CN110348210B - 安全防护方法及装置 - Google Patents

Abstract

本公开涉及一种安全防护方法及装置。该安全防护方法包括：实时进行电子设备的安全漏洞检测，在所述安全漏洞触发时获取所述电子设备的网络环境信息与漏洞信息，所述漏洞信息包括挂马网址；根据所述网络环境信息与漏洞信息模拟所述安全漏洞触发事件；对所述触发事件及其后续行为进行分析，获取所述漏洞信息对应的木马文件；以及将所述木马文件储存至特征库以便所述电子设备进行安全防护。本公开的安全防护方法、装置、电子设备及计算机可读介质，能够快速收集、分析用户在网络中触发的安全漏洞，并对安全漏洞对应木马文件进行拦截，保证用户的网络信息安全。

Description

安全防护方法及装置

技术领域

本公开涉及计算机信息处理领域，具体而言，涉及一种安全防护方法及装置。

背景技术

在最近几年里，互联网黑色产业链中木马作者利用浏览器漏洞传播木马越来越活跃，传播方式也越来越复杂。利用浏览器漏洞进行挂马传播基本分为三个阶段：最开始黑客通过入侵小型网站后台进行挂马；到后来黑客通过自建恶意网站通过导流、钓鱼等方式挂马；再到现在通过流量劫持挂马。其最终目的是想让包含漏洞代码的页面获取到更多的访问量，以传播更广的范围。流量劫持不同于其他方式的挂马，存在爆发突然，持续时间短，危害用户广，地域性强，隐蔽性高等特点。对于流量劫持的挂马，往往在一到两天内在某一个区域突然爆发，涉及的网站包含各种大访问量的门户、视频、游戏等网站，用户端受影响严重。然而对于流量劫持类的挂马，目前并没有安全有效的检测防护手段。

因此，需要一种新的安全防护方法、装置、电子设备及计算机可读介质。

在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

有鉴于此，本公开提供一种安全防护方法、装置、电子设备及计算机可读介质，能够快速收集、分析用户在网络中触发的安全漏洞，并对安全漏洞对应木马文件进行拦截，保证用户的网络信息安全。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一方面，提出一种安全防护方法，该方法包括：实时进行电子设备的安全漏洞检测，在所述安全漏洞触发时获取所述电子设备的网络环境信息与漏洞信息，所述漏洞信息包括挂马网址；根据所述网络环境信息与漏洞信息模拟所述安全漏洞触发事件；对所述触发事件及其后续行为进行分析，获取所述漏洞信息对应的木马文件；以及将所述木马文件储存至特征库以便所述电子设备进行安全防护。

在本公开的一种示例性实施例中，还包括：通过用户端的浏览器实时监控所述电子设备，以确定所述电子设备的安全漏洞是否被触发，其中所述浏览器为具有IE内核的浏览器。

根据本公开的一方面，提出一种安全防护装置，该装置包括：信息获取模块，用于实时进行电子设备的安全漏洞检测，在所述安全漏洞触发时获取所述电子设备的网络环境信息与漏洞信息，所述漏洞信息包括挂马网址；事件模拟模块，用于根据所述网络环境信息与漏洞信息模拟所述安全漏洞触发事件；木马分析模块，用于对所述触发事件及其后续行为进行分析，获取所述漏洞信息对应的木马文件；安全防护模块，用于将所述木马文件储存至特征库以便所述电子设备进行安全防护。

根据本公开的一方面，提出一种电子设备，该电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如上文的方法。

根据本公开的一方面，提出一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现如上文中的方法。

根据本公开的安全防护的方法、装置、电子设备及计算机可读介质，能够快速收集、分析用户在网络中触发的安全漏洞，并对安全漏洞对应木马文件进行拦截，保证用户的网络信息安全。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。

附图说明

通过参照附图详细描述其示例实施例，本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据一示例性实施例示出的一种安全防护方法或安全防护装置的系统框图。

图2A与图2B是根据一示例性实施例示出的一种安全防护方法的用户场景示意图。

图3是根据一示例性实施例示出的一种安全防护方法的流程图。

图4是根据另一示例性实施例示出的一种安全防护方法的流程图。

图5是根据另一示例性实施例示出的一种安全防护方法的流程图。

图6是根据另一示例性实施例示出的一种安全防护方法的流程图。

图7是根据另一示例性实施例示出的一种安全防护方法的流程图。

图8是根据一示例性实施例示出的一种安全防护装置的框图。

图9是根据另一示例性实施例示出的一种安全防护装置的框图。

图10是根据一示例性实施例示出的一种电子设备的计算机系统的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施例。然而，示例实施例能够以多种形式实施，且不应被理解为限于在此阐述的实施例；相反，提供这些实施例使得本公开将全面和完整，并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本公开的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

应理解，虽然本文中可能使用术语第一、第二、第三等来描述各种组件，但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此，下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用，术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。

本领域技术人员可以理解，附图只是示例实施例的示意图，附图中的模块或流程并不一定是实施本公开所必须的，因此不能用于限制本公开的保护范围。

浏览器劫持是一种恶意程序，通过浏览器插件、浏览器辅助对象(BHO)、分层服务提供商(WinsockLSP)等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。浏览器劫持是指网页浏览器(IE)等被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。

常见的浏览器劫持现象有：访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等，不少用户都深受其害。

流量劫持的方式有很多种，常见的主要有域名系统(Domain Name System，DNS)劫持、内容分发网络(Content Delivery Network，CDN)入侵、网关劫持、地址解析协议(Address Resolution Protocol，ARP)攻击、多端口的转发器(Hub)嗅探等等。不同的劫持方式，获得的流量有所差异。DNS劫持，可以截获通过域名发起的流量，直接使用IP地址的通信则不受影响；CDN入侵，只有浏览网页或下载时才有风险，其他场合则毫无问题；而网关被劫持，用户所有流量都难逃魔掌。

目前针对浏览器漏洞挂马检测一般都是在用户端进行。即通过在用户端的操作系统中，对未打官方补丁或者没有官方补丁(已经停止更新的产品，但用户端还在使用)的产品进行补丁(patch)技术，来达到漏洞检测的目的。补丁是指对于大型软件系统在使用过程中暴露的问题(一般由黑客或病毒设计者发现)而发布的解决问题的小程序。

本公开的发明人发现，在现有技术中针对浏览器漏洞挂马检测存在如下缺点，单纯的在用户端检测浏览器漏洞挂马，无法应对浏览劫持的情况。在流量劫持导致的浏览器挂马发生时，后台服务器不能对挂马网站进行分析，也无法将挂马所涉及的网址URL进行分类入库。

本公开的发明人通过分析流量劫持的产生方式发现：由于流量劫持导致的挂马具有地域性，以及隐蔽性等特点。用户端客户端模块上传的统一资源定位符(UniformResourceLocator，URL)并非真正存在漏洞的URL，而是被劫持的网站的URL，导致后台收集的URL没有意义。且流量劫持往往发生在某一个区域，而用于收集复现的后台服务器往往与之不在同一个区域。导致木马文件无法复现，也不能判断该流量劫持现象是否为恶意木马或者具有安全隐患等情况。

基于上述分析，发明人在本公开中提出一种安全防护的方法，针对用户端上传的网络环境信息与漏洞信息，在后台服务器模拟用户端网络环境配置，以对用户端的漏洞进行复现、分析，从而对木马文件进行准确判断。

以下对本发明实施例的相关技术方案进行详细阐述：

图1是根据一示例性实施例示出的一种安全防护方法或安全防护装置的系统框图。

如图1所示，该系统架构100可以包括终端设备101、102、103，网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备101、102、103通过网络104与服务器105交互，以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器105可以是提供各种服务的服务器，例如在用户利用终端设备101、102、103所浏览的网页的内容中存在安全漏洞时，服务器105可以协助用户终端设备中的杀毒软件对安全漏洞进行修复，服务器105还可以通过对该安全漏洞进行分析确定该安全漏洞所涉及到的木马文件，服务器105还可以将该木马文件反馈给终端设备101、102、103中的具有病毒监测功能的应用程序，以便终端设备101、102、103中的具有病毒监测功能的应用程序在后续的运行中对该木马文件进行拦截。

用户的终端设备101、102、103可以通过其上安装的浏览器实时监控所述电子设备，以确定所述电子设备的安全漏洞是否被触发。服务器105可以响应于电子设备安全漏洞的触发，获取所述电子设备的网络环境信息与漏洞信息，所述漏洞信息包括挂马网址；服务器105可以通过所述网络环境信息模拟所述电子设备的网络环境；服务器105可以将所述挂马网址在模拟的所述网络环境中运行以复现所述安全漏洞的触发事件；服务器105可以通过对所述触发事件及其后续行为进行分析，获取所述漏洞信息对应的木马文件以对所述木马文件进行拦截；服务器105还可以将所述木马文件储存至特征库以便以便终端设备101、102、103对所述木马进行拦截。

服务器105还可以对所述触发事件进行漏洞脚本分析；服务器105还可以对所述触发事件进行触发命令分析；服务器105还可以对所述触发事件的后续行为进行下载脚本分析；以及服务器105还可以对所述触发事件的后续行为进行木马行为分析。

服务器105还可以在判断所述木马为新型病毒后，生成告警信息，并对所述木马进行风险等级评估。

服务器105还可以将所述木马文件做判黑处理，并将所述木马文件储存至特征库；用户的终端设备101、102、103可以通过更新用户端的特征库以便对所述木马文件进行拦截。

图2A与图2B是根据一示例性实施例示出的一种安全防护方法的用户场景示意图。如图2A所示，在未使用本公开中的安全防护方法时，用户端点击A网站的网址链接，在A网站存在挂马的情况下，用户可能会被链接到含有木马病毒的B网站中。而在采用本公开中的安全防护方法后，如图2B所示，用户端点击A网站的网址链接，在A网站存在挂马的情况下，该网站会被拦截，而且该网站涉及到的挂马网址也会被添加进木马特征库，以便后续再次进行防护。

图3是根据一示例性实施例示出的一种安全防护的方法的流程图。该安全防护的方法至少包括步骤S302至步骤S308，在S302中，实时进行电子设备的安全漏洞检测，在安全漏洞触发时获取电子设备的网络环境信息与漏洞信息，漏洞信息包括挂马网址；在S304中，根据网络环境信息与漏洞信息模拟安全漏洞触发事件；在S306中，对触发事件及其后续行为进行分析，获取漏洞信息对应的木马文件；在S308中，将木马文件储存至特征库以便电子设备进行安全防护。以上各个步骤详细介绍如下：

如图3所示，在S302中，实时进行电子设备的安全漏洞检测，在安全漏洞触发时获取电子设备的网络环境信息与漏洞信息，漏洞信息包括挂马网址。可例如，通过用户端的浏览器实时监控所述电子设备，以确定所述电子设备的安全漏洞是否被触发，其中所述浏览器可例如为具有IE内核的浏览器。

在一个实施例中，通过补丁技术在所述用户端的浏览器中部署漏洞检测功能以实时监控所述电子设备的运行状态，所述浏览器可例如为具有IE内核的浏览器。漏洞检测功能还可以对漏洞进行拦截，漏洞检测功能重点拦截的可例如是未打官方补丁或者没有官方补丁的漏洞，例如IE远程代码执行漏洞CVE-2014-6332、Nebula漏洞利用包CVE-2016-0189等漏洞文件，以及一些通用漏洞利用技术，例如heapspary，rop等网络攻击技术。

在一个实施例中，漏洞检测功能在检测到电子设备的安全漏洞触发时，获取所述电子设备的网络环境信息与漏洞信息，其中，网络环境信息包括：用户的互联网协议(IP)地址、用户的浏览器版本信息以及用户的网络运营商信息；漏洞信息包括：挂马网址，漏洞信息还可例如包括漏洞类型、触发条件及其他与用户上网相关的其他信息，本公开不以此为限。

在一个实施例中，可例如通过具有漏洞检测功能的模块获取电子设备的网络环境信息与漏洞信息，还可例如，通过远端的服务器获取电子设备的网络环境信息与漏洞信息，例如用户使用的HTTP代理，用户对本地IP的更改，用户使用的虚拟专用网络(VirtualPrivate Network，VPN)代理等等，本公开不以此为限。

在S304中，根据网络环境信息与漏洞信息模拟安全漏洞触发事件。

可例如，通过实体机与虚拟机相结合的方式模拟所述电子设备的网络环境。通过配置完成的所述实体机、所述虚拟机与所述网络环境信息模拟所述电子设备的网络环境。

在一个实施例中，所述网络环境信息包括：用户的互联网协议地址、用户的浏览器版本信息以及用户的网络运营商信息；通过所述网络环境信息模拟所述电子设备的网络环境包括：将所述用户的互联网协议地址配置为所述实体机的互联网协议地址；将所述用户的网络运营商信息配置为所述实体机的网络运营商信息；以及将所述虚拟机配置为网络地址转换模式。

在一个实施例中，在后台服务器中模拟电子设备的网络环境，后台服务器获取网络环境信息后，首先根据用户端网络环境进行代理模拟，将用于模拟用户运行系统(后文简称模拟系统)中的实体机的IP所属区域与运营商设置成和用户端一致，用于模拟系统中的虚拟机的网络配置为网络地址转换模式(Network Address Translation，NAT)，以达到模拟用户系统的网络环境和用户的网络环境一致。

在一个实施例中，模拟系统与用户可例如处于同样的外界网络环境下，模拟系统与用户也可处于不同的外界网络环境下，模拟系统仅需通过网络模拟的方式，能够将自身的网络环境设置与用户端的网络环境一致，以达到能够正确模拟用户端的运行状态的目的。

在一个实施例中，将挂马网址在模拟的网络环境中运行以复现安全漏洞的触发事件。将挂马的网址在模拟的模拟系统中打开，以模拟用户端打开该网址时的触发事件。

在S306中，对所述触发事件及其后续行为进行分析，获取所述漏洞信息对应的木马文件。在虚拟系统中，在打开挂马网址之后，继续跟踪分析该挂马网址产生的后续行为，可例如为木马文件下载事件，或者未授权应用安装事件等等，通过对触发事件应急后续行为的分析，获取漏洞信息对应的木马文件。

可例如，通过所述漏洞类型对所述触发事件进行漏洞脚本分析；通过所述触发条件对所述触发事件进行触发命令分析；对所述触发事件的后续行为进行下载脚本分析；以及对所述触发事件的后续行为进行木马行为分析。

在一个实施例中，获取所述漏洞信息对应的木马文件以对所述木马文件进行拦截，还包括：通过有效负载抓取方式获取所述漏洞信息对应的木马文件以对所述木马进行拦截；以及通过行为日志分析方式获取所述漏洞信息对应的木马文件以对所述木马进行拦截。

在一个实施例中，将挂马URL推送到用于模拟用户系统进行自动分析，分析内容包括漏洞脚本分析，触发命令分析，下载脚本分析，以及马行为分析等。由于用户端的漏洞检测功能只负责漏洞触发拦截，对于后续行为由于性能、环境等原因，无法执行监控，因此需要后台服务器配合，以挖掘更多的木马以及黑产信息。

在S308中，将所述木马文件储存至特征库以便所述电子设备进行安全防护。在分析出木马以及病毒文件后，可例如，将所述木马文件做判黑处理，并将所述木马文件储存至特征库；通过新增加木马文件的特征库更新用户端的特征库以便电子设备对所述木马进行拦截。

在一个实施例中，木马文件分析完成后，将模拟系统抓取到的可执行文件或者脚本入库拉黑，对于新爆发或者典型木马推送人为分析，可例如通过邮件告知相关人员。例如通过木马行为规则发现了新的通过浏览器漏洞传播的敲诈勒索病毒，需要及时进行告警，然后推送到分析人员进行人工分析鉴定，以进行后续的风险等级评估。

在一个实施例中，木马文件分析完成后，将模拟系统抓取到的可执行文件或者脚本入库，然后，将入库的木马以及URL做判黑处理，将可执行文件或者脚本加入特征库，将更新后的特征库反馈到用户端的具有漏洞检测功能的模块中，以便后续对此类木马以及脚本文件进行拦截处理，避免更多用户受到危害。

根据本公开的安全防护的方法，通过收集用户端的网络环境信息以及漏洞信息，进而在后台对用户端的网络环境状态进行模拟，进而在远端环境中模拟安全漏洞触发事件以确定木马文件的方式，能够快速收集、检测并复现木马文件，并对木马文件进行拦截，保证用户的网络信息安全。

应清楚地理解，本公开描述了如何形成和使用特定示例，但本公开的原理不限于这些示例的任何细节。相反，基于本公开公开的内容的教导，这些原理能够应用于许多其它实施例。

图4是根据一示例性实施例示出的一种安全防护的方法的流程图。图4对通过实体机与虚拟机相结合的方式模拟所述电子设备的网络环境进行了示例性的描述。

如图4所示，在S402中，将用户的互联网协议地址配置为实体机的互联网协议地址。网络环境信息包括：用户的互联网协议地址、用户的浏览器版本信息以及用户的网络运营商信息。

在一个实施例中，实体机可例如为服务器，服务器配置是指根据实际需求针对安装有服务器操作系统的设备进行软件或者硬件的相应设置、操作，服务器的地址设置可例如为如下步骤：打开服务器文档，选择“端口”-“Internet端口”，启用“TCP/IP端口”。在“Internet信息服务”管理窗口中右击“默认WEB站点”，在弹出的菜单中选择“属性”选项，进入属性设置对话框。“WEB站点”中，这里可以设置站点服务器的IP地址和访问端口。在“IP地址”栏中将用户端的IP地址填入，“TCP”端口默认为80。

在S404中，将用户的网络运营商信息配置为实体机的网络运营商信息。网络运营商(Internet Service Provider，ISP)是进行网络运营和提供服务的实体。网络运营商不仅需要从网络角度知道网络运行状况，还需要从服务角度知道网络运行状况。此外，他们需要在提供多媒体服务和应用时有效利用网络资源。网络提供商则是提供网络基础设施的实体，互联网服务提供商，即向广大用户综合提供互联网接入业务、信息业务、和增值业务的电信运营商。服务器的ISP设置可参考上文中IP地址配置的过程，本实施例在此不再赘述。

在S406中，将虚拟机配置为网络地址转换模式。网络地址转换(NAT)模式是一种将一组IP地址映射到另一组IP地址的技术，可将只有私有地址的内部领域连接到有全球唯一注册地址的外部领域。NAT模式借助虚拟机和虚拟动态主机配置协议(Dynamic HostConfiguration Protocol，DHCP)服务器，使得虚拟机可以联网。在NAT模式中，主机网卡直接与虚拟机相连，然后虚拟机与虚拟DHCP服务器一起连接在虚拟交换机上，这样就实现了虚拟机联网。

本公开中，NAT模式的实现方式可包括以下三种方式，即静态转换(Static Nat)、动态转换(Dynamic Nat)和端口多路复用(Port address Translation，PAT)，本公开不以此为限。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

端口多路复用是指改变外出数据包的源端口并进行端口转换，采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。

在S408中，通过配置完成的所述实体机、所述虚拟机与所述网络环境信息模拟所述电子设备的网络环境。其中，网络模拟方式不仅限于代理配置，无论是HTTP代理，本地IP更改，VPN，都属于本方案的保护范围之内。所述漏洞信息包括：漏洞类型、以及触发条件。通过虚拟机与实体机结合的方式，在虚拟机上模拟安全漏洞的运行，进而复现安全漏洞在用户端电子设备上的运行状态。

根据本公开的安全防护的方法，通过实体机与虚拟机相结合的方式模拟用户端电子设备的运行状态，能够快速收集、检测并复现木马文件。

图5是根据一示例性实施例示出的一种安全防护的方法的流程图。图5对通过对所述触发事件及其后续行为进行分析进行了示例性的描述。

如图5所示，在S502中，将所述挂马网址在模拟的所述网络环境中运行以复现所述安全漏洞的触发事件。如上文所述，可例如通过实体机与虚拟机相结合的方式模拟所述电子设备的网络环境。

一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。

硬件部分包括：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

软件部分包括：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

具体连接部分包括：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

针对木马文件的特点，可通过以下方式对网络漏洞进行分析，以获取对应的木马文件。

在S504中，通过所述漏洞类型对所述触发事件进行漏洞脚本分析。漏洞一般是指，文件在某种格式下，会被执行为该脚本语言的文件。脚本是介于html与Pacal、C++、Java等编程语言之间的一种语言，对网络漏洞中相关的脚本语言进行分析，可获得隐藏在网络漏洞中对应的木马文件。

在S506中，通过所述触发条件对所述触发事件进行触发命令分析。触发命令是指启动木马的条件，可例如有如下几种方式触发木马文件：注册表触发，WIN.INI触发，SYSTEM.INI触发，Autoexec.bat和Config.sys触发，*.INI触发，捆绑文件触发，启动菜单触发。通过不同的触发方式获取木马的不同特征，以进行后续的木马文件定位。

在S508中，对所述触发事件的后续行为进行下载脚本分析。木马的传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。通过下载木马文件的脚本分析，能够获取木马的不同特征，以进行后续的木马文件定位。

在S510中，对所述触发事件的后续行为进行木马行为分析。木马行为分析是通过对流行木马病毒的行为进行分析以监控未知的木马病毒。

木马一旦植入到目标机器中的程序被激活，即进入安装阶段，完成自启动、文件隐藏等动作。当被控制端程序成功完成所有安装过程后进入到运行阶段，完成进/线程隐藏、免杀等动作。对木马行为的分析可例如针对木马行为在不同阶段的特征进行分析，可例如对木马植入阶段的行为特征分析、木马安装阶段的行为特征分析、木马运行阶段的行为特征分析、以及木马网络通信阶段的行为特征分析。

在一些实施例中，对所述触发事件的分析还可例如包括：通过有效负载抓取方式获取所述漏洞信息对应的木马文件以对所述木马进行拦截。有效负载通常也被称作实际数据或者数据体，指的是数据传送中的货物。在分析蠕虫、病毒、特洛伊木马等恶意软件时，有效负载指的是这类软件的危害结果，比如：数据损毁、发给很多人的带有侮辱性或者虚假信息的邮件等。在计算机安全领域，有效负载特指计算机病毒中执行恶意动作的那一部分。通过对木马文件的有效负载进行抓取，能够辅助判别木马文件以及木马文件的危害。

在一些实施例中，对所述触发事件的分析还可例如包括：通过行为日志分析方式获取所述漏洞信息对应的木马文件以对所述木马进行拦截。木马的实质只是一个通过端口进行通信的网络客户/服务程序，作为服务器的主机，一般会打开一个默认的端口并进行监听(Listen)，如果有客户机向服务器的这一端口提出连接请求(Connect Request)，服务器上的相应程序就会自动应答客户机的请求。木马程序是由客户端和服务端两个程序组成，其中客户端是攻击者远程控制终端程序，服务端程序即木马程序。当木马的服务端程序在被入侵的计算机系统上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被入侵的计算机系统。通过对以上的木马的行为日志进行分析的方式，也能够辅助判别木马文件以及木马文件的危害。

根据本公开的安全防护的方法，针对于流量劫持挂马的进行检测与复现，通过结合客户端侧的挂马检测模块，将爆发的挂马网站网址URL以及用户端IP，地域等信息上报到后台，进行实时性的复现与检测，以及时进行用户端安全预警与响应，以免更多用户受到影响。

图6是根据一示例性实施例示出的一种安全防护的方法的流程图。图6对安全防护的方法的以及木马文件检测后的处理方式进行了示例性的描述。

流量劫持发的原因可能由于DNS劫持，运营商或者恶意广告商等。在发生流量劫持时，用户访问一个正常的网站后，其网站内部某一个请求javascript脚本可能被替换成恶意的代码。恶意代码用于触发漏洞，下载木马执行。但由于用户端的防护模块主要目的是拦截漏洞触发，对于触发后木马行为无法抓取，所以需要后台系统对挂马URL进行模拟访问。因此本方案可例如在用户端和后台同时运作。

如图6所示，在S602中，用户端进行网络漏洞检测。

在S604中，后台服务器获取用户端处生成的网络环境信息与漏洞信息。

在S606中，通过网络环境信息模拟用户端的网络环境。

在S608中，将漏洞信息对应的内容在后台模拟系统中运行，模拟用户端的漏洞触发事件。

在S610中，通过有效负载抓取的方式，分析木马文件。有效负载通常也被称作实际数据或者数据体，指的是数据传送中的货物。在分析蠕虫、病毒、特洛伊木马等恶意软件时，有效负载指的是这类软件的危害结果，比如：数据损毁、发给很多人的带有侮辱性或者虚假信息的邮件等。在计算机安全领域，有效负载特指计算机病毒中执行恶意动作的那一部分。通过对木马文件的有效负载进行抓取，能够辅助判别木马文件以及木马文件的危害。具体可包括步骤S6102通过制定的规则对木马文件相关的规则进行过滤，以确定木马文件，步骤S6104，通过人工对漏洞相关的数据进行分析，以确定木马文件。

在S612中，通过行为日志分析方式，分析木马文件。木马的实质只是一个通过端口进行通信的网络客户/服务程序，作为服务器的主机，一般会打开一个默认的端口并进行监听(Listen)，如果有客户机向服务器的这一端口提出连接请求(Connect Request)，服务器上的相应程序就会自动应答客户机的请求。木马程序是由客户端和服务端两个程序组成，其中客户端是攻击者远程控制终端程序，服务端程序即木马程序。当木马的服务端程序在被入侵的计算机系统上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被入侵的计算机系统。通过对以上的木马的行为日志进行分析的方式，也能够辅助判别木马文件以及木马文件的危害。具体可包括步骤S6122将判别出来的木马文件入库储存，在S6124将新加入的木马文件相关的规则记录，以便后续进行规则过滤，S6126对新加入的木马产生的路径。渠道以及影响范围等相关进行进行统计展示。

在S614中，威胁情报信息。例如通过行为规则发现了新的通过IE漏洞传播的敲诈勒索病毒，会进行告警，然后推送到分析人员进行人工分析鉴定，以进行风险等级评估。具体可包括步骤S6142中，将木马情报相关文件入库以作后续分析。

根据本公开的安全防护的方法，通过收集用户端的网络信息以及漏洞信息，在后台对用户端的运行状态进行模拟，进而在远端环境中确定木马文件的方式，能够快速收集、检测并复现木马文件，并对木马文件进行拦截，保证用户的网络信息安全。

本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时，执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中，该存储介质可以是只读存储器，磁盘或光盘等。

此外，需要注意的是，上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

下述为本公开装置实施例，可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节，请参照本公开方法实施例。

图7是根据一示例性实施例示出的一种安全防护的装置的框图。安全防护的装置70包括：信息获取模块702，网络模拟模块704，事件模拟模块706，木马分析模块708。

其中，信息获取模块702实时进行电子设备的安全漏洞检测，在所述安全漏洞触发时获取所述电子设备的网络环境信息与漏洞信息，所述漏洞信息包括挂马网址。可例如，通过用户端的浏览器实时监控所述电子设备，以确定所述电子设备的安全漏洞是否被触发。

事件模拟模块704根据所述网络环境信息与漏洞信息模拟所述安全漏洞触发事件，可例如事件模拟模块704用于通过所述网络环境信息模拟所述电子设备的网络环境。可例如，通过实体机与虚拟机相结合的方式模拟所述电子设备的运行状态。通过配置完成的所述实体机、所述虚拟机与所述网络信息模拟所述电子设备的运行状态。可例如事件模拟模块704用于将所述挂马网址在模拟的所述网络环境中运行以复现所述安全漏洞的触发事件。可例如，通过漏洞脚本分析获取所述漏洞信息对应的木马文件；通过触发命令分析获取所述漏洞信息对应的木马文件；通过下载脚本分析获取所述漏洞信息对应的木马文件；以及通过木马行为分析获取所述漏洞信息对应的木马文件。

木马分析模块706用于对所述触发事件及其后续行为进行分析，获取所述漏洞信息对应的木马文件。在虚拟系统中，在打开挂马网址之后，继续跟踪分析该挂马网址产生的后续行为，可例如为木马文件下载事件，或者未授权应用安装事件等等，通过对触发事件应急后续行为的分析，获取漏洞信息对应的木马文件。

安全防护模块708用于将所述木马文件储存至特征库以便所述电子设备进行安全防护。可例如，将所述木马文件做判黑处理，并将所述木马文件储存至特征库；通过新增加木马文件的特征库更新用户端的特征库以便电子设备对所述木马进行拦截。

根据本公开的安全防护装置，通过收集用户端的网络环境信息以及漏洞信息，进而在后台对用户端的运行状态进行模拟，进而在远端环境中确定木马文件的方式，能够快速收集、检测并复现木马文件，并对木马文件进行拦截，保证用户的网络信息安全。

图8是根据另一示例性实施例示出的一种安全防护的装置的框图。安全防护的装置80在安全防护的装置70的基础上还包括：判黑模块802，更新模块804，告警模块806。

判黑模块802用于将所述木马文件做判黑处理，并将所述木马文件储存至特征库。

更新模块804用于更新用户端的特征库以便电子设备对所述木马进行拦截。

告警模块806用于在判断所述木马为新型病毒后，生成告警信息。

图9是根据另一示例性实施例示出的一种安全防护的装置的框图。安全防护的装置90在安全防护的装置80的基础上，其中事件模拟模块704还包括：IP配置模块7042，ISP配置模块7044，虚拟机配置模块7046。

IP配置模块7042用于将所述用户的互联网协议地址(IP)配置为所述实体机的互联网协议地址。

ISP配置模块7044用于将所述用户的网络运营商信息(ISP)配置为所述实体机的网络运营商信息。

虚拟机配置模块7046用于将所述虚拟机配置为网络地址转换模式。

根据本公开的安全防护的装置，通过实体机与虚拟机相结合的方式模拟用户端电子设备的运行状态，能够快速收集、检测并复现木马文件。

图10是根据一示例性实施例示出的一种电子设备的计算机系统的结构示意图。

下面参照图10来描述根据本公开的这种实施方式的电子设备1000。图10显示的电子设备1000仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图10所示，电子设备1000以通用计算设备的形式表现。电子设备1000的组件可以包括但不限于：至少一个处理单元1010、至少一个存储单元1020、连接不同系统组件(包括存储单元1020和处理单元1010)的总线1030、显示单元1040等。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元1010执行，使得所述处理单元1010执行本说明书上述电子处方流转处理方法部分中描述的根据本公开各种示例性实施方式的步骤。例如，所述处理单元1010可以执行如图3，图4，图5，图6中所示的步骤。

所述存储单元1020可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)10201和/或高速缓存存储单元10202，还可以进一步包括只读存储单元(ROM)10203。

所述存储单元1020还可以包括具有一组(至少一个)程序模块10205的程序/实用工具10204，这样的程序模块10205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线1030可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备1000也可以与一个或多个外部设备1100(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备1000交互的设备通信，和/或与使得该电子设备1000能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1050进行。并且，电子设备1000还可以通过网络适配器1060与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。网络适配器1060可以通过总线1030与电子设备1000的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备1000使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。

作为另一方面，本公开还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如上述实施例中所述的方法。例如，所述的电子设备可以实现如上文所示的各个步骤。

本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中，也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

通过以上的实施例的描述，本领域的技术人员易于理解，这里描述的示例实施例可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。

以上具体地示出和描述了本公开的示例性实施例。应可理解的是，本公开不限于这里描述的详细结构、设置方式或实现方法；相反，本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。

Claims (10)

1.一种安全防护方法，其特征在于，包括：

实时进行电子设备的安全漏洞检测，在所述安全漏洞触发时获取所述电子设备的网络环境信息与漏洞信息，所述漏洞信息包括挂马网址、漏洞类型、以及触发条件；

通过实体机与虚拟机相结合的方式模拟所述电子设备的网络环境，所述网络环境信息包括：用户的互联网协议地址、用户的浏览器版本信息以及用户的网络运营商信息；

将所述用户的互联网协议地址配置为所述实体机的互联网协议地址；

将所述用户的网络运营商信息配置为所述实体机的网络运营商信息；

将所述虚拟机配置为网络地址转换模式；

将所述挂马网址在模拟的所述网络环境中运行以复现所述安全漏洞的触发事件，在打开所述挂马网址之后，继续跟踪分析所述挂马网址产生的后续行为；

对所述触发事件及其后续行为进行分析，获取所述漏洞信息对应的木马文件；以及

将所述木马文件储存至特征库以便所述电子设备进行安全防护；

其中，对所述触发事件及其后续行为进行分析包括以下方式至少一者：

通过所述漏洞类型对所述触发事件进行漏洞脚本分析；

通过所述触发条件对所述触发事件进行触发命令分析；

对所述触发事件的后续行为进行下载脚本分析；

对所述触发事件的后续行为进行木马行为分析。

2.如权利要求1所述的方法，其特征在于，实时进行电子设备的安全漏洞检测包括：

通过用户端的浏览器实时进行所述电子设备的安全漏洞检测。

3.如权利要求2所述的方法，其特征在于，通过用户端的浏览器实时进行所述电子设备的安全漏洞检测包括：

通过补丁技术在所述用户端的浏览器中部署漏洞检测功能以实时监控所述电子设备的运行状态。

4.如权利要求1所述的方法，其特征在于，所述对所述触发事件及其后续行为进行分析，获取所述漏洞信息对应的木马文件，还包括：

通过有效负载抓取方式获取所述漏洞信息对应的木马文件以对所述木马进行拦截。

5.如权利要求1所述的方法，其特征在于，所述对所述触发事件及其后续行为进行分析，获取所述漏洞信息对应的木马文件，还包括：

通过行为日志分析方式获取所述漏洞信息对应的木马文件以对所述木马进行拦截。

6.如权利要求1所述的方法，其特征在于，将所述木马文件储存至特征库以便所述电子设备进行安全防护，包括：

获取所述漏洞信息对应的木马文件以将所述木马文件做判黑处理，并将所述木马文件储存至特征库；

更新用户端的特征库以便电子设备对所述木马文件进行拦截。

7.如权利要求1所述的方法，其特征在于，还包括：

在判断所述木马为新型病毒后，生成告警信息；和/或

对所述木马进行风险等级评估。

8.一种安全防护装置，其特征在于，包括：

信息获取模块，用于实时进行电子设备的安全漏洞检测，在所述安全漏洞触发时获取所述电子设备的网络环境信息与漏洞信息，所述漏洞信息包括挂马网址、漏洞类型、以及触发条件；

事件模拟模块，用于通过实体机与虚拟机相结合的方式模拟所述电子设备的网络环境，所述网络环境信息包括：用户的互联网协议地址、用户的浏览器版本信息以及用户的网络运营商信息；

木马分析模块，用于将所述挂马网址在模拟的所述网络环境中运行以复现所述安全漏洞的触发事件，在打开所述挂马网址之后，继续跟踪分析所述挂马网址产生的后续行为，对所述触发事件及其后续行为进行分析，获取所述漏洞信息对应的木马文件；

安全防护模块，用于将所述木马文件储存至特征库以便所述电子设备进行安全防护；

所述事件模拟模块还包括：

互联网协议地址配置模块，用于将所述用户的互联网协议地址配置为所述实体机的互联网协议地址；

网络运营商配置模块，用于将所述用户的网络运营商信息配置为所述实体机的网络运营商信息；

虚拟机配置模块，用于将所述虚拟机配置为网络地址转换模式；

其中，对所述触发事件及其后续行为进行分析包括以下方式至少一者：

通过所述漏洞类型对所述触发事件进行漏洞脚本分析；

通过所述触发条件对所述触发事件进行触发命令分析；

对所述触发事件的后续行为进行下载脚本分析；

对所述触发事件的后续行为进行木马行为分析。

9.根据权利要求8所述的装置，其特征在于，所述安全防护装置还包括：

判黑模块，用于将所述木马文件做判黑处理，并将所述木马文件储存至特征库；

更新模块，用于更新用户端的特征库以便电子设备对所述木马文件进行拦截。

10.根据权利要求8所述的装置，其特征在于，所述安全防护装置还包括：

告警模块，用于在判断所述木马为新型病毒后，生成告警信息。

Images