[发明专利]一种网页中恶意代码的检测方法及系统

权利要求书

1.一种网页中恶意代码的检测方法，其特征在于，包括：

捕获浏览器接口的接口函数；

在浏览器接口调用所述接口函数传递要运行的脚本给脚本解释引擎之前，拦截所述要运行的脚本；

对脚本中的内容进行分析并检测恶意代码。

2.根据权利要求1所述的方法，其特征在于，所述对脚本中的内容进行分析并检测恶意代码，包括：

根据预置的词组规则将脚本中的内容分解为特定的词组；

根据特征码对所述特定的词组进行恶意代码检测。

3.根据权利要求2所述的方法，其特征在于，所述根据预置的词组规则将脚本中的内容分解为特定的词组，包括：

以预置的词组规则中的词法分割符为分割标识，将脚本中的内容分割为多个代码块；

将每个代码块分别与所述词组规则中的词组定义进行匹配，以查找特定的词组，所述特定的词组包括函数名、关键字和变量内容。

4.根据权利要求3所述的方法，其特征在于，所述特征码中包括恶意代码惯用的函数名、关键字、变量内容或其中若干项的组合，

所述根据特征码对所述特定的词组进行恶意代码检测，包括：

将所述特征码分别与所述特定的词组进行匹配，检测所述特定的词组中是否存在恶意代码惯用的函数名、关键字、变量内容或其中若干项的组合。

5.根据权利要求4所述的方法，还包括：

将检测到的恶意代码中惯用的函数名、关键字、变量内容或其中若干项的组合以预置的公式进行计算；

若计算结果超过恶意代码阈值，则该脚本中含有恶意代码。

6.根据权利要求5所述的方法，其特征在于，还包括：

若检测到脚本中含有恶意代码，则阻断恶意代码的执行并报告检测到的恶意代码。

7.根据权利要求1所述的方法，其特征在于，在IE内核浏览器中，所述捕获浏览器接口的接口函数，包括：

使用钩子函数捕获IE内核浏览器中IActiveScriptParse接口的ParseScriptText函数。

8.根据权利要求7所述的方法，其特征在于，在IE内核浏览器中，所述在浏览器接口调用所述接口函数传递要运行的脚本给脚本解释引擎之前，拦截所述要运行的脚本，包括：

在IActiveScriptParse接口调用ParseScriptText函数传递要运行的脚本给脚本解释引擎之前，通过所述钩子函数拦截要运行的脚本。

9.一种网页中恶意代码的检测系统，其特征在于，包括：

捕获模块，用于捕获浏览器接口的接口函数；

拦截模块，用于在浏览器接口调用所述接口函数传递要运行的脚本给脚本解释引擎之前，拦截所述要运行的脚本；

分析并检测模块，用于对脚本中的内容进行分析并检测恶意代码。

10.根据权利要求9所述的系统，其特征在于，所述分析并检测模块，包括：

词组分解子模块，用于根据预置的词组规则将脚本中的内容分解为特定的词组；

恶意代码检测子模块，用于根据特征码对所述特定的词组进行恶意代码检测。

11.根据权利要求10所述的系统，其特征在于，所述词组分解子模块，包括：

分割单元，用于以预置的词组规则中的词法分割符为分割标识，将脚本中的内容分割为多个代码块；

匹配并查找单元，用于将每个代码块分别与所述词组规则中的词组定义进行匹配，以查找特定的词组，所述特定的词组包括函数名、关键字和变量内容。

12.根据权利要求10所述的系统，其特征在于，所述特征码中包括恶意代码惯用的函数名、关键字、变量内容或其中若干项的组合，所述恶意代码检测子模块，包括：

匹配单元，用于将所述特征码分别与所述特定的词组进行匹配，检测所述特定的词组中是否存在恶意代码惯用的函数名、关键字、变量内容或其中若干项的组合。

13.根据权利要求12所述的系统，其特征在于，所述恶意代码检测子模块，还包括：

计算单元，用于将检测到的恶意代码中惯用的函数名、关键字、变量内容或其中若干项的组合以预置的公式进行计算；

比较单元，用于若计算结果超过恶意代码阈值，则该脚本中含有恶意代码。