CN112583778B - 恶意网站的监控方法及装置、系统、存储介质、电子装置 - Google Patents
恶意网站的监控方法及装置、系统、存储介质、电子装置 Download PDFInfo
- Publication number
- CN112583778B CN112583778B CN201910945357.XA CN201910945357A CN112583778B CN 112583778 B CN112583778 B CN 112583778B CN 201910945357 A CN201910945357 A CN 201910945357A CN 112583778 B CN112583778 B CN 112583778B
- Authority
- CN
- China
- Prior art keywords
- target
- website
- url address
- malicious
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 69
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000006399 behavior Effects 0.000 claims description 39
- 244000035744 Hura crepitans Species 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 7
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 235000013305 food Nutrition 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种恶意网站的监控方法及装置、系统、存储介质、电子装置,其中,该方法包括:获取浏览器请求访问的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;判断所述目标URL地址是否在预设地址列表中;在所述目标URL地址未在所述预设地址列表中时,监测所述浏览器执行所述目标URL地址的调用序列;根据所述调用序列信息控制所述浏览器访问所述目标网站的访问权限。通过本发明,解决了相关技术中恶意网站的识别率过低的技术问题,提高了恶意网站的识别率。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种恶意网站的监控方法及装置、系统、存储介质、电子装置。
背景技术
相关技术中,网站是用户入网的重要接口,网站的安全监控是网络安全的重要内容。
黑客往往通过在网站中植入恶意代码的方式来获取网站访问者的相关信息,这种方法已被越来越多的黑客使用。当前解决这种问题的技术是通过将恶意网址写入黑名单的方式来禁止用户访问,但该方法需要相关产品实时更新维护,且防御存在着滞后性。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种恶意网站的监控方法及装置、系统、存储介质、电子装置。
根据本发明的一个实施例,提供了一种恶意网站的监控方法,包括:获取浏览器请求访问的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;判断所述目标URL地址是否在预设地址列表中;在所述目标URL地址未在所述预设地址列表中时,监测所述浏览器执行所述目标URL地址的调用序列;根据所述调用序列信息控制所述浏览器访问所述目标网站的访问权限。
可选的,监测所述浏览器执行所述目标URL地址的调用序列包括:监测所述浏览器执行所述目标URL地址时网站主程序的以下调用栈至少之一:文件操作行为、进程行为、注册表行为、驱动加载行为。
可选的,根据所述调用序列控制所述浏览器访问所述目标网站的访问权限包括:判断所述调用序列是否与预设白栈序列匹配;在所述调用序列与所述预设白栈序列不匹配时,确定所述调用序列越权,并阻止所述浏览器访问所述目标网站;在所述调用序列与所述预设白栈序列匹配时,确定所述调用序列未越权,并允许所述浏览器访问所述目标网站。
可选的,所述方法还包括:在所述调用序列与所述预设白栈序列不匹配时,确定所述目标网站为恶意网站,并将所述目标URL地址上传至云端的恶意URL地址库。
根据本发明的一个实施例,提供了另一种恶意网站的监控方法,包括:接收客户端上传的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;在恶意URL地址库中添加所述目标URL地址,并在沙箱中执行所述目标URL地址;监测所述沙箱执行所述目标URL地址的调用序列;根据所述调用序列确定所述目标网站是否为恶意网站。
可选的,根据所述调用序列确定所述目标网站是否为恶意网站包括:判断所述调用序列是否越权,其中,所述调用序列包括:文件操作行为、进程行为、注册表行为、驱动加载行为;在所述调用序列越权时,确定所述目标网站为恶意网站;在所述调用序列未越权时,确定所述目标网站为合法网站。
可选的,在根据所述调用序列确定所述目标网站是否为恶意网站之后,所述方法还包括:在所述目标网站为恶意网站时,在所述恶意URL地址库中保留所述目标URL地址,并向关联客户端下发所述恶意URL地址库;在所述目标网站不为恶意网站时,在所述恶意URL地址库中删除所述目标URL地址。
根据本发明的另一个实施例,提供了一种恶意网站的监控装置,包括:获取模块,用于获取浏览器请求访问的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;判断模块,用于判断所述目标URL地址是否在预设地址列表中;监测模块,用于在所述目标URL地址未在所述预设地址列表中时,监测所述浏览器执行所述目标URL地址的调用序列;控制模块,用于根据所述调用序列信息控制所述浏览器访问所述目标网站的访问权限。
可选的,所述监测模块包括:监测单元,用于监测所述浏览器执行所述目标URL地址时网站主程序的以下调用栈至少之一:文件操作行为、进程行为、注册表行为、驱动加载行为。
可选的,所述控制模块包括:判断单元,用于判断所述调用序列是否与预设白栈序列匹配;控制单元,用于在所述调用序列与所述预设白栈序列不匹配时,确定所述调用序列越权,并阻止所述浏览器访问所述目标网站;在所述调用序列与所述预设白栈序列匹配时,确定所述调用序列未越权,并允许所述浏览器访问所述目标网站。
可选的,所述装置还包括:上传模块,用于在所述调用序列与所述预设白栈序列不匹配时,确定所述目标网站为恶意网站,并将所述目标URL地址上传至云端的恶意URL地址库。
根据本发明的另一个实施例,提供了另一种恶意网站的监控装置,包括:接收模块,用于接收客户端上传的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;执行模块,用于在恶意URL地址库中添加所述目标URL地址,并在沙箱中执行所述目标URL地址;监测模块,用于监测所述沙箱执行所述目标URL地址的调用序列;确定模块,用于根据所述调用序列确定所述目标网站是否为恶意网站。
可选的,所述装置还包括:控制模块,用于在所述确定模块根据所述调用序列确定所述目标网站是否为恶意网站之后,在所述目标网站为恶意网站时,在所述恶意URL地址库中保留所述目标URL地址,并向关联客户端下发所述恶意URL地址库;在所述目标网站不为恶意网站时,在所述恶意URL地址库中删除所述目标URL地址。
可选的,所述确定模块包括:判断单元,用于判断所述调用序列是否越权,其中,所述调用序列包括:文件操作行为、进程行为、注册表行为、驱动加载行为;确定单元,用于在所述调用序列越权时,确定所述目标网站为恶意网站;在所述调用序列未越权时,确定所述目标网站为合法网站。
根据本发明的又一个实施例,提供了一种恶意网站的监控系统,包括:客户端,服务器,其中,所述客户端,包括如上述实施例所描述的装置;所述服务器,包括如上述实施例所描述的装置。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,获取浏览器请求访问的目标统一资源定位符URL地址,然后判断目标URL地址是否在预设地址列表中,在目标URL地址未在预设地址列表中时,监测浏览器执行目标URL地址的调用序列,最后根据调用序列信息控制浏览器访问目标网站的访问权限,通过浏览器执行实际执行URL地址的调用序列来识别恶意网站,解决了相关技术中恶意网站的识别率过低的技术问题,提高了恶意网站的识别率。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种恶意网站的监控计算机的硬件结构框图;
图2是根据本发明实施例的一种恶意网站的监控方法的流程图;
图3是根据本发明实施例的另一种恶意网站的监控方法的流程图;
图4是根据本发明实施例的一种恶意网站的监控装置的结构框图;
图5是根据本发明实施例的另一种恶意网站的监控装置的结构框图;
图6是根据本发明实施例的一种恶意网站的监控系统的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本申请实施例一所提供的方法实施例可以在服务器、计算机或者类似的运算装置中执行。以运行在计算机上为例,图1是本发明实施例的一种恶意网站的监控计算机的硬件结构框图。如图1所示,计算机10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述计算机还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述计算机的结构造成限定。例如,计算机10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种恶意网站的监控方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种恶意网站的监控方法,图2是根据本发明实施例的一种恶意网站的监控方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,获取浏览器请求访问的目标统一资源定位符URL地址,其中,目标URL地址与目标网站对应;
本实施例的目标URL地址为用户在请求访问目标网站资源时输入的字符串,如:http://website.com/goods/search.phpterm-apple,浏览器可以通过访问website.com服务器定位到服务器中存储的相应资源,在浏览器的用户界面播放。
该目标URL地址不仅可以在浏览器的地址栏中输入,也可以通过浏览器外部输入或者是跳转的方式来获取。
步骤S204,判断目标URL地址是否在预设地址列表中;
本实施例的预设地址列表是本地配置的URL地址黑名单,可以是客户端配置的,或者是从云端服务器获取的。
步骤S206,在目标URL地址未在预设地址列表中时,监测浏览器执行目标URL地址的调用序列;
在本实施例的另一方面,在目标URL地址在预设地址列表中时,不用监测浏览器的调用序列,正常执行目标URL地址。
步骤S208,根据调用序列信息控制浏览器访问目标网站的访问权限。
通过上述步骤,获取浏览器请求访问的目标统一资源定位符URL地址,然后判断目标URL地址是否在预设地址列表中,在目标URL地址未在预设地址列表中时,监测浏览器执行目标URL地址的调用序列,最后根据调用序列信息控制浏览器访问目标网站的访问权限,通过浏览器执行实际执行URL地址的调用序列来识别恶意网站,解决了相关技术中恶意网站的识别率过低的技术问题,提高了恶意网站的识别率。
本实施例的调用序列包括一个或多个调用栈,用于存放子程序的返回地址,主程序在调用任何子程序时,主程序都必须暂存子程序运行完毕后应该返回到的地址。如果被调用的子程序还要调用其他的子程序,其自身的返回地址就必须存入调用栈,在其自身运行完毕后再行取回。
本实施例的主程序为网站主程序,网站主程序在执行目标URL地址播放目标网站时,需要启用子程序,以完成对应的功能和服务,如播放Flash,读取缓存等。本实施例监测浏览器执行目标URL地址的调用序列包括:监测浏览器执行目标URL地址时网站主程序的以下调用栈至少之一:文件操作行为、进程行为、注册表行为、驱动加载行为。文件操作行为包括文件读写、删除、重命名等。
在一个示例中,浏览器在执行目标URL地址时,浏览器在执行目标URL地址时,读了A文件,启动了B进程,访问了C注册表,加载了D驱动,通过监测网站主程序的调用栈,分别为调用栈A、调用栈B、调用栈C、调用栈D。
在本实施例的一个实施方式中,根据调用序列控制浏览器访问目标网站的访问权限包括:
S11,判断调用序列是否与预设白栈序列匹配;
本实施例的预设白栈序列包括浏览器打开和浏览目标网站时,多个合法的栈序列,同一类型的网站,可以对应一个白栈序列集合,或者是同一域名的的网站,对应一个白栈序列集合,或者是一个网站对应一个白栈序列集合。当然,除了使用预设白栈序列进行匹配外,使用预设黑栈序列进行匹配也可以实现同样的效果。
如果把一个网站比如一个同心圆的小圆,系统就是那个大圆,正常情况下,网站只能在他的小圆里面操作,但是很多时候,黑客还想去操作系统的,可能会通过各种漏洞突破小圆,来操作大圆,这个时候网站主程序的调用序列,就会不一样,如果调用栈不在白栈里面,就是越权。
S12,在调用序列与预设白栈序列不匹配时,确定调用序列越权,并阻止浏览器访问目标网站;在调用序列与预设白栈序列匹配时,确定调用序列未越权,并允许浏览器访问目标网站。
在本实施例的一个实施方式中,在调用序列与预设白栈序列不匹配时,确定目标网站为恶意网站,并将目标URL地址上传至云端的恶意URL地址库。
在本实施例中提供了另一种恶意网站的监控方法,图3是根据本发明实施例的另一种恶意网站的监控方法的流程图,如图3所示,该流程包括如下步骤:
步骤S302,接收客户端上传的目标统一资源定位符URL地址,其中,目标URL地址与目标网站对应;
步骤S304,在恶意URL地址库中添加目标URL地址,并在沙箱中执行目标URL地址;
本实施例的沙箱可以运行在云端服务器,也可以运行在第三方设备,并与远端服务器连接;
步骤S306,监测沙箱执行目标URL地址的调用序列;
步骤S308,根据调用序列确定目标网站是否为恶意网站。
本实施例除了根据调用序列来进行恶意网站判定之外,还可以根据沙箱执行目标URL地址的执行结果来判断,如果执行结果与预期结果相同,则认为不是恶意网站,否则为恶意网站。
可选的,根据调用序列确定目标网站是否为恶意网站包括:
S21,判断调用序列是否越权,其中,调用序列包括:文件操作行为、进程行为、注册表行为、驱动加载行为;
可选的,在判断调用序列是否越权时,可以判断调用序列是否与预设白栈序列匹配,来确定调用序列越权。
S22,在调用序列越权时,确定目标网站为恶意网站;在调用序列未越权时,确定目标网站为合法网站。
在本实施例的一个实施方式中,在根据调用序列确定目标网站是否为恶意网站之后,还包括:在目标网站为恶意网站时,在恶意URL地址库中保留目标URL地址,并向关联客户端下发恶意URL地址库;在目标网站不为恶意网站时,在恶意URL地址库中删除目标URL地址。
本实施例的沙箱和恶意URL地址库都设置在云端,对客户端上传的可疑URL地址进行恶意网站清洗,云沙箱定期清洗恶意URL地址库。沙箱从恶意URL地址库中获取URL,导入浏览器中执行网站,若网站的调用序列不存在越权行为,则从恶意URL地址库中去除这条URL记录;若存在越权行为,对该条URL记录不做修改。URL云库定时推送恶意URL库到客户端,当浏览器访问的URL在终端的恶意URL库中,直接进行拦截。通过云端,实时更新黑名单,防护更全面。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种恶意网站的监控装置,系统,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的一种恶意网站的监控装置的结构框图,应用在客户端,如图4所示,该装置包括:获取模块40,判断模块42,监测模块44,控制模块46,其中,
获取模块40,用于获取浏览器请求访问的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;
判断模块42,用于判断所述目标URL地址是否在预设地址列表中;
监测模块44,用于在所述目标URL地址未在所述预设地址列表中时,监测所述浏览器执行所述目标URL地址的调用序列;
控制模块46,用于根据所述调用序列信息控制所述浏览器访问所述目标网站的访问权限。
可选的,所述监测模块包括:监测单元,用于监测所述浏览器执行所述目标URL地址时网站主程序的以下调用栈至少之一:文件操作行为、进程行为、注册表行为、驱动加载行为。
可选的,所述控制模块包括:判断单元,用于判断所述调用序列是否与预设白栈序列匹配;控制单元,用于在所述调用序列与所述预设白栈序列不匹配时,确定所述调用序列越权,并阻止所述浏览器访问所述目标网站;在所述调用序列与所述预设白栈序列匹配时,确定所述调用序列未越权,并允许所述浏览器访问所述目标网站。
可选的,所述装置还包括:上传模块,用于在所述调用序列与所述预设白栈序列不匹配时,确定所述目标网站为恶意网站,并将所述目标URL地址上传至云端的恶意URL地址库。
图5是根据本发明实施例的另一种恶意网站的监控装置的结构框图,应用在服务器,如图5所示,该装置包括:接收模块50,执行模块52,监测模块54,确定模块56,其中,
接收模块50,用于接收客户端上传的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;
执行模块52,用于在恶意URL地址库中添加所述目标URL地址,并在沙箱中执行所述目标URL地址;
监测模块54,用于监测所述沙箱执行所述目标URL地址的调用序列;
确定模块56,用于根据所述调用序列确定所述目标网站是否为恶意网站。
可选的,所述装置还包括:控制模块,用于在所述确定模块根据所述调用序列确定所述目标网站是否为恶意网站之后,在所述目标网站为恶意网站时,在所述恶意URL地址库中保留所述目标URL地址,并向关联客户端下发所述恶意URL地址库;在所述目标网站不为恶意网站时,在所述恶意URL地址库中删除所述目标URL地址。
可选的,所述确定模块包括:判断单元,用于判断所述调用序列是否越权,其中,所述调用序列包括:文件操作行为、进程行为、注册表行为、驱动加载行为;确定单元,用于在所述调用序列越权时,确定所述目标网站为恶意网站;在所述调用序列未越权时,确定所述目标网站为合法网站。
图6是根据本发明实施例的一种恶意网站的监控系统的结构框图,如图6所示,该系统包括:一个或多个客户端60,服务器62,其中,所述客户端包括本实施例所描述的装置(如图4所示),所述服务器包括所描述的装置(如图5所示)。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取浏览器请求访问的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;
S2,判断所述目标URL地址是否在预设地址列表中;
S3,在所述目标URL地址未在所述预设地址列表中时,监测所述浏览器执行所述目标URL地址的调用序列;
S4,根据所述调用序列信息控制所述浏览器访问所述目标网站的访问权限。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取浏览器请求访问的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;
S2,判断所述目标URL地址是否在预设地址列表中;
S3,在所述目标URL地址未在所述预设地址列表中时,监测所述浏览器执行所述目标URL地址的调用序列;
S4,根据所述调用序列信息控制所述浏览器访问所述目标网站的访问权限。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种恶意网站的监控方法,其特征在于,包括:
获取浏览器请求访问的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;
判断所述目标URL地址是否在预设地址列表中;
在所述目标URL地址未在所述预设地址列表中时,监测所述浏览器执行所述目标URL地址的调用序列,其中,所述调用序列包括一个或多个调用栈,用于存放子程序的返回地址;
根据调用序列信息控制所述浏览器访问所述目标网站的访问权限。
2.根据权利要求1所述的方法,其特征在于,监测所述浏览器执行所述目标URL地址的调用序列包括:
监测所述浏览器执行所述目标URL地址时网站主程序的以下调用栈至少之一:文件操作行为、进程行为、注册表行为、驱动加载行为。
3.根据权利要求1所述的方法,其特征在于,根据所述调用序列控制所述浏览器访问所述目标网站的访问权限包括:
判断所述调用序列是否与预设白栈序列匹配;
在所述调用序列与所述预设白栈序列不匹配时,确定所述调用序列越权,并阻止所述浏览器访问所述目标网站;在所述调用序列与所述预设白栈序列匹配时,确定所述调用序列未越权,并允许所述浏览器访问所述目标网站。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述调用序列与所述预设白栈序列不匹配时,确定所述目标网站为恶意网站,并将所述目标URL地址上传至云端的恶意URL地址库。
5.一种恶意网站的监控方法,其特征在于,包括:
接收客户端上传的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;
在恶意URL地址库中添加所述目标URL地址,并在沙箱中执行所述目标URL地址;
监测所述沙箱执行所述目标URL地址的调用序列,其中,所述调用序列包括一个或多个调用栈,用于存放子程序的返回地址;
根据所述调用序列确定所述目标网站是否为恶意网站。
6.一种恶意网站的监控装置,其特征在于,包括:
获取模块,用于获取浏览器请求访问的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;
判断模块,用于判断所述目标URL地址是否在预设地址列表中;
监测模块,用于在所述目标URL地址未在所述预设地址列表中时,监测所述浏览器执行所述目标URL地址的调用序列,其中,所述调用序列包括一个或多个调用栈,用于存放子程序的返回地址;
控制模块,用于根据调用序列信息控制所述浏览器访问所述目标网站的访问权限。
7.一种恶意网站的监控装置,其特征在于,包括:
接收模块,用于接收客户端上传的目标统一资源定位符URL地址,其中,所述目标URL地址与目标网站对应;
执行模块,用于在恶意URL地址库中添加所述目标URL地址,并在沙箱中执行所述目标URL地址;
监测模块,用于监测所述沙箱执行所述目标URL地址的调用序列,其中,所述调用序列包括一个或多个调用栈,用于存放子程序的返回地址;
确定模块,用于根据所述调用序列确定所述目标网站是否为恶意网站。
8.一种恶意网站的监控系统,其特征在于,包括:客户端,服务器,其中,
所述客户端,包括如权利要求6所述的装置;
所述服务器,包括如权利要求7所述的装置。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至5任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至5任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910945357.XA CN112583778B (zh) | 2019-09-30 | 2019-09-30 | 恶意网站的监控方法及装置、系统、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910945357.XA CN112583778B (zh) | 2019-09-30 | 2019-09-30 | 恶意网站的监控方法及装置、系统、存储介质、电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112583778A CN112583778A (zh) | 2021-03-30 |
| CN112583778B true CN112583778B (zh) | 2023-01-06 |
Family
ID=75117014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910945357.XA Active CN112583778B (zh) | 2019-09-30 | 2019-09-30 | 恶意网站的监控方法及装置、系统、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112583778B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
| CN102932356A (zh) * | 2012-11-07 | 2013-02-13 | 北京奇虎科技有限公司 | 多核浏览器中恶意网址拦截方法和装置 |
| CN103634317A (zh) * | 2013-11-28 | 2014-03-12 | 北京奇虎科技有限公司 | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 |
| CN105635126A (zh) * | 2015-12-24 | 2016-06-01 | 北京奇虎科技有限公司 | 恶意网址访问防护方法、客户端、安全服务器及系统 |
| CN110278212A (zh) * | 2019-06-26 | 2019-09-24 | 中国工商银行股份有限公司 | 链接检测方法及装置 |
-
2019
- 2019-09-30 CN CN201910945357.XA patent/CN112583778B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
| CN102932356A (zh) * | 2012-11-07 | 2013-02-13 | 北京奇虎科技有限公司 | 多核浏览器中恶意网址拦截方法和装置 |
| CN103634317A (zh) * | 2013-11-28 | 2014-03-12 | 北京奇虎科技有限公司 | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 |
| CN105635126A (zh) * | 2015-12-24 | 2016-06-01 | 北京奇虎科技有限公司 | 恶意网址访问防护方法、客户端、安全服务器及系统 |
| CN110278212A (zh) * | 2019-06-26 | 2019-09-24 | 中国工商银行股份有限公司 | 链接检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112583778A (zh) | 2021-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109766696B (zh) | 软件权限的设置方法及装置、存储介质、电子装置 | |
| CN106998329B (zh) | 文件共享方法及装置 | |
| US9773109B2 (en) | Alternate files returned for suspicious processes in a compromised computer network | |
| US10050822B2 (en) | Method and system for sharing application, and application service platform | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US20160205125A1 (en) | System and method for analyzing mobile cyber incident | |
| CN108418787B (zh) | 企业资源计划数据的采集方法、终端设备及介质 | |
| CN106649446B (zh) | 信息推送方法和装置 | |
| CN104021141B (zh) | 数据处理和云服务的方法、装置及系统 | |
| CN103188328A (zh) | 移动终端应用程序共享的方法、服务器及系统 | |
| CN108337210A (zh) | 设备配置方法及装置、系统 | |
| CN106254319B (zh) | 一种轻应用登录控制方法和装置 | |
| CN110865774B (zh) | 一种打印设备的信息安全检测方法及装置 | |
| CN106548090A (zh) | 一种网络文件保护方法及web服务器 | |
| CN112583778B (zh) | 恶意网站的监控方法及装置、系统、存储介质、电子装置 | |
| CN105491406A (zh) | 一种视频分享装置、方法、系统和便携式设备 | |
| CN114124414A (zh) | 蜜罐服务的生成方法、装置和攻击行为数据的捕获方法 | |
| CN116560691A (zh) | 一种数据处理方法、装置、计算机设备以及可读存储介质 | |
| CN112671556B (zh) | 路由器的配置方法和装置、存储介质、电子装置 | |
| CN111901305B (zh) | 存储器的操作方法和装置、存储介质、电子装置 | |
| CN111782291A (zh) | 一种测试页面的启动方法和装置 | |
| CN107870950A (zh) | 一种对恶意网站进行过滤的方法及装置 | |
| CN107465744B (zh) | 数据下载控制方法及系统 | |
| CN111967058A (zh) | 支持用户白名单的防篡改方法、电子装置和存储介质 | |
| CN111949980A (zh) | 目标客户端监控方法和装置、存储介质及电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |