一種惡意網(wǎng)頁綜合檢測方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,尤其涉及一種惡意網(wǎng)頁綜合檢測方法及系統(tǒng)��。
【背景技術(shù)】
[0002]隨著信息技術(shù)的發(fā)展����,網(wǎng)絡(luò)安全問題日益突出��,如今越來越多的攻擊者專注于有組織有目的的攻擊方式��,主要目標(biāo)則是獲取用戶的敏感信息��,例如個(gè)人隱私、賬號密碼等�����。由于防火墻����、入侵檢測系統(tǒng)等安全技術(shù)的發(fā)展,使得攻擊者在傳統(tǒng)攻擊方式上收效甚微��,因此基于客戶端的攻擊方式逐漸流行�,而惡意網(wǎng)頁則是諸多攻擊方式中具有典型性的一種。
[0003]惡意網(wǎng)頁是一種利用軟件或系統(tǒng)漏洞��,通過Web頁面作為載體�����,在互聯(lián)網(wǎng)中迅速而廣泛的傳播�,常見的網(wǎng)頁文件后綴名為html���、asp����、php、jsp等����。在這些文件中嵌入可自動(dòng)執(zhí)行的代碼,當(dāng)用戶瀏覽該頁面時(shí)�����,嵌入的惡意代碼則會(huì)在后臺執(zhí)行���,用于修改用戶操作系統(tǒng)的設(shè)置或軟件配置文件信息�、非法竊取用戶敏感信息����、刪除用戶數(shù)據(jù)等。由于編寫網(wǎng)頁代碼的難度較低���,因此目前很多攻擊者大都會(huì)通過設(shè)置惡意網(wǎng)站�,吸引用戶訪問該站點(diǎn)�����,然后通過嵌入在網(wǎng)頁中的惡意代碼發(fā)起進(jìn)一步攻擊活動(dòng)。對于正常網(wǎng)站而言�,由于WEB服務(wù)器配置不當(dāng)或是服務(wù)器存在安全隱患,此時(shí)攻擊者可以通過非常規(guī)手段在正常頁面中嵌入惡意代碼�����,達(dá)到進(jìn)一步攻擊目的����。
[0004]嵌入在正常web頁面中的可執(zhí)行惡意代碼,為了規(guī)避檢測�����,通常通過以下方式進(jìn)行藏匿:代碼混淆����、代碼加密、URL重定向等�。例如在惡意代碼中使用document.Write ()函數(shù)和evalO函數(shù)實(shí)現(xiàn)動(dòng)態(tài)代碼注入,或者使用escape ()函數(shù)將字符進(jìn)行編碼�����,在惡意代碼其它位置使用解碼函數(shù)��、自定義解碼程序或者直接轉(zhuǎn)換為瀏覽器可以解析的編碼�����。而URL重定向主要是在正常頁面中通過腳本函數(shù)指向其它URL地址�����,指示瀏覽器自動(dòng)瀏覽一個(gè)或多個(gè)其它URL鏈接�,而不影響對用戶內(nèi)容所顯示的正常頁面。研究結(jié)果表明�����,惡意網(wǎng)頁的發(fā)展趨勢大致如下:種類模糊����,多種攻擊方式結(jié)合;多平臺攻擊��,惡意網(wǎng)頁代碼類型增多?’傳播速度快��,傳播范圍廣�����,難以預(yù)防。
【發(fā)明內(nèi)容】
[0005]針對上述技術(shù)問題���,本發(fā)明提供了一種惡意網(wǎng)頁綜合檢測方法及系統(tǒng)���,該發(fā)明使用自定義規(guī)則庫對待檢測URL的網(wǎng)頁內(nèi)容進(jìn)行檢測,對于無法成功匹配的待檢測URL則利用流量特征庫對其返回的PCAP數(shù)據(jù)包進(jìn)行匹配操作�����,從而判別其是否是惡意URL�����。本發(fā)明能夠有效解決網(wǎng)頁內(nèi)容加密等情況下的惡意檢測問題����,從而避免漏報(bào)情況的發(fā)生。
[0006]本發(fā)明采用如下方法來實(shí)現(xiàn):一種惡意網(wǎng)頁綜合檢測方法��,包括:
將待檢測URL批量添加至隊(duì)列中���,并為每條待檢測URL設(shè)置唯一 ID編號�����;
提取隊(duì)列中的待檢測URL���,并編寫自動(dòng)化腳本模擬所述待檢測URL的HTTP請求,獲取返回結(jié)果和所產(chǎn)生的PCAP數(shù)據(jù)包�,并配置與待檢測URL對應(yīng)的ID編號;所述返回結(jié)果包括:web服務(wù)器的響應(yīng)狀態(tài)碼和訪問產(chǎn)生的頁面代碼����;
對所述返回結(jié)果進(jìn)行格式化處理后,與自定義規(guī)則庫進(jìn)行匹配����,若成功匹配,則待檢測URL為惡意URL����,否則利用ID編號獲取未成功匹配的待檢測URL對應(yīng)的PCAP數(shù)據(jù)包;
將PCAP數(shù)據(jù)包與所述流量特征庫進(jìn)行匹配��,若成功匹配����,則待檢測URL為惡意URL,否則予以放行�;
所述自定義規(guī)則庫中的匹配規(guī)則包括:匹配方式�����、匹配內(nèi)容和匹配規(guī)則ID號�;
所述流量特征庫中的匹配特征包括:基于已知惡意URL請求獲取PCAP數(shù)據(jù)包�����,并基于PCAP數(shù)據(jù)包內(nèi)容所提取的特征�����。
[0007]進(jìn)一步地�����,所述待檢測URL包括:自定義URL列表����、網(wǎng)絡(luò)爬蟲抓取的互聯(lián)網(wǎng)上的URL或者搜索關(guān)鍵詞獲取的相關(guān)URL。
[0008]進(jìn)一步地����,在所述提取隊(duì)列中的待檢測URL,并編寫自動(dòng)化腳本模擬所述待檢測URL的HTTP請求之前還包括:將隊(duì)列中的待檢測URL與已知白名單匹配�����,若成功匹配,則待檢測URL為安全URL�����,否則編寫自動(dòng)化腳本模擬所述待檢測URL的HTTP請求�,并進(jìn)行后續(xù)操作���。
[0009]進(jìn)一步地�����,所述編寫自動(dòng)化腳本模擬所述待檢測URL的HTTP請求�����,包括:檢查并解密出現(xiàn)的加密函數(shù)�����、高?��?蓤?zhí)行腳本函數(shù)�,跟蹤重定向URL和解析隱藏URL�����。
[0010]進(jìn)一步地�����,將判定為惡意URL的待檢測URL的相關(guān)數(shù)據(jù)存儲至顯示數(shù)據(jù)庫中����,用于可視化展示。
[0011]本發(fā)明采用如下系統(tǒng)來實(shí)現(xiàn):一種惡意網(wǎng)頁綜合檢測系統(tǒng)�,包括:
隊(duì)列,用于存儲待檢測URL�����,并為每條待檢測URL設(shè)置唯一 ID編號�����;
自動(dòng)化腳本模擬模塊�,用于提取隊(duì)列中的待檢測URL,并編寫自動(dòng)化腳本模擬所述待檢測URL的HTTP請求;
請求結(jié)果獲取模塊�����,用于獲取自動(dòng)化腳本模擬模塊的返回結(jié)果和所產(chǎn)生的PCAP數(shù)據(jù)包����,并配置與待檢測URL對應(yīng)的ID編號;所述返回結(jié)果包括:web服務(wù)器的響應(yīng)狀態(tài)碼和訪問產(chǎn)生的頁面代碼����;
自定義規(guī)則匹配模塊�����,用于對所述返回結(jié)果進(jìn)行格式化處理后�����,與自定義規(guī)則庫進(jìn)行匹配�,若成功匹配,則待檢測URL為惡意URL���,否則由流量特征匹配模塊完成后續(xù)操作���;
流量特征匹配模塊���,用于利用ID編號獲取未成功匹配的待檢測URL對應(yīng)的PCAP數(shù)據(jù)包,并將PCAP數(shù)據(jù)包與所述流量特征庫進(jìn)行匹配�,若成功匹配,則待檢測URL為惡意URL��,否則予以放行��;
自定義規(guī)則庫��,用于存儲匹配規(guī)則�����,包括:匹配方式��、匹配內(nèi)容和匹配規(guī)則ID號�����;
流量特征庫�����,用于存儲匹配特征,包括:基于已知惡意URL請求獲取PCAP數(shù)據(jù)包���,并基于PCAP數(shù)據(jù)包內(nèi)容所提取的特征���。
[0012]進(jìn)一步地,所述待檢測URL包括:自定義URL列表�����、網(wǎng)絡(luò)爬蟲抓取的互聯(lián)網(wǎng)上的URL或者搜索關(guān)鍵詞獲取的相關(guān)URL�����。
[0013]進(jìn)一步地���,還包括白名單匹配模塊,用于將隊(duì)列中的待檢測URL與已知白名單匹配���,若成功匹配�����,則待檢測URL為安全URL�����,否則由自動(dòng)化腳本模擬模塊完成后續(xù)操作����。
[0014]進(jìn)一步地,所述編寫自動(dòng)化腳本模擬所述待檢測URL的HTTP請求����,包括:檢查并解密出現(xiàn)的加密函數(shù)、高?���?蓤?zhí)行腳本函數(shù),跟蹤重定向URL和解析隱藏URL�����。
[0015]進(jìn)一步地����,還包括顯示數(shù)據(jù)庫,用于存儲判定為惡意URL的待檢測URL的相關(guān)數(shù)據(jù)����,進(jìn)行可視化展示�����。
[0016]綜上所述�����,本發(fā)明提供了一種惡意網(wǎng)頁綜合檢測方法及系統(tǒng)����,針對待檢測URL��,利用自動(dòng)化腳本模擬HTTP訪問請求��,并針對返回結(jié)果進(jìn)行網(wǎng)頁內(nèi)容的檢測��,利用自定義規(guī)則庫進(jìn)行匹配��,若匹配成功�,則待檢測URL為惡意URL����,否則抓取PCAP數(shù)據(jù)包,并利用流量特征庫進(jìn)行數(shù)據(jù)包的特征匹配���,若匹配成功���,則待檢測URL為惡意URL�����,否則予以放行�。
[0017]本發(fā)明的有益效果為:本發(fā)明所述技術(shù)方案�,首先通過編寫自動(dòng)化腳本來模擬瀏覽器訪問待檢測URL,并獲取所產(chǎn)生的返回結(jié)果和流量數(shù)據(jù)包���;對于返回結(jié)果進(jìn)行格式化處理后��,以自定義規(guī)則庫中規(guī)定的匹配方式進(jìn)行匹配�����,若成功匹配則待檢測URL為惡意URL;其中��,所述自定義規(guī)則庫的優(yōu)劣會(huì)影響檢測系統(tǒng)的精確度���;但是,對于網(wǎng)頁中存在惡意代碼片段進(jìn)行加密或者混淆處理的情況�����,利用自定義規(guī)則庫可能無法進(jìn)行有效檢測,此時(shí)����,通過配置的ID編號,獲取未匹配成功的待檢測URL相關(guān)的PCAP數(shù)據(jù)包���,并利用流量特征庫進(jìn)行流量特征匹配�,從而保證減少誤報(bào)和漏報(bào)的發(fā)生幾率��。
【附圖說明】
[0018]為了更清楚地說明本發(fā)明的技術(shù)方案�����,下面將對實(shí)施例中所需要使用的附圖作簡單地介紹�����,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例��,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動(dòng)的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖���。
[0019]圖1為本發(fā)明提供的一種惡意網(wǎng)頁綜合檢測方法實(shí)施例流程圖;
圖2為本發(fā)明提供的一種惡意網(wǎng)頁綜合檢測系統(tǒng)實(shí)施例結(jié)構(gòu)圖��。
【具體實(shí)施方式】
[0020]本發(fā)明給出了一種惡意網(wǎng)頁綜合檢測方法及系統(tǒng)���,為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案��,并使本發(fā)明的上述目的�、特征和優(yōu)點(diǎn)能夠更加明顯易懂���,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明:
本發(fā)明首先提供了一種惡意網(wǎng)頁綜合檢測方法實(shí)施例�,如圖1所示��,包括:
S101將待檢測URL批量添加至隊(duì)列中�,并為每條待檢測URL設(shè)置唯一 ID編號;
S102提取隊(duì)列中的待檢測URL��,并編寫自動(dòng)化腳本模擬所述待檢測URL的HTTP請求��;S103獲取返回結(jié)果和所產(chǎn)生的PCAP數(shù)據(jù)包,并配置與待檢測URL對應(yīng)的ID編號�;所述返回結(jié)果即為模擬瀏覽器訪問待檢測URL所產(chǎn)生的后果,包括:web服務(wù)器的響應(yīng)狀態(tài)碼和訪問產(chǎn)生的頁面代碼��;所述與待檢測URL對應(yīng)的ID編號�,用于將每個(gè)待檢測URL與其返回結(jié)果和PCAP數(shù)據(jù)包一一對應(yīng),方便檢測中使用���;
S104對所述返回結(jié)果進(jìn)行格式化處理后�,與自定義規(guī)則庫進(jìn)行匹配����,判斷是否成功匹配,若是�,則待檢測URL為惡意URL,否則執(zhí)行S105 ;其中��,所述格式化方法包括:生成XML或者JS0N格式頁面內(nèi)容�����;
S105利用ID編號獲取未成功匹配的待檢測URL對應(yīng)的PCAP數(shù)據(jù)包�;
S106將PCAP數(shù)據(jù)包與所述流量特征庫進(jìn)行匹配,判斷是否成功匹配,若是����,則待檢測URL為惡意URL���,否則予以放行��;
所述自定義規(guī)則庫中的匹配規(guī)則包括:匹配方式����、匹配內(nèi)容和匹配規(guī)則ID號�����;
其中�����,匹配方式包括但不限于:advance