WO2015154539A1 - 网站安全检测方法及装置 - Google Patents

Abstract

本发明公开了一种网站安全检测方法及装置。其中方法包括：针对网络进行旁路侦听，抓取超文本传输协议请求包，获取超文本传输协议请求包对应的链接，确定链接为新链接，则将链接插入到待扫描队列中作为优先处理的待扫描任务；和/或提取链接对应的域名，确定域名为新域名，则将域名插入到待扫描队列中作为优先处理的待扫描任务，针对待扫描队列中的待扫描任务进行漏洞扫描。通过对网络进行旁路侦听可以获取用户请求对应链接，在确定链接为新链接或判定链接的域名是新域名的情况下，优先对其进行漏洞扫描处理，达到实时监控网站安全问题，利于发现网站安全漏洞。

Description

网站安全检测方法及装置 技术领域

本发明涉及互联网领域，具体涉及一种网站安全检测方法及装置。

背景技术

随着互联网技术应用的越来越广泛，人们很多的日常工作和娱乐都在网络上进行，网络已跟我们的生活息息相关。因此，网站的安全也越来越被人们所重视。然而，网络存在着各种各样的安全隐患，比如：COOKIE中毒、应用程序缓冲溢出、跨站脚本攻击、已知安全漏洞等等，无时无刻不让网站用户担心吊胆。网站用户希望了解网站的安全程度，使用较为安全的网站，而网站管理者希望能够及时修复漏洞，为网站用户提供安全的浏览平台。

在信息高度发达的今天，作为信息载体的网站业务(代码)更新频繁，而每个公司配备的信息安全人员不足以支持如此多和频繁的安全测试。

例如，孤岛页面是爬虫抓不到的页面，如果存在漏洞又被黑客发现了的话，会导致极大的安全风险。现有的漏洞扫描器都是基于蜘蛛技术来抓取网站链接后再进行安全测试的，不能及时扫描新上线的域名和不能检测到孤岛页面存在的漏洞。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的网站安全检测方法、相应的网站安全检测装置、计算机程序以及计算机可读介质。

根据本发明的一个方面，提供了一种网站安全检测方法，包括：

针对网络进行旁路侦听，抓取超文本传输协议(http)请求包；

获取所述超文本传输协议请求包对应的链接；

确定所述链接为新链接，则将所述链接插入到待扫描队列中作为优先处理的待扫描任务；和/或

提取所述链接对应的域名，确定所述域名为新域名，则将所述域名插入到待扫描队列中作为优先处理的待扫描任务；

针对待扫描队列中的待扫描任务进行漏洞扫描。

根据本发明的另一方面，提供了一种网站安全检测装置，包括：

抓取模块，适于针对网络进行旁路侦听，抓取超文本传输协议(http)请求包；

获取模块，适于获取所述超文本传输协议请求包对应的链接；

处理模块，适于确定所述链接为新链接和/或提取所述链接对应的域名，确定所述域名为新域名；

插入模块，适于将所述链接和/或所述域名插入到待扫描队列中作为优先处理的待扫描任务；扫描模块，适于针对待扫描队列中的待扫描任务进行漏洞扫描。

根据本发明的另一个方面，提供了一种计算机程序，其包括计算机可读代码，当电子设备运行所述计算机可读代码时，导致所述的网站安全检测方法被执行。

根据本发明的再一个方面，提供了一种计算机可读介质，其中存储了如上所述的计算机程序。

根据本发明的方案，针对网络进行旁路侦听，抓取http请求包，获取http请求包对应的链接，确定链接为新链接，则将链接插入到待扫描队列中作为优先处理的待扫描任务；和/或提取链接对应的域名，确定域名为新域名，则将域名插入到待扫描队列中作为优先处理的待扫描任务，针对待扫描队列中的待扫描任务进行漏洞扫描。通过对网络进行旁路侦听可以获取用户请求对应链接，在确定链接为新链接或判定链接的域名是新域名的情况下，优先对其进行漏洞扫描处理，达到实时监控网站安全问题，利于发现网站安全漏洞。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的网站安全检测方法的流程图；

图2示出了根据本发明另一个实施例的网站安全检测方法的流程图；

图3示出了根据本发明一个实施例的网站安全检测装置的结构框图；

图4示出了用于执行本发明的方法的电子设备的框图；以及

图5示出了用于保持或者携带实现根据本发明的方法的程序代码的存储单元示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示出了根据本发明一个实施例的网站安全检测方法的流程图。如图1所示，该方法包括如下步骤：

步骤S100，针对网络进行旁路侦听，抓取http请求包。

http请求包可以是get请求包、post请求包等。get请求是以实体的方式得到由请求ur I(统一资源定位符)所指定资源的信息，如果请求ur I只是一个数据产生过程，那么最终要在响应实体中返回的是处理过程的结果所指向的资源，而不是处理过程的描述。post请求用来向目的服务器发出请求，要求它接受被附在请求后的实体，并把它当作请求队列中请求ur I所指定资源的附加新子项。get请求包、post请求包中均包含网页的ur I。

步骤S110，获取http请求包对应的链接。

由于http请求包中包含了网页的ur I，因此可以根据相应的ur I获取http请求包对应的链接，即网页的ur I。

步骤S120，确定链接为新链接，则将链接插入到待扫描队列中作为优先处理的待扫描任务；和/或，提取链接对应的域名，确定域名为新域名，则将域名插入到待扫描队列中作为优先处理的待扫描任务。

本实施例可以是根据链接和域名来确定优先处理的待扫描任务，也可以仅根据链接或仅根据域名确定优先处理的待扫描任务，即由确定链接为新链接，则将链接插入到待扫描队列中作为优先处理的待扫描任务或提取链接对应的域名，确定域名为新域名，则将域名插入到待扫描队列中作为优先处理的待扫描任务。

步骤S130，针对待扫描队列中的待扫描任务进行漏洞扫描。

根据本发明提供的方法，针对网络进行旁路侦听，抓取http请求包，获取http请求包对应的链接，确定链接为新链接，则将链接插入到待扫描队列中作为优先处理的待扫描任务；和/或提取链接对应的域名，确定域名为新域名，则将域名插入到待扫描队列中作为优先处理的待扫描任务，针对待扫描队列中的待扫描任务进行漏洞扫描。通过对网络进行旁路侦听可以获取用户请求对应链接，在确定链接为新链接或判定链接的域名是新域名的情况下，优先对其进行漏洞扫描处理，达到实时监控网站安全问题，利于发现网站安全漏洞。

图2示出了根据本发明另一个实施例的网站安全检测方法的流程图。如图2 所示，该方法包括如下步骤：

步骤S200，针对网络进行旁路侦听，抓取http请求包。

http请求包主要包括：协议、服务器域名、端口号、请求包路径、get参数名、post参数名、扩展名、目标服务器网段等。http请求包可以是get请求包或post请求包等。get请求包、post请求包中均包含网页的ur I。

安全检测设备以旁路侦听的方式接入网络，对所有的网络请求进行旁路侦听。用户通过客户端访问网站时会向网站发送http请求，安全检测设备根据用户发送的http请求抓取http请求包。

步骤S210，获取超文本传输协议请求包对应的链接。

由于http请求包中包含了网页的ur I，对应地，从http请求包中可以还原得到相应的链接，即网页的ur I。

步骤S220，分析链接是否为有效链接，若是则执行步骤S230；若否则执行步骤S200。

有效链接指能够正常打开网页或下载文件的链接。无效链接指页面已经无效，无法对用户提供任何有价值信息的页面。当某一链接出现无域名、域名不全、链接不完整、post协议数据包没内容等现象时则将该链接判定为无效链接。以域名为abcd.com的某一链接为例，若链接中没有出现域名abcd.com或只出现域名的一部分如ad.com，则该链接为无效链接。

对步骤S210中获取的链接进行分析，判定该链接是否为有效链接，若链接出现无域名、域名不全、链接不完整、post协议数据包没内容等现象则判定链接为无效链接；若否则为有效链接。

步骤S230，将链接加入到链接库中。

链接库用于存储用户访问的所有有效链接。将步骤S220中的有效链接加入到链接库中。为了避免将同一链接重复加入到链接库，在判断链接为有效链接后，先判断链接库中是否存在该链接，若不存在，则将该链接加入到链接库中。本发明中，如果链接库中不存在该链接可将该链接视为新链接，这可作为后续判断链接是否为新链接的依据。

步骤S240，将链接库中具有相同域名的链接进行汇总。

举例来说，链接库中一部分链接具有相同的域名abcd.com，一部分链接具有相同的域名cefg.com，一部分链接具有相同的域名fged.com，则将链接库中的链接根据域名abcd.com、cefg.com、fged.com分别进行汇总。

步骤S250，提取链接对应的域名。

提取步骤S240中汇总后的链接对应的域名，例如，得到abcd.com、cefg.com、fged.com等域名。

步骤S260，判断域名是否为新域名，若是则执行步骤S270；若否则执行步骤S280。

本发明实施例给出了两种判断域名是否为新域名的方法，但判断方法不仅限于所列举方法：

方法1：检测在预设时间段内是否有域名的流量，若否，则确定域名为新域名。

流量指对网站的访问。以一个预设时间段为1个星期为例，检测在这一个星期内是否有域名的流量，若否，则判定域名为新域名。

举例来说，在1个星期内，并未检测到关于域名fged.com的流量，则可以判定域名fged.com为新域名。

方法2：检测域名所属的IP地址或IP地址范围是否存在域名所有人的验证域名，若存在，则确定域名为所有人的新域名。

举例来说，假设220.181.158.1～220.181.158.255这个IP网段内存在验证域名如webscan.xxx.cn/www.xxx.cn等，并且该IP段已经确认(通过人工方法或其它方法确认)是属于xxx公司的。如果在220.181.158.220这个IP上新出现了一个域名是newdoma in.com，则可以认为这个域名是该公司的新域名。

利用上述两种方法来判定域名是否为新域名。在上面的例子中，设检测到fged.com为新域名，abcd.com、cefg.com为已存在域名。

步骤S270，将域名插入到待扫描队列中作为优先处理的待扫描任务。

在判定域名fged.com为新域名后，将域名fged.com插入到待扫描队列作为优先处理的待扫描任务，对待扫描任务进行排序如fged.com、abcd.com、cefg.com，其中新域名fged.com排在待扫描任务的最前列。

步骤S280，判断链接是否为新链接，若是则执行步骤S290；若否则执行步骤S300。

在判定域名不是新域名的情况下，来判断链接是否为新链接。新链接指在域名已存在的情况下，网络中未出现过的链接。举例来说，在判断域名abcd.com、cefg.com都为已存在域名后，判断具有上述域名的链接是否为新链接，例如判断链接http：//www.abcd.com.***？***是否为新链接。

步骤S290，将链接插入到待扫描队列中作为优先处理的待扫描任务。

在判断链接是新链接的情况下，将链接插入到待扫描队列中作为优先处理的待扫描任务。举例来说，利用上述判断新链接的方法判断链接http：//www.abcd.com.***？***是新链接，则将该链接插入到待扫描队列中作为优先处理的待扫描任务。

步骤S300，将链接插入到待扫描队列末尾。

步骤S310，向与待扫描任务对应的目标网站发送测试请求，根据目标网站返回的网页进行漏洞扫描。

根据待扫描任务分别向与待扫描任务对应的目标网站发送测试请求，目标网站在收到测试请求后将网页返回给安全检测设备，进行漏洞扫描服务，在进行漏洞扫描服务时会访问库带计划等独有漏洞库，判断待扫描任务是否安全。

网站安全检测数据包括以下至少之一：挂马数据、虚假欺诈数据、搜索屏蔽数据、旁注数据、篡改数据、漏洞数据。根据网站安全检测数据，按照与网站安全检测数据相对应的网站安全检测规则对网站进行安全检测，其中，网站安全检测规则包括以下至少之一：挂马规则、虚假欺诈规则、屏蔽规则、旁注规则、篡改规则、和漏洞规则。本发明主要利用漏洞规则对网页进行扫描。漏洞规则用于根据漏洞数据确定网站存在的漏洞。

根据漏洞数据，按照漏洞规则对网站进行安全检测包括：获取预先存储的漏洞特征数据库中的漏洞特征，判断漏洞数据是否符合漏洞特征，若漏洞数据符合漏洞特征，则确定为漏洞；若漏洞数据不符合漏洞特征，则确定为非漏洞。根据判断结果确定网站存在的漏洞，其中，漏洞特征可以为漏洞关键字。如，将网页状态代码404作为漏洞关键字；或者，将404页面内容作为漏洞关键字；或者，通过访问网站的正常网页，提取该正常网页的网页内容、网页状态代码和http头部，访问该网站不存在的网页，提取反馈网页的网页内容、网页状态代码和http头部，比较该正常网页和该反馈网页的网页内容、网页状态代码和http头部，获取404关键字作为漏洞关键字；再或者，访问不存在的网页，将反馈网页的网页内容、网页状态代码和http头部作为漏洞关键字等等，本发明对此不作限制。

图2所示的实施例提供的是根据域名和链接来确定优先处理的待扫描任务，作为另两种实施方式，也可以仅根据链接或仅根据域名确定优先处理的待扫描任务。

对于仅根据链接确定优先处理的待扫描任务的实施例，上述步骤S240-步骤S300可以替换为判断链接是否为新链接，若是则将链接插入到待扫描队列中作为优先处理的待扫描任务；若否则将链接插入到待扫描队列末尾。

对于仅根据域名确定优先处理的待扫描任务的实施例，上述步骤S240-步骤S300可以替换为将链接库中具有相同域名的链接进行汇总，提取链接对应的域名，判断域名是否为新域名，若是则将域名插入到待扫描队列中作为优先处理的待扫描任务；若否则将域名插入到待扫描队列末尾。

根据本发明的方法，针对网络进行旁路侦听，抓取超文本传输协议(http)请求包，获取超文本传输协议请求包对应的链接，分析链接是否为有效链接， 若是则将链接加入到链接库中，将链接库中具有相同域名的链接进行汇总，提取链接对应的域名，根据链接库判断域名是否为新域名，若是则将域名插入到待扫描队列中作为优先处理的待扫描任务；若否则判断链接是否为新链接，若是则将链接插入到待扫描队列中作为优先处理的待扫描任务，若否则将链接插入到待扫描队列末尾，向与待扫描任务对应的目标网站发送测试请求，根据目标网站返回的网页进行漏洞扫描。通过对网络进行旁路侦听可以获取用户请求对应链接，通过分析链接是否为有效链接并将链接库中具有相同域名的链接进行汇总，可以将一些无效的链接去除，并只对域名进行安全检测，在判断域名安全后，则可判定该域名下的链接是安全的，加快了安全检测流程，在检测域名是已存在域名的情况下，判断链接是否为新链接，可以对网络爬虫无法抓取的网页进行检测，达到实时监控网站安全问题，利于发现网站安全漏洞。

图3是根据本发明一个实施例的网站安全检测装置的结构框图。如图3所示，该装置包括：抓取模块320、获取模块330、分析模块340、链接库350、汇总模块360、判断模块370、处理模块380、插入模块390、扫描模块400。

抓取模块320，适于针对网络进行旁路侦听，抓取http请求包。

http请求包主要包括：协议、服务器域名、端口号、请求包路径、get参数名、post参数名、扩展名、目标服务器网段等。http请求包可以是get请求包或post请求包等。get请求包、post请求包中均包含网页的ur I。

安全检测设备以旁路侦听的方式接入网络，对所有的网络请求进行旁路侦听。用户通过客户端访问网站时会向网站发送http请求，安全检测设备根据用户发送的http请求抓取http请求包。

获取模块330，适于获取超文本传输协议请求包对应的链接。

由于http请求包中包含了网页的ur I，对应地，从http请求包中可以还原得到相应的链接，即网页的ur I。

分析模块340，适于分析链接是否为有效链接。

有效链接指能够正常打开网页或下载文件的链接。无效链接指页面已经无效，无法对用户提供任何有价值信息的页面。当某一链接出现无域名、域名不全、链接不完整、post协议数据包没内容等现象时则将该链接判定为无效链接。以域名为abcd.com的某一链接为例，若链接中没有出现域名abcd.com或只出现域名的一部分如ad.com，则该链接为无效链接。

对获取模块330获取的链接进行分析，判定该链接是否为有效链接，若链接出现无域名、域名不全、链接不完整、post协议数据包没内容等现象则判定链接为无效链接；若否则为有效链接。

链接库350，适于存储链接。

链接库350用于存储用户访问的所有有效链接。将分析模块340分析判定的有效链接加入到链接库中。为了避免将同一链接重复加入到链接库350，在判断链接为有效链接后，进一步判断链接库中是否存在该链接，若不存在，则将该链接加入到链接库350中。

汇总模块360，适于将链接库中具有相同域名的链接进行汇总。

举例来说，链接库中一部分链接具有相同的域名abcd.com，一部分链接具有相同的域名cefg.com，一部分链接具有相同的域名fged.com，则将链接库中的链接根据域名abcd.com、cefg.com、fged.com分别进行汇总。

判断模块370，适于根据链接库确定链接是否为新链接和/或域名是否为新域名。

在判定域名不是新域名的情况下，来判断链接是否为新链接。新链接指在域名已存在的情况下，网络中未出现过的链接。举例来说，在判断域名abcd.com、cefg.com都为已存在域名后，判断具有上述域名的链接是否为新链接，例如判断链接http：//www.abcd.com.***？***是否为新链接。

处理模块380，适于确定链接为新链接和/或提取链接对应的域名，确定域名为新域名。

处理模块380具体适于：检测在预设时间段内是否有域名的流量，若否，则确定域名为新域名。

流量指对网站的访问。以一个预设时间段为1个星期为例，检测在这一个星期内是否有域名的流量，若否，则判定域名为新域名。

举例来说，在1个星期内，并未检测到关于域名fged.com的流量，则可以判定域名fged.com为新域名。

处理模块380具体适于：检测域名所属的IP地址或IP地址范围是否存在域名所有人的验证域名，若存在，则判定域名为所有人的新域名。

举例来说，假设220.181.158.1～220.181.158.255这个IP网段内存在验证域名如webscan.xxx.cn/www.xxx.cn等，并且该IP段已经确认(通过人工方法或其他方法确认)是属于xxx公司的。如果在220.181.158.220这个IP上新出现了一个域名是newdoma in.com，则可以认为这个域名是该公司的新域名。

利用上述两种方法来判定域名是否为新域名。在上面的例子中，设检测到fged.com为新域名，abcd.com、cefg.com为已存在域名。

插入模块390，适于将链接和/或域名插入到待扫描队列中作为优先处理的待扫描任务。

在判定域名fged.com为新域名后，将域名fged.com插入到待扫描队列作为优先处理的待扫描任务，对待扫描任务进行排序如fged.com、abcd.com、 cefg.com，其中新域名fged.com排在待扫描任务的最前列。

在判断链接是新链接的情况下，将链接插入到待扫描队列中作为优先处理的待扫描任务。举例来说，利用上述判断新链接的方法判断链接http：//www.abcd.com.***？***是新链接，则将该链接插入到待扫描队列中作为优先处理的待扫描任务。

扫描模块400，适于针对待扫描队列中的待扫描任务进行漏洞扫描。

扫描模块400包括：请求单元410，适于向与待扫描任务对应的目标网站发送测试请求；

扫描单元420，适于根据目标网站返回的网页进行漏洞扫描。

根据待扫描任务分别向与待扫描任务对应的目标网站发送测试请求，目标网站在收到测试请求后将网页返回给安全检测设备，进行漏洞扫描服务，在进行漏洞扫描服务时会访问库带计划等独有漏洞库，判断待扫描任务是否安全。

网站安全检测数据包括以下至少之一：挂马数据、虚假欺诈数据、搜索屏蔽数据、旁注数据、篡改数据、漏洞数据。根据网站安全检测数据，按照与网站安全检测数据相对应的网站安全检测规则对网站进行安全检测，其中，网站安全检测规则包括以下至少之一：挂马规则、虚假欺诈规则、屏蔽规则、旁注规则、篡改规则、和漏洞规则。本发明主要利用漏洞规则对网页进行扫描。漏洞规则用于根据漏洞数据确定网站存在的漏洞。

根据漏洞数据，按照漏洞规则对网站进行安全检测包括：获取预先存储的漏洞特征数据库中的漏洞特征，判断漏洞数据是否符合漏洞特征，若漏洞数据符合漏洞特征，则确定为漏洞；若漏洞数据不符合漏洞特征，则确定为非漏洞。根据判断结果确定网站存在的漏洞，其中，漏洞特征可以为漏洞关键字。如，将网页状态代码404作为漏洞关键字；或者，将404页面内容作为漏洞关键字；或者，通过访问网站的正常网页，提取该正常网页的网页内容、网页状态代码和http头部，访问该网站不存在的网页，提取反馈网页的网页内容、网页状态代码和http头部，比较该正常网页和该反馈网页的网页内容、网页状态代码和http头部，获取404关键字作为漏洞关键字；或者，访问不存在的网页，将反馈网页的网页内容、网页状态代码和http头部作为漏洞关键字等等，本发明对此不作限制。

根据本发明的装置，针对网络进行旁路侦听，抓取超文本传输协议请求包，获取超文本传输协议请求包对应的链接，分析链接是否为有效链接，若是则将链接加入到链接库中，将链接库中具有相同域名的链接进行汇总，提取链接对应的域名，根据链接库判断域名是否为新域名，若是则将域名插入到待扫描队列中作为优先处理的待扫描任务；若否则判断链接是否为新链接，若是则将链 接插入到待扫描队列中作为优先处理的待扫描任务，若否则将链接插入到待扫描队列末尾，向与待扫描任务对应的目标网站发送测试请求，根据目标网站返回的网页进行漏洞扫描。通过对网络进行旁路侦听可以获取用户请求对应链接，通过分析链接是否为有效链接并将链接库中具有相同域名的链接进行汇总，可以将一些无效的链接去除，并只对域名进行安全检测，在判断域名安全后，则可判定该域名下的链接是安全的，加快了安全检测流程，在检测域名是已存在域名的情况下，判断链接是否为新链接，可以对网络爬虫无法抓取的网页进行检测，达到实时监控网站安全问题，利于发现网站安全漏洞。

该安全检测设备支持内网/外网/IDC部署，支持单机和分布式部署，可以应用于大型企业。该设备以旁路侦听的方式接入企业内部网络后，对所有的网络请求进行旁路侦听，并将请求还原链接进行安全检测，如果有新的网站和/或网页上线，可以迅速对其安全性进行检测；此外，该设备还可以对网络爬虫无法抓取的孤岛页面进行安全检测，更全面地监控网站安全问题。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利 要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网站安全检测设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图4示出了可以实现本发明的网站安全检测方法的电子设备。该电子设备传统上包括处理器410和以存储器420形式的计算机程序产品或者计算机可读介质。存储器420可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器420具有用于执行上述方法中的任何方法步骤的程序代码431的存储空间430。例如，用于程序代码的存储空间430可以包括分别用于实现上面的方法中的各种步骤的各个程序代码431。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图5所述的便携式或者固定存储单元。该存储单元可以具有与图4的电子设备中的存储器420类似布置的存储段或者存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括用于执行根据本发明的方法步骤的程序431’，即可以由例如诸如410之类的处理器读取的代码，这些代码当由电子设备运行时，导致该电子设备执行上面所描述的方法中的各个步骤。

本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里“在一个实施例中”的词语例子不一定全指同 一个实施例。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims (16)

1. 一种网站安全检测方法，包括：

   针对网络进行旁路侦听，抓取超文本传输协议(http)请求包；

   获取所述超文本传输协议请求包对应的链接；

   确定所述链接为新链接，则将所述链接插入到待扫描队列中作为优先处理的待扫描任务；和/或

   提取所述链接对应的域名，确定所述域名为新域名，则将所述域名插入到待扫描队列中作为优先处理的待扫描任务；

   针对待扫描队列中的待扫描任务进行漏洞扫描。
2. 根据权利要求1所述的方法，获取所述超文本传输协议请求包对应的链接之后还包括：

   将所述链接加入到链接库中；

   根据所述链接库确定所述链接是否为新链接和/或所述域名是否为新域名。
3. 根据权利要求2所述的方法，将所述链接加入到链接库中还包括：

   将所述链接库中具有相同域名的链接进行汇总。
4. 根据权利要求1-3任一项所述的方法，所述确定所述域名为新域名进一步包括：

   检测在预设时间段内是否有所述域名的流量，若否，则确定所述域名为新域名。
5. 根据权利要求1-3任一项所述的方法，所述确定所述域名为新域名进一步包括：

   若检测所述域名所属的IP地址或IP地址范围存在所述域名所有人的验证域名，则确定所述域名为所述所有人的新域名。
6. 根据权利要求1-5任一项所述的方法，在所述将链接加入到链接库中之前还包括：

   分析所述链接是否为有效链接。
7. 根据权利要求1-6任一项所述的方法，所述针对待扫描队列中的待扫描任务进行漏洞扫描具体包括：

   向与所述待扫描任务对应的目标网站发送测试请求，根据所述目标网站返回的网页进行漏洞扫描。
8. 一种网站安全检测装置，包括：

   抓取模块，适于针对网络进行旁路侦听，抓取超文本传输协议(http)请求包；

   获取模块，适于获取所述超文本传输协议请求包对应的链接；

   处理模块，适于确定所述链接为新链接和/或提取所述链接对应的域名，确定所述域名为新域名；

   插入模块，适于将所述链接和/或所述域名插入到待扫描队列中作为优先处理的待扫描任务；扫描模块，适于针对待扫描队列中的待扫描任务进行漏洞扫描。
9. 根据权利要求8所述的装置，还包括：

   链接库，适于存储所述链接；

   判断模块，适于根据所述链接库确定所述链接是否为新链接和/或所述域名是否为新域名。
10. 根据权利要求9所述的装置，还包括：

    汇总模块，适于将所述链接库中具有相同域名的链接进行汇总。
11. 根据权利要求8-10任一项所述的装置，所述处理模块具体适于：

    检测在预设时间段内是否有所述域名的流量，若否，则确定所述域名为新域名。
12. 根据权利要求8-10任一项所述的装置，所述处理模块具体适于：

    检测所述域名所属的IP地址或IP地址范围是否存在所述域名所有人的验证域名，若存在，则判定所述域名为所述所有人的新域名。
13. 根据权利要求8-12任一项所述的装置，还包括：

    分析模块，适于分析所述链接是否为有效链接。
14. 根据权利要求8-13任一项所述的装置，所述扫描模块进一步包括：

    请求单元，适于向与所述待扫描任务对应的目标网站发送测试请求；

    扫描单元，适于根据所述目标网站返回的网页进行漏洞扫描。
15. 一种计算机程序，包括计算机可读代码，当电子设备运行所述计算机可读代码运行时，导致权利要求1-7中的任一项权利要求所述的网站安全检测方法被执行。
16. 一种计算机可读介质，其中存储了如权利要求15所述的计算机程序。

Images