CN104580200A - 一种网站防护方法与装置 - Google Patents
一种网站防护方法与装置 Download PDFInfo
- Publication number
- CN104580200A CN104580200A CN201410855602.5A CN201410855602A CN104580200A CN 104580200 A CN104580200 A CN 104580200A CN 201410855602 A CN201410855602 A CN 201410855602A CN 104580200 A CN104580200 A CN 104580200A
- Authority
- CN
- China
- Prior art keywords
- picture
- rogue program
- web page
- abnormal
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000002159 abnormal effect Effects 0.000 claims description 72
- 230000005856 abnormality Effects 0.000 claims description 20
- 239000006185 dispersion Substances 0.000 claims description 20
- 230000001012 protector Effects 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims description 6
- 108010001267 Protein Subunits Proteins 0.000 claims description 2
- 241000700605 Viruses Species 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 238000000205 computational method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000012966 insertion method Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012067 mathematical method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种网站防护方法,包括:获取网页文件中的图片;检测图片中是否嵌入恶意程序;如果图片中存在恶意程序,则获取图片中恶意程序的位置,并利用填充字符对恶意程序进行替换。本发明能够及时检测出网站中图片的恶意程序,可对其进行有效的处理,不仅减少了给网站带来的危害的几率,同时提高了网站的安全等级。本发明还提出了一种网站防护装置。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种网站防护方法与装置。
背景技术
恶意程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法,黑客会将恶意程序当成漏洞进行攻击。
目前,对于潜伏在客户端中的恶意程序,可通过现有的查毒软件进行检测以及查杀处理,但是,对于嵌入在图片的恶意程序,目前还没有有效的检测方式,并且,若这种恶意程序为攻击者控制,就会给网站带来极大的危害,包括:发布垃圾消息,影响网站形象;或者,携带恶意病毒程度,传播病毒;或者,通过恶意程度获取系统级权限,进一步危害扩展到局域网络。
因此,急需一种针对网站中图片中恶意程序的检测以及替换方法,用以提高网站的安全等级。
发明内容
基于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题的一种网站防护方法和相应的一种网站防护装置。
根据本发明的一个方面,提供了一种网站防护方法,包括:
获取网页文件中的图片;
检测所述图片中是否嵌入恶意程序;
如果所述图片中存在所述恶意程序,则获取所述图片中所述恶意程序的位置,并利用填充字符对所述恶意程序进行替换。
具体地,所述填充字符包括:字母、数字安全字符和/或空白占位符。
进一步地,所述检测所述图片中是否嵌入恶意程序,进一步包括:
获取网页中的图片属性信息;
根据所述图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度;
将所述属性异常度大于预设异常度阈值的图片判断为嵌入恶意程序的图片。
进一步地,根据所述图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度,进一步包括:
根据所述图片创建时间确定图片的属性异常度为:计算图片的创建时间与同网页中其他图片的时间的离散度,确定时间离散度大于预设离散度阈值的图片,并为其赋予创建时间异常权值;
根据所述图片权限确定图片属性异常度为:判断图片权限是否为默认权限,如果不是,则为所述图片赋予权限异常权值;
根据所述创建时间异常权值和/或权限异常权值确定图片的属性异常度。
进一步地,所述检测所述图片中是否嵌入恶意程序,进一步包括:
加载恶意程序规则库;
使用所述规则库中的规则对所述图片进行匹配。
进一步地,所述获取网页文件中的图片,进一步包括:
将所述网页文件与预先存储的网页文件进行比对;
若所述网页文件中的图片与所述预先存储的网页文件中的图片不同,则获取所述网页中的图片。
根据本发明的另一个方面,提供了一种网站防护装置,包括:
图片获取模块,用于获取网页文件中的图片;
恶意程序检测模块,用于检测所述图片中是否嵌入恶意程序;
恶意程序位置获取模块,用于如果所述图片中存在所述恶意程序,则获取所述图片中所述恶意程序的位置;
字符替换模块,用于利用填充字符对所述恶意程序进行替换。
具体地,所述填充字符包括:字符、数字安全字符和/或空白占位符。
进一步地,所述恶意程序检测模块,进一步包括:
图片属性信息获取单元,用于获取网页中的图片属性信息;
图片属性异常度确定单元,用于根据所述图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度;
嵌入恶意程序图片判断单元,用于将所述属性异常度大于预设异常度阈值的图片判断为嵌入恶意程序的图片。
进一步地,所述图片属性异常度确定单元,进一步包括:
图片创建时间离散度计算子单元,用于计算图片的创建时间与同网页中其他图片的时间的离散度;
创建时间异常权值确定子单元,用于确定时间离散度大于预设离散度阈值的图片,并未其赋予创建时间异常权值;
默认权限判断子单元,用于判断图片权限是否为默认权限;
权限异常权值确定子单元,用于当图片权限不为默认权限时,则为所述图片赋予权限异常权值;
图片属性异常度确定子单元,用于根据所述创建时间异常权值和/或权限异常权值确定图片的属性异常度。
进一步地,所述恶意程序检测模块,进一步包括:
恶意程序规则库加载单元,用于加载恶意程序规则库;
图片匹配单元,用于使用所述规则库中的原则对所述图片进行匹配。
进一步地,所述图片获取模块,进一步包括:
网页文件比对单元,用于将所述网页文件与预先存储的网页文件进行比对;
网页中图片获取单元,用于若所述网页文件中的图片与所述预先存储的网页文件中的图片不同,则获取所述网页中的图片。
本发明提出的一种网站防护方法,通过获取网页文件中的图片,检测图片中是否嵌入恶意程序,如果图片中存在恶意程序,则获取图片中恶意程序的位置,并利用填充字符对恶意程序进行替换,从而,及时检测出网站中图片的恶意程序,可对其进行有效的处理,不仅减少了给网站带来的危害的几率,同时提高了网站的安全等级。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参数符号表示相同的部件。在附图中:
图1示意性示出了根据本发明一个实施例的一种网站防护方法的步骤流程图;
图2示意性示出了根据本发明另一个实施例的一种网站防护装置的结构框图。
具体实施方式
现有技术中,已经不局限传统的脚本后门插入方法,现今,更多的做法为:在目标网站中的网页上找一张GIF或JPEG图片,然后将代码插入到图片中,再将插入代码后的图片进行上传,这样对于服务器管理员很难找到木马、后门程序等上述恶意程序的具体位置。由此,本发明提出一种网站防护方法为基于图片查找恶意程序,这样做可以进一步提高网站的安全等级,减少给网站带来危害的几率。
下面将结合附图和具体的实施方式对本发明作进一步地描述。
如图1所示,本发明提出的一种网站防护方法包括步骤:
步骤S11:获取网页文件中的图片。
具体地,将网页文件与预先存储的网页文件进行比对;若网页文件中的图片与预先存储的网页文件中的图片不同,则获取网页中的图片。由此,提高了获取网页文件中图片的高效性与准确性。
步骤S12:检测图片中是否嵌入恶意程序,其中,恶意程序包括但不限于:木马、病毒以及后门程序等。
具体地,加载恶意程序规则库;使用规则库中的规则对图片进行匹配。由此,提高了获取图片中嵌入恶意程序的准确性。
进一步地,获取网页中的图片属性信息;根据图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度;将属性异常度大于预设异常度阈值的图片判断为嵌入恶意程序的图片。
更进一步地,根据图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度,进一步包括:根据图片创建时间确定图片的属性异常度为:计算图片的创建时间与同网页中其他图片的时间的离散度,确定时间离散度大于预设离散度阈值的图片,并为其赋予创建时间异常权值;根据图片权限确定图片属性异常度为:判断图片权限是否为默认权限,如果不是,则为图片赋予权限异常权值;根据创建时间异常权值和/或权限异常权值确定图片的属性异常度。
步骤S13:如果图片中存在恶意程序,则获取图片中恶意程序的位置,并利用填充字符对恶意程序进行替换。其中,填充字符包括:字母、数字安全字符和/或空白占位符。由此,提高了填充字符的多样性与选择性。
本发明提出的一种网页防护方法,通过获取网页文件中的图片,检测图片中是否嵌入恶意程序,如果图片中存在恶意程序,则获取图片中恶意程序的位置,并利用填充字符对恶意程序进行替换,从而,及时检测出网站中图片的恶意程序,可对其进行有效的处理,不仅减少了给网站带来的危害的几率,同时提高了网站的安全等级。
为了更好地理解与应用本发明提出的一种网站防护方法,本发明针对网页中JPEG格式图片进行检测以及查杀恶意程序的具体问题进行示例,且本发明不仅局限以下示例。
JPEG图像漏洞主要涉及操作系统中一个名为GdiPlus.dll的文件,由于众多软件都调用了这个动态链接库处理JPEG图片,使得该漏洞的涉及面非常广。例如,Windows XP SP1、MS Office、QQ2004等。入侵者可以将恶意程序通过这个漏洞原理来插入到图片中,这样存在此漏洞的恶意程序会无条件运行图片中的恶意程序,从而控制受影响的系统。
从上述所述的JPEG图像的漏洞原理,我们可以看出该漏洞使入侵者的入侵手法有了很大的发挥余地,例如,入侵者可以在图片中插入木马后门等恶意程序,使浏览者在打开图片的同时木马后门等恶意程序已悄悄运行,或者在图片中插入一些第三方连接程序,将修改过的图片作为类似木马服务器进行设置,连接这个图片即可连接后门等恶意程序。
具体地,将木马后门等恶意程序插入到图片中,这样浏览者只要一打开含有图片的网页、邮件等,就会自动打开图片,同时也就运行了木马后门等恶意程序,这是最典型的漏洞利用方法。例如,利用一款工具:JPEG Downloader,它能有效地帮我们将木马文件等恶意程序插入到指定图片文件中,打开它,在Downloader file一栏中填写即将插入的木马等恶意程序的下载地址,填写完毕,双击“make”按钮即可,这样在同目录下即可生成一个图片文件,只不过这是插入了木马等恶意程序代码的。
进一步地,上述图片文件表面上和寻常图片文件看起来相同,但是一旦打开它,那么就会自动下载并运行先前指定好的木马等恶意程序,且唯一表面上不同的是打开图片不能正常显示,而是以包括但不限于一个红色的X号的显示方式进行显示。
更进一步地,由于JPEG图像漏洞主要涉及操作系统中一个名为GdiPlus.dll的文件,而众多软件都调用了这个动态链接库处理JPEG图片,使得该漏洞的涉及面非常广,所以针对JPEG图像漏洞如何进行后门等恶意程序的查杀,本发明提出了一种网站防护方法。
具体地,对网站的网站日志文件通过CDN(Content DeliveryNetwork,内容分发网络)记录,并进行分析,识别出网站的日志文件中的每条日志数据并进行进一步分析。其中,网站的日志数据包括:host、时间、IP地址、URL(Uniform Resource Location,统一资源定位符)、网页参数等信息,可将检测网站的日志数据的网页参数提取出来,获取网页文件。
进一步地,将网页文件与预先存储在数据库中的网页文件进行比对。具体地,统计网站每个网页的访问频度,即一段时间内的访问量PV,将访问频度低于预设访问频度阈值的网页文件识别为可疑网页文件,其中,访问频度异常权值与网页文件的访问频度成反比,即访问频度越小,访问频度异常权值越大,反之,访问频度越大,则访问频度异常权值越小;和/或统计网站每个网页的访问来源数,将访问来源数低于预设访问来源数阈值的网页文件识别为可疑网页文件,其中,访问来源异常权值与网页文件的访问来源数成反比,即访问来源数越小,访问来源异常权值越大,反之,访问来源数越大,则访问来源异常权值越小;和/或分时段统计网站每个网页的访问量,将分时段访问量超出预设分时段访问量阈值的次数大于规定次数的网页文件识别为可疑文件,并计算可疑网页文件的分时段访问异常权值。
例如,按照一定时间段对网页日志进行分析,例如,按照天来进行分析,一般所有文件的访问量和高峰期是有明显规律的,如果是用户访问的话,就会按照时间有坡度的升降,如果是机器自动访问,则文件的访问会有固定的时间点,只有后门文件、木马、病毒等恶意程序的访问是无序的。因此,可以通过分时段地统计访问量来检测,根据实际应用情形设置分时段阈值,对于分时段访问量超出分时段阈值的次数大于规定次数的网页文件,可将其识别为可疑网页文件。例如,分为12个时段,每个时段设置不同的分时段阈值,规定超过分时段阈值的次数应该小于3次,当网页文件有超过3个时段的访问量超出对应时段的分时段阈值时,则将上述网页识别为可疑网页。
进一步地,将可疑网页文件与预先存储在数据库中的网页文件进行比对,若网页文件中的图片与预先存储在数据库中的图片不同,则获取网页中的图片,由此,提高了获取网页文件中图片的高效性与准确性。
进一步地,检测图片中是否嵌入恶意程序。具体地,加载恶意程序规则库;使用规则库中的规则对图片进行匹配。由此,提高了获取图片中嵌入恶意程序的准确性。
进一步地,获取网页中的图片属性信息;根据图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度;将属性异常度大于预设异常度阈值的图片判断为嵌入恶意程序的图片。
更进一步地,根据图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度,进一步包括:根据图片创建时间确定图片的属性异常度为:计算图片的创建时间与同网页中其他图片的时间的离散度,确定时间离散度大于预设离散度阈值的图片,并为其赋予创建时间异常权值。其中,时间离散度的计算方法包括但不限于以下方式:
获取同目录下所有图片的创建时间,按照时间先后排序,计算每个图片的时间离散度。离散度可以采用极差、距离均差的平方和、方差或标准差等数学方法进行计算,由此,提高了获取图片的时间离散度的多样性与准确性。例如,以极差的方式进行计算,可以为:
当前图片的时间离散度=当前图片的创建时间-同目录下最先创建的图片的创建时间。例如,当前图片的创建时间为某一天的10:30,而同目录下最先创建的图片的创建时间是同一天的10:28,则此时当前图片的时间离散度为2分钟。
判断每个图片的时间离散度是否超过预设离散度阈值,确定时间离散度大于预设离散度阈值的图片,并为其赋予创建时间异常权值。例如,预设离散度值为5,则认为上述例子中的当前图片为正常图片,否则为异常图片。
更进一步地,根据图片权限确定图片属性异常度为:判断图片权限是否为默认权限,如果不是,则为图片赋予权限异常权值;根据创建时间异常权值和/或权限异常权值确定图片的属性异常度。即可以理解为判断图片的权限是否为默认权限,如果发现图片权限不是默认权限,则赋予一个常数作为权限异常权值。例如,在linux下,图片的默认权限通常为0744。
更进一步地,如果图片中存在恶意程序,则获取图片中恶意程序的位置,并利用填充字符对恶意程序进行替换。其中,填充字符包括:字母安全字符,例如,a-z或者A-Z、数字安全字符和/或空白占位符。由此,提高了填充字符的多样性与选择性。
本发明提出的一种网页防护方法,通过获取网页文件中的图片,检测图片中是否嵌入恶意程序,如果图片中存在恶意程序,则获取图片中恶意程序的位置,并利用填充字符对恶意程序进行替换,从而,及时检测出网站中图片的恶意程序,可对其进行有效的处理,不仅减少了给网站带来的危害的几率,同时提高了网站的安全等级。本发明还公开了一种网页防护装置。
如图2所示,本发明提出的一种网站防护装置10,包括:图片获取模块101、恶意程序检测模块102、恶意程序位置获取模块103以及字符替换模块104。
具体地,图片获取模块101用于获取网页文件中的图片,其中,图片获取模块101进一步包括:网页文件比对单元用于将网页文件与预先存储的网页文件进行比对;网页中图片获取单元用于若网页文件中的图片与预先存储的网页文件中的图片不同,则获取网页中的图片。由此,提高了获取网页文件中图片的高效性与准确性。
恶意程序检测模块102用于检测图片中是否嵌入恶意程序,其中,恶意程序检测模块102还包括:恶意程序规则库加载单元用于加载恶意程序规则库;图片匹配单元用于使用规则库中的原则对图片进行匹配。由此,提高了获取图片中嵌入恶意程序的准确性。
更进一步地,恶意程序检测模块102还包括:图片属性信息获取单元用于获取网页中的图片属性信息;图片属性异常度确定单元用于根据图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度;嵌入恶意程序图片判断单元用于将属性异常度大于预设异常度阈值的图片判断为嵌入恶意程序的图片,更进一步地,其中,图片属性异常度确定单元包括:图片创建时间离散度计算子单元用于计算图片的创建时间与同网页中其他图片的时间的离散度;创建时间异常权值确定子单元用于确定时间离散度大于预设离散度阈值的图片,并未其赋予创建时间异常权值;默认权限判断子单元用于判断图片权限是否为默认权限;权限异常权值确定子单元用于当图片权限不为默认权限时,则为图片赋予权限异常权值;图片属性异常度确定子单元用于根据创建时间异常权值和/或权限异常权值确定图片的属性异常度。
恶意程序位置获取模块103用于如果图片中存在恶意程序,则获取图片中恶意程序的位置;字符替换模块104用于利用填充字符对恶意程序进行替换。其中,填充字符包括:字符、数字安全字符和/或空白占位符。由此,提高了填充字符的多样性与选择性。
本发明提出的一种网站防护装置,通过图片获取模块获取网页文件中的图片,再通过恶意程序检测模块检测图片中是否嵌入恶意程序,继而通过恶意程序位置获取模块进行判断与获取,如果图片中存在恶意程序,则获取图片中恶意程序的位置,最终通过字符替换模块利用填充字符对恶意程序进行替换,从而,及时检测出网站中图片的恶意程序,可对其进行有效的处理,不仅减少了给网站带来的危害的几率,同时提高了网站的安全等级。
在此处提供的说明书中,说明了大量具体细节,然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实现。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种提供地图接口以调用的系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网页上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着,结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外,请注意,这里“在一个实施例中”的词语例子不一定全指同一个实施例。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
此外,还应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (12)
1.一种网站防护方法,包括:
获取网页文件中的图片;
检测所述图片中是否嵌入恶意程序;
如果所述图片中存在所述恶意程序,则获取所述图片中所述恶意程序的位置,并利用填充字符对所述恶意程序进行替换。
2.根据权利要求1所述的方法,所述填充字符包括:字母、数字安全字符和/或空白占位符。
3.根据权利要求1所述的方法,所述检测所述图片中是否嵌入恶意程序,进一步包括:
获取网页中的图片属性信息;
根据所述图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度;
将所述属性异常度大于预设异常度阈值的图片判断为嵌入恶意程序的图片。
4.根据权利要求3所述的方法,根据所述图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度,进一步包括:
根据所述图片创建时间确定图片的属性异常度为:计算图片的创建时间与同网页中其他图片的时间的离散度,确定时间离散度大于预设离散度阈值的图片,并为其赋予创建时间异常权值;
根据所述图片权限确定图片属性异常度为:判断图片权限是否为默认权限,如果不是,则为所述图片赋予权限异常权值;
根据所述创建时间异常权值和/或权限异常权值确定图片的属性异常度。
5.根据权利要求1所述的方法,所述检测所述图片中是否嵌入恶意程序,进一步包括:
加载恶意程序规则库;
使用所述规则库中的规则对所述图片进行匹配。
6.根据权利要求1所述的方法,所述获取网页文件中的图片,进一步包括:
将所述网页文件与预先存储的网页文件进行比对;
若所述网页文件中的图片与所述预先存储的网页文件中的图片不同,则获取所述网页中的图片。
7.一种网站防护装置,包括:
图片获取模块,用于获取网页文件中的图片;
恶意程序检测模块,用于检测所述图片中是否嵌入恶意程序;
恶意程序位置获取模块,用于如果所述图片中存在所述恶意程序,则获取所述图片中所述恶意程序的位置;
字符替换模块,用于利用填充字符对所述恶意程序进行替换。
8.根据权利要求7所述的装置,所述填充字符包括:字符、数字安全字符和/或空白占位符。
9.根据权利要求7所述的装置,所述恶意程序检测模块,进一步包括:
图片属性信息获取单元,用于获取网页中的图片属性信息;
图片属性异常度确定单元,用于根据所述图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度;
嵌入恶意程序图片判断单元,用于将所述属性异常度大于预设异常度阈值的图片判断为嵌入恶意程序的图片。
10.根据权利要求9所述的装置,所述图片属性异常度确定单元,进一步包括:
图片创建时间离散度计算子单元,用于计算图片的创建时间与同网页中其他图片的时间的离散度;
创建时间异常权值确定子单元,用于确定时间离散度大于预设离散度阈值的图片,并未其赋予创建时间异常权值;
默认权限判断子单元,用于判断图片权限是否为默认权限;
权限异常权值确定子单元,用于当图片权限不为默认权限时,则为所述图片赋予权限异常权值;
图片属性异常度确定子单元,用于根据所述创建时间异常权值和/或权限异常权值确定图片的属性异常度。
11.根据权利要求7所述的装置,所述恶意程序检测模块,进一步包括:
恶意程序规则库加载单元,用于加载恶意程序规则库;
图片匹配单元,用于使用所述规则库中的原则对所述图片进行匹配。
12.根据权利要求7所述的装置,所述图片获取模块,进一步包括:
网页文件比对单元,用于将所述网页文件与预先存储的网页文件进行比对;
网页中图片获取单元,用于若所述网页文件中的图片与所述预先存储的网页文件中的图片不同,则获取所述网页中的图片。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410855602.5A CN104580200B (zh) | 2014-12-31 | 2014-12-31 | 一种网站防护方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410855602.5A CN104580200B (zh) | 2014-12-31 | 2014-12-31 | 一种网站防护方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104580200A true CN104580200A (zh) | 2015-04-29 |
| CN104580200B CN104580200B (zh) | 2018-06-08 |
Family
ID=53095381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410855602.5A Active CN104580200B (zh) | 2014-12-31 | 2014-12-31 | 一种网站防护方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104580200B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105653942A (zh) * | 2015-07-31 | 2016-06-08 | 哈尔滨安天科技股份有限公司 | 一种图片后门的检测方法及装置 |
| CN108647274A (zh) * | 2018-04-28 | 2018-10-12 | 北京微播视界科技有限公司 | 网页内容处理方法、装置、计算机可读存储介质和终端 |
| CN111027065A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN111949957A (zh) * | 2020-08-11 | 2020-11-17 | 深圳传音控股股份有限公司 | 隐私保护方法、设备和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1853021A1 (en) * | 2006-05-05 | 2007-11-07 | Broadcom Corporation | Switching network supporting media rights management |
| CN101888312A (zh) * | 2009-05-15 | 2010-11-17 | 北京启明星辰信息技术股份有限公司 | 一种web网页攻击检测和响应方法及装置 |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN103425927A (zh) * | 2012-05-16 | 2013-12-04 | 腾讯科技(深圳)有限公司 | 计算机文档病毒清除装置及清除方法 |
| CN103593613A (zh) * | 2013-11-26 | 2014-02-19 | 北京网秦天下科技有限公司 | 用于计算机病毒检测的方法、终端、服务器和系统 |
| CN103647779A (zh) * | 2013-12-16 | 2014-03-19 | 北京奇虎科技有限公司 | 一种通过二维码检测钓鱼欺诈信息的方法及装置 |
| CN103810425A (zh) * | 2012-11-13 | 2014-05-21 | 腾讯科技(深圳)有限公司 | 恶意网址的检测方法及装置 |
-
2014
- 2014-12-31 CN CN201410855602.5A patent/CN104580200B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1853021A1 (en) * | 2006-05-05 | 2007-11-07 | Broadcom Corporation | Switching network supporting media rights management |
| CN101888312A (zh) * | 2009-05-15 | 2010-11-17 | 北京启明星辰信息技术股份有限公司 | 一种web网页攻击检测和响应方法及装置 |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN103425927A (zh) * | 2012-05-16 | 2013-12-04 | 腾讯科技(深圳)有限公司 | 计算机文档病毒清除装置及清除方法 |
| CN103810425A (zh) * | 2012-11-13 | 2014-05-21 | 腾讯科技(深圳)有限公司 | 恶意网址的检测方法及装置 |
| CN103593613A (zh) * | 2013-11-26 | 2014-02-19 | 北京网秦天下科技有限公司 | 用于计算机病毒检测的方法、终端、服务器和系统 |
| CN103647779A (zh) * | 2013-12-16 | 2014-03-19 | 北京奇虎科技有限公司 | 一种通过二维码检测钓鱼欺诈信息的方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105653942A (zh) * | 2015-07-31 | 2016-06-08 | 哈尔滨安天科技股份有限公司 | 一种图片后门的检测方法及装置 |
| CN108647274A (zh) * | 2018-04-28 | 2018-10-12 | 北京微播视界科技有限公司 | 网页内容处理方法、装置、计算机可读存储介质和终端 |
| CN111027065A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN111027065B (zh) * | 2019-10-28 | 2023-09-08 | 安天科技集团股份有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN111949957A (zh) * | 2020-08-11 | 2020-11-17 | 深圳传音控股股份有限公司 | 隐私保护方法、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104580200B (zh) | 2018-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10089464B2 (en) | De-obfuscating scripted language for network intrusion detection using a regular expression signature | |
| JP6304833B2 (ja) | マルウェア定義パッケージサイズを縮小するためのテレメトリの使用 | |
| US11188650B2 (en) | Detection of malware using feature hashing | |
| JP5802848B2 (ja) | モバイル環境用のトロイの木馬化されたアプリケーション(アプリ)を特定するためのコンピュータ実装方法、非一時コンピュータ読み取り可能な媒体およびコンピュータシステム | |
| US10904286B1 (en) | Detection of phishing attacks using similarity analysis | |
| US8732304B2 (en) | Method and system for ensuring authenticity of IP data served by a service provider | |
| US11496512B2 (en) | Detecting realtime phishing from a phished client or at a security server | |
| US10009370B1 (en) | Detection and remediation of potentially malicious files | |
| CN107896219B (zh) | 一种网站脆弱性的检测方法、系统及相关装置 | |
| CN104580203A (zh) | 网站恶意程序检测方法及装置 | |
| US20140223566A1 (en) | System and method for automatic generation of heuristic algorithms for malicious object identification | |
| CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
| CN102546576A (zh) | 一种网页挂马检测和防护方法、系统及相应代码提取方法 | |
| CN116303290B (zh) | 一种office文档检测方法及装置、设备及介质 | |
| CN103986731A (zh) | 通过图片匹配来检测钓鱼网页的方法及装置 | |
| CN111163094B (zh) | 网络攻击检测方法、网络攻击检测装置、电子设备和介质 | |
| CN104580200A (zh) | 一种网站防护方法与装置 | |
| CN107103243B (zh) | 漏洞的检测方法及装置 | |
| KR101372906B1 (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
| US20200067961A1 (en) | Data security risks evaluation for threat detection | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| CN116305129B (zh) | 一种基于vsto的文档检测方法及装置、设备及介质 | |
| US20170171224A1 (en) | Method and System for Determining Initial Execution of an Attack | |
| US11436331B2 (en) | Similarity hash for android executables | |
| KR100977150B1 (ko) | 웹 사이트 점검 방법 및 그 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161221 Address after: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: Qianxin Technology Group Co.,Ltd. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210104 Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee after: Qianxin Technology Group Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: Qianxin Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Patentee after: Qianxin Technology Group Co.,Ltd. Address before: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee before: Qianxin Technology Group Co.,Ltd. |