CN107196960A - 一种基于沙箱技术的网马检测系统及其检测方法 - Google Patents

Abstract

本发明是一种基于沙箱技术的网马检测系统及其检测方法，包括站点恶意代码监测模块、网页挂马检测模块、iframe框架植入检测模块、异常链接跳转检测模块、动态检测引擎模块和网站挂马安全监测定时报告模块，收集了目前市面上存在的网马扫描引擎，是一套基于浏览器沙箱技术的网马检测引擎，通过构建一个本地的浏览器沙箱，模拟Web浏览器行为从而进行恶意行为的识别和检测，动态检测引擎可以针对被加密的比较难以识别的恶意代码进行动态解密和识别，通过基于行为的检测手段提高对未知网马的检出率。采用异步任务管理和分布式任务分发，实现网马检测任务的分布式并行处理，提高大量网马任务的检测效率。

Description

一种基于沙箱技术的网马检测系统及其检测方法

技术领域

本发明涉及网络信息安全领域，尤其涉及一种基于沙箱技术的网马检测系统及其检测方法。

背景技术

互联网的飞速发展推动人们进入Web2.0时代，为人们的生活、工作、学习带来了巨大的方便。我国从2015年提出互联网+的行动计划，利用信息技术推动电子政务也已成为实现国家治理体系和治理能力现代化目标的重要条件。互联网+政务在提高政府行政效率、提升政府公共服务能力方面起到越来越重要的作用，但是这些网站防护措施比较薄弱，经常被一些黑客入侵，将网站内容篡改，给政府形象带来了恶劣的影响，甚至给政府工作的正常运转、政府信息或个人信息安全保密带来了严重威胁。目前市面上存在的网马扫描工具大部分是基于特征匹配，面对比较复杂的网马(如：加密代码)则无法准确的对网马进行检测，同时由于采用特征匹配法进行检测，会有很多的漏报和误报。

发明内容

本发明旨在解决现有技术的不足，而提供一种基于沙箱技术的网马检测系统及其检测方法。

本发明为实现上述目的，采用以下技术方案：一种基于沙箱技术的网马检测系统，其特征在于，包括站点恶意代码监测模块、网页挂马检测模块、iframe框架植入检测模块、异常链接跳转检测模块、动态检测引擎模块和网站挂马安全监测定时报告模块；

所述站点恶意代码监测模块对指定的站点进行定时检测，发现站点异常进行报警；

所述网页挂马检测模块对网站进行后门程序检测，及时发现站点挂马威胁；

所述iframe框架植入检测模块对网页代码进行动态调试，从而准确地发现混淆的iframe框架植入；

所述异常链接跳转检测模块通过客户端模拟蜜罐，对异常链接跳转进行检测，避免网站在被黑客攻击之后在网站内加入脚本，让用户访问的时候跳转到黑客指定的恶意网址；

所述动态检测引擎模块使用客户端浏览器模拟技术，通过构建一个本地的浏览器沙箱，模拟Web浏览器行为从而进行恶意行为的识别和检测，动态检测引擎模块可以针对被加密的比较难以识别的恶意代码进行动态解密和识别；

所述网站挂马安全监测定时报告模块为用户提供全天候的网站挂马安全监测服务，可以定时为用户提供网站安全监测报告，通过报告用户可以清楚的看到网站存在的挂马威胁以及网页被植入恶意代码安全隐患，提高网站威胁处置能力。

一种基于沙箱技术的网马检测方法，其特征在于，其步骤如下：

(1)访问目标网页，获取网页的源码；

(2)将网页源码中的可执行代码提取出来；

(3)以网页源码中的html标签为基础，构建一颗DOM树；

(4)在关键函数上添加监控点；

(5)将这颗DOM树加载到V8引擎中，然后执行代码；

(6)分析监控日志，将日志中获取的代码与规则库进行比对，检测是否是恶意代码。

本发明的有益效果是：本发明是收集了目前市面上存在的网马扫描引擎，是一套基于浏览器沙箱技术的网马检测引擎，通过构建一个本地的浏览器沙箱，模拟Web浏览器行为从而进行恶意行为的识别和检测，动态检测引擎可以针对被加密的比较难以识别的恶意代码进行动态解密和识别，通过基于行为的检测手段提高对未知网马的检出率。采用异步任务管理和分布式任务分发，实现网马检测任务的分布式并行处理，提高大量网马任务的检测效率。

具体实施方式

下面结合实施例对本发明作进一步说明：

一种基于沙箱技术的网马检测系统，包括站点恶意代码监测模块、网页挂马检测模块、iframe框架植入检测模块、异常链接跳转检测模块、动态检测引擎模块和网站挂马安全监测定时报告模块；

所述站点恶意代码监测模块对指定的站点进行定时检测，发现站点异常进行报警；

所述网页挂马检测模块对网站进行后门程序检测，及时发现站点挂马威胁；

所述iframe框架植入检测模块对网页代码进行动态调试，从而准确地发现混淆的iframe框架植入；

所述异常链接跳转检测模块通过客户端模拟蜜罐，对异常链接跳转进行检测，避免网站在被黑客攻击之后在网站内加入脚本，让用户访问的时候跳转到黑客指定的恶意网址；

所述动态检测引擎模块使用客户端浏览器模拟技术，通过构建一个本地的浏览器沙箱，模拟Web浏览器行为从而进行恶意行为的识别和检测，动态检测引擎模块可以针对被加密的比较难以识别的恶意代码进行动态解密和识别；

所述网站挂马安全监测定时报告模块为用户提供全天候的网站挂马安全监测服务，可以定时为用户提供网站安全监测报告，通过报告用户可以清楚的看到网站存在的挂马威胁以及网页被植入恶意代码安全隐患，提高网站威胁处置能力。

一种基于沙箱技术的网马检测方法，其步骤如下：

(1)访问目标网页，获取网页的源码；

(2)将网页源码中的可执行代码提取出来；

(3)以网页源码中的html标签为基础，构建一颗DOM树；

(4)在关键函数上添加监控点；

(5)将这颗DOM树加载到V8引擎中，然后执行代码；

(6)分析监控日志，将日志中获取的代码与规则库进行比对，检测是否是恶意代码。

上面对本发明进行了示例性描述，显然本发明具体实现并不受上述方式的限制，只要采用了本发明的方法构思和技术方案进行的各种改进，或未经改进直接应用于其它场合的，均在本发明的保护范围之内。

Claims (2)

1.一种基于沙箱技术的网马检测系统，其特征在于，包括站点恶意代码监测模块、网页挂马检测模块、iframe框架植入检测模块、异常链接跳转检测模块、动态检测引擎模块和网站挂马安全监测定时报告模块；

所述站点恶意代码监测模块对指定的站点进行定时检测，发现站点异常进行报警；

所述网页挂马检测模块对网站进行后门程序检测，及时发现站点挂马威胁；

所述iframe框架植入检测模块对网页代码进行动态调试，从而准确地发现混淆的iframe框架植入；

所述异常链接跳转检测模块通过客户端模拟蜜罐，对异常链接跳转进行检测，避免网站在被黑客攻击之后在网站内加入脚本，让用户访问的时候跳转到黑客指定的恶意网址；

所述动态检测引擎模块使用客户端浏览器模拟技术，通过构建一个本地的浏览器沙箱，模拟Web浏览器行为从而进行恶意行为的识别和检测，动态检测引擎模块可以针对被加密的比较难以识别的恶意代码进行动态解密和识别；

所述网站挂马安全监测定时报告模块为用户提供全天候的网站挂马安全监测服务，可以定时为用户提供网站安全监测报告，通过报告用户可以清楚的看到网站存在的挂马威胁以及网页被植入恶意代码安全隐患，提高网站威胁处置能力。

2.如权利要求1所述的一种基于沙箱技术的网马检测系统的检测方法，其特征在于，其步骤如下：

(1)访问目标网页，获取网页的源码；

(2)将网页源码中的可执行代码提取出来；

(3)以网页源码中的html标签为基础，构建一颗DOM树；

(4)在关键函数上添加监控点；

(5)将这颗DOM树加载到V8引擎中，然后执行代码；

(6)分析监控日志，将日志中获取的代码与规则库进行比对，检测是否是恶意代码。