[发明专利]一种挂马防范的方法和系统

说明书

技术领域

本发明属于网络安全领域，具体涉及一种挂马防范的方法和系 统。

背景技术

挂马是网络安全的主要威胁之一。所谓挂马，就是黑客通过SQL (StructuredQueryLanguage)注入、服务器漏洞等方法获取网站管理 员账号，然后在网站的后台通过数据库“备份/恢复”或者上传漏洞 获取一个webshell，利用该webshell修改网站内容，向页面中加入恶 意转向代码。也可以直接通过弱口令获得服务器或网站传输协议 (FTP)，然后直接对网站页面直接进行修改。当访问被植入恶意代 码的页面时，就会自动访问被转向的地址或下载木马病毒。

目前，防火墙设备的挂马防范大多是通过上传一个挂马网站的特 征库(挂马网站特征库内容为挂马网站的域名)，然后在内网用户上 网时防火墙会将统一资源定位符(URL)与挂马网站特征库中的每一 项进行匹配，如果URL中的某一部分与挂马网站特征库中的某一项 相同，那么防火墙会判定该URL为挂马网站，从而进行拦截。

然而，随着挂马网站数量的增加，挂马网站特征库不断扩大，一 个挂马网站特征库中有上万条匹配项，这内网用户在上网时每一个 URL都会去和特征库中的匹配项匹配，这种匹配方式耗时长、效率 低、成本高，严重影响了防火墙的性能。

发明内容

本发明所要解决的技术问题是如何提高挂马识别和处理的效率， 提高网络防火墙的性能。

针对该技术问题，本发明提供了一种挂马防范的方法，包括：

S1：统计当前网络中的每一应用程序的流量；

S2：在预先获取的挂马特征库中，获取与第一应用程序相关的挂 马网站的域名，以得到第一挂马特征库；所述第一应用程序是在所述 当前网络中的流量大于预设流量的应用程序；

S3：将预识别网站的统一资源定位符与所述第一挂马特征库中的 挂马网站的域名进行匹配，若匹配成功，拦截所述预识别网站。

优选地，所述步骤S1之前还包括：

将所述预先获取的挂马特征库中的挂马网站的域名按照所述挂 马网站所属的应用程序分类存储。

优选地，所述步骤S2包括：

S21：按照流量由大到小的顺序，对所述当前网络中的应用程序 进行排序，以得到应用程序序列；

S22：获取所述应用程序序列中处于预设位置之前的应用程序， 以作为所述第一应用程序；

S23：在所述预先获取的挂马特征库中，获取与所述第一应用程 序相关的挂马网站的域名，以作为所述第一挂马特征库。

优选地，所述步骤S2之后还包括：

S2’：判断所述第一挂马特征库是否是在预设时间点之前获取的， 若是，跳回步骤S1。

优选地，所述步骤S3包括：

S31：获取所述预识别网站的统一资源定位符；

S32：判断所述第一挂马特征库中是否存在与所述统一资源定位 符相关的挂马网站的域名，若存在，拦截所述预识别网站。

另一方面，本发明还提供了一种挂马防范的系统，包括：

统计模块，用于统计当前网络中的每一应用程序的流量；

获取模块，用于在预先获取的挂马特征库中，获取与第一应用程 序相关的挂马网站的域名，以得到第一挂马特征库；所述第一应用程 序是在所述当前网络中的流量大于预设流量的应用程序；

处理模块，用于将预识别网站的统一资源定位符与所述第一挂马 特征库中的挂马网站的域名进行匹配，若匹配成功，拦截所述预识别 网站。

优选地，所述挂马防范的系统还包括：

存储模块，用于将所述预先获取的挂马特征库中的挂马网站的域 名按照所述挂马网站所属的应用程序分类存储。

优选地，所述获取模块包括：

排序单元，用于按照流量由大到小的顺序，对所述当前网络中的 应用程序进行排序，以得到应用程序序列；

第一获取单元，用于获取所述应用程序序列中处于预设位置之前 的应用程序，以作为所述第一应用程序；

第二获取单元，用于在所述预先获取的挂马特征库中，获取与所 述第一应用程序相关的挂马网站的域名，以作为所述第一挂马特征 库。

优选地，所述挂马防范的系统还包括判断模块，用于判断所述第 一挂马特征库是否是在预设时间点之前获取的；