CN106326742A - 确定修改的网页的系统和方法 - Google Patents
确定修改的网页的系统和方法 Download PDFInfo
- Publication number
- CN106326742A CN106326742A CN201610112583.6A CN201610112583A CN106326742A CN 106326742 A CN106326742 A CN 106326742A CN 201610112583 A CN201610112583 A CN 201610112583A CN 106326742 A CN106326742 A CN 106326742A
- Authority
- CN
- China
- Prior art keywords
- webpage
- malware
- checking webpage
- code
- checking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Quality & Reliability (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种确定修改的网页的系统和方法。示例性方法包括:从恶意软件的配置文件中提取多个恶意软件触发代码片段;通过将多个恶意软件触发代码片段添加到模板页面中来创建验证网页;将与验证网页的初始状态有关的数据存储在数据库中;打开验证网页且识别与验证网页的打开状态有关的数据;将与验证网页的初始状态有关的数据和与验证网页的打开状态有关的数据进行比较;和基于检测到的与验证网页的初始状态有关的数据和与验证网页的打开状态有关的数据之间的差异,识别验证网页的至少一个修改的代码片段。
Description
技术领域
本发明总体涉及计算机安全领域,更具体地,涉及一种用于确定修改的网页的系统和方法。
背景技术
当前,个人计算设备的数量不断上升。计算机和移动设备在各种操作系统的控制下工作且解决各种各样的问题。许多用户使用这些设备用于因特网浏览。
此外,新的恶意软件正在被不断开发,包括计算机病毒、特洛伊木马(Trojanhorse)和因特网蠕虫。该恶意软件的相当大一部分目的在于攻击在因特网上工作的用户。一种普遍类型的对因特网用户的攻击是这样的攻击:恶意软件替换正在显示给用户的网页的内容。恶意软件将HTML代码插入到网页中。经常,该攻击被称为“浏览器中间人”或者“网页代码注入”。该攻击可起始于使用木马应用程序,例如该木马应用程序将恶意扩展或插件安装在受害者的网页浏览器中,当浏览器重新启动时启动该恶意扩展或插件。然后,出现截获用户的目的用于特定网站(更经常为银行网站)的流量。接下来,正在显示给用户的网页在下载或打开阶段被修改,使得可以修改该网页的特定要素的外观、窃取受害者的正在输入的认证数据、或者将用户正在转移的资金重新导向至不同的账户。
目的在于增加用户在因特网上工作的安全性的当前的技术解决方案考虑到将恶意代码注入到网页中这样的攻击。然而,它们并未提供用于确定网页是否已经被恶意软件修改的有效解决方案。
发明内容
公开了用于确定修改的网页的系统和方法。根据示例性方面,一种方法包括:从恶意软件的至少一个配置文件中提取多个恶意软件触发代码片段;通过将所述多个恶意软件触发代码片段添加到模板页面中来创建验证网页;将与所述验证网页的初始状态有关的数据存储在数据库中;打开所述验证网页且识别与所述验证网页的打开状态有关的数据;将与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据进行比较;和基于检测到的与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据之间的差异,识别所述验证网页的至少一个修改的代码片段。
根据一个方面,所述方法包括:打开所述验证网页是通过网络浏览器打开所述验证网页。
根据一个方面,所述创建验证网页包括根据对页面的最大数目的限制、对所有页面总的最大尺寸的限制、对一个页面的最大尺寸的限制和对包含不超过1500个字符的统一资源定位符(URL)的长度的限制中的至少一个或多个限制来创建所述验证网页。
根据一个方面,所述方法包括将所述恶意软件的至少一个配置文件存储在恶意软件配置文件的数据库中。
根据一个方面,所述方法包括通过硬件处理器根据多个准则选择用于创建所述验证网页的所述至少一个配置文件。
根据一个方面,所述多个准则包括时间间隔和代码注入在所述至少一个配置文件中的频率。
根据一个方面,所述方面包括通过从所述恶意软件的具有最普遍的注入代码的所述至少一个配置文件中选择N个片段,来选择用于创建所述验证网页的多个代码片段,其中,根据对所述验证网页的尺寸的限制确定数目N。
根据一个方面,所述方法包括通过虚拟机执行在至少一个修改的代码片段中的代码以分析所述恶意软件的行为。
根据一个方面,所述方法包括:通过所述硬件处理器,分析在所述验证网页的至少一个修改的代码片段中的URL代码;和通过所述硬件处理器,识别至网络钓鱼资源的至少一个链接。
根据另一示例性方面,公开了用于确定被恶意软件修改的网页的系统。根据该方面,所述系统包括:至少一个数据库,所述至少一个数据库被配置成存储恶意软件的至少一个配置文件;和硬件处理器,所述硬件处理器配置成:从所述恶意软件的至少一个配置文件中提取多个恶意软件触发代码片段;通过将所述多个恶意软件触发代码片段添加到模板页面中来创建验证网页;将与所述验证网页的初始状态有关的数据存储在所述至少一个数据库中;打开所述验证网页且识别与所述验证网页的打开状态有关的数据;将与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据进行比较;和基于检测到的与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据之间的差异,识别所述验证网页的至少一个修改的代码片段。
上述示例性方面的简要概括用于对本发明提供基本的了解。该概括不是全部预期方面的广泛概述,且既不意图识别全部方面的关键或者重要的要素也不意图勾画本发明的任何方面或全部方面的范围。其唯一目的在于以简化的形式呈现出一个或多个方面,作为用于下面所进行的本发明的更为详尽的描述的前奏。为了完成上述内容,本发明的一个或多个方面包括在权利要求中所描述的且示例性提出的特征。
附图说明
并入到说明书中且构成本说明书的一部分的附图,阐述了本发明的一个或多个示例性方面,并且与具体实施方式一起用于解释这些方面的原理和实现方式。
图1示出用户使用网络浏览器在网络中工作的示例。
图2示出根据示例性方面的用于确定修改的网页的系统的框图。
图3示出根据示例性方面的用于确定修改的网页的方法的流程图。
图4示出根据示例性方面的在其上可实施所公开的系统和方法的通用计算机系统的示例。
具体实施方式
在本文中,在用于确定修改的网页的系统、方法和计算机程序产品的上下文中,描述了示例性方面。本领域的普通技术人员将意识到下面的描述仅仅是说明性的且不意图以任何方式进行限制。对于受益于本发明的本领域技术人员将易于想象到其它方面。现在,将详细地提及如在附图中所示的示例性方面的实现。尽可能在整个附图和下面的描述中,相同的附图标记将用于指相同的类似的项目。
下面的公开内容介绍了将用于描述所公开的系统和方法的各个方面的许多定义和概念。
恶意软件的“配置文件”为存储恶意软件的设置的二进制文件(例如,文本、XML、JSON等),该设置尤其是命令服务器的地址、攻击的目标的URL地址(或者它们的片段和掩码)、和实际网页注入代码。
“网页注入代码”为被恶意软件注入到被显示给用户的网页内的代码。所述代码通常携带可对用户的数据的机密性造成危害的功能(例如,钓鱼攻击,由于该钓鱼攻击用户可对于其账户记录失去控制),或者携带可对用户造成金融危害的功能(例如当进行在线支付时更换接收者)。
图1示出了用户使用网络浏览器在网络上工作的示例。如所示,在计算设备120(诸如个人计算机、移动电话、笔记本电脑)上工作的用户110,可利用服务器130。该服务器130可为包含各种网页的网络服务器、电子邮件服务器和数据库服务器。通常,用户110通过浏览器140访问服务器130,浏览器140诸如为Internet浏览器或类似浏览器。
如上所述,在用户110的计算设备120上可存在恶意软件150。恶意软件150可将恶意代码注入到从服务器130接收的且在浏览器140中打开的网页中。
为了检测在用户110的计算设备120上恶意软件150的存在,可以使用包含与网站和网络资源链接的HTML片段的网页,而该网页可以是恶意程序150的攻击目标。通常,在用户110的计算设备120上打开网页后,恶意软件150通过将其注入代码添加到网页而改变该网页。在网页打开后网页的状态可被保存,然后修改的代码片段可在网页中被识别。如果这种代码片段被发现,则这可表明在用户110的计算设备120上存在恶意软件150。在更详细地分析网页修改后,确定恶意软件150的存在。
图2示出了根据示例性方面的用于确定修改的网页的系统的框图。在示例性方面中,验证网页创建模块210从模板页面(例如,包含标准的HTML报头和各种标准HTML代码和文本元素的页面)创建验证网页。在一般情况下,验证网页由模块210通过将HTML代码的片段(诸如示例性代码“<报头><正文输入类型="密码">”等)添加到模板页面中而创建,已知该片段触发已知的网络代码注入恶意软件的激活。
在一个示例性方面,如在下文中更详细地说明的,HTML代码的片段可通过验证网页创建模块210从已知的恶意程序150的配置文件中提取且被添加到验证网页中。随后,在用户的计算机上打开验证网页的过程中,在用户的计算机上存在的恶意程序150可通过将其自身的代码注入到验证网页中来修改验证网页。
为了触发恶意程序以修改验证网页,需要该恶意程序发现在URL地址中的必需片段以及在验证网页自身中必需片段。因此,对于各个网页片段,可将地址片段添加到URL。在一个示例性方面,网站地址及其片段可从已知的恶意软件的配置文件中检索。地址片段的示例可包括但不限于:银行网站的URL,其出现在已知的用于攻击银行网站的恶意软件的配置文件中;和URL,其包含用于攻击且在恶意软件的配置文件中指示的词语(例如登录名、密码或验证数据)。
在一个示例性方面,验证网页可由通过验证网页创建模块210创建的多个网页组成。在一个示例性方面,验证网页可基于一些准则而被创建,该准则例如为对网页(模板)的最大数目的限制;对一起获取的所有页面的最大尺寸的限制;对一个页面的最大尺寸的限制;对包含不超过1500个字符的URL的长度的限制;和其他准则。
根据一个方面,恶意程序的配置文件可存储在恶意软件配置文件215的数据库中。验证网页创建模块210可确定用于选择恶意软件配置文件的准则。根据一个方面,所述准则可为以下准则中的一者或多者:例如时间间隔(例如从当前日期起六个月);和注入代码的普遍性(给定的特定注入代码在恶意软件配置文件中多久遇到一次)。
在一个示例性方面,验证网页创建模块210从具有最普遍的注入代码的恶意软件配置文件中选择N个片段,数目N自身通过对验证网页的尺寸的限制进行确定。例如,如果“对一个页面的最大尺寸的限制”等于X(例如1024个字节)的准则被用于创建验证网页,则片段从具有最普遍的注入代码的恶意软件配置文件中选择且片段被添加到验证网页中,直到其尺寸超过该准则所规定的尺寸X。关于注入代码的普遍性的数据可被保存在恶意软件配置文件215的数据库中。
在一个示例性方面,当创建验证网页时,验证网页创建模块210可识别用户正在操作的网站。因此,例如如果用户已经访问了特定银行的网站,则验证网页创建模块210可从恶意软件配置文件215的数据库中选择已知的恶意软件的配置文件,已知该恶意软件的配置文件用于对该银行的用户进行攻击。然后,在一个示例性方面,使用来自刚刚选定的恶意软件的配置文件的片段,通过模块210来创建验证网页。在另一示例性方面,当创建验证网页时,使用来自选定的恶意软件的配置文件的片段以及来自具有最普遍的/常见的注入代码的恶意软件配置文件的片段。
在一个示例性方面,对于验证网页的组成,模块210可在创建验证网页时仅仅添加独特的片段(即,在被创建的网页上不应当存在两个相同的片段)。然而,应理解到,根据示例性方面,在同一验证网页上存在两个相同的片段并不妨碍该系统的工作。
应注意到,根据准则的变化,验证网页可以以任意的(随机的)方式通过模块210而被修改,但是其最终外观可能不重要。仅需要验证网页包含恶意软件触发代码片段。根据示例性方面,这些片段的次序及其格式化(例如,空格、引号、注释)不是关键的。
另外,根据示例性方面,所创建的验证网页可通过验证网页创建模块210被发送给验证网页处理模块220和验证网页分析模块230。
在一个示例性方面,验证网页处理模块220从验证网页创建模块210接收验证网页且打开该验证网页。在一个方面,可使用网络浏览器打开该网页。在另一方面,验证网页处理模块220自身打开所述验证网页。
根据一个方面,验证网页处理模块220不向用户显示该页面。在另一方面,该验证网页例如通过AJAX(异步Javascript和XML)以异步方式发送。由于不能保证验证网页的正确格式化,故向用户显示页面不是关键的。
在一个示例性方面,验证网页处理模块220截获用户对网站的访问且将访问网站的URL地址发送给验证网页创建模块210。
应注意到,验证网页处理模块220可包含警告用户和与用户交互的各种机制,例如发送文本或音频消息给用户或者阻断用户的数据输入。
更常见地,在用户的计算机上加载网页期间以及在通过用户计算机的浏览器打开网页时,恶意软件注入其代码。因此,在打开验证网页后,验证网页处理模块220可保存打开后的验证网页的状态且将其代码发送给验证网页分析模块230。在一个示例性方面,状态数据可包括验证网页的代码,诸如HTML和JavaScript,其是用于创建页面的外观的客户端浏览器。在另一示例性方面,状态数据可包括验证网页的代码以及在网页上出现的各种资源(例如,图像、视频、音频和其他内容)。
验证网页分析模块230被配置成将从验证网页创建模块210接收的原始(初始)网页与从验证网页处理模块220接收的网页进行比较,并且识别验证网页的状态上的变化。因此,例如验证网页可在通过浏览器本身(例如,在谷歌 (Google)中的上下文广告)、通过浏览器扩充(广告阻断模块)、通过安全应用程序(根据家长控制规则阻断一些片段)和通过其他方式打开时已经发生变化。
在识别到网页修改后,验证网页分析模块230确定与通过验证网页创建模块210添加到验证网页中的片段有关的变化。在一个示例性方面,验证网页分析模块230根据散列(例如SHA1)比较片段的代码。因此,例如,对于从验证网页创建模块210接收的验证网页的各个片段,计算散列且进行比较,如同对于从验证网页处理模块220接收的页面的片段的散列。如果验证网页分析模块230已经发现片段这样的变化,则验证网页可被认为是可疑的且被发送给恶意软件识别模块240用于恶意软件分析。
在一个示例性方面,恶意软件识别模块240被配置成确定验证网页是否已经被恶意软件所修改。在一个示例性方面,页面可对抗病毒数据库250进行检查,借助抗病毒数据库250,可检测恶意软件注入代码。在一个示例性方面,通常,抗病毒数据库250可以存储通过文件的基于签名的和/或启发式分析所使用的数据,该分析可通过恶意软件识别模块240来执行。当网页已经修改时可发生情况,但是不清楚是什么导致这种修改(也许是新的恶意软件)。很难做出明确的结论,但是可以警告用户可疑的网页,并且发送该页面的状态数据(例如,其代码和资源)用于通过模块240或远程抗病毒服务器对恶意软件进行深度分析。如果恶意软件识别模块240检测到验证网页的修改,则它可得出计算机上存在恶意软件的结论,通过模块220在计算上打开验证网页。在另一方面,验证网页可通过安全专家245进行分析。
在一个示例性方面,恶意软件识别模块240可使用受保护环境、仿真器或虚拟机260来分析注入代码的行为。因此,例如,当在修改的片段中(例如,在JavaScript语言中)已经发现附加代码的情况下,该代码可在虚拟机中运行以通过恶意软件识别模块240分析其动作。
在一个示例性方面,恶意软件识别模块240可分析被添加到修改的片段中的URL地址且发现至网络钓鱼资源的链接。在又一方面,如果发现被恶意软件执行的变化,则恶意软件识别模块240将所发现的页面的变化报告给验证网页处理模块220。验证网页处理模块220又将该发现通知用户或者阻断键盘输入,例如,出于保护用户数据的目的。
图3示出根据示例性方面的用于确定被恶意软件修改的网页的方法的流程图。如所示,在初始步骤310,验证网页创建模块210创建验证网页,该模块210将恶意软件触发HTML代码片段添加到模板页面中。例如,基于结合图2的上文描述的准则添加代码片段。当创建验证网页时,存储在数据库215中的恶意软件的配置文件被用于识别例如普遍的注入代码及其触发。
接下来,在步骤315,验证网页的初始状态被保存且发送给验证网页分析模块230。然后,在步骤320,验证网页通过验证网页处理模块220打开。在一个示例性方面,使用网络浏览器打开验证网页。在另一示例性方面,验证网页处理模块220自身打开验证网页。接下来,在步骤330,借助验证网页处理模块220,验证网页的打开状态被保存且被发送给验证网页分析模块230。
另外,在步骤340,通过验证网页分析模块230分析验证网页的保存状态以识别修改的网页片段。在该进程期间,验证网页的初始状态的代码与打开后的该验证网页的状态的代码进行比较。如果修改的代码片段被发现,则在步骤350,恶意软件识别模块240确定验证网页是否被恶意软件修改。在一个示例性方面,验证网页使用特定的数据库250进行检查,借助数据库250,可以检测恶意软件注入代码。
在另一示例性方面,验证网页可通过安全专家245进行分析。在又一示例性方面,受保护环境、仿真器或虚拟机260可用于分析注入到验证网页中的代码的行为。在一个示例性方面,被添加到修改片段中的URL代码被分析,且识别至网络钓鱼资源的链接。如果检测到,则得出计算机上存在恶意软件的结论,该计算机被用于通过验证网页处理模块220来打开模板页面。
图4示出了根据示例性方面的可在其上实现所公开的系统和方法的通用计算机系统(其可以是个人计算机或服务器)的示例。如所示,该计算机系统包括中央处理单元21、系统存储器22和连接各种系统组件的系统总线23,各种系统组件包括与中央处理单元21相关的存储器。系统总线23像从现有技术已知的任何总线结构一样来实现,依次包括总线存储器或总线存储器控制器、外围总线和本地总线,系统总线23能够与任何其它的总线体系交互。系统存储器包括永久性存储器(ROM)24和随机存取存储器(random-access memory,RAM)25。基本输入/输出系统(basic input/output system,BIOS)26包括确保在个人计算机20的元件之间的信息传输的基本过程,例如在使用ROM 24加载操作系统时的那些基本过程。
个人计算机20依次包括用于数据的读取和写入的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28和用于在可移动光盘31(例如CD-ROM、DVD-ROM和其它的光学信息介质)上读取和写入的光盘驱动器30。硬盘27、磁盘驱动器28和光盘驱动器30分别通过硬盘接口32、磁盘接口33和光盘驱动器接口34而连接到系统总线23。驱动器和对应的计算机信息介质为用于存储个人计算机20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。
本发明提供了使用硬盘27、可移动磁盘29和可移动光盘31的系统的实现方式,但是应当理解的是,可以采用能够存储计算机可读的形式的数据的其它类型的计算机信息介质56(固态驱动器、闪存卡、数字盘、RAM等等),计算机信息介质56经由控制器55连接到系统总线23。
计算机20具有文件系统36,其中保持所记录的操作系统35,并且还保持额外的程序应用37、其它程序模块38和程序数据39。用户能够通过使用输入设备(键盘40、鼠标42)将命令和信息输入到个人计算机20中。可以使用其它的输入设备(未示出):麦克风、操纵杆、游戏控制器、扫描器等等。这种输入设备通常通过串行端口46插入到计算机系统20中,串行端口46则连接到系统总线,但是它们可以以其它的方式连接,例如在并行端口、游戏端口或通用串行总线(universal serial bus,USB)的帮助下得以连接。监控器47或其它类型的显示设备也可以通过接口(例如视频适配器48)连接到系统总线23。除了监控器47,个人计算机可以还装备有其它的外围输出设备(未示出),例如扬声器、打印机等等。
个人计算机20能够使用与一个或多个远程计算机49的网络连接在网络环境中操作。一个或多个远程计算机49也是个人计算机或服务器,其具有在描述个人计算机20的性质时(如图3所示)的大多数或全部上述元件。其它的设备也可以存在于计算机网络中,例如路由器、网站、对等设备或其它的网络节点。
网络连接可以形成局域计算机网络(local-area computer network,LAN)50和广域计算机网络(wide-area computer network,WAN)。这种网络用在企业计算机网络和公司内部网络中,并且它们通常有权访问因特网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,个人计算机20可以采用调制解调器54或其它的用于提供与广域计算机网络(例如因特网)的通信的模块。调制解调器54是内部设备或外部设备,通过串行端口46连接到系统总线23。应当注意的是,网络连接仅仅是示例并且不需要描述网络的准确配置,即实际上具有通过技术通信模块建立一个计算机与另一个计算机的连接的其它方式。
在各个方面中,本文所描述的系统和方法可以在硬件、软件、固件或它们的任何组合中实施。如果在软件中实施,则上述方法可以被存储为在非易失性计算机可读介质上的一个或多个指令或代码。计算机可读介质包括数据存储器。以示例性而非限制性的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质或光存储介质、或任何其它介质,所述其它介质可用来携带或存储所期望的以指令或数据结构形式的程序代码并可以被通用计算机的处理器访问。
在各个方面中,本发明中所描述的系统和方法可以按照模块来处理。本文所使用的术语“模块”指的是现实世界的设备、组件、或使用硬件(例如通过专用集成电路(ASIC)或现场可编程门阵列(field-programmable gate array,FPGA))实施的组件的布置、或硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令组,该指令组在被执行时将微处理器系统转换成专用设备。一个模块还可以被实施为两个模块的组合,其中单独地通过硬件促进某些功能,以及通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分可以被执行在通用计算机(例如上文在图6中更详细描述的通用计算机)的处理器上,以及在某些情况下,模块的全部可以被执行在通用计算机的处理器上。因此,每一个模块可以以各种适合的配置来实现,而不应受限于本文所列举的任何特定的实现方式。
为了清楚起见,本文没有公开各个方面的所有普通特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力可能是复杂且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文所公开的各个方面包括本文以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,许多比上面所提及的更多的修改是可行的,而不脱离本文所公开的发明构思。
Claims (18)
1.一种用于确定修改的网页的方法,所述方法包括:
通过硬件处理器,从恶意软件的至少一个配置文件中提取多个恶意软件触发代码片段;
通过所述硬件处理器,通过将所述多个恶意软件触发代码片段添加到模板页面中来创建验证网页;
将与所述验证网页的初始状态有关的数据存储在数据库中;
打开所述验证网页且识别与所述验证网页的打开状态有关的数据;
通过所述硬件处理器,将与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据进行比较;和
基于检测到的与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据之间的差异,识别所述验证网页的至少一个修改的代码片段。
2.根据权利要求1所述的方法,其中,打开所述验证网页包括通过网络浏览器打开所述验证网页。
3.根据权利要求1所述的方法,其中,所述创建验证网页包括:根据对页面的最大数目的限制、对所有页面总的最大尺寸的限制、对一个页面的最大尺寸的限制和对包含不超过1500个字符的统一资源定位符URL的长度的限制中的至少一个或多个限制来创建所述验证网页。
4.根据权利要求1所述的方法,还包括将所述恶意软件的所述至少一个配置文件存储在恶意软件配置文件的数据库中。
5.根据权利要求4所述的方法,还包括通过所述硬件处理器根据多个准则选择用于创建所述验证网页的所述至少一个配置文件。
6.根据权利要求5所述的方法,其中,所述多个准则包括时间间隔和将代码注入在所述至少一个配置文件中的频率。
7.根据权利要求4所述的方法,还包括通过从所述恶意软件的具有最普遍的注入代码的所述至少一个配置文件中选择N个片段,来选择用于创建所述验证网页的多个代码片段,其中,根据对所述验证网页的尺寸的限制确定数目N。
8.根据权利要求1所述的方法,还包括通过虚拟机执行在所述至少一个修改的代码片段中的代码以分析所述恶意软件的行为。
9.根据权利要求1所述的方法,还包括:
通过所述硬件处理器,分析在所述验证网页的至少一个修改的代码片段中的URL代码;和
通过所述硬件处理器,识别至网络钓鱼资源的至少一个链接。
10.一种用于确定修改的网页的系统,所述系统包括:
至少一个数据库,所述至少一个数据库被配置成存储恶意软件的至少一个配置文件;和
硬件处理器,所述硬件处理器被配置成:
从所述恶意软件的至少一个配置文件中提取多个恶意软件触发代码片段;
通过将所述多个恶意软件触发代码片段添加到模板页面中来创建验证网页;
将与所述验证网页的初始状态有关的数据存储在所述至少一个数据库中;
打开所述验证网页且识别与所述验证网页的打开状态有关的数据;
将与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据进行比较;和
基于检测到的与所述验证网页的初始状态有关的数据和与所述验证网页的打开状态有关的数据之间的差异,识别所述验证网页的至少一个修改的代码片段。
11.根据权利要求10所述的系统,其中,所述硬件处理器还被配置成在网络浏览器中打开所述验证网页。
12.根据权利要求10所述的系统,其中,所述硬件处理器还被配置成根据对页面的最大数目的限制、对所有页面总的最大尺寸的限制、对一个页面的最大尺寸的限制和对包含不超过1500个字符的统一资源定位符URL的长度的限制中的至少一个或多个限制来创建所述验证网页。
13.根据权利要求10所述的系统,其中,所述至少一个数据库还被配置成存储所述恶意软件的所述至少一个配置文件。
14.根据权利要求13所述的系统,其中,所述硬件处理器还被配置成根据多个准则选择用于创建所述验证网页的所述至少一个配置文件。
15.根据权利要求14所述的系统,其中,所述多个准则包括时间间隔和代码注入在所述至少一个配置文件中的频率。
16.根据权利要求13所述的系统,其中,所述硬件处理器还被配置成通过从所述恶意软件的具有最普遍的注入代码的所述至少一个配置文件中选择N个片段,来选择用于创建所述验证网页的多个代码片段,其中,根据对所述验证网页的尺寸的限制确定数目N。
17.根据权利要求10所述的系统,其中,所述硬件处理器还被配置成运行虚拟机以执行在所述至少一个修改的代码片段中的代码以分析所述恶意软件的行为。
18.根据权利要求10所述的系统,其中,所述硬件处理器还被配置成:
分析在所述验证网页的至少一个修改的代码片段中的URL代码;和
识别至网络钓鱼资源的至少一个链接。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2015125971A RU2610254C2 (ru) | 2015-06-30 | 2015-06-30 | Система и способ определения измененных веб-страниц |
| RU2015125971 | 2015-06-30 | ||
| US14/834,853 US9407658B1 (en) | 2015-06-30 | 2015-08-25 | System and method for determining modified web pages |
| US14/834,853 | 2015-08-25 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106326742A true CN106326742A (zh) | 2017-01-11 |
| CN106326742B CN106326742B (zh) | 2019-03-29 |
Family
ID=56507345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610112583.6A Active CN106326742B (zh) | 2015-06-30 | 2016-02-29 | 确定修改的网页的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US9407658B1 (zh) |
| EP (1) | EP3113064B1 (zh) |
| JP (1) | JP6371790B2 (zh) |
| CN (1) | CN106326742B (zh) |
| RU (1) | RU2610254C2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109446056A (zh) * | 2018-09-11 | 2019-03-08 | 平安科技(深圳)有限公司 | 代码验证方法、装置、电子设备及介质 |
| US20220329626A1 (en) * | 2021-04-07 | 2022-10-13 | ArmorBlox, Inc. | Method for detecting webpage spoofing attacks |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10805331B2 (en) | 2010-09-24 | 2020-10-13 | BitSight Technologies, Inc. | Information technology security assessment system |
| US9438615B2 (en) | 2013-09-09 | 2016-09-06 | BitSight Technologies, Inc. | Security risk management |
| EP3840331B1 (en) | 2016-02-01 | 2023-10-04 | Google LLC | Systems and methods for dynamically restricting the rendering of unauthorized content included in information resources |
| US11068584B2 (en) * | 2016-02-01 | 2021-07-20 | Google Llc | Systems and methods for deploying countermeasures against unauthorized scripts interfering with the rendering of content elements on information resources |
| US11182720B2 (en) | 2016-02-16 | 2021-11-23 | BitSight Technologies, Inc. | Relationships among technology assets and services and the entities responsible for them |
| US10990507B2 (en) * | 2016-02-25 | 2021-04-27 | Dell Products L.P. | System and method for provisioning a virtual machine test environment |
| US10013557B1 (en) * | 2017-01-05 | 2018-07-03 | Votiro Cybersec Ltd. | System and method for disarming malicious code |
| CN107016282B (zh) * | 2017-02-06 | 2020-01-31 | 阿里巴巴集团控股有限公司 | 一种信息处理方法及装置 |
| US10425380B2 (en) | 2017-06-22 | 2019-09-24 | BitSight Technologies, Inc. | Methods for mapping IP addresses and domains to organizations using user activity data |
| CN107749835B (zh) * | 2017-09-11 | 2020-11-20 | 哈尔滨工程大学 | 一种基于预测的点击劫持攻击的渗透测试方法 |
| CN107592322B (zh) * | 2017-11-01 | 2020-01-21 | 北京知道创宇信息技术股份有限公司 | 网址拦截方法及装置 |
| US10257219B1 (en) | 2018-03-12 | 2019-04-09 | BitSight Technologies, Inc. | Correlated risk in cybersecurity |
| US10831856B1 (en) | 2018-04-10 | 2020-11-10 | Amdocs Development Limited | System, method, and computer program for implementing trustable, unobtrusive webpage monitoring and correcting based on validation rules |
| US10812520B2 (en) | 2018-04-17 | 2020-10-20 | BitSight Technologies, Inc. | Systems and methods for external detection of misconfigured systems |
| TWI669624B (zh) * | 2018-09-19 | 2019-08-21 | 宏碁股份有限公司 | 網頁內容自我保護方法以及伺服器 |
| US11200323B2 (en) | 2018-10-17 | 2021-12-14 | BitSight Technologies, Inc. | Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios |
| US10521583B1 (en) | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
| US11017119B2 (en) * | 2018-12-14 | 2021-05-25 | Synergex Group | Methods, systems, and media for detecting alteration of a web page |
| WO2020133083A1 (en) | 2018-12-27 | 2020-07-02 | Citrix Systems, Inc. | Systems and methods for development of web products |
| US11188647B2 (en) * | 2019-02-20 | 2021-11-30 | Paypal, Inc. | Security via web browser tampering detection |
| US10498760B1 (en) * | 2019-07-16 | 2019-12-03 | ALSCO Software LLC | Monitoring system for detecting and preventing a malicious program code from being uploaded from a client computer to a webpage computer server |
| US10726136B1 (en) | 2019-07-17 | 2020-07-28 | BitSight Technologies, Inc. | Systems and methods for generating security improvement plans for entities |
| US11956265B2 (en) | 2019-08-23 | 2024-04-09 | BitSight Technologies, Inc. | Systems and methods for inferring entity relationships via network communications of users or user devices |
| US10848382B1 (en) | 2019-09-26 | 2020-11-24 | BitSight Technologies, Inc. | Systems and methods for network asset discovery and association thereof with entities |
| US11032244B2 (en) | 2019-09-30 | 2021-06-08 | BitSight Technologies, Inc. | Systems and methods for determining asset importance in security risk management |
| US11392721B2 (en) * | 2019-12-13 | 2022-07-19 | At&T Intellectual Property I, L.P. | Virtual machine formjacking protection |
| US10791140B1 (en) | 2020-01-29 | 2020-09-29 | BitSight Technologies, Inc. | Systems and methods for assessing cybersecurity state of entities based on computer network characterization |
| US10893067B1 (en) | 2020-01-31 | 2021-01-12 | BitSight Technologies, Inc. | Systems and methods for rapidly generating security ratings |
| US10764298B1 (en) | 2020-02-26 | 2020-09-01 | BitSight Technologies, Inc. | Systems and methods for improving a security profile of an entity based on peer security profiles |
| US11023585B1 (en) | 2020-05-27 | 2021-06-01 | BitSight Technologies, Inc. | Systems and methods for managing cybersecurity alerts |
| US11122073B1 (en) | 2020-12-11 | 2021-09-14 | BitSight Technologies, Inc. | Systems and methods for cybersecurity risk mitigation and management |
| US11824878B2 (en) | 2021-01-05 | 2023-11-21 | Bank Of America Corporation | Malware detection at endpoint devices |
| US11989294B2 (en) | 2021-01-07 | 2024-05-21 | Bank Of America Corporation | Detecting and preventing installation and execution of malicious browser extensions |
| US12079347B2 (en) | 2021-03-31 | 2024-09-03 | BitSight Technologies, Inc. | Systems and methods for assessing cybersecurity risk in a work from home environment |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102147842A (zh) * | 2010-07-23 | 2011-08-10 | 卡巴斯基实验室封闭式股份公司 | 防御网络资源上的恶意软件 |
| EP2642715A1 (en) * | 2012-03-20 | 2013-09-25 | British Telecommunications public limited company | Method and system for malicious code detection |
| US20140304816A1 (en) * | 2013-04-08 | 2014-10-09 | Trusteer Ltd. | Client based local malware detection method |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7962756B2 (en) * | 2006-10-31 | 2011-06-14 | At&T Intellectual Property Ii, L.P. | Method and apparatus for providing automatic generation of webpages |
| US8434149B1 (en) * | 2007-12-21 | 2013-04-30 | Symantec Corporation | Method and apparatus for identifying web attacks |
| US8677481B1 (en) * | 2008-09-30 | 2014-03-18 | Trend Micro Incorporated | Verification of web page integrity |
| US8225401B2 (en) | 2008-12-18 | 2012-07-17 | Symantec Corporation | Methods and systems for detecting man-in-the-browser attacks |
| US8381300B2 (en) * | 2009-01-26 | 2013-02-19 | Microsoft Corporation | Offline extraction of configuration data |
| CA2787933C (en) | 2010-01-26 | 2016-09-13 | Silver Tail Systems, Inc. | System and method for network security including detection of man-in-the-browser attacks |
| US8813232B2 (en) * | 2010-03-04 | 2014-08-19 | Mcafee Inc. | Systems and methods for risk rating and pro-actively detecting malicious online ads |
| US8468602B2 (en) * | 2010-03-08 | 2013-06-18 | Raytheon Company | System and method for host-level malware detection |
| IL217279A0 (en) | 2011-12-29 | 2012-02-29 | Israel Ragutski | Method and system for ensuring authenticity of ip data served by a service provider |
| US20130347104A1 (en) * | 2012-02-10 | 2013-12-26 | Riverside Research Institute | Analyzing executable binary code without detection |
| CN102663285B (zh) * | 2012-03-21 | 2015-06-10 | 北京奇虎科技有限公司 | 一种apk病毒特征码的提取方法及装置 |
| RU2523114C2 (ru) * | 2012-04-06 | 2014-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников |
| KR101400680B1 (ko) | 2013-03-12 | 2014-05-29 | 주식회사 윈스 | 악성코드 자동 수집 시스템 |
| US9225737B2 (en) | 2013-03-15 | 2015-12-29 | Shape Security, Inc. | Detecting the introduction of alien content |
| US11386181B2 (en) * | 2013-03-15 | 2022-07-12 | Webroot, Inc. | Detecting a change to the content of information displayed to a user of a website |
| US10033761B2 (en) * | 2013-07-05 | 2018-07-24 | Nippon Telegraph And Telephone Corporation | System and method for monitoring falsification of content after detection of unauthorized access |
| US8959643B1 (en) * | 2013-08-09 | 2015-02-17 | Narus, Inc. | Detecting malware infestations in large-scale networks |
| US8893294B1 (en) * | 2014-01-21 | 2014-11-18 | Shape Security, Inc. | Flexible caching |
-
2015
- 2015-06-30 RU RU2015125971A patent/RU2610254C2/ru active
- 2015-08-25 US US14/834,853 patent/US9407658B1/en active Active
- 2015-09-02 EP EP15183428.0A patent/EP3113064B1/en active Active
-
2016
- 2016-02-29 CN CN201610112583.6A patent/CN106326742B/zh active Active
- 2016-05-06 JP JP2016093198A patent/JP6371790B2/ja active Active
- 2016-06-24 US US15/192,129 patent/US9860270B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102147842A (zh) * | 2010-07-23 | 2011-08-10 | 卡巴斯基实验室封闭式股份公司 | 防御网络资源上的恶意软件 |
| EP2642715A1 (en) * | 2012-03-20 | 2013-09-25 | British Telecommunications public limited company | Method and system for malicious code detection |
| US20140304816A1 (en) * | 2013-04-08 | 2014-10-09 | Trusteer Ltd. | Client based local malware detection method |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109446056A (zh) * | 2018-09-11 | 2019-03-08 | 平安科技(深圳)有限公司 | 代码验证方法、装置、电子设备及介质 |
| CN109446056B (zh) * | 2018-09-11 | 2023-03-21 | 平安科技(深圳)有限公司 | 代码验证方法、装置、电子设备及介质 |
| US20220329626A1 (en) * | 2021-04-07 | 2022-10-13 | ArmorBlox, Inc. | Method for detecting webpage spoofing attacks |
| US11632395B2 (en) * | 2021-04-07 | 2023-04-18 | ArmorBlox, Inc. | Method for detecting webpage spoofing attacks |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170006046A1 (en) | 2017-01-05 |
| JP6371790B2 (ja) | 2018-08-08 |
| US9860270B2 (en) | 2018-01-02 |
| EP3113064A1 (en) | 2017-01-04 |
| JP2017021778A (ja) | 2017-01-26 |
| RU2610254C2 (ru) | 2017-02-08 |
| US9407658B1 (en) | 2016-08-02 |
| EP3113064B1 (en) | 2017-11-29 |
| CN106326742B (zh) | 2019-03-29 |
| RU2015125971A (ru) | 2017-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106326742A (zh) | 确定修改的网页的系统和方法 | |
| Gupta et al. | PHP-sensor: a prototype method to discover workflow violation and XSS vulnerabilities in PHP web applications | |
| Gupta et al. | Enhancing the browser-side context-aware sanitization of suspicious HTML5 code for halting the DOM-based XSS vulnerabilities in cloud | |
| Rathore et al. | XSSClassifier: an efficient XSS attack detection approach based on machine learning classifier on SNSs | |
| Medvet et al. | Visual-similarity-based phishing detection | |
| US8225402B1 (en) | Anomaly-based detection of SQL injection attacks | |
| Chen et al. | Gui-squatting attack: Automated generation of android phishing apps | |
| RU2637477C1 (ru) | Система и способ обнаружения фишинговых веб-страниц | |
| US20070199054A1 (en) | Client side attack resistant phishing detection | |
| CN1328638C (zh) | Windows环境下的主机入侵检测方法 | |
| Roy et al. | Generating phishing attacks using chatgpt | |
| CN106326737A (zh) | 用于检测可在虚拟堆栈机上执行的有害文件的系统和方法 | |
| Wang et al. | A new cross-site scripting detection mechanism integrated with HTML5 and CORS properties by using browser extensions | |
| Rajalingam et al. | Prevention of phishing attacks based on discriminative key point features of webpages | |
| CN113901465A (zh) | 一种基于异质网络的Android恶意软件检测方法 | |
| Narayanan et al. | Detection and prevention of sql injection attacks using semantic equivalence | |
| Adebiyi et al. | An sql injection detection model using chi-square with classification techniques | |
| CN117040804A (zh) | 网站的网络攻击检测方法、装置、设备、介质和程序产品 | |
| CN107194259B (zh) | 一种基于攻击过程的漏洞严重度综合评估方法和系统 | |
| CN113542204B (zh) | 防护规则生成方法、装置和存储介质 | |
| Nigam et al. | PCP framework to expose malware in devices | |
| US20230065787A1 (en) | Detection of phishing websites using machine learning | |
| Mayuri et al. | Phishing detection based on visual-similarity | |
| RU2811375C1 (ru) | Система и способ формирования классификатора для обнаружения фишинговых сайтов при помощи хешей объектов DOM | |
| Kaur et al. | Mitigation of SQL injection vulnerability during development of web applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |