专利名称:一种基于行为特征的网页木马检测方法
技术领域:
本发明专利属于计算机安全领域,主要利用浏览器浏览含有木马程序的网页,通过对系统进程调度、内存变化等行为,来实现快速、准确地检测网页中是否含有木马,从而解决网络中有害网页快速检测,为上网用户提供安全的网络环境。
背景技术:
计算机病毒、木马、间谍软件和恶意代码是近几年来计算机网络最主要的安全威胁。在计算机病毒、木马、间谍软件和恶意代码的传播途径中除垃圾邮件外,还有一条重要的途径就是利用构造特殊的网页将病毒、木马传播到访问该网页的用户计算机中。这种网页主要利用操作系统、浏览器、插件等的各种漏洞将可执行代码传播到用户计算机上进行执行,或利用系统中的解析器、控件的执行权限将网页中的恶意代码运行。由于这些特殊网页的配置和编码较为复杂,并且为了能够躲避杀毒软件查杀,大多由人工配置并且采用第三方软件进行加密变形处理,因而成为黑客用来传播木马程序最为有效的方法。
网页木马即利用网页代码来传播的木马,本质在于网页,而非木马本身。这些特殊网页通常是将木马程序的执行代码编码成为网页的组成部分,并配合特殊网页代码来激活木马程序执行,因此在黑客群体和杀毒软件公司、网络安全防御单位将其称为网页木马。
2004年6月末,杀毒软件公司从病毒的发作数量、危害程度综合考虑,总结并发布了2004年十大病毒及病毒发展趋势报告。报告结果显示间谍软件、QQ木马和网络游戏木马等网页木马成为热点。虽然木马类病毒在传播数量上还不及网络蠕虫,但其越来越明显的盗窃特性,会给受害用户造成更大更直接的损失。
2005年8月3日中国专业反病毒厂商之一日月光华软件公司官方网站(中国杀毒网http://www.viruschina.com/)遭到黑客袭击,网站被篡改,并携带病毒,经过反病毒厂商测试该网站共有三个病毒Exploit.HTML.mht.bb、Backdoor.PcShare.5.r和trojan.PSW.LMIR.U,网民浏览后电脑可能被植入木马,而被黑客控制。这些病毒和木马程序的传播靠的就是网页木马。
在对网页木马的检测中杀毒软件公司积累了大量的经验和特征码,然而系统漏洞、浏览器漏洞和第三方插件的漏洞层出不穷,而且入侵者也在不断地对网页木马进行更新升级,并且采用加密和插入干扰字符的方法来躲避检测。用户要躲避网页木马的攻击,必须不断的安装补丁程序或者升级系统。但是每年每月甚至每一天都会有新的漏洞出现,就在2005年7月,国际报道美国微软称黑客正在疯狂地试图利用Windows中的两处严重安全缺陷。其中的一个缺陷影响″色彩管理模块″--处理颜色的一个Windows组件;另一个缺陷与微软″Java虚拟机″的JView Profiler部分有关。微软称,该缺陷可以被用于控制用户的个人电脑。在对漏洞信息的获取上用户和黑客是不对等的,黑客会最先知道和利用漏洞,而用户不可能得到及时升级,这些用户的计算机将长期受到黑客的控制。因此切断网络木马的传播途径是防范木马最有效的方法,网页木马检测最主要的是要能检测出隐藏在网页代码中的漏洞利用代码。随着新的漏洞的出现就会有新的网页木马产生,所以检测、查杀网页木马将是个长期、艰巨的任务。
发明内容
为了查找出隐藏在网页中的木马程序,净化网络环境,保护网络用户,本发明提出一种基于行为特征的网页木马的检测方法,从而可快速判断网页木马的存在,对其进行预先阻拦。
本发明的基本原理是当网页中隐藏的木马被运行时,系统必定产生一个新的进程而且此进程的父进程为浏览器进程,因此通过对系统进程的监控来快速、准确的检测网页中是否含有木马程序。
本发明提出的一种基于行为特征的网页木马方法,利用浏览器浏览含有木马程序的网页,通过对系统进程调度、内存变化等行为,来实现快速、准确地检测网页中是否含有木马,从而解决网络中有害网页快速检测,为上网用户提供安全的网络环境。其处理方法具体是a.使用浏览器浏览待检测的网页。
b.运行进程监控程序监视进程变化,看是否有新进程产生。
c.如果有新进程产生并且此进程的父进程为浏览器进程的话,就可以判断此进程为木马进程,浏览器所浏览的网页中含有木马程序。
d.在进程监控程序所列出的进程列表中找出新产生的木马进程所对应的文件名,并在硬盘中找到该文件,执行拷贝操作,将该文件作为木马样本进行保存。
e.在浏览器的缓存空间所保存的网页代码中找到该文件所在的网页链接。
f.将所保存的木马样本以及在网页代码中找到的木马程序所在的网页链接作为网页木马检测结果。
监视进程变化看是否有新进程产生,是通过传递消息函数或枚举来对进程列表进行监视的。
如何判断一个新进程是否为木马进程,通过判断一个新进程的父进程是否为浏览器进程来实现的。如果有新进程产生并且此进程的父进程为浏览器进程的话,就可以判断此进程为木马进程,浏览器所浏览的网页中含有木马程序。
网页木马检测结果包括木马文件以及该木马所在的网页链接,首先在进程列表中找出新产生的木马进程所对应的文件名,并在硬盘中找到该文件,执行拷贝操作,将该文件作为木马样本进行保存;然后在浏览器的缓存空间所保存的网页代码中找到该文件所在的网页链接。
本发明提出的基于行为特征的网页木马的检测方法,具有以下优点(1)本发明提出的基于行为特征的网页木马检测方法,可以准确、及时地检测出杀毒软件不能检测出的隐藏在网页中的木马病毒。
(2)本发明提出的基于行为特征的网页木马检测方法,具有简单、易行的特点,非常适合用于网络安全机构对网络服务器上的网页木马进行检测。
图1是基于行为特征的网页木马检测方法的总体流程图。
具体实施例方式
本发明所提出的基于行为特征的网页木马检测方法,其总体流程如图1所示。首先需要使用浏览器程序浏览待检测的网页,即使用浏览器程序运行待检测的网页代码。木马程序也是病毒的一种,因此木马必定也是可以运行的程序,并且隐藏在网页代码中的木马程序只有在使用浏览器运行该网页后,木马程序才能够被激活并运行。只有在隐藏在网页代码中的木马程序被运行的情况下,才能够通过进程监控程序观察到进程的改变。
使用浏览器程序将待检测的网页打开以后,立即运行进程监控程序来监视进程的变化,观察进程列表中是否有新的进程产生。可以通过传递消息函数或者通过枚举来通知有没有新进程产生。如果浏览器程序所运行的网页是安全的网页,其网页代码中并不包含恶意的木马程序的话,就不可能会有新进程产生,进程监控程序也不会观察到进程列表发生变化;如果进程监控程序观察到进程列表中有新的进程产生,而且所产生的新进程的父进程如果为浏览器进程的话,则可以判断此进程必定为木马进程,而浏览器所运行的网页代码中必定含有木马程序。
接下来在进程监控程序所列出的进程列表中找出新产生的木马进程所对应的文件名,因为此木马程序在浏览器运行了含有该木马程序的网页代码后,已经被拷贝到本地机器的硬盘中,因此可以在硬盘中找到该木马程序,并将此文件进行复制,作为木马样本保存。
随后在浏览器的缓存空间所保存的网页代码中搜索该木马进程文件名。在网页代码中搜索到新产生的木马进程名称之后,同时在网页代码中可以找到该文件所在的网页链接,该网页链接也就是浏览器所运行的木马程序所在的链接。
最后将所保存的木马样本以及在网页代码中找到的木马程序所在的网页链接作为网页木马检测结果,并将检测结果中的木马程序提交至检测中心的木马特征库,然后将木马程序所在的网页链接作为有害链接提交至检测中心。
权利要求
1.一种基于行为特征的网页木马检测方法,其特征在于利用浏览器浏览含有木马程序的网页,通过对系统进程调度、内存变化等行为,来实现快速、准确地检测网页中是否含有木马,从而解决网络中有害网页快速检测,为上网用户提供安全的网络环境,其处理方法是a.使用浏览器浏览待检测的网页;b.运行进程监控程序监视进程变化,看是否有新进程产生;c.如果有新进程产生并且此进程的父进程为浏览器进程的话,就可以判断此进程为木马进程,浏览器所浏览的网页中含有木马程序;d.在进程监控程序所列出的进程列表中找出新产生的木马进程所对应的文件名,并在硬盘中找到该文件,执行拷贝操作,将该文件作为木马样本进行保存;e.在浏览器的缓存空间所保存的网页代码中找到该文件所在的网页链接;f.将所保存的木马样本以及在网页代码中找到的木马程序所在的网页链接作为网页木马检测结果。
2.根据权利要求1所属的一种基于行为特征的网页木马检测方法,其特征在于其中的监视进程变化看是否有新进程产生,是通过传递消息函数或枚举来对进程列表进行监视的。
3.根据权利要求1所属的一种基于行为特征的网页木马检测方法,其特征在于其中如何判断一个新进程是否为木马进程,通过判断一个新进程的父进程是否为浏览器进程来实现的,如果有新进程产生并且此进程的父进程为浏览器进程的话,就可以判断此进程为木马进程,浏览器所浏览的网页中含有木马程序。
4.根据权利要求1所属的一种基于行为特征的网页木马检测方法,其特征在于包括木马文件以及该木马所在的网页链接,首先在进程列表中找出新产生的木马进程所对应的文件名,并在硬盘中找到该文件,执行拷贝操作,将该文件作为木马样本进行保存;然后在浏览器的缓存空间所保存的网页代码中找到该文件所在的网页链接。
全文摘要
本发明属于计算机安全领域,主要利用浏览器浏览含有木马程序的网页,通过对系统进程调度、内存变化等行为,来实现快速、准确地检测网页中是否含有木马。本发明的基本原理是当网页中隐藏的木马被运行时,系统必定产生一个新的进程而且此进程的父进程为浏览器进程,因此通过对系统进程的监控来快速、准确的检测网页中是否含有木马程序,从而解决网络中有害网页快速检测,为上网用户提供安全的网络环境。
文档编号G06F17/30GK1925494SQ200610152530
公开日2007年3月7日 申请日期2006年9月28日 优先权日2006年9月28日
发明者陶然, 李志勇, 王越, 张昊, 杜华 申请人:北京理工大学