CN105025017A - 基于防火墙的防挂马的方法及防火墙 - Google Patents
基于防火墙的防挂马的方法及防火墙 Download PDFInfo
- Publication number
- CN105025017A CN105025017A CN201510388375.4A CN201510388375A CN105025017A CN 105025017 A CN105025017 A CN 105025017A CN 201510388375 A CN201510388375 A CN 201510388375A CN 105025017 A CN105025017 A CN 105025017A
- Authority
- CN
- China
- Prior art keywords
- uniform resource
- resource locator
- character
- url
- feature group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开一种基于防火墙的防挂马的方法及防火墙,能够提高防火墙的工作效率,从而提升防火墙的性能。所述方法:获取待浏览的网页相应的统一资源定位符;通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符;其中,所述挂马网站特征库由多个特征组组成,每一个特征组由多个特征项组成,所述特征项为挂马网站的域名或者域名的一部分;若确定出所述统一资源定位符是挂马网站的统一资源定位符,则对所述统一资源定位符进行拦截处理。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于防火墙的防挂马的方法及防火墙。
背景技术
当前的网络世界中,挂马是网络安全的主要威胁之一,所谓挂马,就是黑客通过SQL注入、服务器漏洞等方法获取网站管理员账号,然后在网站的后台通过数据库“备份/恢复”或者上传漏洞获取一个webshell(以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。),利用该webshell修改网站内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或网站ftp(文件传输协议),然后直接对网站页面进行修改。当访问被植入恶意代码的页面时,就会自动访问被转向的地址或下载木马病毒。
目前防火墙设备基本都有挂马防护的模块,而该模块所采用的技术大多都是通过上传一个挂马网站的特征库(挂马网站特征库内容为挂马网站的域名或域名的一部分),然后在内网用户上网时防火墙会将统一资源定位符与挂马网站特征库中的每一项进行匹配,如果统一资源定位符中的某一部分与挂马网站特征库中的某一项相同,那么防火墙会判定该统一资源定位符为挂马网站,从而进行拦截,否则直接放行。
然后由于挂马网站数量的增加导致挂马网站特征库也在不断地扩大,一般在一个挂马网站特征库中会有上万条匹配项,这样防火墙内网用户在上网时每一个统一资源定位符都会去和特征库中的匹配项一一匹配,这样降低了防火墙的工作效率,从而影响了防火墙的性能。
发明内容
有鉴于此,本发明提供一种基于防火墙的防挂马的方法及防火墙,能够提高防火墙的工作效率,从而提升防火墙的性能。
为此目的,一方面,本发明提出一种基于防火墙的防挂马的方法,包括:
获取待浏览的网页相应的统一资源定位符;
通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符;其中,所述挂马网站特征库由多个特征组组成,每一个特征组由多个特征项组成,所述特征项为挂马网站的域名或者域名的一部分;
若确定出所述统一资源定位符是挂马网站的统一资源定位符,则对所述统一资源定位符进行拦截处理。
另一方面,本发明提出一种防火墙,包括:
获取单元,用于获取待浏览的网页相应的统一资源定位符;
判断单元,通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符;其中,所述挂马网站特征库由多个特征组组成,每一个特征组由多个特征项组成,所述特征项为挂马网站的域名或者域名的一部分;
拦截单元,用于若所述判断单元确定出所述统一资源定位符是挂马网站的统一资源定位符,则对所述统一资源定位符进行拦截处理。
本发明实施例所述的基于防火墙的防挂马的方法及防火墙,通过查询预先建立的挂马网站特征库中对应待浏览的网页相应的统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符,并在所述统一资源定位符是挂马网站的统一资源定位符时,对所述统一资源定位符进行拦截处理,相较于现有技术将所述统一资源定位符与挂马网站特征库中的每一项进行匹配来判断所述统一资源定位符是否为挂马网站的统一资源定位符,本发明只需要查询对应所述统一资源定位符的特征组即可确定出所述统一资源定位符是否为挂马网站的统一资源定位符,因而能够提高防火墙的工作效率,从而提升防火墙的性能。
附图说明
图1为本发明基于防火墙的防挂马的方法一实施例的流程示意图;
图2为本发明防火墙一实施例的方框结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本实施例公开一种基于防火墙的防挂马的方法,包括:
S1、获取待浏览的网页相应的统一资源定位符;
S2、通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符;其中,所述挂马网站特征库由多个特征组组成,每一个特征组由多个特征项组成,所述特征项为挂马网站的域名或者域名的一部分;
S3、若确定出所述统一资源定位符是挂马网站的统一资源定位符,则对所述统一资源定位符进行拦截处理。
本发明实施例所述的基于防火墙的防挂马的方法,通过查询预先建立的挂马网站特征库中对应待浏览的网页相应的统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符,并在所述统一资源定位符是挂马网站的统一资源定位符时,对所述统一资源定位符进行拦截处理,相较于现有技术将所述统一资源定位符与挂马网站特征库中的每一项进行匹配来判断所述统一资源定位符是否为挂马网站的统一资源定位符,本发明只需要查询对应所述统一资源定位符的特征组即可确定出所述统一资源定位符是否为挂马网站的统一资源定位符,因而能够提高防火墙的工作效率,从而提升防火墙的性能。
可选地,在本发明基于防火墙的防挂马的方法的另一实施例中,所述挂马网站特征库由27个特征组组成,包括第一特征组,第二特征组,…,第二十七特征组,其中,对于第一特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为字符a或者字符A,否则,该特征项的第一个字符为字符a或者字符A,对于第i特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为英文字母表中字母a后的第i-1个字母或者字母A后的第i-1个字母,否则,该特征项的第一个字符为英文字母表中字母a后的第i-1个字母或者字母A后的第i-1个字母,i为从2到26的整数,对于第二十七特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为除英文字母外的其它字符,否则,该特征项的第一个字符为除英文字母外的其它字符。
本发明实施例中,对挂马网站特征库进行分组的过程如下:
1、对于挂马网站特征库中的每个特征项,判断该特征项是否以“www.”为首,若该特征项以“www.”为首,则识别“www.”后面的第一个字符,否则,识别该特征项的首字符。比如,若挂马网站特征库中的一特征项为www.test.com,则识别该特征项中“www.”后面的第一个字符,即字符“t”,又比如,若挂马网站特征库中的一特征项为newlife.com,则识别该特征项的第一个字符,即字符“n”。
2、根据识别结果,对挂马网站特征库中的所有特征项按照从a至z(不区分大小写),以及除英文字母外的其它字符进行分组,共分成27组。
可选地,在本发明基于防火墙的防挂马的方法的另一实施例中,所述通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符,包括:
识别所述统一资源定位符中前11个字符组成的子串“http://www.”后面的第一个字符;
根据识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符确定出对应所述统一资源定位符的特征组;其中,若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符为英文字母表中的字母,则对于确定出的对应所述统一资源定位符的特征组中任一个特征项,若该特征项的前四个字符组成的子串是“www.”,则该特征项中第五个字符为识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符的大写形式或者小写形式,否则,该特征项的第一个字符为识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符的大写形式或者小写形式,或者,若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符不是英文字母表中的字母,则对于确定出的对应所述统一资源定位符的特征组中任一个特征项,若该特征项的前四个字符组成的子串是“www.”,则该特征项中第五个字符为除英文字母外的其它字符,否则,该特征项的第一个字符为除英文字母外的其它字符;
将所述统一资源定位符与确定出的对应所述统一资源定位符的特征组中的特征项进行匹配,根据所述匹配的结果,若所述统一资源定位符与确定出的对应所述统一资源定位符的特征组中的一个特征项相匹配,则确定出所述统一资源定位符是挂马网站的统一资源定位符,否则,确定出所述统一资源定位符不是挂马网站的统一资源定位符。
本发明通过识别外网url(统一资源定位符)中前11个字符组成的子串“http://www.”后面的首字符来判断挂马网站特征库中外网url相对应的特征组,然后将该url与该特征组中的特征项进行匹配来确定出所述外网url是否是挂马网站的统一资源定位符,能够有效的改善防火墙系统的性能。
可选地,在本发明基于防火墙的防挂马的方法的另一实施例中,所述第一特征组的特征字符为字符a和字符A,所述第i特征组的特征字符为英文字母表中字母a后的第i-1个字母和字母A后的第i-1个字母;
其中,所述根据识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符确定出对应所述统一资源定位符的特征组,包括:
判断识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符是否为英文字母表中从字母a至字母z中的字母或者从字母A至字母Z中的字母;
若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符是英文字母表中从字母a至字母z中的字母或者从字母A至字母Z中的字母,则确定出对应所述统一资源定位符的特征组为特征字符之一与识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符相同的特征组,否则,则确定出对应所述统一资源定位符的特征组为所述第二十七特征组。
可选地,在本发明基于防火墙的防挂马的方法的另一实施例中,还包括:
若确定出所述统一资源定位符不是挂马网站的统一资源定位符,则对所述统一资源定位符进行放行处理。
如图2所示,本实施例公开一种防火墙,其特征在于,包括:
获取单元1,用于获取待浏览的网页相应的统一资源定位符;
判断单元2,通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符;其中,所述挂马网站特征库由多个特征组组成,每一个特征组由多个特征项组成,所述特征项为挂马网站的域名或者域名的一部分;
拦截单元3,用于若所述判断单元2确定出所述统一资源定位符是挂马网站的统一资源定位符,则对所述统一资源定位符进行拦截处理。
本发明实施例所述的防火墙,通过查询预先建立的挂马网站特征库中对应待浏览的网页相应的统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符,并在所述统一资源定位符是挂马网站的统一资源定位符时,对所述统一资源定位符进行拦截处理,相较于现有技术将所述统一资源定位符与挂马网站特征库中的每一项进行匹配来判断所述统一资源定位符是否为挂马网站的统一资源定位符,本发明只需要查询对应所述统一资源定位符的特征组即可确定出所述统一资源定位符是否为挂马网站的统一资源定位符,因而能够提高防火墙的工作效率,从而提升防火墙的性能。
可选地,在本发明防火墙的另一实施例中,所述挂马网站特征库由27个特征组组成,包括第一特征组,第二特征组,…,第二十七特征组,其中,对于第一特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为字符a或者字符A,否则,该特征项的第一个字符为字符a或者字符A,对于第i特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为英文字母表中字母a后的第i-1个字母或者字母A后的第i-1个字母,否则,该特征项的第一个字符为英文字母表中字母a后的第i-1个字母或者字母A后的第i-1个字母,i为从2到26的整数,对于第二十七特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为除英文字母外的其它字符,否则,该特征项的第一个字符为除英文字母外的其它字符。
防火墙的内网用户在访问外网时,防火墙会先识别外网url的前11个字符组成的子串“http://www.”后面的首位字符,然后将url与挂马网站特征库中对应url的特征组中的每一特征项进行匹配,根据匹配结果对url进行是否拦截处理,这就使得防火墙在进行挂马网站防护时不会再以传统的方式将url与挂马网站特征库中的每一个特征项进行匹配识别,而是先判断url中“http://www.”后面的首个字符属性,然后同特征库中与该字符相对应的分组进行匹配识别,这样有效的提高了防火墙的工作效率,同时对防火墙系统的性能提升也会起到明显的效果。
可选地,在本发明防火墙的另一实施例中,所述判断单元,包括:
识别子单元,用于识别所述统一资源定位符中前11个字符组成的子串“http://www.”后面的第一个字符;
特征组确定子单元,用于根据识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符确定出对应所述统一资源定位符的特征组;其中,若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符为英文字母表中的字母,则对于确定出的对应所述统一资源定位符的特征组中任一个特征项,若该特征项的前四个字符组成的子串是“www.”,则该特征项中第五个字符为识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符的大写形式或者小写形式,否则,该特征项的第一个字符为识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符的大写形式或者小写形式,或者,若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符不是英文字母表中的字母,则对于确定出的对应所述统一资源定位符的特征组中任一个特征项,若该特征项的前四个字符组成的子串是“www.”,则该特征项中第五个字符为除英文字母外的其它字符,否则,该特征项的第一个字符为除英文字母外的其它字符;
匹配子单元,用于将所述统一资源定位符与确定出的对应所述统一资源定位符的特征组中的特征项进行匹配,根据所述匹配的结果,若所述统一资源定位符与确定出的对应所述统一资源定位符的特征组中的一个特征项相匹配,则确定出所述统一资源定位符是挂马网站的统一资源定位符,否则,确定出所述统一资源定位符不是挂马网站的统一资源定位符。
可选地,在本发明防火墙的另一实施例中,所述第一特征组的特征字符为字符a和字符A,所述第i特征组的特征字符为英文字母表中字母a后的第i-1个字母和字母A后的第i-1个字母;
其中,所述特征组确定子单元,包括:
判断模块,用于判断识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符是否为英文字母表中从字母a至字母z中的字母或者从字母A至字母Z中的字母;
特征组确定模块,用于若所述判断模块确定出识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符是英文字母表中从字母a至字母z中的字母或者从字母A至字母Z中的字母,则确定出对应所述统一资源定位符的特征组为特征字符之一与识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符相同的特征组,否则,则确定出对应所述统一资源定位符的特征组为所述第二十七特征组。
可选地,在本发明防火墙的另一实施例中,还包括:
放行单元,用于若所述判断单元确定出所述统一资源定位符不是挂马网站的统一资源定位符,则对所述统一资源定位符进行放行处理。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种基于防火墙的防挂马的方法,其特征在于,包括:
获取待浏览的网页相应的统一资源定位符;
通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符;其中,所述挂马网站特征库由多个特征组组成,每一个特征组由多个特征项组成,所述特征项为挂马网站的域名或者域名的一部分;
若确定出所述统一资源定位符是挂马网站的统一资源定位符,则对所述统一资源定位符进行拦截处理。
2.根据权利要求1所述的基于防火墙的防挂马的方法,其特征在于,所述挂马网站特征库由27个特征组组成,包括第一特征组,第二特征组,…,第二十七特征组,其中,对于第一特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为字符a或者字符A,否则,该特征项的第一个字符为字符a或者字符A,对于第i特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为英文字母表中字母a后的第i-1个字母或者字母A后的第i-1个字母,否则,该特征项的第一个字符为英文字母表中字母a后的第i-1个字母或者字母A后的第i-1个字母,i为从2到26的整数,对于第二十七特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为除英文字母外的其它字符,否则,该特征项的第一个字符为除英文字母外的其它字符。
3.根据权利要求2所述的基于防火墙的防挂马的方法,其特征在于,所述通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符,包括:
识别所述统一资源定位符中前11个字符组成的子串“http://www.”后面的第一个字符;
根据识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符确定出对应所述统一资源定位符的特征组;其中,若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符为英文字母表中的字母,则对于确定出的对应所述统一资源定位符的特征组中任一个特征项,若该特征项的前四个字符组成的子串是“www.”,则该特征项中第五个字符为识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符的大写形式或者小写形式,否则,该特征项的第一个字符为识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符的大写形式或者小写形式,或者,若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符不是英文字母表中的字母,则对于确定出的对应所述统一资源定位符的特征组中任一个特征项,若该特征项的前四个字符组成的子串是“www.”,则该特征项中第五个字符为除英文字母外的其它字符,否则,该特征项的第一个字符为除英文字母外的其它字符;
将所述统一资源定位符与确定出的对应所述统一资源定位符的特征组中的特征项进行匹配,根据所述匹配的结果,若所述统一资源定位符与确定出的对应所述统一资源定位符的特征组中的一个特征项相匹配,则确定出所述统一资源定位符是挂马网站的统一资源定位符,否则,确定出所述统一资源定位符不是挂马网站的统一资源定位符。
4.根据权利要求3所述的基于防火墙的防挂马的方法,其特征在于,所述第一特征组的特征字符为字符a和字符A,所述第i特征组的特征字符为英文字母表中字母a后的第i-1个字母和字母A后的第i-1个字母;
其中,所述根据识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符确定出对应所述统一资源定位符的特征组,包括:
判断识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符是否为英文字母表中从字母a至字母z中的字母或者从字母A至字母Z中的字母;
若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符是英文字母表中从字母a至字母z中的字母或者从字母A至字母Z中的字母,则确定出对应所述统一资源定位符的特征组为特征字符之一与识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符相同的特征组,否则,则确定出对应所述统一资源定位符的特征组为所述第二十七特征组。
5.根据权利要求1所述的基于防火墙的防挂马的方法,其特征在于,还包括:
若确定出所述统一资源定位符不是挂马网站的统一资源定位符,则对所述统一资源定位符进行放行处理。
6.一种防火墙,其特征在于,包括:
获取单元,用于获取待浏览的网页相应的统一资源定位符;
判断单元,通过查询预先建立的挂马网站特征库中对应所述统一资源定位符的特征组,判断所述统一资源定位符是否为挂马网站的统一资源定位符;其中,所述挂马网站特征库由多个特征组组成,每一个特征组由多个特征项组成,所述特征项为挂马网站的域名或者域名的一部分;
拦截单元,用于若所述判断单元确定出所述统一资源定位符是挂马网站的统一资源定位符,则对所述统一资源定位符进行拦截处理。
7.根据权利要求6所述的防火墙,其特征在于,所述挂马网站特征库由27个特征组组成,包括第一特征组,第二特征组,…,第二十七特征组,其中,对于第一特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为字符a或者字符A,否则,该特征项的第一个字符为字符a或者字符A,对于第i特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为英文字母表中字母a后的第i-1个字母或者字母A后的第i-1个字母,否则,该特征项的第一个字符为英文字母表中字母a后的第i-1个字母或者字母A后的第i-1个字母,i为从2到26的整数,对于第二十七特征组中任一个特征项,若该特征项的前四个字符组成的子串为“www.”,则该特征项中第五个字符为除英文字母外的其它字符,否则,该特征项的第一个字符为除英文字母外的其它字符。
8.根据权利要求7所述的防火墙,其特征在于,所述判断单元,包括:
识别子单元,用于识别所述统一资源定位符中前11个字符组成的子串“http://www.”后面的第一个字符;
特征组确定子单元,用于根据识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符确定出对应所述统一资源定位符的特征组;其中,若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符为英文字母表中的字母,则对于确定出的对应所述统一资源定位符的特征组中任一个特征项,若该特征项的前四个字符组成的子串是“www.”,则该特征项中第五个字符为识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符的大写形式或者小写形式,否则,该特征项的第一个字符为识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符的大写形式或者小写形式,或者,若识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符不是英文字母表中的字母,则对于确定出的对应所述统一资源定位符的特征组中任一个特征项,若该特征项的前四个字符组成的子串是“www.”,则该特征项中第五个字符为除英文字母外的其它字符,否则,该特征项的第一个字符为除英文字母外的其它字符;
匹配子单元,用于将所述统一资源定位符与确定出的对应所述统一资源定位符的特征组中的特征项进行匹配,根据所述匹配的结果,若所述统一资源定位符与确定出的对应所述统一资源定位符的特征组中的一个特征项相匹配,则确定出所述统一资源定位符是挂马网站的统一资源定位符,否则,确定出所述统一资源定位符不是挂马网站的统一资源定位符。
9.根据权利要求8所述的防火墙,其特征在于,所述第一特征组的特征字符为字符a,所述第i特征组的特征字符为英文字母表中字母a后的第i-1个字母;
其中,所述特征组确定子单元,包括:
判断模块,用于判断识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符是否为英文字母表中从字母a至字母z中的字母;
特征组确定模块,用于若所述判断模块确定出识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符是英文字母表中从字母a至字母z中的字母,则确定出对应所述统一资源定位符的特征组为特征字符与识别出的所述统一资源定位符中字符串“http://www.”后面的第一个字符相同的特征组,否则,则确定出对应所述统一资源定位符的特征组为所述第二十七特征组。
10.根据权利要求6所述的防火墙,其特征在于,还包括:
放行单元,用于若所述判断单元确定出所述统一资源定位符不是挂马网站的统一资源定位符,则对所述统一资源定位符进行放行处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510388375.4A CN105025017A (zh) | 2015-07-03 | 2015-07-03 | 基于防火墙的防挂马的方法及防火墙 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510388375.4A CN105025017A (zh) | 2015-07-03 | 2015-07-03 | 基于防火墙的防挂马的方法及防火墙 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105025017A true CN105025017A (zh) | 2015-11-04 |
Family
ID=54414722
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510388375.4A Pending CN105025017A (zh) | 2015-07-03 | 2015-07-03 | 基于防火墙的防挂马的方法及防火墙 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105025017A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107292171A (zh) * | 2016-04-13 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 用于识别压缩文件子类型的方法、病毒检测方法及装置 |
CN111414370A (zh) * | 2019-01-07 | 2020-07-14 | 北京智融网络科技有限公司 | 一种特征库更新方法和系统 |
CN111666566A (zh) * | 2019-03-07 | 2020-09-15 | 北京安信天行科技有限公司 | 一种挂马检测方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010047395A1 (en) * | 2000-01-25 | 2001-11-29 | Kehyeh Szutu | Linking to a service by mapping an internet-independent unique identifier to a stored program |
CN101534306A (zh) * | 2009-04-14 | 2009-09-16 | 深圳市腾讯计算机系统有限公司 | 一种钓鱼网站的检测方法及装置 |
CN102222187A (zh) * | 2011-06-02 | 2011-10-19 | 国家计算机病毒应急处理中心 | 基于域名构造特征的挂马网页检测方法 |
CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
CN105049273A (zh) * | 2014-12-05 | 2015-11-11 | 哈尔滨安天科技股份有限公司 | 一种模拟网络活动检测木马的方法及系统 |
-
2015
- 2015-07-03 CN CN201510388375.4A patent/CN105025017A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010047395A1 (en) * | 2000-01-25 | 2001-11-29 | Kehyeh Szutu | Linking to a service by mapping an internet-independent unique identifier to a stored program |
CN101534306A (zh) * | 2009-04-14 | 2009-09-16 | 深圳市腾讯计算机系统有限公司 | 一种钓鱼网站的检测方法及装置 |
CN102546576A (zh) * | 2010-12-31 | 2012-07-04 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
CN102222187A (zh) * | 2011-06-02 | 2011-10-19 | 国家计算机病毒应急处理中心 | 基于域名构造特征的挂马网页检测方法 |
CN105049273A (zh) * | 2014-12-05 | 2015-11-11 | 哈尔滨安天科技股份有限公司 | 一种模拟网络活动检测木马的方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107292171A (zh) * | 2016-04-13 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 用于识别压缩文件子类型的方法、病毒检测方法及装置 |
CN111414370A (zh) * | 2019-01-07 | 2020-07-14 | 北京智融网络科技有限公司 | 一种特征库更新方法和系统 |
CN111666566A (zh) * | 2019-03-07 | 2020-09-15 | 北京安信天行科技有限公司 | 一种挂马检测方法及系统 |
CN111666566B (zh) * | 2019-03-07 | 2021-06-15 | 北京安信天行科技有限公司 | 一种挂马检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102542201B (zh) | 一种网页中恶意代码的检测方法及系统 | |
US9258289B2 (en) | Authentication of IP source addresses | |
CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
US8997220B2 (en) | Automatic detection of search results poisoning attacks | |
US20180131708A1 (en) | Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names | |
CN102710795B (zh) | 热点聚合方法及装置 | |
CN102833258A (zh) | 网址访问方法及系统 | |
CN105184159A (zh) | 网页篡改的识别方法和装置 | |
CN103023712A (zh) | 网页恶意属性监测方法和系统 | |
Naik et al. | Cyberthreat Hunting-Part 1: triaging ransomware using fuzzy hashing, import hashing and YARA rules | |
CN101350822A (zh) | 一种Internet恶意代码的发现和追踪方法 | |
CN107437026B (zh) | 一种基于广告网络拓扑的恶意网页广告检测方法 | |
CN104601540A (zh) | 一种跨站脚本XSS攻击防御方法及Web服务器 | |
CN101901232A (zh) | 用于处理网页数据的方法和装置 | |
CN105512143A (zh) | 一种网页分类方法及装置 | |
CN102567546A (zh) | 一种sql注入检测方法及装置 | |
WO2020211130A1 (zh) | 一种网站暗链检测方法和装置 | |
CN105025017A (zh) | 基于防火墙的防挂马的方法及防火墙 | |
CN105653949A (zh) | 一种恶意程序检测方法及装置 | |
CN103220277B (zh) | 监控跨站脚本攻击的方法、装置及系统 | |
JP2011193343A (ja) | 通信ネットワーク監視システム | |
CN103440454B (zh) | 一种基于搜索引擎关键词的主动式蜜罐检测方法 | |
WO2018047027A1 (en) | A method for exploring traffic passive traces and grouping similar urls | |
CN101739401A (zh) | 网络搜索方法和设备 | |
CN103944901B (zh) | 社交僵尸网络控制节点的检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination |