分析網頁方法和裝置的製作方法
2023-08-08 07:26:01
專利名稱:分析網頁方法和裝置的製作方法
技術領域:
本發明實施例涉及網絡技術,特別涉及一種分析網頁方法和裝置。
背景技術:
隨著網際網路時代網絡應用不斷擴展,在為網際網路用戶提供越來越便利的 服務的同時也帶了了很多安全性的隱患。目前,以經濟利益為驅動的惡意事 件越來越多,網頁掛馬的形勢也越來越嚴峻。網民中無論家庭用戶、企業用 戶還是政府用戶,都無法區分出有惡意連結或已經被掛馬的網站,被種木馬
病毒,從而導致郵箱、銀行、證券、IM工具等帳號被盜,導致直接或間接的 經濟損失。
目前絕大多數掛馬的惡意網頁都釆用了腳本加密變形的技術,加密後的 網頁無法直接用特徵比對的方式來進行分析判斷,因此就不能使用傳統殺毒 軟體分析用戶瀏覽的網頁是否是惡意的。現在針對惡意網頁的分析一般使用 沙箱檢測的方法進行行為判斷,既先下載網頁並將該網頁放在瀏覽器中運行, 然後監測瀏覽器的行為,比如是否有寫入註冊表的動作,是否有下載運行的 動作等來判斷網頁的合法性。
在實現本發明過程中,發明人發現現有技術中至少存在如下問題採 用沙箱檢測的方法進行分析網頁是否是惡意網頁時,需要先下載網頁並通 過瀏覽器運行該網頁,根據瀏覽器的行為判斷網頁是否合法,因此,不能 即時分析是否是惡意網頁。
發明內容
4本發明實施例提供了 一種分析網頁方法和裝置,以實現對網頁是否為惡 意網頁進行即時分析。
本發明實施例提供了一種分析網頁方法,其中包括 將欲分析的網頁中的運行函數替換為輸出函數; 通過調用所述輸出函數,輸出所述網頁的內容; 分析輸出的所述網頁的內容,確定所述網頁是否為惡意網頁。 本發明實施例提供了一種分析網頁裝置,其中包括 處理模塊,用於將欲分析的網頁中的運行函數替換為輸出函數; 輸出模塊,用於通過調用所述輸出函數,輸出所述網頁的內容; 分析模塊,用於分析輸出的所述網頁的內容,確定所述網頁是否為惡意 網頁。
由以上技術方案可知,本發明實施例提供的一種分析網頁方法和裝置, 通過將欲分析的網頁中的運行函數替換為輸出函數,通過輸出網頁內容並分 析,確定該網頁是否是惡意網頁,實現了對網頁是否為惡意網頁的即時分析。
圖1為本發明分析網頁方法實施例一流程圖; 圖2為本發明分析網頁方法實施例二流程圖; 圖3為本發明分析網頁方法實施例三流程圖; 圖4為本發明分析網頁裝置實施例一結構示意圖; 圖5為本發明分析網頁裝置實施例二結構示意圖。
具體實施例方式
下面通過具體實施例並結合附圖對本發明做進一步的詳細描述。 圖1為本發明分析網頁方法實施例一流程圖。如圖1所示,本發明實施 例提供了一種分析網頁方法,該方法包括步驟IOO、將欲分析的網頁中的逸行函數替換為輸出函數; 步驟IOI、通過調用輸出函數,輸出網頁的內容; 步驟102、分析輸出的網頁的內容,確定網頁是否為惡意網頁。 由以上技術方案可知,本發明實施例提供的分析網頁方法,通過將欲分 析的網頁中的運行函數替換為輸出函數,並由輸出函數將該網頁的內容輸出 並最終分析該網頁是否是惡意網頁。本發明實施例提供的分析網頁方法無需 通過瀏覽器運行該網頁來進行行為判斷,實現了即時分析網頁是否是惡意網 頁。
圖2為本發明分析網頁方法實施例二流程圖。本實施例的網頁採用腳本 加密,如圖2所示,本發明實,例提供了一種分析網頁方法,該方法包括
步驟200、採用字符串替換的方式將欲分析的網頁中的運行函數替換為 輸出函數。
現有技術中將加密後的網頁通過解析器解密,解密後的網頁就通過瀏覽 器直接運行。而本發明實施例僅想得到腳本加密的網頁解密後的內容,只是 希望將網頁解密後的內容輸出而不是將網頁中的內容在瀏覽器中運行。經過 分析發現,網頁如果能在瀏覽器中運行,那麼至少需要一個關鍵的腳本運行 函數,該運行函數用於將網頁傳遞到瀏覽器中解密運行。因此通過步驟200 將欲分析的網頁中的運行函數替換為自定義的擁有輸出功能的輸出函數,例 如,可以通過函數劫持的方法將運行函數替換為輸出函數,即用字符串替換 的方式將欲分析的網頁中的運行函數替換為輸出函數。也就是說,通過將運 行函數替換為輸出函數,網頁解密後就由輸出函數將解密後的網頁的內容輸 出,而不是將解密後的網頁的內容發送到瀏覽器中運行。
步驟201、加載解析器。
對於採用腳本語言加密的網頁和通常接觸的數據加密技術不同,腳本語 言是一種解釋語言,解密的代碼和加密密鑰都是以明文形式存在於網頁裡面, 也就是說解密函數是已經存在於腳本加密的網頁中,該解密函數可以輕易的獲得。在具體實現過程中,在用戶在瀏覽器中輸入網址時,瀏覽器將獲得用 戶指定的網頁信息,通過分析確定用戶指定要瀏覽的網頁是否是通it^本力口 密的網頁,如果網頁是通過腳本加密的,則加載解析器。其中,步驟201也 可以在步驟200之前執行,本發明實施例對步驟200和步驟201的執行順序 不^故限制。
步驟202、採用解析器對欲分析的網頁進行解密。
具體為,將通過字符串方式替換處理過的網頁放入解析器中運行解密, 解析器可以調用腳本加密的網頁中自帶的解密函數對該網頁自身進行解密。 在運行解密的過程中,當解析器調用運行函數時,轉為調用輸出函數。也就 是說,經過字符串替換處理過的網頁,在解析器運行過程中,不再調用運行 函數,而是調用輸出函數,將解析器解密後的網頁的內容輸出。在解析器解 密腳本加密的網頁時,由於不再調用運行函數,解密後的網頁就不會被送到 瀏覽器中運行。
步驟203、通過特徵比對的方法分析輸出的網頁的內容,確定網頁是否 為惡意網頁。
具體為,輸出的網頁的內容通過解析器解密後,可以通過特徵比對的方 法,將解密後輸出的網頁內容進行特徵比對分析,如果解密後輸出的網頁內 容中含有惡意代碼,就確認該網頁就是惡意網頁,則阻止用戶瀏覽該網頁。 也就是說,可以通過特徵比對的方法分析由輸出函數輸出的解密的網頁內容 是否有惡意代碼從而判斷網頁是否是惡意網頁,如果網頁是惡意網頁,則阻 止用戶瀏覽該網頁;如果網頁不是惡意網頁,則允許用戶瀏覽該網頁。阻止 用戶瀏覽的方法可以是通過網關或軟體將傳輸的數據流截斷;或者通過以彈 出警告信息的形式,提醒用戶網頁是惡意網頁。
下面以JavaScript腳本語言加密的網頁為例,對本發明實施例作進一步 的解釋。其中eval、 document, wr i te 為腳本加密的網頁的運4亍函數,用 於將用戶指定要瀏覽的網頁發送到瀏覽器中運行,函數myout是自定義的輸出函數,用於輸出解密後的網頁內容。首先,獲取用戶要瀏覽的網頁,如
果該網頁是通過腳本加密,則加載解析器用於解密該網頁;其次,如果在網 頁中查找到上述兩個運行函數eval 、 document, write ,則使用字符串替 換方式替換為myout輸出函數;然後再將通過字符串替換方式處理過的網 頁放在JavaScript腳本解析器(採用開源的spidermonkey解析器)中運行解 密。在解析器的解密過程中,當運行到調用運行函數時,轉為調用myout 輸出函數,既將解密後的網頁內容以參數形式傳遞給myout輸出函數,而 不是傳遞給eval、 document, write 運行函數。解析器通過調用網頁自帶 的解密函數解密運行完畢後,通過myout輸出函數輸出的內容就是解密後 的網頁內容;最後,通過特徵比對的方法分析通過myout輸出函數輸出的 解密後的網頁內容是否是惡意網頁,如果是惡意網頁,則阻止用戶瀏覽該網 頁;如果網頁不是惡意網頁,則允許用戶瀏覽該網頁。
本發明實施例一提供的方法可以應用在終端軟體上,在瀏覽器中安裝 能夠實現上述網頁分析方法的插件。當用戶通過瀏覽器上網瀏覽網頁時, 通過本實施例所提供的方法判斷所瀏覽的網頁中是否有惡意代碼,如果有 惡意代碼,則攔截屏蔽該網頁,阻止用戶瀏覽。
本發明實施例提供的分析網頁方法,通過將欲分析的網頁中的運行函 數替換為輸出函數,並利用解析器解密處理後的網頁,在分析網頁的過程中 無需瀏覽器運行網頁並根據瀏覽器的行為來判斷網頁是否是惡意網頁,解決 了利用沙箱檢測技術產生的需要將網頁下載並運行問題,實現了即時分析 網頁是否是惡意網頁的功能。同時,通過解析器調用網頁自帶的解密函數 解密腳本加密的網頁,解決了對腳本語言加密後的網頁進行解密的問題, 實現了利用解析器去解密腳本加密的網頁,使網頁解密過程更加簡單。
圖3為本發明分析網頁方法實施例三流程圖。本實施例的網頁以採用 腳本加密的網頁為例,如圖3所示,該方法可以應用於大規模的分析平臺 上,可以對分析平臺中保存的大量預分析的網頁進行分析,具體步驟包括步驟300、加載解析器。
步驟301、採用字符串替換的方式將欲分析的網頁中的運行函數替換為 輸出函數。
對分析平臺中的欲分析的網頁通過字符串替換的方式,將每個網頁中的 運行函數替換為輸出函數,以便通過輸出函數輸出網頁的內容。其中,本實 施例對步驟300和步驟301的先後順序不做限制。
步驟302、將欲分析的網頁放入解析器中運行,解析器調用欲分析的網 頁自帶的解密函數對欲分析的網頁解密。
每個網頁中的運行函數替換為輸出函數後,將這些網頁放入解析器中運 行解密,並通過調用輸出函數輸出解密後的網頁內容。
步驟303、通過特徵比對的方法分析解密後輸出的網頁的內容,確定網 頁是否為惡意網頁。
通過特徵比對的方法,分析由輸出函數輸出的解密後的網頁的內容。如 果網頁是惡意網頁,則阻止用戶瀏覽該網頁;如果網頁不是惡意網頁,則允 許用戶瀏覽。
步驟304、保存惡意網頁的連結。
由於大規模的分析平臺可以分析大量的網頁,利用解析器對這些網頁進 行解密後,通過特徵比對對解密後的網頁進行分析判斷。如果網頁是惡意網 頁,則將該網頁的網頁連結保存,最終形成一個包括大批量的惡意網頁連結 的庫文件。該庫文件可以作為判斷網頁是否是惡意網頁的依據。當用戶瀏覽 網頁時,如果用戶瀏覽的網頁連結為庫文件中保存的網頁連結,則阻止用戶 瀏覽該網頁。該庫文件可以提供給安全網關、防火牆和UTM等設備,用於即 時攔截或統計,最終阻止用戶瀏覽庫中保存的惡意網頁連結。
本發明實施例提供的分析網頁方法,在大規模分析平臺對大批量網頁 進行檢查時,實現了對網頁進行即時分析。同時,將全部的惡意網頁連結 保存,在檢測過程中,對於已經保存的惡意網頁連結無需再進行檢測,可以方便對用戶瀏覽的網頁進行檢查鑑別。
本領域普通技術人員可以理解實現上述方法實施例的全部或部分步 驟可以通過程序指令相關的硬體來完成,前述的程序可以存儲於一計算機 可讀取存儲介質中,該程序在執行時,執行包括上述方法實施例的步驟; 而前述的存儲介質包括ROM、 RAM、磁碟或者光碟等各種可以存儲程 序代碼的介質。
圖4為本發明分析網頁裝置實施例一結構示意圖。如圖4所示,本發明
實施例提供的一種分析網頁裝置,該裝置包括
處理模塊1 ,用於將欲分析的網頁中的運行函數替換為輸出函數。 其中,處理模塊1查找出網頁中的運行函數,並用字符串替換的方式,
將該網頁中的運行函數替換為輸出函數。
輸出模塊2,用於通過調用輸出函數,輸出網頁的內容。
其中,輸出模塊2接收到處理模塊1處理過的網頁後,對網頁進行分析。
當輸出模塊2運行到調用運行函數的位置時,轉為調用輸出函數,即將網頁
以參數的形式傳遞給輸出函數,並由輸出函數輸出網頁的內容。
分析模塊3,用於分析輸出的網頁的內容,確定網頁是否為惡意網頁。 其中,分析模塊3通過特徵比對的方法分析輸出模塊2輸出的網頁的內
容,如果網頁中含有惡意代碼,則認定該網頁為惡意網頁,阻止用戶瀏覽該網頁。
本發明實施例提供的分析網頁裝置,通過處理模塊將網頁中的運行函 數替換為輸出函數,在分析網頁的過程中,無需將網頁放入瀏覽器中運行, 根據瀏覽器的行為來判斷該網頁是否是惡意網頁,解決了利用沙箱檢測技 術需要先下載並運行網頁不能即時分析網頁的問題,實現了即時分析網頁 是否是惡意網頁的功能。
圖5為本發明分析網頁裝置實施例二結構示意圖。如圖5所述,本實施 例可以以上述分析網頁裝置實施例一為基礎,其區別在於,輸出模塊2可以包括加載模塊21,用於加載解析器;解密模塊22,用於採用解析器對欲分 析的網頁進行解密;輸出子模塊23,用於調用輸出函數輸出解密後的網頁的 內容。
該分析網頁裝置還可以包括存儲模塊4,用於保存惡意網頁的連結。 在分析網頁的過程中,處理模塊1將欲分析的網頁中的運行函數替換為 輸出函數;加載模塊21則加載解析器,用於對處理模塊1處理過的欲分析的 網頁進行解密;解密模塊22通過調用加載模塊21加載的解析器,由解析器 利用欲分析的網頁本身自帶的解密函數解密該網頁;輸出子模塊23則將解密 模塊22解密後的網頁內容通過調用輸出函數將其輸出給分析模塊3。分析模 塊3通過特徵比對的方法分析輸出子模塊2 3輸出的網頁的內容,確定該網頁 是否是惡意網頁,如果該網頁是惡意網頁,則阻止用戶瀏覽。存儲模塊4將 分析模塊3確認的所有惡意網頁的連結保存,最終形成一個包括大批量的惡 意網頁連結的庫文件。該庫文件可以作為判斷網頁是否是惡意網頁的依據。 當用戶瀏覽網頁時,如果用戶瀏覽的網頁連結為庫文件中保存的網頁連結, 則阻止用戶瀏覽該網頁。
本發明實施例提供的分析網頁裝置,通過設置加載模塊,可以通過解 析器解密腳本加密的網頁;通過將設置存儲模塊,實現在大規模分析平臺 中保存所有惡意網頁連結,在檢測過程中,對於已經保存的惡意網頁連結 無需再進行檢測,可以方便對用戶瀏覽的網頁進行檢查鑑別。
最後應說明的是以上實施例僅用以說明本發明的技術方案,而非對其 限制;儘管參照前述實施例對本發明進行了詳細的說明,本領域的普通技術 人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改,或 者對其中部分技術特徵進行等同替換;而這些修改或者替換,並不使相應技
術方案的本質脫離本發明各實施例技術方案的精神和範圍。
權利要求
1、一種分析網頁方法,其特徵在於,包括將欲分析的網頁中的運行函數替換為輸出函數;通過調用所述輸出函數,輸出所述網頁的內容;分析輸出的所述網頁的內容,確定所述網頁是否為惡意網頁。
2、 根據權利要求1所述的方法,其特徵在於 所述欲分析的網頁為採用腳本加密的網頁; 所述通過調用所述輸出函數,輸出所述網頁的內容包括 加載解析器,採用所述解析器對所述欲分析的網頁進行解密,調用所述輸出函數輸出解密後的所述網頁的內容。
3、 根據權利要求1所述的方法,其特徵在於,所述將欲分析的網頁中 的運行函數替換為輸出函數包括函數。
4、 根據權利要求2所述的方法,其特徵在於,所述採用所述解析器對 所述欲分析的網頁進行解密包括將所述欲分析的網頁放入所述解析器中運行,所述解析器調用所述欲分析的網頁自帶的解密函數對所述欲分析的網頁解密。
5、 根據權利要求1所述的方法,其特徵在於,所述分析輸出的所述網 頁的內容,確定所述網頁是否為惡意網頁,包括通過特徵比對的方法分析輸出的所述網頁的內容,確定所述網頁是否為 惡意網頁。
6、 根據權利要求1所述的方法,其特徵在於,如果所述網頁確定是惡 意網頁,所述方法還包括保存所述惡意網頁的連結。
7、 一種分析網頁裝置,其特徵在於,包括處理模塊,用於將欲分析的網頁中的運行函數替換為輸出函數; 輸出模塊,用於通過調用所述輸出函數,輸出所述網頁的內容; 分析模塊,用於分析輸出的所述網頁的內容,確定所述網頁是否為惡意 網頁。
8、 根據權利要求7所述的裝置,其特徵在於,所述輸出模塊包括 加栽模塊,用於加載解析器;解密模塊,用於採用所述解析器對所述欲分析的網頁進行解密; 輸出子模塊,用於調用所述輸出函數輸出解密後的所述網頁的內容。
9、 根據權利要求7所述的裝置,其特徵在於,還包括 存儲模塊,用於保存所述惡意網頁的連結。
全文摘要
本發明實施例提供了一種分析網頁方法和裝置。該方法包括將欲分析的網頁中的運行函數替換為輸出函數;通過調用所述輸出函數,輸出所述網頁的內容;分析輸出的所述網頁的內容,確定所述網頁是否為惡意網頁。通過將網頁中的運行函數替換為輸出函數進行解密,實現了即時分析網頁是否是惡意網頁。
文檔編號G06F17/30GK101620620SQ20091009077
公開日2010年1月6日 申請日期2009年8月6日 優先權日2009年8月6日
發明者王新穎 申請人:成都市華為賽門鐵克科技有限公司