[发明专利]一种网页安全信息检测系统及方法

说明书

技术领域

本发明涉及计算机及网络领域，特别是涉及一种网页安全信息检测系统及方法。

背景技术

目前网页中的不安全信息(包括网页病毒)的传播方式主要是通过挂马方式来实现，即通过可执行漏洞，包括操作系统和安装软件的安全隐患，通过js(Java描述语言)，vbs(Visual Basic描述语言)等网页脚本将木马下载到本机并且执行。一个网页包含内容参见图1所示，包括html(Hypertext MarkupLanguage，超文本链接标示语言)或htm(HTML文件的后缀)等网页代码、JS或VBS等脚本、GIF或JPG等图像以及CSS等框架定义。

目前的网页安全信息检索技术，其实现方式主要有以下三种：

现有技术一、参见图2所示，传统的网页安全信息检索技术是将网页的各种构成部分下载到本机，并依赖于病毒库，根据已知的病毒信息对网页进行检索，判断是否出现耦合，如果该网页中有二进制码符合病毒库中的特征，则认为该网页为有病毒的网页。

其缺点是：

1、依赖病毒库，无法预知未知病毒。

2、由于是检索并匹配病毒特征，所以容易被欺骗，也容易产生误报。

3、一些针对性攻击只会在特定环境中发生，一般在静态环境下很难检测出来。

现有技术二、提供了一种非主流的网页安全信息检索技术。其是针对蠕虫等病毒的抵御而诞生的主动防御技术，主要针对已知的溢出漏洞。这种技术的含盖性不高，只能识别已知的可执行漏洞都，而且该技术也并非是针对网页病毒的查杀而设计的。所以之后又出现了另外一种网页安全信息检索技术，见现有技术三。

现有技术三、参见图3所示，该技术是对代码执行流程进行分析，若流程按照已知的特定规则执行(如：发现溢出、发现非法流程)，则认为包含病毒。

其缺点是：

1、现有技术三的主动防御技术含盖性虽然得到了提高，但是网页中的病毒有相当一部分仍然不能被报警，因为这种技术仅能检查有溢出行为和已知的非法流程的病毒。

2、由于这种网页安全信息检索技术是主动防御技术附属产生的，而主动防御技术不成熟，因此会导致查杀病毒的定位不精确，病毒分析不清，给使用带来了并不理想的结果，例如：

～.tmp的马可被报出，但却不能查到产生～.tmp的主程序，即浏览的网页。

3、主动防御技术的行为分析是以用户广泛使用为基础，对现有典型病毒的逻辑行为进行过程分析，并且基于已发现漏洞的入侵方式进行的。但这也导致对于新出现的病毒，或者特殊构造的漏洞束手无策。举个简单的例子进行说明，一个网页针对杀毒软件构造的漏洞溢出后，会执行特定的程序，如果该漏洞并没有被杀毒软件认定为病毒的行为，也就是与杀毒软件的行为特征库不符，那么就不会触发溢出报警机制，于是病毒就成功利用了该漏洞。

4、主动防御技术在对病毒的行为过程进行分析时，由于分析过程的复杂度较大，使得分析逻辑本身会出现错误，从而导致报警系统无法正常报警。更严重的是可利用这些逻辑错误编写免杀程序。

5、技术、逻辑实现复杂。

可见由于该技术的实现复杂，智力投入较大，开发周期过长，并且产品的使用效果并不理想，重要的是不能应用到专业的网页查杀服务器中。

综上所述，现有技术必须依赖于已知的病毒特征对网页信息进行安全检测。

发明内容

本发明实施例提供一种网页安全信息检测系统及方法，以实现不依赖于已知的病毒特征对网页信息进行安全检测。

本发明实施例的一种网页安全信息检测系统，包括：待扫描的网页地址数据库，用于存储待扫描的网页地址URL；核心调度模块，用于根据预先的配置，启动至少一个浏览器；浏览器助手模块，被启动的每一浏览器分别加载，并为加载其的浏览器生成唯一标识符，以及以该标识符通过核心调度模块请求待扫描的网页地址数据库中的URL，并控制加载其的浏览器打开该URL；核心监视模块，用于在监视到被启动的浏览器出现异常行为结果时，根据该浏览器对应的标识符，将该浏览器打开的URL反馈给核心调度模块保存。

本发明实施例的一种网页安全信息检测方法，包括下列步骤：启动至少一个浏览器；为每一被启动的浏览器生成唯一标识符，以及以该标识符请求URL，并在该标识符对应的浏览器中打开；在监视到被启动的浏览器出现异常行为结果时，根据该浏览器对应的标识符，将该浏览器打开的URL保存。