适于分析网页的源码,解析出所述网页的标签,并将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中;
所述多个扫描引擎,适于对各自所接收的对应类型的标签进行扫描,查看是否存在恶意行为,并将扫描结果输出给判断单元;
判断单元304,适于根据各扫描引擎的扫描结果判断所述网页是否为恶意网页。
在本发明的一个实施例中,图3所示装置中的多个扫描引擎包括以下中的一种或多种:
JS脚本扫描引擎,适于对JS脚本标签进行扫描;
VBS脚本扫描引擎,适于对VBS脚本标签进行扫描;
JAVA格式标签扫描引擎,适于对JAVA格式的标签进行扫描;
网址扫描引擎,适于对FRAME标签和OBJECT标签进行扫描。
其中:
所述网址扫描引擎,适于将标签中的网址发送到云端服务器进行查询,并接收云端服务器返回的该网址是否安全的信息;
所述JS脚本扫描引擎,适于在虚拟机中运行JS脚本,查看是否有下列行为中的一项或多项:代码加密、脚本读写磁盘文件、脚本执行堆喷射代码。
图4示出了根据本发明又一个实施例的一种恶意网址判断装置的结构图。如图4所示,该恶意网址判断装置400包括:解析单元401,筛选单元402,判断单元404,删除单元405以及与网页的不同类型标签分别对应的多个扫描引擎,在图4中示意出了扫描三个扫描引擎,分别标记为4031、4032和4033。
所述解析单元401,适于分析网页的源码,解析出所述网页的标签,并将解析出标签发送给筛选单元402进行筛选,然后将筛选单元402筛选后的各个标签按照不同类型输入到对应的不同扫描引擎中;
筛选单元402,适于对所述解析单元解析出的标签进行筛选,排除不需要扫描的标签。例如,保留脚本标签、内嵌网页标签、图片标签、frame标签、嵌入对象object标签及嵌入java小脚本等而对于一些没有实质内容的标签可以过滤掉。
所述多个扫描引擎,适于对各自所接收的对应类型的标签进行扫描,查看是否存在恶意行为,并将扫描结果输出给判断单元;
判断单元404,适于根据各扫描引擎的扫描结果判断所述网页是否为恶意网页。
删除单元405,适于在所述判断单元404根据各扫描引擎的扫描结果判断所述网页为恶意网页时,删除该网页的文件。
在本发明的一个实施例中,图4所示装置中的多个扫描引擎包括以下中的一种或多种:
JS脚本扫描引擎,适于对JS脚本标签进行扫描;
VBS脚本扫描引擎,适于对VBS脚本标签进行扫描;
JAVA格式标签扫描引擎,适于对JAVA格式的标签进行扫描;
网址扫描引擎,适于对FRAME标签和OBJECT标签进行扫描。
其中:
所述网址扫描引擎,适于将标签中的网址发送到云端服务器进行查询,并接收云端服务器返回的该网址是否安全的信息;
所述JS脚本扫描引擎,适于在虚拟机中运行JS脚本,查看是否有下列行为中的一项或多项:代码加密、脚本读写磁盘文件、脚本执行堆喷射代码。在本发明的一个实施例中,图4所示装置进一步包括:上传单元406,适于在所述判断单元根据各扫描引擎的扫描结果判断所述网页为恶意网页时,将扫描结果上传到云端服务器。
图5示出了根据本发明又一个实施例的一种恶意网址判断系统的组成示意图。如图5所示,该系统包括:云端服务器500和如图4所示的恶意网址判断装置400。
在本发明的一个实施例中,云端服务器500适于预先构建网址数据库,该网址数据库中至少存储了被标记为恶意网址的密文,在接收到扫描引擎发送的网址密文后,将网址密文与网址数据库中存储的密文匹配,完成网址的安全查询。
这样作为客户端的所述恶意网址判断装置400不依赖于本地的数据库,将网址的安全查询和验证放在云端服务器500侧完成。由于云端服务器500侧的数据库可以及时的更新互联网上的各类恶意网址,它的升级周期远远短于客户端本地的数据库,而且云端服务器500的数据库中恶意网址的信息存储量很大,覆盖面很广,从而能够快速有效地拦截恶意网站
综上所述,本发明的这种分析网页的源码,解析出所述网页的标签,将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描,查看是否存在恶意行为,根据各扫描引擎的扫描结果判断所述网页是否为恶意网页的技术方案,由于解析出网页的标签,将不同类型的标签输入的各自对应的不同扫描引擎中分别进行扫描,提高了网页检测的效率,并且由于不同的扫描引擎都有针对性地对相应的标签进行扫描,提高了判断的准确性。此外,随着网页规模的增长,如果出现了新的类型的标签,则相应地开发对应的扫描引擎即可,但不会因此而降低扫描的效率和准确性。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的恶意网址判断装置和系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明提供了A1、一种恶意网页判断方法,其中,该方法包括:
分析网页的源码,解析出所述网页的标签;
将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描,查看是否存在恶意行为;
根据各扫描引擎的扫描结果判断所述网页是否为恶意网页。
A2、如A1所述的方法,其中,所述将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描包括如下各项中的一项或多项:
将JS脚本标签输入到JS脚本扫描引擎中进行扫描;
将VBS脚本标签输入到VBS脚本扫描引擎中进行扫描;
将JAVA格式的标签输入到JAVA格式标签扫描引擎中进行扫描;
将FRAME标签和OBJECT标签输入到网址扫描引擎中进行扫描。
A3、如A2所述的方法,其中,所述将FRAME标签和OBJECT标签输入到网址扫描引擎中进行扫描包括:
所述网址扫描引擎将标签中的网址发送到云端服务器进行查询,并接收云端服务器返回的该网址是否安全的信息。
A4、如A3所述的方法,其中,该方法进一步包括:
在云端服务器预先构建网址数据库,该网址数据库中至少存储了被标记为恶意网址的密文;
所述网址扫描引擎将标签中的网址发送到云端服务器进行查询包括:从网址信息中提取网址密文,将网址密文提交给云端服务器,云端服务器将网址密文与网址数据库中存储的密文匹配,完成网址的安全查询。
A5、如A2所述的方法,其中,所述将JS脚本标签输入到JS脚本扫描引擎中进行扫描包括:
所述JS脚本扫描引擎在虚拟机中运行JS脚本,查看是否有下列行为中的一项或多项:代码加密、脚本读写磁盘文件、脚本执行堆喷射代码。
A6、如A1至A5中任一项所述的方法,其中,该方法在解析出所述网页的标签之后进一步包括:
对解析出的标签进行筛选,排除不需要扫描的标签。
A7、如A1至A5中任一项所述的方法,其中,该方法进一步包括:
当根据各扫描引擎的扫描结果判断所述网页为恶意网页时,删除该网页的文件。
A8、如A1至A5中任一项所述的方法,其中,该方法进一步包括:
当根据各扫描引擎的扫描结果判断所述网页为恶意网页时,将扫描结果上传到云端服务器。
本发明还公开了B9、一种恶意网址判断装置,其中,该装置包括:解析单元,判断单元,以及与网页的不同类型标签分别对应的多个扫描引擎;
所述解析单元,适于分析网页的源码,解析出所述网页的标签,并将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中;
所述多个扫描引擎,适于对各自所接收的对应类型的标签进行扫描,查看是否存在恶意行为,并将扫描结果输出给判断单元;
判断单元,适于根据各扫描引擎的扫描结果判断所述网页是否为恶意网页。
B10、如B9所述的装置,其中,所述多个扫描引擎包括以下中的一种或多种:
JS脚本扫描引擎,适于对JS脚本标签进行扫描;
VBS脚本扫描引擎,适于对VBS脚本标签进行扫描;
JAVA格式标签扫描引擎,适于对JAVA格式的标签进行扫描;
网址扫描引擎,适于对FRAME标签和OBJECT标签进行扫描。
B11、如B10所述的装置,其中,
所述网址扫描引擎,适于将标签中的网址发送到云端服务器进行查询,并接收云端服务器返回的该网址是否安全的信息。
B12、如B10所述的装置,其中,
所述JS脚本扫描引擎,适于在虚拟机中运行JS脚本,查看是否有下列行为中的一项或多项:代码加密、脚本读写磁盘文件、脚本执行堆喷射代码。
B13、如B9至B12中任一项所述的装置,其中,该装置进一步包括:
筛选单元,适于对所述解析单元解析出的标签进行筛选,排除不需要扫描的标签。
B14、如B9至B12中任一项所述的装置,其中,该装置进一步包括:
删除单元,适于在所述判断单元根据各扫描引擎的扫描结果判断所述网页为恶意网页时,删除该网页的文件。
B15、如B9至B12中任一项所述的装置,其中,该装置进一步包括:
上传单元,适于在所述判断单元根据各扫描引擎的扫描结果判断所述网页为恶意网页时,将扫描结果上传到云端服务器。
本发明还公开了C16、一种恶意网址判断系统,其中,该系统包括:云端服务器和如权利要求9至15中任一项所述的装置。
C17、如C16所述的系统,其中,
所述云端服务器,适于预先构建网址数据库,该网址数据库中至少存储了被标记为恶意网址的密文,在接收到扫描引擎发送的网址密文后,将网址密文与网址数据库中存储的密文匹配,完成网址的安全查询。
Claims (10)
1.一种恶意网页判断方法,其中,该方法包括:
分析网页的源码,解析出所述网页的标签;
将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描,查看是否存在恶意行为;
根据各扫描引擎的扫描结果判断所述网页是否为恶意网页。
2.如权利要求1所述的方法,其中,所述将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中进行扫描包括如下各项中的一项或多项:
将JS脚本标签输入到JS脚本扫描引擎中进行扫描;
将VBS脚本标签输入到VBS脚本扫描引擎中进行扫描;
将JAVA格式的标签输入到JAVA格式标签扫描引擎中进行扫描;
将FRAME标签和OBJECT标签输入到网址扫描引擎中进行扫描。
3.如权利要求2所述的方法,其中,所述将FRAME标签和OBJECT标签输入到网址扫描引擎中进行扫描包括:
所述网址扫描引擎将标签中的网址发送到云端服务器进行查询,并接收云端服务器返回的该网址是否安全的信息。
4.如权利要求3所述的方法,其中,该方法进一步包括:
在云端服务器预先构建网址数据库,该网址数据库中至少存储了被标记为恶意网址的密文;
所述网址扫描引擎将标签中的网址发送到云端服务器进行查询包括:从网址信息中提取网址密文,将网址密文提交给云端服务器,云端服务器将网址密文与网址数据库中存储的密文匹配,完成网址的安全查询。
5.如权利要求2所述的方法,其中,所述将JS脚本标签输入到JS脚本扫描引擎中进行扫描包括:
所述JS脚本扫描引擎在虚拟机中运行JS脚本,查看是否有下列行为中的一项或多项:代码加密、脚本读写磁盘文件、脚本执行堆喷射代码。
6.如权利要求1至5中任一项所述的方法,其中,该方法在解析出所述网页的标签之后进一步包括:
对解析出的标签进行筛选,排除不需要扫描的标签。
7.如权利要求1至5中任一项所述的方法,其中,该方法进一步包括:
当根据各扫描引擎的扫描结果判断所述网页为恶意网页时,删除该网页的文件。
8.如权利要求1至5中任一项所述的方法,其中,该方法进一步包括:
当根据各扫描引擎的扫描结果判断所述网页为恶意网页时,将扫描结果上传到云端服务器。
9.一种恶意网址判断装置,其中,该装置包括:解析单元,判断单元,以及与网页的不同类型标签分别对应的多个扫描引擎;
所述解析单元,适于分析网页的源码,解析出所述网页的标签,并将解析出的各个标签按照不同类型输入到对应的不同扫描引擎中;
所述多个扫描引擎,适于对各自所接收的对应类型的标签进行扫描,查看是否存在恶意行为,并将扫描结果输出给判断单元;
判断单元,适于根据各扫描引擎的扫描结果判断所述网页是否为恶意网页。
10.一种恶意网址判断系统,其中,该系统包括:云端服务器和如权利要求9所述的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310547456.5A CN103617390A (zh) | 2013-11-06 | 2013-11-06 | 一种恶意网页判断方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310547456.5A CN103617390A (zh) | 2013-11-06 | 2013-11-06 | 一种恶意网页判断方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103617390A true CN103617390A (zh) | 2014-03-05 |
Family
ID=50168093
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310547456.5A Pending CN103617390A (zh) | 2013-11-06 | 2013-11-06 | 一种恶意网页判断方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103617390A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301314A (zh) * | 2014-10-31 | 2015-01-21 | 电子科技大学 | 一种基于浏览器标签属性的入侵检测方法及装置 |
| CN105631340A (zh) * | 2015-12-17 | 2016-06-01 | 珠海市君天电子科技有限公司 | 一种xss漏洞检测的方法及装置 |
| CN107526630A (zh) * | 2017-07-31 | 2017-12-29 | 杭州安恒信息技术有限公司 | 一种解决分布式引擎通信的方法 |
| WO2018024138A1 (zh) * | 2016-08-04 | 2018-02-08 | 腾讯科技(深圳)有限公司 | 检测恶意网址的方法、装置、终端以及计算机存储介质 |
| CN104158828B (zh) * | 2014-09-05 | 2018-05-18 | 北京奇虎科技有限公司 | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 |
| CN108153664A (zh) * | 2016-12-06 | 2018-06-12 | 北京奇虎科技有限公司 | 一种静态代码扫描方法和装置 |
| CN110392024A (zh) * | 2018-04-20 | 2019-10-29 | 李娜 | 一种网页检测方法与扫描引擎置 |
| CN112214737A (zh) * | 2020-11-10 | 2021-01-12 | 山东比特智能科技股份有限公司 | 以图片为主的欺诈网页的识别方法、系统、装置和介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101364988A (zh) * | 2008-09-26 | 2009-02-11 | 深圳市迅雷网络技术有限公司 | 一种确定网页安全性的方法和装置 |
| CN101562618A (zh) * | 2009-04-08 | 2009-10-21 | 深圳市腾讯计算机系统有限公司 | 一种检测网马的方法及装置 |
| CN101964026A (zh) * | 2009-07-23 | 2011-02-02 | 中联绿盟信息技术(北京)有限公司 | 网页挂马检测方法和系统 |
| CN102043919A (zh) * | 2010-12-27 | 2011-05-04 | 北京安天电子设备有限公司 | 基于脚本虚拟机的漏洞通用检测方法和系统 |
| CN102833258A (zh) * | 2012-08-31 | 2012-12-19 | 北京奇虎科技有限公司 | 网址访问方法及系统 |
| CN102902686A (zh) * | 2011-07-27 | 2013-01-30 | 腾讯科技(深圳)有限公司 | 一种网页检测的方法及系统 |
| CN102955913A (zh) * | 2011-08-25 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种网页挂马检测方法及系统 |
-
2013
- 2013-11-06 CN CN201310547456.5A patent/CN103617390A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101364988A (zh) * | 2008-09-26 | 2009-02-11 | 深圳市迅雷网络技术有限公司 | 一种确定网页安全性的方法和装置 |
| CN101562618A (zh) * | 2009-04-08 | 2009-10-21 | 深圳市腾讯计算机系统有限公司 | 一种检测网马的方法及装置 |
| CN101964026A (zh) * | 2009-07-23 | 2011-02-02 | 中联绿盟信息技术(北京)有限公司 | 网页挂马检测方法和系统 |
| CN102043919A (zh) * | 2010-12-27 | 2011-05-04 | 北京安天电子设备有限公司 | 基于脚本虚拟机的漏洞通用检测方法和系统 |
| CN102902686A (zh) * | 2011-07-27 | 2013-01-30 | 腾讯科技(深圳)有限公司 | 一种网页检测的方法及系统 |
| CN102955913A (zh) * | 2011-08-25 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种网页挂马检测方法及系统 |
| CN102833258A (zh) * | 2012-08-31 | 2012-12-19 | 北京奇虎科技有限公司 | 网址访问方法及系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158828B (zh) * | 2014-09-05 | 2018-05-18 | 北京奇虎科技有限公司 | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 |
| CN104301314A (zh) * | 2014-10-31 | 2015-01-21 | 电子科技大学 | 一种基于浏览器标签属性的入侵检测方法及装置 |
| CN104301314B (zh) * | 2014-10-31 | 2018-05-15 | 电子科技大学 | 一种基于浏览器标签属性的入侵检测方法及装置 |
| CN105631340A (zh) * | 2015-12-17 | 2016-06-01 | 珠海市君天电子科技有限公司 | 一种xss漏洞检测的方法及装置 |
| CN105631340B (zh) * | 2015-12-17 | 2019-01-18 | 珠海豹趣科技有限公司 | 一种xss漏洞检测的方法及装置 |
| WO2018024138A1 (zh) * | 2016-08-04 | 2018-02-08 | 腾讯科技(深圳)有限公司 | 检测恶意网址的方法、装置、终端以及计算机存储介质 |
| US11063962B2 (en) | 2016-08-04 | 2021-07-13 | Tencent Technology (Shenzhen) Company Limited | Malicious URL detection method and apparatus, terminal, and computer storage medium |
| CN108153664A (zh) * | 2016-12-06 | 2018-06-12 | 北京奇虎科技有限公司 | 一种静态代码扫描方法和装置 |
| CN107526630A (zh) * | 2017-07-31 | 2017-12-29 | 杭州安恒信息技术有限公司 | 一种解决分布式引擎通信的方法 |
| CN110392024A (zh) * | 2018-04-20 | 2019-10-29 | 李娜 | 一种网页检测方法与扫描引擎置 |
| CN112214737A (zh) * | 2020-11-10 | 2021-01-12 | 山东比特智能科技股份有限公司 | 以图片为主的欺诈网页的识别方法、系统、装置和介质 |
| CN112214737B (zh) * | 2020-11-10 | 2022-06-24 | 山东比特智能科技股份有限公司 | 以图片为主的欺诈网页的识别方法、系统、装置和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Iqbal et al. | Adgraph: A graph-based approach to ad and tracker blocking | |
| CN103617390A (zh) | 一种恶意网页判断方法、装置和系统 | |
| CN103744802B (zh) | Sql注入攻击的识别方法及装置 | |
| Storey et al. | The future of ad blocking: An analytical framework and new techniques | |
| CN101964025B (zh) | Xss检测方法和设备 | |
| US10325097B2 (en) | Static detection of context-sensitive cross-site scripting vulnerabilities | |
| US20140173736A1 (en) | Method and system for detecting webpage Trojan embedded | |
| CN105049440B (zh) | 检测跨站脚本攻击注入的方法及系统 | |
| Van Acker et al. | FlashOver: Automated discovery of cross-site scripting vulnerabilities in rich internet applications | |
| CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
| CN103647678A (zh) | 一种网站漏洞在线验证方法及装置 | |
| CN103279710A (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| CN103559447B (zh) | 一种基于病毒样本特征的检测方法、检测装置及检测系统 | |
| CN105430002A (zh) | 漏洞检测方法及装置 | |
| CN103986731A (zh) | 通过图片匹配来检测钓鱼网页的方法及装置 | |
| CN104462985A (zh) | bat漏洞的检测方法以及装置 | |
| CN102867147A (zh) | 一种文件扫描的方法和装置 | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| CN104158828A (zh) | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 | |
| Samarasinghe et al. | On cloaking behaviors of malicious websites | |
| US20240176893A1 (en) | Browser extension analysis | |
| CN103544271A (zh) | 一种浏览器中加载图片处理窗口的方法和装置 | |
| CN114491560A (zh) | 一种漏洞检测方法、装置、存储介质及电子设备 | |
| US20170131856A1 (en) | System and Method for a Hybrid User Interface for the Display of Analytical Data Related to Real-time Search Engine Optimization Issue Detection and Correction | |
| CN103838865A (zh) | 用于挖掘时效性种子页的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140305 |