[发明专利]一种网页挂马检测和防护方法、系统及相应代码提取方法

权利要求书

1.一种提取Web页面中与网页挂马相关的标签的代码的方法，包括：

网络安全防护系统将一段用于自动提取标签的脚本代码注入拦截到的Web页面，然后将该Web页面发送到客户端；

客户端打开该Web页面时自动运行所述脚本代码，从该Web页面中提取出与网页挂马相关的标签的代码，并将所述标签的代码和该Web页面本身的URL发送到所述网络安全防护系统，其中，所述标签的代码中包含统一资源定位符(URL)；

网络安全防护系统接收和保存客户端发送所述标签的代码。

2.如权利要求1所述的方法，其特征在于，所述脚本代码包括启动提取代码和标签提取代码，其中：

所述标签提取代码包括主函数，所述主函数被执行后，从注入的Web页面中提取出与网页挂马相关的包含URL的标签代码，将所述标签代码和该Web页面本身的URL一起发送到所述网络安全防护系统；

所述启动提取代码在注入的Web页面被打开时被自动执行，且在被执行后转入执行所述标签提取代码。

3.如权利要求2所述的方法，其特征在于：

所述启动提取代码包括在Web页面的Body标签中增加的加载(onload)事件的代码，且该加载事件指向所述标签提取代码的主函数；或者

所述启动提取代码包括在Web页面最后位置增加的SCRIPT标签的代码，且该SCRIPT标签用于直接调用所述标签提取代码的主函数。

4.一种基于基线的网页挂马检测方法，包括：

提取Web页面中与网页挂马相关的标签的代码，所述标签的代码中包含待检测的统一资源定位符(URL)；

将所述待检测的URL与相应基线中的URL进行匹配，所述相应基线中至少包含该Web页面中已确定的安全的URL；

如匹配成功，确定所述待检测的URL的安全级别为表示URL安全的一个安全级别；

如匹配失败，对所述待检测的URL进行异常检测，根据异常检测的结果确定所述待检测的URL的安全级别。

5.如权利要求4所述的网页挂马检测方法，其特征在于：

所述提取Web页面中与网页挂马相关的标签的代码，采用的是如权利要求1或2或3所述的方法。

6.如权利要求4所述的网页挂马检测方法，其特征在于：

对所述待检测的URL进行异常检测，根据异常检测的结果确定所述待检测的URL的安全级别，具体包括：

将所述待检测的URL与系统特征库中的恶意URL和/或合法URL进行匹配：

如匹配成功，将所述待检测的URL的安全级别确定为匹配到的恶意URL或合法URL的安全级别；

如匹配失败，再对所述待检测的URL和/或所述待检测的URL所在标签的代码的形式特征进行检测：

如检测出系统设定的至少一个异常形式特征，将所述待检测的URL的安全级别确定为检测出的所有异常形式特征各自对应的安全级别中，表示安全程度最低的一个安全级别；

如没有检测出系统设定的异常形式特征，将所述待检测的URL的安全级别确定为系统设定的URL不存在异常形式特征时的安全级别。

7.如权利要求6所述的网页挂马检测方法，其特征在于，所述系统设定的异常形式特征包括以下形式特征中的一种或多种：

待检测的URL不是所在Web页面所属网站的域名或子域名；

待检测的URL所在的标签为script标签，该待检测URL的扩展名非JS；

待检测的URL所在的标签为link标签，该标签属性的扩展名非.css；

待检测的URL所在的标签为img标签，该标签属性的扩展名非图片格式；

待检测的URL所在的标签为frame或iframe标签，该标签属性的扩展名非html，html格式。