专利名称::用于防止网页攻击的方法与装置的制作方法
技术领域:
:本发明公开关于计算机安全防护科技,尤其涉及一种用于防止网页攻击的方法与装置。
背景技术:
:所谓的「恶意软件(malware)」被设计用于在不需要使用者同意的情况下渗透或伤害一用户端计算机的一软件或程序。恶意软件包含有计算机病毒(vims)、电子蠕虫(worm)、特洛伊木马病毒(trojanhorses)、间谍软件(spyware)、诈欺的广告软件(dishonestadware)以及其他具有恶意的或不想要的软件,一般而言,恶意软件会利用霸占该用户端计算机的资源来中断该用户端计算机的运作,并且经常使得该用户端计算机无法使用。无论如何,即使在该用户端计算机安装防毒软件或各种操作系统安全修正程序之后,该用户端计算机仍然会容易受到另一种形式的攻击,一般像是网页攻击或程序代码植入等。更具体地来说,某些具有恶意的代码被嵌入在该用户端计算机经由一网络所存取的一网页中,该网页并不限定于一不友善的网站上的一页面,例如一网络怪客(cracker)与序号网站、一色情网站、以及特别设计用来恶意攻击的一网站,也可以是一经常拜访的网站上的一页面,例如广为流传的零售商的一网站、一互耳关网入口(Internetportal)、一互联网博克(Internetblog)以及广为流传的下载网站等。图1所绘示的是为举例说明一用户端计算机的安全被该用户端计算机的一未察觉使用者经由浏览网络危害的一情况。一般而言,一网站上的网页被存储于一网络服务器中,例如图1所示的网络服务器106,当一用户端计算机102的一使用者浏览互联网并且存取此网站时,用户端计算机102就会传送对于来自网络服务器106中的一网页104的一请求指令。所请求的该网页可能会被修改成为包含有具有恶意的代码的一修改过的网页108,所以在此情况中,为了回应所请求的网页104,网络服务器106就会将修改过的网页108传送回给用户端计算机102,而一旦用户端计算机102接收到修改过的网页108,修改过的网页108中具有恶意的代码就可以对用户端计算机102造成损害。用户端计算机102的使用者大部分通常都不会知道这种安全危害,因为那些具有恶意的代码所产生的效果可能不会马上被察觉到。图2所绘示的是为举例说明一用户端计算机的安全被该用户端计算机的一未察觉的使用者经由浏览网络危害的另一情况。类似于图1所示的情况,当一用户端计算机202传送对于来自网络服务器206中的一网页204的一请求指令时,一网络服务器206就会将修改过的网页208传送回给用户端计算机202,然而,修改过的网页208包含有一嵌入式连结,而非具有恶意的代码,该嵌入式连结会在使用者不知情的状态下将来自一僵尸网站212的一网页或一不友善的程序载入到用户端计算机202上,接着,来自该僵尸网站或甚至其他的僵尸网站的一具有恶意的程序或脚本程序(script)214会对用户端计算机202造成感染或伤害。关于上述两种不同的安全危害所造成的结果,在一些例子中,用户端计算机202可能会遭受到无法回复的系统故障以及系统当机。传统的桌上型防毒软件无法有效的预防上述的网络侵入发生,因为传统的桌上型防毒软件一般都是处理已经存在于一用户端计算机中的数据,更具体地来说,传统的桌上型防毒软件是将存储在该用户端计算机中的存储器(例如其随机存取存储器(RandomAccessMemory,RAM)以及开机区段)中的尝试错误的内容(heuristics)以及存储在固定或可移除的磁盘(例如硬盘以及软盘)中的文件与一已知病毒特征的数据库进行比较。然而,利用这种方式,用户端计算机仍然没有办法事先知道其所请求的网页是否已经被修改过了,因此也没有办法避免接受这种被修改过的网页,取而代之则是,传统的桌上型防毒软件在开始一扫描之前,必须等到在该网页攻击发生之后,而该传统的桌上型防毒软件可能可以或没有办法确认以及对付该网页攻击造成的安全危害。如上所述,传统的方法没有办法避免网页攻击或代码植入,因此目前非常需要一种有效的方法与系统来在一用户端计算机接收到其所请求的网页之前检测以及对付这种非法侵入。
发明内容本发明公开一种用于防止网页攻击的方法与装置。其中,本发明的一实施例公开了一种方法,该方法包含有在一用户端计算机接收一网页前,即时检验由该用户端计算机所请求的该网页的一对象属性;依据检验该对象属性的结果来存取与对该用户端计算机造成伤害的该网页的一集体风险程度;以及依据该集体风险程度来对该网页进行一动作。本发明的方法与装置的一优势在于可以防止包含具有恶意的代码的一网页接触一用户端计算机,以使得该用户端计算机在接收该网页之后不用困扰于辨别以及移除这些具有恶意的代码。图1所绘示的是为举例说明一用户端计算机的安全被该用户端计算机的一未察觉使用者经由浏览网络危害的一情况。图2所绘示的是为举例说明一用户端计算机的安全被该用户端计算机的一未察觉使用者经由浏览网络危害的另一情况。图3所绘示的是为依据本发明的一实施例举例说明一系统设定。图4所绘示的是为依据本发明的一实施例举例说明一网页分析器。图5依据本发明的一实施例绘示一流程图来举例说明网页分析器的一处理过程。图6是举例说明该网页W的原始代码中的一些对象的一快照示意图。图7是举例说明该已知的特征数据库的一范例。图8所绘示的是为依据本发明的一实施例举例说明具有一网页分析器的一网络装置。图9所绘示的是为依据本发明的另一实施例举例说明具有一网页分析器的另一网络装置。主要元件符号说明102用户端计算机104网页106网络服务器108修改过的网页202用户端计算机204网页206:网络服务器208:修改过的网页212:僵尸网站214:脚本程序300:系统302:网络服务器304:所请求的网页306:网关器308:网页分析器310:处理过的网页312:用户端计算机402:网页分析器404:以特征为根据的引擎406:启发式引擎408:已知的特征数据库802:超文本标记语言提取器804:网页分析器806:路由方块808:桥接方块810:网络地址转换器812:网络驱动器814:网全各卯2:超文本传输协议代理服务器904:网页分析器906:传输控制协议/网络协议层908:网络驱动器910:网络具体实施例方式在本说明书中有许多与互联网以及网络领域科技相关的各种名词,例如超文本标记语言(HyperTextMarkupLanguage,HTML)、超文本传输协议(HyperTextTransferProtocol,HTTP)、统一资源定位器(UniformResourceLocator,URL)、传输控制协议/网络协议(TransmissionControlProtocol/InternetProtocol,TCP/IP)以及网络地址转换(networkaddresstranslation,NAT)等。本发明的一实施例以用于一网络装置的一程序产品来实现,该程序产品的程序定义一些实施例(包含有这里所描述的一些方法)的功能,并且可以被包含在各种的计算机可读介质(machine-readablestoragemedia)上。关于这里所4吏用的r计算;f几可读介质」包含有但不限定于(i)存储有只读信息的不可写入的存储介质(例如一CD-ROM光碟机可以读取的一CD-ROM光盘、一DVD光碟机可以读取的一DVD光盘、或在一网络装置中的只读存储器装置,例如只读存储器芯片或任何种类的固态非易失性半导体存储器);(ii)存储有可修改信息的可写入的存储介质(例如快闪存储器或任何种类的固态随^L存取半导体存储器)。当这样的计算机可读介质具有用于指示本发明的功能的计算机可读的指令时,是属于本发明的实施例。其他的媒体包含有经由一网络装置传送信息的通信媒体,例如经由一计算机、电话网络或无线通信网络传送信息的通信媒体。后者的实施例具体地包含有传输信息到互联网以及其他网络或从互联网以及其他网络传输信息。当这样的通信媒体具有用于指示本发明的功能的计算机可读的指令时,是属于本发明的实施例。图3所绘示的是为依据本发明的一实施例举例说明一系统设定,其中一修改过的网页在到达一用户端计算机前被拦截,如图3所示,一系统300包含有一网络服务器302、一网关器306以及一用户端计算机312。在此当网络服务器302将一所请求的网页304传送给用户端计算机312时,该网页可能已经被修改成包含有具有恶意的代码,然而,在此所请求的网页304到达用户端计算机312之前,网关器306作为一防护罩来拦截该网页。更具体地来说,在一实施例的装置中,网关器306包含有一网页分析器308,用于对所请求的网页304进行一即时安全扫描,在一实施例的设定中,该即时安全扫描检验所请求的网页304的原始代码,如果在所请求的网页304中发现有一些具有恶意的代码,网页分析器308就会移除或者隔离这些具有恶意的代码并且传送一处理过的网页310到用户端计算机312。在另一实施例的设定中,网页分析器308也可以作为一主机过滤器来避免用户端计算机312存取之前被列为黑名单的网页,例如一僵尸网站。在又另一实施例的设定中,网页分析器308检查即将要被下载到用户端计算机312作为恶意软件的内容,在后续的段落将会进一步详细说明网页分析器308。图4所绘示的是为依据本发明的一实施例举例说明一网页分析器402,网页分析器402包含有一以特征为根据的引擎(signaturebasedengine)404、一启发式引擎(heuristicengine)406以及一已知的特征数据库408。当网页分析器402接收一所请求的网页时,以特征为根据的引擎404检验该所请求的网页的原始代码,该原始代码可能包含有多个对象,其中每一个对象具有某些对象属性。在一实施例的设定中,以特征为根据的引擎404系分析来自该原始代码的这些对象,并且将这些对象的某些对象属性与存储在已知的特征数据库408中的已知攻击特征进行比较。因此,如果在已知的特征数据库408中有找到一符合条件,那么该所请求的网页就会被视为包含有具有恶意的代码;另一方面,如果没有找到任何符合条件,那么该所请求的网页就会进一步由启发式引擎406来处理,在后续的段落将会提供关于在一网页中的对象以及对象属性的一些范例。启发式引擎406—方面是用于检测以及评估在该所请求的网页中的异常状态,其中,在此所谓的一异常状态泛指偏离正常的对象属性的属性的一对象属性,在一实施例的设定中,启发式引擎406系利用一评分系统,其中每一对象属性被指派一数值分数,而该数值分数代表该对象属性的风险程度,所以启发式引擎406会指派一较高的数值分数给具有一潜在性恶意的异常状态的一对象属性,一稍微低的数值分数给具有一潜在性无害的异常状态的一对象属性,以及一比较更低的数值分数给不具有任何异常状态的一对象属性。以下的一览表是举例说明启发式引擎406所可以检测并且指派分数的异常状态<table>tableseeoriginaldocumentpage12</column></row><table><table>tableseeoriginaldocumentpage13</column></row><table>在一实施例的设定中,启发式引擎406是用于合计每一网页的这些对象属性的分数来表示该网页的一集体风险程度,在此请注意启发式引擎406可以对每一个分数进行不同程度的加权计算并且将变动的加权数应用在合计分数的过程中,接着,启发式引擎406会对于每一个网页来将该合计的分数与一可调整的临界值进行比较。如果该合计的分数超过该可调整的临界值,则该网页会被认为是具有恶意的,并且会结束对该网页的原始代码的扫描。此外,在超过该可调整的临界值之后,目前所处理的该网页的地址会在已知的特征数据库408中被列入黑名单中。另外可行的方法是将造成该合计的分数的该异常状态或这些异常状态的组合列入黑名单中,在此请注意该评分系统以及该可调整的临界值可以适应于变动的环境,举例来说,假设某一类型的一异常状态被认定为具有高风险性,则其一开始就会被指派一高的分数,然而,经过实地测试时,^_设之后发现该异常状态是无害的或对于其他异常状态而言具有较低风险性时,那么原本被指派的分数可以被调整来反应这个改变后的环境。同样地,如果启发式引擎406错误地将过多的网页标示为具有恶意的话,则该临界值也可以是可调整的。如上所述,已知的特征数据库408会存储已知的攻击的特征,在一实施例的设定中,与每一种特征相关的特性会在已知的特征数据库408中被分门别类,在后续的段落将会提供一些范例。已知的特征数据库408可以经由网页分析器402的开发者或一些其他第三方来产生以及维护,并且已知的特征数据库408的一种设置方式是放在网页分析器402中(未显示于图4),另外可行的设置方式是将已知的特征数据库408设置在一网络服务器中,并且由网页分析器402来维护一连结。图5依据本发明的一实施例绘示一流程图来举例说明网页分析器402的一处理过程。假设一用户端计算机C请求一网页W,并且网页分析器402接收了一网页W,连同图4来看,在步骤502中,以特征为根据的引擎404分析来自该网页W的原始代码的对象,并且追踪哪一个对象已经被检验过了。如果在步骤504中指示与该网页W相关的每一个对象都已经被检验过了,那么该扫描流程会在步骤530结束,另一方面,如果还有一些剩下的对象需要被检查,那么在步骤510中,以特征为根据的引擎404就会取得这些剩下的对象其中之一的一些对象属性,并且将这些对象属性与已知的特征数据库408中被列入黑名单中的特征来进行比较。如果在步骤512中,以特征为根据的引擎404找到一相符合的条件,那么就会在步骤28中将该结果回报给网页分析器402。在一实施例中,关于接收到该报告的反应如下,网页分析器402会开始一清除程序来在该网页W到达该用户端计算机C之前将具有恶意的代码移除掉。如果在步骤512中指示没有任何符合条件被找到,那么以特征为根据的引擎404就会将该对象以及所取得的对象属性传送给启发式引擎406。启发式引擎406会在步骤516中检查该对象以及与其相关的一些对象属性,如上所述,启发式引擎406会指派一些数值分数给这些对象属性,并且也会对该网页W追踪一合计的分数,接着,启发式引擎406会在步骤518中将该合计的分数与一可调整的临界值进行比较。如果该分数太高,亦即超过该可调整的临界值时,启发式引擎406就会用目前所处理的网页的地址来更新已知的特征数据库408,另外可行的方式是由启发式引擎406来将造成该合计的分数的该异常状态或这些异常状态的组合存储在已知的特征数据库408中;反之,在步骤524中,已知的特征数据库408会通过对最近取得的对象属性来合计分数以更新已知的特征数据库408。请再次注意这些对象属性的分数在合计之前可以经过不同程度的加权。接着,在步骤504中,以特征为根据的引擎404会继续处理没有检查过的对象。为了继续上述所讨论的范例,图6举例说明该网页W的原始代码中的一些对象的一快照示意图。假设该网页W是由超文本标记语言(HyperTextMarkupLanguage,HTML)所编写,对象600、602以及604在图6中被突出显示、粗体化以及标示底线。对于对象604而言,<IFRAMESRC=http://www.foo.bar>,IFRAME以及SRC是该对象的对象属性,其中IFRAME是一超文本标记语言对象,它可以使另一个超文本标记语言文件嵌入到该主文件中,而要被嵌入的该超文本标记语言文件的统一资源定位器(UniformResourceLocator,URL),http:〃www.foo.bar,由SRC所指定。图7是举例说明该已知的特征数据库的一范例,图7所示的每一行文字代表具有不同对象属性的一已知攻击特征,这些被列入黑名单中的特征会进一步被个别分类到不同的类别中,在此范例中,这些特征中的一些特征会被利用「Type」信息来加以分类,并且所举例说明的特征中有许多包涵有两种或更多的对象特性,也就是IFRAME以及SRC。在此,这些被列入黑名单中的特征中有一组属于IFRAME形式的类别,以及有另一组属于SCRIPT形式的类别。这些被列入黑名单中的特征中的另一组包含有一些异常状态的组合,例如特征702、704、706以及708。本领域技术人员在阅读以包含有不同对象特性的各种组合,而不一定需要像图7所示的那些对象特性的组合。如上所述,并且连同图4以及图5来看,以特征为^f艮据的引擎404会从网页W的原始代码中4是取出对象600、602以及604,如图6所示,并且将这些提取出的对象与图7所示的已知的特征数据库408进行比较。在此,以特征为根据的引擎404系确认一相符特征700,因为对象604的对象特性相符于相符特征700的「Type」信息(亦即IFRAME)以及SRC信息(亦即http:〃www.foo.bar)。然而,假设该网页W并不包含有与任何在已知的特.征数据库408中被列入黑名单中的特征相符的任何对象,那么启发式引擎406就会检验这些对象以及它们的对象特性是否有异常状态,并且持续追踪该网页W的一合计分数。如上所述,如果该合计的分数超过一临界值,则该网页W会被认为是具有恶意的,目前所处理的该网页的地址或造成合计的分数的该异常状态或者一些异常状态的一组合会被更新到已知的特征数据库408中。图8所绘示的是为依据本发明的一实施例举例说明具有一网页分析器804的一网络装置800。网络装置800包含有一超文本标记语言提取器802、一网页分析器804、一路由方块806、一桥接方块808、一网络地址转换(networkaddresstranslation,NAT)方块810以及一网络驱动器812。超文本标记语言提取器802用于负责从应用方面的使用者以及网络服务所使用的网络协iU是取超文本标记语言文件,以及将所提取的超文本标记语言文件传送到网页分析器804,其中网页分析器804所支持的全部功能与图4所示的网页分析器402完全相同,并且这些功能已经在前面详细地描述过了。网络装置800设置为耦接于一网络814以及一或多个用户端计算机,因此,在这些用户端计算机以及网络814之间所有的网^^专输都会经过网络装置800。图9所绘示的是为依据本发明的另一实施例举例说明具有一网页分析器904的另一网络装置卯0。网络装置卯0包含有一超文本传输协议(HyperTextTransferProtocol,HTTP)代理服务器(proxy)902、一网页分析器904、一传输4空制十办i义/网纟各十办i义(TransmissionControlProtocol/InternetProtocol,TCP/IP)层元件906以及一网络驱动器908。超文本标记语言代理服务器卯2用于经由与在一网络910上的其他服务器互动来处理用户端计算机关于超文本传输协议的请求与回应,以及将超文本标记语言文件传送到网页分析器904,其中网页分析器904与图4所示的网页分析器402相同。此外,网页分析器904也可以用来将被列入黑名单的某些统一资源定位器(UniformResourceLocator,URL)过滤出来。类似于网络装置800,在这些用户端计算机以及网络910之间所有的网络传输同样也都会经过网络装置900,而另外一种可行的方式则是可以让网络装置900处理部分的网络传输,例如超文本传输协议的网络传输。在一实施例的设定中,网络装置800以及网络装置900两者中的全部方块都可以是软件元件,而这些软件元件由这些网络装置中的一或多个处理单元所执行,而另外一种可行的方式则是这些方块的一些功能,例如由网页分析器804以及网页分析器卯4所支持的功能,可以利用一或多个专用的半导体装置来实现。以上所述仅为本发明的优选实施例,凡依本发明权利要求书所做的均等变化与修饰,皆应属本发明的涵盖范围。权利要求1.一种用于防止网页攻击的方法,该方法包含有:在一用户端计算机接收一网页前,即时检验由该用户端计算机所请求的该网页的一对象属性;依据检验该对象属性的结果来存取与对该用户端计算机造成伤害的该网页的一集体风险程度;以及依据该集体风险程度来对该网页进行一动作。2.如权利要求l所述的方法,还包含有对该网页中的每一个对象属性指派一数值分数,其中该数值分数反映与对该用户端计算机造成伤害的该网页相关的一个别风险程度。3.如权利要求2所述的方法,其中该检验步骤还包含有辨识来自该网页的原始代码的一未检查过的对象;以及从该未检查过的对象取得该对象属性。4.如权利要求3所述的方法,其中该存取步骤还包含有将该未检查过的对象的该对象属性与一已知的特征数据库进行比较。5.如权利要求3所述的方法,其中该存取步骤还包含有确认是否有与该网页相关的一异常状态;以及判断与该异常状态相关的该集体风险程度是否达到一临界值。6.如权利要求5所述的方法,其中该判断步骤还包含有在每一次反复进行该存取步骤时追踪该数值分数;将该数值分数与该临界值进行比较;以及如果该数值分数超过该临界值时,利用与异常状态相关的该对象属性来更新该已知的特征数据库。7.如权利要求5所述的方法,其中该判断步骤还包含有在每一次反复进行该存取步骤时追踪该数值分数;将该数值分数与该临界值进行比较;以及如果该数值分数超过该临界值时,利用该网页的一位置来更新该已知的特征数据库。8.如权利要求l所述的方法,其中该动作包含有回报结果关于存取该集体风险程度是否达到一临界值。9.如权利要求l所述的方法,其中该动作包含有开始进行一程序来清除该网页。10.—种设定用于防止网页攻击的网络装置,该网络装置包含有一存储器系统;以及一处理单元,其中该处理单元系设定用于在一用户端计算机接收一网页前,即时检验由该用户端计算机所请求的该网页的一对象属性;依据检验该对象属性的结果来存取与对该用户端计算机造成伤害的该网页的一集体风险程度;以及依据该集体风险程度来对该网页进行一动作。11.如权利要求10所述的网络装置,其中该处理单元还设定用于对该网页中的每一个对象属性指派一数值分数,其中该数值分数反映与对该用户端计算机造成伤害的该网页相关的一个别风险程度。12.如权利要求11所述的网络装置,其中该处理单元还设定用于辨识来自该网页的原始代码的一未检查过的对象;以及从该未检查过的对象取得该对象属性。13.如权利要求12所述的网络装置,其中该处理单元还设定用于将该未检查过的对象的该对象属性与存储在该存储器系统的一已知的特征数据库进行比较。14.如权利要求12所述的网络装置,其中该处理单元还设定用于将该未检查过的对象的该对象属性与由该网络装置外部的一装置所维持的一已知的特征数据库进行比较。15.如权利要求12所述的网络装置,其中该处理单元还设定用于确认是否有与该网页相关的一异常状态;以及判断与该异常状态相关的该集体风险程度是否达到一临界值。16.如权利要求15所述的网络装置,其中该处理单元还设定用于在每一次反复进行该存取步骤时追踪该数值分数;将该数值分数与该临界值进行比较;以及如果该数值分数超过该临界值时,利用与异常状态相关的该对象属性来更新该已知的特征^:据库。17.如权利要求15所述的网络装置,其中该处理单元还设定用于在每一次反复进行该存取步骤时追踪该数值分数;将该数值分数与该临界值进行比较;以及如果该数值分数超过该临界值时,利用该网页的一位置来更新该已知的特征数据库。18.如权利要求10所述的网络装置,其中该处理单元还设定用于回报结果关于存取该集体风险程度是否达到一临界值。19.如权利要求10所述的网络装置,其中该处理单元还设定用于开始进行一程序来清除该网页。20.—种计算机可读介质,其包含有用于一网页分析器的一指令序列,当该指令序列被一网络装置中的一处理单元所执行时,会使该处理单元运在一用户端计算机接收一网页前,即时检验由该用户端计算机所请求的该网页的一对象属性;依据检验该对象属性的结果来存取与对该用户端计算机造成伤害的该网页的一集体风险程度;以及依据该集体风险程度来对该网页进行一动作。21.如权利要求20所述的计算机可读介质,还包含有用于一启发式引擎的一指令序列,当该指令序列被该处理单元所执行时,会使该处理单元运行如下对该网页中的每一个对象属性指派一数值分数,其中该数值分数反映与对该用户端计算机造成伤害的该网页相关的一个别风险程度。22.如权利要求21所述的计算机可读介质,还包含有用于一以特征为根据的引擎的一指令序列,当该指令序列被该处理单元所执行时,会使该处理单元运行如下辨识来自该网页的原始代码的一未检查过的对象;以及从该未检查过的对象取得该对象属性。23.如权利要求22所述的计算机可读介质,还包含有用于一以特征为根据的引擎的一指令序列,当该指令序列被该处理单元所执行时,会使该处理单元运行如下将该未检查过的对象的该对象属性与一已知的特征数据库进行比较。24.如权利要求22所述的计算机可读介质,还包含有用于一启发式引擎的一指令序列,当该指令序列被该处理单元所执行时,会使该处理单元确认是否有与该网页相关的一异常状态;以及判断与该异常状态相关的该集体风险程度是否达到一临界值。25.如权利要求24所述的计算机可读介质,还包含有用于一启发式引擎的一指令序列,当该指令序列被该处理单元所执行时,会使该处理单元运行如下在每一次反复进行该存取步骤时追踪该数值分数;将该数值分数与该临界值进行比较;以及如果该数值分数超过该临界值时,利用与异常状态相关的该对象属性来更新该已知的特征数据库。26.如权利要求24所述的计算机可读介质,还包含有用于一启发式引擎的一指令序列,当该指令序列被该处理单元所执行时,会使该处理单元在每一次反复进行该存取步骤时追踪该数值分数;将该数值分数与该临界值进行比较;以及如果该数值分数超过该临界值时,利用该网页的一位置来更新该已知的特征数据库。27.如权利要求20所述的计算机可读介质,其中该动作包含有回报结果关于存取该集体风险程度是否达到一临界值。28.如权利要求20所述的计算机可读介质,其中该动作包含有开始进行一程序来清除该网页。29.—种设定用于防止网页攻击的处理单元,该处理单元系设定用于在一用户端计算机接收一网页前,即时检验由该用户端计算机所请求的该网页的一对象属性;依据检验该对象属性的结果来存取与对该用户端计算机造成伤害的该网页的一集体风险程度;以及依据该集体风险程度来对该网页进行一动作。30.如权利要求29所述的网络装置,其中该处理单元还设定用于对该网页中的每一个对象属性指派一数值分数,其中该数值分数系反映与对该用户端计算机造成伤害的该网页相关的一个别风险程度。31.如权利要求30所述的处理单元,其中该处理单元还设定用于辨识来自该网页的原始代码的一未;^查过的对象;以及从该未检查过的对象取得该对象属性。32.如权利要求31所述的处理单元,其中该处理单元还设定用于将该未检查过的对象的该对象属性与存储在该存储器系统的一已知的特征数据库进行比较。33.如权利要求31所述的处理单元,其中该处理单元还设定用于确认是否有与该网页相关的一异常状态;以及判断与该异常状态相关的该集体风险程度是否达到一临界值。34.如权利要求33所述的处理单元,其中该处理单元还设定用于在每一次反复进行该存取步骤时追踪该数值分数;将该数值分数与该临界值进行比较;以及如果该数值分数超过该临界值时,利用与异常状态相关的该对象属性来更新该已知的特征数据库。35.如权利要求33所述的处理单元,其中该处理单元还设定用于在每一次反复进行该存取步骤时追踪该数值分数;将该数值分数与该临界值进行比较;以及如果该数值分数超过该临界值时,利用该网页的一位置来更新该已知的特征数据库。36.如权利要求29所述的处理单元,其中该处理单元还设定用于回报结果关于存取该集体风险程度是否达到一临界值。37.如权利要求29所述的处理单元,其中该处理单元还设定用于开始进行一程序来清除该网页。全文摘要本发明公开一种用于防止网页攻击的方法与装置。具体而言,本发明的一实施例公开了一种方法,该方法包含有在一用户端计算机接收一网页前,即时检验由该用户端计算机所请求的该网页的一对象(object)属性;依据检验该对象属性的结果来存取与对该用户端计算机造成伤害的该网页的一集体风险程度;以及依据该集体风险程度来对该网页进行一动作。文档编号G06F21/00GK101382979SQ200810212828公开日2009年3月11日申请日期2008年9月5日优先权日2007年9月5日发明者简士伟申请人:鸿璟科技股份有限公司