CN107908961B - 基于虚拟化的恶意网页检测方法、设备及存储介质 - Google Patents
基于虚拟化的恶意网页检测方法、设备及存储介质 Download PDFInfo
- Publication number
- CN107908961B CN107908961B CN201711031882.8A CN201711031882A CN107908961B CN 107908961 B CN107908961 B CN 107908961B CN 201711031882 A CN201711031882 A CN 201711031882A CN 107908961 B CN107908961 B CN 107908961B
- Authority
- CN
- China
- Prior art keywords
- webpage
- malicious
- preset
- web page
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于虚拟化的恶意网页检测方法、设备及存储介质,本发明通过构建模拟运行预设浏览器的虚拟化系统环境,获取在所述预设浏览器中显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动,若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页,能够应对各种恶意网页的变形,恶意网页在各种运行环境中运行互不影响,能够有效提高检测恶意网页的效率和准确度,提升用户体验。
Description
技术领域
本发明涉及计算机网络安全领域,尤其涉及一种基于虚拟化的恶意网页检测方法、设备及存储介质。
背景技术
经济社会的发展要求各用户之间的通信和资源共享,需要将一批计算机连成网络,这样就隐含着很大的风险,包含了极大的脆弱性和复杂性,特别是互联网,很容易遭到别有用心者的恶意攻击和破坏。随着国民经济的信息化程度的提高,有关的大量情报和商务信息都高度集中地存放在计算机中,随着网络应用范围的扩大,信息的泄露问题也变得日益严重,因此,计算机网络的安全性问题就越来越重要。但是恶意网页的存在让人们在浏览网页时被非法获取电脑里面的各种数据,造成不同程度的损失和困扰;因此,很有必要对恶意网页进行检测,防患于未然,但是目前恶意网页的检测技术主要存在静态特征检测和基于机器学习的恶意网页分类,存在如下缺点:静态特征检测无法应对各种恶意网页的变形,而基于机器学习的检测容易受到特殊样本的干扰,而且识别率依赖于学习样本的选取。
发明内容
本发明的主要目的在于提出一种基于虚拟化的恶意网页检测方法、设备及存储介质,旨在解决现有技术中检测恶意网页无法应对各种网页的变形,检测效果不好的技术问题。
为实现上述目的,本发明提供一种基于虚拟化的恶意网页检测方法,所述基于虚拟化的恶意网页检测方法包括以下步骤:
构建模拟运行N个预设浏览器的虚拟化系统环境,N为正整数;
获取在所述预设浏览器中尚未显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动;
若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页。
优选地,所述构建模拟运行预设浏览器的虚拟化系统环境,具体包括:
获取所述预设浏览器的运行状态数据,并根据所述运行状态数据构建模拟运行所述预设浏览器的虚拟化系统环境,所述运行状态数据为所述预设浏览器运行预设恶意网页数据库中的各恶意网页时,由所述预设浏览器生成的数据。
优选地,所述若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页之后,所述方法还包括:
从所述预设浏览器中选取在所述虚拟化系统环境中显示所述恶意网页的M个预设浏览器作为目标浏览器,M为不大于N的正整数;
对所述目标浏览器进行升级处理。
优选地,所述对所述目标浏览器进行升级处理,具体包括:
获取与所述目标浏览器中各浏览器对应的当前版本信息和最新版本信息;
将所述当前版本信息与所述最新版本信息进行比对,若所述当前版本信息的版本低于所述最新版本信息的版本,则将所述最新版本信息的版本替换所述当前版本信息的版本,以完成对所述目标浏览器的升级处理。
优选地,所述将所述当前版本信息与所述最新版本信息进行比对之后,所述方法还包括:
若所述当前版本信息的版本与所述最新版本信息的版本一致,则将与所述当前版本信息对应的目标浏览器列入预设待更新名单中,根据所述预设待更新名单生成升级提示信息;
将所述升级提示信息发送至所述预设待更新名单中的目标浏览器,以提醒所述预设待更新名单中的目标浏览器进行版本升级。
优选地,所述获取在所述N个预设浏览器中尚未显示的待检测网页,具体包括:
当监测到所述N个预设浏览器发送网页请求时,截获对所述网页请求响应的网页;
将所述对所述网页请求响应的网页作为待处理网页;
将所述待处理网页与预设特征集进行特征匹配,所述预设特征集为包含能够表明所述预设恶意网页数据库中的各恶意网页特征的参数集合;
当所述待处理网页与所述预设特征集匹配失败时,将所述待处理网页作为所述待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动。
优选地,所述将所述待处理网页与预设特征集进行特征匹配之后,所述方法还包括:
当所述待处理网页与所述预设特征集匹配成功时,判定所述待处理网页为所述恶意网页。
优选地,所述当所述待处理网页与所述预设特征集匹配成功时,判定所述待处理网页为所述恶意网页之后,所述方法还包括:
禁止对所述待处理网页进行显示,并将所述网页请求重定向至所述预设浏览器。
此外,为实现上述目的,本发明还提出一种基于虚拟化的恶意网页检测设备,所述基于虚拟化的恶意网页检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的基于虚拟化的恶意网页检测程序,所述基于虚拟化的恶意网页检测程序配置为实现如上文所述的基于虚拟化的恶意网页检测方法的步骤。
此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有基于虚拟化的恶意网页检测程序,所述基于虚拟化的恶意网页检测程序被处理器执行时实现如上文所述的基于虚拟化的恶意网页检测方法的步骤。
本发明提出的基于虚拟化的恶意网页检测方法,通过构建模拟执行预设浏览器的虚拟化系统环境,获取在所述预设浏览器中显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动,若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页,能够应对各种恶意网页的变形,恶意网页在各种运行环境中运行互不影响,能够有效提高检测恶意网页的效率和准确度,提升用户体验。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的基于虚拟化的恶意网页检测设备结构示意图;
图2为本发明基于虚拟化的恶意网页检测方法第一实施例的流程示意图;
图3为本发明基于虚拟化的恶意网页检测方法第二实施例的流程示意图;
图4为本发明基于虚拟化的恶意网页检测方法第三实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的解决方案主要是:通过构建模拟运行预设浏览器的虚拟化系统环境,获取在所述预设浏览器中显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动,若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页。通过本发明实施例的技术方案,解决了现有技术中检测恶意网页无法应对各种网页的变形,检测效果不好的问题。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的基于虚拟化的恶意网页检测设备结构示意图。
如图1所示,该基于虚拟化的恶意网页检测设备可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
本领域技术人员可以理解,图1中示出的基于虚拟化的恶意网页检测设备结构并不构成对基于虚拟化的恶意网页检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及基于虚拟化的恶意网页检测程序。所述基于虚拟化的恶意网页检测设备通过处理器1001调用存储器1005中存储的基于虚拟化的恶意网页检测程序,并执行以下操作:
构建模拟运行N个预设浏览器的虚拟化系统环境,N为正整数;
获取在所述预设浏览器中尚未显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动;
若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟化的恶意网页检测程序,还执行以下操作:
获取所述预设浏览器的运行状态数据,并根据所述运行状态数据构建模拟运行所述预设浏览器的虚拟化系统环境,所述运行状态数据为所述预设浏览器运行预设恶意网页数据库中的各恶意网页时,由所述预设浏览器生成的数据。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟化的恶意网页检测程序,还执行以下操作:
从所述预设浏览器中选取在所述虚拟化系统环境中显示所述恶意网页的M个预设浏览器作为目标浏览器,M为不大于N的正整数;
对所述目标浏览器进行升级处理。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟化的恶意网页检测程序,还执行以下操作:
获取与所述目标浏览器中各浏览器对应的当前版本信息和最新版本信息;
将所述当前版本信息与所述最新版本信息进行比对,若所述当前版本信息的版本低于所述最新版本信息的版本,则将所述最新版本信息的版本替换所述当前版本信息的版本,以完成对所述目标浏览器的升级处理。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟化的恶意网页检测程序,还执行以下操作:
若所述当前版本信息的版本与所述最新版本信息的版本一致,则将与所述当前版本信息对应的目标浏览器列入预设待更新名单中,根据所述预设待更新名单生成升级提示信息;
将所述升级提示信息发送至所述预设待更新名单中的目标浏览器,以提醒所述预设待更新名单中的目标浏览器进行版本升级。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟化的恶意网页检测程序,还执行以下操作:
当监测到所述N个预设浏览器发送网页请求时,截获对所述网页请求响应的网页;
将所述对所述网页请求响应的网页作为待处理网页;
将所述待处理网页与预设特征集进行特征匹配,所述预设特征集为包含能够表明所述预设恶意网页数据库中的各恶意网页特征的参数集合;
当所述待处理网页与所述预设特征集匹配失败时,将所述待处理网页作为所述待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟化的恶意网页检测程序,还执行以下操作:
当所述待处理网页与所述预设特征集匹配成功时,判定所述待处理网页为所述恶意网页。
进一步地,处理器1001可以调用存储器1005中存储的基于虚拟化的恶意网页检测程序,还执行以下操作:
禁止对所述待处理网页进行显示,并将所述网页请求重定向至所述预设浏览器。
本实施例通过上述方案,构建模拟运行预设浏览器的虚拟化系统环境,获取在所述预设浏览器中显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动,若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页,能够应对各种恶意网页的变形,恶意网页在各种运行环境中运行互不影响,能够有效提高检测恶意网页的效率和准确度,提升用户体验。
基于上述硬件结构,提出本发明基于虚拟化的恶意网页检测方法实施例。
参照图2,图2为本发明基于虚拟化的恶意网页检测方法第一实施例的流程示意图。
在第一实施例中,所述基于虚拟化的恶意网页检测方法包括以下步骤:
步骤S10、构建模拟运行N个预设浏览器的虚拟化系统环境,N为正整数;
可以理解的是,所述预设浏览器为按照预设条件选定的浏览器,例如:先建立一个数据库,用于统计现有的浏览器中各浏览器被恶意网页攻击的次数,从所述数据库中将这些统计次数从大到小进行排列,并选取排名在前N位的浏览器作为所述预设浏览器,N为正整数,当然也可以是采用其他方式,本实施例对此不加以限制;
需要说明的是,所述预设浏览器可以为单个浏览器,也可以为多个浏览器;当所述预设浏览器为单个浏览器时,构建与该浏览器对应的虚拟化系统环境,能够模拟该浏览器的各种功能;当所述预设浏览器为多个浏览器时,构建与各浏览器对应的虚拟浏览器,将各虚拟浏览器在所述虚拟化系统环境中运行,能够模拟各浏览器的各种功能;所述各种功能可以包括:根据用户输入的地址进行网页浏览的功能,建立和管理书签的功能,搜索和搜索引擎发现的功能,网页数字签名认证的功能,扩展插件的功能,对插件版本检测的功能,全屏或网页缩放的功能,截图功能,内容过滤和下载等功能;当然还可以包含其他功能,本实施例对此不加以限制。
在具体实现中,利用超融合技术,构建容易被网页木马等恶意网页利用的虚拟系统环境,可以选择常被网页木马利用的浏览器作为预设浏览器,构建容易被恶意网页利用的虚拟系统环境,当然也可以是利用其它技术构建虚拟化系统环境,本实施例对此不加以限制。
进一步地,所述构建模拟运行预设浏览器的虚拟化系统环境,具体包括:
获取所述预设浏览器的运行状态数据,并根据所述运行状态数据构建模拟运行所述预设浏览器的虚拟化系统环境,所述运行状态数据为所述预设浏览器运行预设恶意网页数据库中的各恶意网页时,由所述预设浏览器生成的数据。
应当理解的是,所述虚拟系统环境根据所述运行状态数据能够模拟出所述预设浏览器在经过恶意网页运行过程中的相应状态;所述运行状态数据是指恶意网页在所述预设浏览器中运行过程中产生的相应地特征状态的数据,所述特征状态可以包括:强制安装、难以卸载、浏览器劫持、网页弹出、恶意收集用户信息、恶意卸载和恶意捆绑等特征状态;当然所述特征状态还可以包括其他特征状态,本实施例对此不加以限制。
可以理解的是,除了获取所述预设浏览器的运行状态数据,并根据所述运行状态数据构建与预设浏览器对应的所述虚拟化系统环境,也可以通过获取一些能够表明所述预设浏览器检测的当前网页是恶意网页的特性数据,根据所述特性数据构建与预设浏览器对应的所述虚拟化系统环境,还可以是从大数据库中调取恶意网页的所有行为描述信息构建与所述预设浏览器对应的所述虚拟化系统环境,还可以是其他能够模拟所述预设浏览器检测出恶意网页的信息的方式来构建与所述预设浏览器对应的虚拟化系统环境,本实施例对此不加以限制。
需要说明的是,构建模拟运行预设浏览器的虚拟化系统环境可以是一对一的情况,即一个浏览器对应一个虚拟化系统环境;也可以是多对一的情况,即预设浏览器中包含多个浏览器,根据多个浏览器构建一个虚拟化环境,在该虚拟化环境中可以模拟出多个浏览器运行的状态,通过监测该虚拟化环境可以同时监控多个不同浏览器中待检测网页的运行情况,能够明显提高恶意网页的检测速度,节省大量时间,且各浏览器运行时互不干扰,明显提高了工作效率;还可以是多对多的情况,即预设浏览器中包含多个浏览器,根据多个浏览器构建相应的多个虚拟化环境,将这些虚拟化环境整合在一起,例如整合在同一显示界面上,方便同时观察多个浏览器虚拟运行的状态,当然还可以是通过其他方式构建模拟运行预设浏览器的虚拟化系统环境,本实施例对此不加以限制。
步骤S20、获取在所述预设浏览器中尚未显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动;
需要说明的是,获取在所述预设浏览器中尚未显示的待检测网页,所述尚未显示的待检测网页是指在所述预设浏览器中还未显示,在所述虚拟化系统环境中的虚拟浏览器中显示的网页;将所述待检测网页在所述虚拟化系统环境中运行,可以根据待检测网页在虚拟化系统环境中的虚拟浏览器中的运行状态数据是否对应于恶意网页在预设浏览器中运行时表现的特征状态的数据或者其他特性或者行为描述信息,当所述待检测网页在虚拟化系统环境中的运行状态数据符合恶意网页在预设浏览器中运行时表现的特征状态的数据或特性或行为描述信息等信息时,能够以此来检测所述待检测网页存在恶意攻击活动。
可以理解的是,所述待检测网页为在所述预设浏览器中显示的网页,当然也可以是自行设定的网页,如从待处理的网页中抓取的网页作为所述待检测网页,还可以是指定的特殊网页作为所述待检测网页,本实施例对此不加以限制。
应当理解的是,所述恶意攻击活动既是指恶意网页在所述预设浏览器中运行过程中产生的相应地特征状态的数据,例如:强制安装,难以卸载、浏览器劫持、网页弹出、恶意收集用户信息、恶意卸载和恶意捆绑等恶意攻击活动,当然还可以包括其他类型的恶意攻击活动,本实施例对此不加以限制。
需要说明的是,将所述待检测网页在所述虚拟化系统环境中运行,即将所述待检测网页在所述虚拟化系统中对应的虚拟浏览器中运行,会生成相应的运行结果,分析该运行结果中相应的运行状态是否与恶意网页在预设浏览器中运行时表现的特征状态的数据或特性或行为描述信息等信息匹配,若所述运行结果与之匹配,即判断所述待检测网页存在所述恶意攻击活动。
可以理解的是,通过将所述待检测网页在所述虚拟化系统中运行,会生成相应的运行结果;根据所述运行结果判断所述待检测网页是否存在所述恶意攻击活动,可以应对恶意网页的各种变形,因为同样的恶意网页,不管其静态代码怎么变形,在同样的环境下其运行行为都是一致的,通过所述待检测网页在虚拟化系统中运行结果可以判断所述待检测网页是否存在恶意攻击活动进而识别出恶意网页,通过上述方法可以应对各种恶意网页的变形,能够有效提高检测恶意网页的准确度,提升用户体验。
步骤S30、若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页。
需要说明的是,将所述待检测网页在所述虚拟化系统环境中运行,可以根据待检测网页在虚拟化系统环境中的虚拟浏览器中的运行状态数据是否对应于恶意网页在预设浏览器中运行时表现的特征状态的数据或者其他特性或者行为描述信息,当所述待检测网页在虚拟化系统环境中的运行状态数据符合恶意网页在预设浏览器中运行时表现的特征状态的数据或特性或行为描述信息等信息时,即判断所述待检测网页存在恶意攻击活动,判定所述待检测网页为恶意网页。
本实施例通过构建模拟运行预设浏览器的虚拟化系统环境,获取在所述预设浏览器中显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动,若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页,能够应对各种恶意网页的变形,恶意网页在各种运行环境中运行互不影响,能够有效提高检测恶意网页的效率和准确度,提升用户体验。
进一步地,如图3所示,基于第一实施例提出本发明基于虚拟化的恶意网页检测方法第二实施例,在本实施例中,所述步骤S30之后,还包括步骤:
步骤S40、从所述预设浏览器中选取在所述虚拟化系统环境中显示所述恶意网页的M个预设浏览器作为目标浏览器,M为不大于N的正整数;
需要说明的是,将所述预设浏览器在所述虚拟化系统环境中显示所述恶意网页的M个预设浏览器作为目标浏览器,即在虚拟化系统环境中的通过虚拟运行所述预设浏览器中的待检测网页,根据生成的运行结果判断出存在恶意攻击活动的所述待检测网页为恶意网页,则将所述预设浏览器中显示的所述恶意网页的浏览器作为目标浏览器;
应当理解的是,当M为1时,即所述预设浏览器为一个浏览器时,将该浏览器作为目标浏览器,当M为大于1的正整数时,即所述预设浏览器为多个浏览器时,将待检测网页为恶意网页所在的浏览器作为目标浏览器,而待检测网页不为恶意网页的浏览器不作为目标浏览器;在实际应用中,所述待检测网页在所述虚拟化系统环境中模拟运行时,会存在各浏览器对应的虚拟浏览器中一部分浏览器显现出恶意网页的运行状态,而另一部分浏览器没有显现出恶意网页的运行状态的情况,将这一部分没有显现出恶意网页的运行状态的浏览器暂时记录,以做后续再检测或调整该部分浏览器对应的虚拟化环境,调整的过程包括更新或者补充入新的运行状态特征数据等,当然还可以是其他方式的调整,也可以是将这一部分没有显现出恶意网页的运行状态的浏览器做其他处理或者不做任何处理,本实施例对此不加以限制;
可以理解的是,所述待检测网页可以为同一个网页时,在所述虚拟化系统环境中运行,根据所述虚拟化环境中生成的运行结果对比是否符合恶意网页在预设浏览器中运行时表现的特征状态的数据或特性或行为描述信息等信息,以此来判断该待检测网页是否为恶意网页,当然所述待检测网页也可以为多个网页,在所述虚拟化系统环境中同时运行,根据所述虚拟化环境中生成的运行结果对比是否符合恶意网页在预设浏览器中运行时表现的特征状态的数据或特性或行为描述信息等信息,以此来判断待检测网页中哪些网页是恶意网页,当然所述待检测网页还可以是其他情况,本实施例对此不加以限制;
步骤S50、对所述目标浏览器进行升级处理。
可以理解的是,当确定好目标浏览器后,对所述目标浏览器进行升级处理可以有效应对恶意网页的攻击,保证用户的上网安全,提供更好的用户体验。
进一步地,所述对所述目标浏览器进行升级处理,具体包括:
获取与所述目标浏览器中各浏览器对应的当前版本信息和最新版本信息;
将所述当前版本信息与所述最新版本信息进行比对,若所述当前版本信息的版本低于所述最新版本信息的版本,则将所述最新版本信息的版本替换所述当前版本信息的版本,以完成对所述目标浏览器的升级处理。
需要说明的是,当当M为1时,即所述目标浏览器为单个时,获取该目标浏览器的当前版本信息,当M为大于1的正整数时,即所述目标浏览器为多个时,分别获取各所述目标浏览器的当前版本信息,并将所述目标浏览器对应的最新版本信息与所述当前版本信息进行比对,当所述当前版本信息的版本低于所述最新版本信息的版本,则将所述最新版本信息的版本替换所述当前版本信息的版本,对所述目标浏览器进行升级处理,升级后的目标浏览器可以实现对恶意网页的有效监控,保证用户的文件和隐私安全,提供更好的用户体验;
应当理解的是,所述目标浏览器的最新版本信息可以是从云端数据库中查询获得,也可以是在本地已经储存好各目标浏览器的最新版本,当需要使用时,立刻从本地储存中调出各目标浏览器的最新版本信息,当然还可以是确定所述目标浏览器后从服务器及时下载该目标浏览器的最新版本,当然还可以通过其他方式获取所述目标浏览器最新版本信息,本实施例对此不加以限制。
进一步地,所述将所述当前版本信息与所述最新版本信息进行比对之后,所述方法还包括:
若所述当前版本信息的版本与所述最新版本信息的版本一致,则将与所述当前版本信息对应的目标浏览器列入预设待更新名单中,根据所述预设待更新名单生成升级提示信息;
将所述升级提示信息发送至所述预设待更新名单中的目标浏览器,以提醒所述预设待更新名单中的目标浏览器进行版本升级。
需要说明的是,将所述目标浏览器列入更新名单中,根据所述更新名单生成升级提示信息,并按照所述更新名单进行发送,其中更新名单中为包含所述目标浏览器版本信息和所述待检测网页生成的运行结果的名单,根据所述更新名单生成相应的升级提示信息,可以在所述更新名单内的浏览器达到一定预设数量时在一起发送升级提示信息,当然也可以是单独发送与所述目标浏览器对应的升级提示信息,还可以是其他发送升级提示信息的方式,本实施例对此不加以限制;
应当理解的是,当所述目标浏览器的当前版本信息的版本与对应的目标浏览器最新版本信息的版本一致时,将该目标浏览器进行登记,可以结合所述待检测网页的运行结果生成并发送漏洞问题报告,当然也可以将该目标浏览器进行标记以做后续处理,当然也可以对该目标浏览器进行其他操作,本实施例对此不加以限制。
可以理解的是,当所述待检测网页为多个时,根据不同的待检测网页生成的不同的运行结果,根据不同的运行结果和对应的所述目标浏览器版本信息生成所述更新名单,根据这些名单生成的升级提示信息可以明确知道所述目标浏览器存在哪些问题,进而更好的进行升级操作。
本实施例通过将所述预设浏览器中显示所述恶意网页的浏览器作为目标浏览器,判定所述目标浏览器存在漏洞,对所述目标浏览器进行升级处理,能够提升目标浏览器的安全等级,实现对恶意网页的有效监控,及时处理浏览器存在的问题,保证用户的文件和隐私安全,提供更好的用户体验。
进一步地,如图4所示,基于第一实施例提出本发明基于虚拟化的恶意网页检测方法第三实施例,在本实施例中,所述步骤S20具体包括步骤:
S21、当监测到所述N个预设浏览器发送网页请求时,截获对所述网页请求响应的网页;
S22、将所述对所述网页请求响应的网页作为待处理网页;
可以理解的是,所述待检测页面为根据用户的页面请求,追踪之后并截获对所述网页请求响应的页面,对所述网页请求响应的页面作为所述待处理网页;当然该页面请求也可以是模拟实际页面请求生成的虚拟页面请求,还可以是指定的特殊页面作为所述待检测页面,本实施例对此不加以限制。
在具体实现中,接收所述预设浏览器发送的超文本传输协议(HyperTextTransfer Protocol,HTTP)请求,跟踪对所述HTTP请求响应的页面,并截获到对所述HTTP请求响应的页面,将该页面作为所述待检测页面,当然所述页面请求也可以为其他形式的请求,本实施例对此不加以限制。
S23、将所述待处理网页与预设特征集进行特征匹配,所述预设特征集为包含能够表明所述预设恶意网页数据库中的各恶意网页特征的参数集合;
需要说明的是,将所述待检测网页与特征集进行特征匹配,所述特征集为包含能够表明恶意网页特征的参数集合,所述特征集包含所述恶意网页明显的特征,比如强制安装软件和恶意卸载等特征,通过这些特征能够快速确定所述待检测网页是否为恶意网页。
S24、当所述待处理网页与所述预设特征集匹配失败时,将所述待处理网页作为所述待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动。
需要说明的是,当所述待处理网页与所述预设特征集匹配失败时,即说明所述待处理网页中未找到与所述预设特征集中的各恶意网页特征相匹配的特征,将这一部分待处理网页作为待检测网页在所述虚拟化系统环境中运行以进一筛选,判断所述待检测网页是否为恶意网页。
相应地,当所述待处理网页与所述预设特征集匹配成功时,判定所述待处理网页为所述恶意网页。禁止对所述待处理网页进行显示,并将所述网页请求重定向至所述预设浏览器。
需要说明的是,当所述待处理网页与所述预设特征集匹配成功时,判定所述待处理网页为所述恶意网页,可以快速确定所述待处理网页为恶意网页,减少了所述虚拟化环境的运算量,节省所述虚拟系统环境的大量运算资源,提高了识别恶意网页的速度,提升了用户体验;并且发现所述待处理网页为恶意网页之后,禁止对所述待处理网页进行显示,并将所述网页请求重定向至所述预设浏览器,可以防止所述恶意网页对所述预设浏览器的进行破坏或者恶意攻击,使预设浏览器重定向至新的统一资源定位符地址找到输入网址,对该网址进行标识记录,以作为禁止访问的网页。
应当理解的是,所述特征集为包含能够表明恶意网页特征的参数集合,可以是从云端数据库获取大量数据进行分类分析后获得的特征的集合,也可以是将恶意网页的特征归纳总结后选定一部分特征形成的特征的集合,还可以是通过大量实验或者训练获得的特征的集合,也可以是通过其他方式形成的能够表明恶意网页特征的参数集合,本实施例对此不加以限制。
可以理解的是,当所述待检测网页为单个网页时,可以将该待检测网页在所述虚拟系统环境中运行的运行结果与所述特征集进行匹配,当匹配成功时,判定所述待检测网页为恶意网页,当所述待检测网页为多个网页时,可以将不同的待检测网页在所述虚拟系统环境中运行的运行结果分别与所述特征集进行匹配,当一部分待检测网页匹配成功时,判断这一部分的待检测网页为恶意网页,当另一部分待检测网页未匹配成功时,暂时将这一部分待检测网页集中,以待后续处理,所述后续处理可以包括对所述特征集进行升级更新后将这一部分待检测网页再一次与升级更新后的特征集匹配,也可以是将这一部分所述待检测网页所述虚拟化系统环境多次运行后,选取最终的运行结果与特征集匹配,当然还可以对这一部分待检测网页做其他处理或者不做任何处理,本实施例对此不加以限制。
本实施例通过将所述待检测网页与特征集进行特征匹配,所述特征集为包含能够表明恶意网页特征的参数集合,当所述待检测网页与所述特征集匹配成功时,判定所述待检测网页为所述恶意网页,过滤掉比较明显的恶意网页,能够加快恶意网页识别的速度,提高识别恶意网页的准确率,保证用户的文件和隐私安全,提供更好的用户体验。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有基于虚拟化的恶意网页检测程序,所述基于虚拟化的恶意网页检测程序被处理器执行时实现如下操作:
构建模拟运行N个预设浏览器的虚拟化系统环境,N为正整数;
获取在所述预设浏览器中尚未显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动;
若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页。
进一步地,所述基于虚拟化的恶意网页检测程序被处理器执行时还实现如下操作:
获取所述预设浏览器的运行状态数据,并根据所述运行状态数据构建模拟运行所述预设浏览器的虚拟化系统环境,所述运行状态数据为所述预设浏览器运行预设恶意网页数据库中的各恶意网页时,由所述预设浏览器生成的数据。
进一步地,所述基于虚拟化的恶意网页检测程序被处理器执行时还实现如下操作:
从所述预设浏览器中选取在所述虚拟化系统环境中显示所述恶意网页的M个预设浏览器作为目标浏览器,M为不大于N的正整数;
对所述目标浏览器进行升级处理。
进一步地,所述基于虚拟化的恶意网页检测程序被处理器执行时还实现如下操作:
获取与所述目标浏览器中各浏览器对应的当前版本信息和最新版本信息;
将所述当前版本信息与所述最新版本信息进行比对,若所述当前版本信息的版本低于所述最新版本信息的版本,则将所述最新版本信息的版本替换所述当前版本信息的版本,以完成对所述目标浏览器的升级处理。
进一步地,所述基于虚拟化的恶意网页检测程序被处理器执行时还实现如下操作:
若所述当前版本信息的版本与所述最新版本信息的版本一致,则将与所述当前版本信息对应的目标浏览器列入预设待更新名单中,根据所述预设待更新名单生成升级提示信息;
将所述升级提示信息发送至所述预设待更新名单中的目标浏览器,以提醒所述预设待更新名单中的目标浏览器进行版本升级。
进一步地,所述基于虚拟化的恶意网页检测程序被处理器执行时还实现如下操作:
当监测到所述N个预设浏览器发送网页请求时,截获对所述网页请求响应的网页;
将所述对所述网页请求响应的网页作为待处理网页;
将所述待处理网页与预设特征集进行特征匹配,所述预设特征集为包含能够表明所述预设恶意网页数据库中的各恶意网页特征的参数集合;
当所述待处理网页与所述预设特征集匹配失败时,将所述待处理网页作为所述待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动。
进一步地,所述基于虚拟化的恶意网页检测程序被处理器执行时还实现如下操作:
当所述待处理网页与所述预设特征集匹配成功时,判定所述待处理网页为所述恶意网页。
进一步地,所述基于虚拟化的恶意网页检测程序被处理器执行时还实现如下操作:
禁止对所述待处理网页进行显示,并将所述网页请求重定向至所述预设浏览器。
本实施例通过上述方案,构建模拟运行预设浏览器的虚拟化系统环境,获取在所述预设浏览器中显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动,若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页,能够应对各种恶意网页的变形,恶意网页在各种运行环境中运行互不影响,能够有效提高检测恶意网页的效率和准确度,提升用户体验。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种基于虚拟化的恶意网页检测方法,其特征在于,所述方法包括:
构建模拟运行N个预设浏览器的虚拟化系统环境,N为正整数;
获取在所述预设浏览器中尚未显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动;
若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页;
其中,所述构建模拟运行预设浏览器的虚拟化系统环境,具体包括:
获取所述预设浏览器的运行状态数据,并根据所述运行状态数据构建模拟运行所述预设浏览器的虚拟化系统环境,所述运行状态数据为所述预设浏览器运行预设恶意网页数据库中的各恶意网页时,由所述预设浏览器生成的数据。
2.如权利要求1所述的方法,其特征在于,所述若检测到所述虚拟化系统环境中的所述待检测网页存在所述恶意攻击活动,则判定所述待检测网页为恶意网页之后,所述方法还包括:
从所述预设浏览器中选取在所述虚拟化系统环境中显示所述恶意网页的M个预设浏览器作为目标浏览器,M为不大于N的正整数;
对所述目标浏览器进行升级处理。
3.如权利要求2所述的方法,其特征在于,所述对所述目标浏览器进行升级处理,具体包括:
获取与所述目标浏览器中各浏览器对应的当前版本信息和最新版本信息;
将所述当前版本信息与所述最新版本信息进行比对,若所述当前版本信息的版本低于所述最新版本信息的版本,则将所述最新版本信息的版本替换所述当前版本信息的版本,以完成对所述目标浏览器的升级处理。
4.如权利要求3所述的方法,其特征在于,所述将所述当前版本信息与所述最新版本信息进行比对之后,所述方法还包括:
若所述当前版本信息的版本与所述最新版本信息的版本一致,则将与所述当前版本信息对应的目标浏览器列入预设待更新名单中,根据所述预设待更新名单生成升级提示信息;
将所述升级提示信息发送至所述预设待更新名单中的目标浏览器,以提醒所述预设待更新名单中的目标浏览器进行版本升级。
5.如权利要求1-4中任一项所述的方法,其特征在于,所述获取在所述N个预设浏览器中尚未显示的待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动具体包括:
当监测到所述N个预设浏览器发送网页请求时,截获对所述网页请求响应的网页;
将所述对所述网页请求响应的网页作为待处理网页;
将所述待处理网页与预设特征集进行特征匹配,所述预设特征集为包含能够表明所述预设恶意网页数据库中的各恶意网页特征的参数集合;
当所述待处理网页与所述预设特征集匹配失败时,将所述待处理网页作为所述待检测网页,将所述待检测网页在所述虚拟化系统环境中运行,以检测所述待检测网页是否存在恶意攻击活动。
6.如权利要求5所述的方法,其特征在于,所述将所述待处理网页与预设特征集进行特征匹配之后,所述方法还包括:
当所述待处理网页与所述预设特征集匹配成功时,判定所述待处理网页为所述恶意网页。
7.如权利要求6所述的方法,其特征在于,所述当所述待处理网页与所述预设特征集匹配成功时,判定所述待处理网页为所述恶意网页之后,所述方法还包括:
禁止对所述待处理网页进行显示,并将所述网页请求重定向至所述预设浏览器。
8.一种基于虚拟化的恶意网页检测设备,其特征在于,所述基于虚拟化的恶意网页检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的基于虚拟化的恶意网页检测程序,所述基于虚拟化的恶意网页检测程序配置为实现如权利要求1至7中任一项所述的基于虚拟化的恶意网页检测方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有基于虚拟化的恶意网页检测程序,所述基于虚拟化的恶意网页检测程序被处理器执行时实现如权利要求1至7中任一项所述的基于虚拟化的恶意网页检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711031882.8A CN107908961B (zh) | 2017-10-26 | 2017-10-26 | 基于虚拟化的恶意网页检测方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711031882.8A CN107908961B (zh) | 2017-10-26 | 2017-10-26 | 基于虚拟化的恶意网页检测方法、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107908961A CN107908961A (zh) | 2018-04-13 |
| CN107908961B true CN107908961B (zh) | 2021-10-19 |
Family
ID=61842031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711031882.8A Active CN107908961B (zh) | 2017-10-26 | 2017-10-26 | 基于虚拟化的恶意网页检测方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107908961B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117370966A (zh) * | 2023-10-16 | 2024-01-09 | 深圳市马博士网络科技有限公司 | 恶意文件检测方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595765A (zh) * | 2013-10-22 | 2014-02-19 | 北京奇虎科技有限公司 | 浏览器异常关闭的处理方法、系统、浏览器和服务器 |
| CN105303109A (zh) * | 2015-09-22 | 2016-02-03 | 电子科技大学 | 一种恶意代码情报检测分析方法及系统 |
| CN106485148A (zh) * | 2015-10-29 | 2017-03-08 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于js‑bom结合的恶意代码行为分析沙箱的实现方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
| CN101808093B (zh) * | 2010-03-15 | 2013-08-07 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
-
2017
- 2017-10-26 CN CN201711031882.8A patent/CN107908961B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595765A (zh) * | 2013-10-22 | 2014-02-19 | 北京奇虎科技有限公司 | 浏览器异常关闭的处理方法、系统、浏览器和服务器 |
| CN105303109A (zh) * | 2015-09-22 | 2016-02-03 | 电子科技大学 | 一种恶意代码情报检测分析方法及系统 |
| CN106485148A (zh) * | 2015-10-29 | 2017-03-08 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于js‑bom结合的恶意代码行为分析沙箱的实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107908961A (zh) | 2018-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10102372B2 (en) | Behavior profiling for malware detection | |
| US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
| US8726387B2 (en) | Detecting a trojan horse | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| EP2839406B1 (en) | Detection and prevention of installation of malicious mobile applications | |
| CN102254111B (zh) | 恶意网站检测方法及装置 | |
| US20150012924A1 (en) | Method and Device for Loading a Plug-In | |
| EP3647981A1 (en) | Security scanning method and apparatus for mini program, and electronic device | |
| US11019096B2 (en) | Combining apparatus, combining method, and combining program | |
| CN103617395A (zh) | 一种基于云安全拦截广告程序的方法、装置和系统 | |
| JP2014038596A (ja) | 悪意ある実行ファイルの識別方法 | |
| CN110336835B (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
| CN101964026A (zh) | 网页挂马检测方法和系统 | |
| CN111737692B (zh) | 应用程序的风险检测方法及装置、设备、存储介质 | |
| JP2014510353A (ja) | ウェブサイトのアドレスのリスク検出の処理方法及び装置 | |
| CN103778373A (zh) | 病毒检测方法及装置 | |
| CN113014549B (zh) | 基于http的恶意流量分类方法及相关设备 | |
| CN108028843B (zh) | 保护计算机实现的功能的递送的方法、系统和计算设备 | |
| US10291492B2 (en) | Systems and methods for discovering sources of online content | |
| CN106953845B (zh) | 一种对网页输入敏感信息的保护方法和装置 | |
| CN104640105A (zh) | 手机病毒分析和威胁关联的方法和系统 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN107908961B (zh) | 基于虚拟化的恶意网页检测方法、设备及存储介质 | |
| CN109684844B (zh) | 一种webshell检测方法、装置以及计算设备、计算机可读存储介质 | |
| US10839066B1 (en) | Distinguishing human from machine input using an animation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |