[发明专利]一种使用引导型搜索的网页木马检测系统及方法

权利要求书

1.一种使用引导型搜索的网页木马检测系统，其特征在于，包括外围程序模块和核心检测分析组件，外围程序模块包括一个网络爬虫模块，一个弱过滤器模块，一个网页检测模块和一个用于存储已知挂马网页的数据库；所述网络爬虫模块用于从互联网中下载网页，所述弱过滤器模块用于从下载的网页中过滤掉明显无害的网页，所述网页检测模块用于将挂马网页分类出来，数据库用于存储已知挂马网页；

核心检测分析组件，包括数个特征分析组件和搜索引擎工具，所述特征分析组件用于分析出输入的挂马网页的特征，并通过使用这些特征引导搜索引擎搜索并下载相似的网页，将引导搜索下载的网页直接提交至网页检测程序分析。

2.根据权利要求1所述的使用引导型搜索的网页木马检测系统，其特征在于，所述弱过滤器模块通过IP地址、网页上可疑域名数量、域名段数、不完整头部信息域请求数量及是否包含可疑JavaScript代码在内的显著特征过滤掉正常网页。

3.根据权利要求1或2所述的使用引导型搜索的网页木马检测系统，其特征在于，所述弱过滤器模块的输出网页作为网页检测模块的输入，所述网页检测模块包括一个蜜罐客户端，蜜罐客户端可以模拟浏览器执行网页上的JavaScript代码，可以跟踪记录代码执行的结果，并使用异常探测技术来判断网页是否含有诱导下载攻击；网页检测模块还包括一个自定义检测工具，该工具是使用机器学习的方法训练一个分类器，分类器以网页中的标签信息，JavaScript语句和词频信息为特征进行训练，该自定义检测工具用于检测网页中的恶意软件自动下载功能，以避免用户在不知情的情况下下载恶意软件。

4.根据权利要求1或2所述的使用引导型搜索的网页木马检测系统，其特征在于，所述引导搜索引擎搜索下载相似的网页包括：在挂马网页URL前加上link操作符，记为link:<MALICIOUS-URL>，其中MALICIOUS-URL为挂马网页的URL，并使用搜索引擎查询工具查询，收集查询结果网页中的新URL作为可疑URL。

5.根据权利要求1或2所述的使用引导型搜索的网页木马检测系统，其特征在于，所述特征分析组件利用域名注册记录筛选可疑域名，在域名注册记录中查询挂马网站的域名，将之前和之后注册的两个域名当作可疑域名。

6.一种基于权利要求1所述系统的使用引导型搜索的网页木马检测方法，其特征在于，包括以下步骤：

101、挂马网页分类步骤：使用网络爬虫程序从互联网中下载网页，通过一个弱过滤器程序过滤掉明显无害的网页，并将结果输入网页检测程序，网页检测程序将挂马网页分类出来，存入数据库，形成挂马网页黑名单，并将一部分挂马网页送至核心组件部分分析；

102、核心组件分析步骤：包括数个特征分析组件和搜索引擎工具，特征分析组件分析出输入的挂马网页的特征，并通过使用这些特征引导搜索引擎搜索并下载相似的网页，引导搜索下载的网页直接提交至网页检测程序分析。

7.根据权利要求6所述的使用引导型搜索的网页木马检测方法，其特征在于，所述弱过滤器程序的输出网页作为网页检测程序的输入，所述网页检测程序包括一个蜜罐客户端，蜜罐客户端可以模拟浏览器执行网页上的JavaScript代码，可以跟踪记录代码执行的结果，并使用异常探测技术来判断网页是否含有诱导下载攻击；网页检测程序还包括一个自定义检测工具，该工具是使用机器学习的方法训练一个分类器，分类器以网页中的标签信息，JavaScript语句和词频信息为特征进行训练，该自定义检测工具用于检测网页中的恶意软件自动下载功能，以避免用户在不知情的情况下下载恶意软件。

8.根据权利要求6所述的使用引导型搜索的网页木马检测方法，其特征在于，所述特征分析组件包括用网页链接分析组件和域名注册分析组件，使用网页链接分析组件找到挂马网页“中心”，挂马网页“中心”是指某个包含了许多指向挂马网页的链接的网页，这种网页通常是存在漏洞并多次被攻击，或者存在于长时间未维护的网站上，该组件能够自动下载挂马网页“中心”上的URL，并提交至网页检测程序进行分析；域名注册分析组件通过分析域名注册信息，找到可疑的挂马网页，并提交至网页检测程序。