CN107196960A - 一种基于沙箱技术的网马检测系统及其检测方法 - Google Patents
一种基于沙箱技术的网马检测系统及其检测方法 Download PDFInfo
- Publication number
- CN107196960A CN107196960A CN201710500033.6A CN201710500033A CN107196960A CN 107196960 A CN107196960 A CN 107196960A CN 201710500033 A CN201710500033 A CN 201710500033A CN 107196960 A CN107196960 A CN 107196960A
- Authority
- CN
- China
- Prior art keywords
- detection
- website
- horse
- code
- net
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明是一种基于沙箱技术的网马检测系统及其检测方法,包括站点恶意代码监测模块、网页挂马检测模块、iframe框架植入检测模块、异常链接跳转检测模块、动态检测引擎模块和网站挂马安全监测定时报告模块,收集了目前市面上存在的网马扫描引擎,是一套基于浏览器沙箱技术的网马检测引擎,通过构建一个本地的浏览器沙箱,模拟Web浏览器行为从而进行恶意行为的识别和检测,动态检测引擎可以针对被加密的比较难以识别的恶意代码进行动态解密和识别,通过基于行为的检测手段提高对未知网马的检出率。采用异步任务管理和分布式任务分发,实现网马检测任务的分布式并行处理,提高大量网马任务的检测效率。
Description
技术领域
本发明涉及网络信息安全领域,尤其涉及一种基于沙箱技术的网马检测系统及其检测方法。
背景技术
互联网的飞速发展推动人们进入Web2.0时代,为人们的生活、工作、学习带来了巨大的方便。我国从2015年提出互联网+的行动计划,利用信息技术推动电子政务也已成为实现国家治理体系和治理能力现代化目标的重要条件。互联网+政务在提高政府行政效率、提升政府公共服务能力方面起到越来越重要的作用,但是这些网站防护措施比较薄弱,经常被一些黑客入侵,将网站内容篡改,给政府形象带来了恶劣的影响,甚至给政府工作的正常运转、政府信息或个人信息安全保密带来了严重威胁。目前市面上存在的网马扫描工具大部分是基于特征匹配,面对比较复杂的网马(如:加密代码)则无法准确的对网马进行检测,同时由于采用特征匹配法进行检测,会有很多的漏报和误报。
发明内容
本发明旨在解决现有技术的不足,而提供一种基于沙箱技术的网马检测系统及其检测方法。
本发明为实现上述目的,采用以下技术方案:一种基于沙箱技术的网马检测系统,其特征在于,包括站点恶意代码监测模块、网页挂马检测模块、iframe框架植入检测模块、异常链接跳转检测模块、动态检测引擎模块和网站挂马安全监测定时报告模块;
所述站点恶意代码监测模块对指定的站点进行定时检测,发现站点异常进行报警;
所述网页挂马检测模块对网站进行后门程序检测,及时发现站点挂马威胁;
所述iframe框架植入检测模块对网页代码进行动态调试,从而准确地发现混淆的iframe框架植入;
所述异常链接跳转检测模块通过客户端模拟蜜罐,对异常链接跳转进行检测,避免网站在被黑客攻击之后在网站内加入脚本,让用户访问的时候跳转到黑客指定的恶意网址;
所述动态检测引擎模块使用客户端浏览器模拟技术,通过构建一个本地的浏览器沙箱,模拟Web浏览器行为从而进行恶意行为的识别和检测,动态检测引擎模块可以针对被加密的比较难以识别的恶意代码进行动态解密和识别;
所述网站挂马安全监测定时报告模块为用户提供全天候的网站挂马安全监测服务,可以定时为用户提供网站安全监测报告,通过报告用户可以清楚的看到网站存在的挂马威胁以及网页被植入恶意代码安全隐患,提高网站威胁处置能力。
一种基于沙箱技术的网马检测方法,其特征在于,其步骤如下:
(1)访问目标网页,获取网页的源码;
(2)将网页源码中的可执行代码提取出来;
(3)以网页源码中的html标签为基础,构建一颗DOM树;
(4)在关键函数上添加监控点;
(5)将这颗DOM树加载到V8引擎中,然后执行代码;
(6)分析监控日志,将日志中获取的代码与规则库进行比对,检测是否是恶意代码。
本发明的有益效果是:本发明是收集了目前市面上存在的网马扫描引擎,是一套基于浏览器沙箱技术的网马检测引擎,通过构建一个本地的浏览器沙箱,模拟Web浏览器行为从而进行恶意行为的识别和检测,动态检测引擎可以针对被加密的比较难以识别的恶意代码进行动态解密和识别,通过基于行为的检测手段提高对未知网马的检出率。采用异步任务管理和分布式任务分发,实现网马检测任务的分布式并行处理,提高大量网马任务的检测效率。
具体实施方式
下面结合实施例对本发明作进一步说明:
一种基于沙箱技术的网马检测系统,包括站点恶意代码监测模块、网页挂马检测模块、iframe框架植入检测模块、异常链接跳转检测模块、动态检测引擎模块和网站挂马安全监测定时报告模块;
所述站点恶意代码监测模块对指定的站点进行定时检测,发现站点异常进行报警;
所述网页挂马检测模块对网站进行后门程序检测,及时发现站点挂马威胁;
所述iframe框架植入检测模块对网页代码进行动态调试,从而准确地发现混淆的iframe框架植入;
所述异常链接跳转检测模块通过客户端模拟蜜罐,对异常链接跳转进行检测,避免网站在被黑客攻击之后在网站内加入脚本,让用户访问的时候跳转到黑客指定的恶意网址;
所述动态检测引擎模块使用客户端浏览器模拟技术,通过构建一个本地的浏览器沙箱,模拟Web浏览器行为从而进行恶意行为的识别和检测,动态检测引擎模块可以针对被加密的比较难以识别的恶意代码进行动态解密和识别;
所述网站挂马安全监测定时报告模块为用户提供全天候的网站挂马安全监测服务,可以定时为用户提供网站安全监测报告,通过报告用户可以清楚的看到网站存在的挂马威胁以及网页被植入恶意代码安全隐患,提高网站威胁处置能力。
一种基于沙箱技术的网马检测方法,其步骤如下:
(1)访问目标网页,获取网页的源码;
(2)将网页源码中的可执行代码提取出来;
(3)以网页源码中的html标签为基础,构建一颗DOM树;
(4)在关键函数上添加监控点;
(5)将这颗DOM树加载到V8引擎中,然后执行代码;
(6)分析监控日志,将日志中获取的代码与规则库进行比对,检测是否是恶意代码。
上面对本发明进行了示例性描述,显然本发明具体实现并不受上述方式的限制,只要采用了本发明的方法构思和技术方案进行的各种改进,或未经改进直接应用于其它场合的,均在本发明的保护范围之内。
Claims (2)
1.一种基于沙箱技术的网马检测系统,其特征在于,包括站点恶意代码监测模块、网页挂马检测模块、iframe框架植入检测模块、异常链接跳转检测模块、动态检测引擎模块和网站挂马安全监测定时报告模块;
所述站点恶意代码监测模块对指定的站点进行定时检测,发现站点异常进行报警;
所述网页挂马检测模块对网站进行后门程序检测,及时发现站点挂马威胁;
所述iframe框架植入检测模块对网页代码进行动态调试,从而准确地发现混淆的iframe框架植入;
所述异常链接跳转检测模块通过客户端模拟蜜罐,对异常链接跳转进行检测,避免网站在被黑客攻击之后在网站内加入脚本,让用户访问的时候跳转到黑客指定的恶意网址;
所述动态检测引擎模块使用客户端浏览器模拟技术,通过构建一个本地的浏览器沙箱,模拟Web浏览器行为从而进行恶意行为的识别和检测,动态检测引擎模块可以针对被加密的比较难以识别的恶意代码进行动态解密和识别;
所述网站挂马安全监测定时报告模块为用户提供全天候的网站挂马安全监测服务,可以定时为用户提供网站安全监测报告,通过报告用户可以清楚的看到网站存在的挂马威胁以及网页被植入恶意代码安全隐患,提高网站威胁处置能力。
2.如权利要求1所述的一种基于沙箱技术的网马检测系统的检测方法,其特征在于,其步骤如下:
(1)访问目标网页,获取网页的源码;
(2)将网页源码中的可执行代码提取出来;
(3)以网页源码中的html标签为基础,构建一颗DOM树;
(4)在关键函数上添加监控点;
(5)将这颗DOM树加载到V8引擎中,然后执行代码;
(6)分析监控日志,将日志中获取的代码与规则库进行比对,检测是否是恶意代码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710500033.6A CN107196960A (zh) | 2017-06-27 | 2017-06-27 | 一种基于沙箱技术的网马检测系统及其检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710500033.6A CN107196960A (zh) | 2017-06-27 | 2017-06-27 | 一种基于沙箱技术的网马检测系统及其检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107196960A true CN107196960A (zh) | 2017-09-22 |
Family
ID=59880570
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710500033.6A Pending CN107196960A (zh) | 2017-06-27 | 2017-06-27 | 一种基于沙箱技术的网马检测系统及其检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107196960A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112182614A (zh) * | 2020-09-29 | 2021-01-05 | 北京天云海数技术有限公司 | 一种动态Web应用防护系统 |
CN113904796A (zh) * | 2021-08-27 | 2022-01-07 | 国家计算机网络与信息安全管理中心 | 网络安全检测用流量的设备后门检测方法 |
CN114006746A (zh) * | 2021-10-26 | 2022-02-01 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102088379A (zh) * | 2011-01-24 | 2011-06-08 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
CN102254111A (zh) * | 2010-05-17 | 2011-11-23 | 北京知道创宇信息技术有限公司 | 恶意网站检测方法及装置 |
WO2016131830A1 (en) * | 2015-02-16 | 2016-08-25 | Universität des Saarlandes | Mining sandboxes |
CN106485148A (zh) * | 2015-10-29 | 2017-03-08 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于js‑bom结合的恶意代码行为分析沙箱的实现方法 |
US20170118233A1 (en) * | 2014-10-08 | 2017-04-27 | Melih Abdulhayoglu | System and method of protecting a network |
US20170142111A1 (en) * | 2015-11-17 | 2017-05-18 | Avaya Inc. | Accessing local information based on a browser session |
-
2017
- 2017-06-27 CN CN201710500033.6A patent/CN107196960A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102254111A (zh) * | 2010-05-17 | 2011-11-23 | 北京知道创宇信息技术有限公司 | 恶意网站检测方法及装置 |
CN102088379A (zh) * | 2011-01-24 | 2011-06-08 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
US20170118233A1 (en) * | 2014-10-08 | 2017-04-27 | Melih Abdulhayoglu | System and method of protecting a network |
WO2016131830A1 (en) * | 2015-02-16 | 2016-08-25 | Universität des Saarlandes | Mining sandboxes |
CN106485148A (zh) * | 2015-10-29 | 2017-03-08 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于js‑bom结合的恶意代码行为分析沙箱的实现方法 |
US20170142111A1 (en) * | 2015-11-17 | 2017-05-18 | Avaya Inc. | Accessing local information based on a browser session |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112182614A (zh) * | 2020-09-29 | 2021-01-05 | 北京天云海数技术有限公司 | 一种动态Web应用防护系统 |
CN112182614B (zh) * | 2020-09-29 | 2023-10-13 | 北京天云海数技术有限公司 | 一种动态Web应用防护系统 |
CN113904796A (zh) * | 2021-08-27 | 2022-01-07 | 国家计算机网络与信息安全管理中心 | 网络安全检测用流量的设备后门检测方法 |
CN113904796B (zh) * | 2021-08-27 | 2023-11-17 | 国家计算机网络与信息安全管理中心 | 网络流量安全检测的设备后门检测方法 |
CN114006746A (zh) * | 2021-10-26 | 2022-02-01 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Moustafa et al. | Data analytics-enabled intrusion detection: Evaluations of ToN_IoT linux datasets | |
CN112769821B (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
CN104598824B (zh) | 一种恶意程序检测方法及其装置 | |
CN102622435B (zh) | 一种检测黑链的方法和装置 | |
CN102609649B (zh) | 一种自动采集恶意软件的方法和装置 | |
CN107070929A (zh) | 一种工控网络蜜罐系统 | |
CN103294950B (zh) | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 | |
CN104766011A (zh) | 基于主机特征的沙箱检测告警方法和系统 | |
CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
CN101820419A (zh) | 一种挂马网页中网页木马挂接点自动定位方法 | |
CN105704120B (zh) | 一种基于自学习形式的安全访问网络的方法 | |
CN107092830A (zh) | 基于流量分析的ios恶意软件预警和检测系统及其方法 | |
CN104954384B (zh) | 一种保护Web应用安全的url拟态方法 | |
CN107579997A (zh) | 无线网络入侵检测系统 | |
CN107196960A (zh) | 一种基于沙箱技术的网马检测系统及其检测方法 | |
CN110602044A (zh) | 一种网络威胁分析方法和系统 | |
CN104901962B (zh) | 一种网页攻击数据的检测方法及装置 | |
Abdullah et al. | Mobile botnet detection: Proof of concept | |
CN107666464B (zh) | 一种信息处理方法及服务器 | |
CN105871775B (zh) | 一种安全防护方法及dpma防护模型 | |
CN110378115B (zh) | 一种信息安全攻防平台的数据层系统 | |
CN108345795A (zh) | 用于检测和分类恶意软件的系统和方法 | |
CN107509200A (zh) | 基于无线网络入侵的设备定位方法及装置 | |
Chandrasekaran et al. | Spycon: Emulating user activities to detect evasive spyware | |
Hu et al. | Research on Android ransomware protection technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170922 |