专利名称:一种大规模恶意网页检测方法及系统的制作方法
技术领域:
本发明属于计算机安全领域,提出一种大规模恶意网页检测方法及系统,采用
三层并行架构和分层监控保障的策略,联合使用虚拟主机技术和并行沙盒技术,构建大 规模持续运行的自动化分析环境,动态检测网页中包含的网络木马威胁。
背景技术:
目前互联网已经成了传播恶意程序的重要途径。根据中国互联网络信息中心 (CNNIC)2008年1月发布的《中国互联网络发展状况统计报告》,我国网民人数已超过2 亿,网民在日常生活中对万维网的依赖将越来越强。同时,我国互联网资源也在迅猛增 长,域名、网站、网页的年增长率都超过60%。然而,近两年基于互联网的安全问题却 层出不穷,并有逐渐加剧之势。2007年网民电脑感染恶意代码的比率高达90.8%,接近 一半的网民有个人信息、账号被盗或被修改的经历。 据统计,2008年1月至10月,全国约有8100多万台电脑(包含企业用户)曾经被 病毒感染,其中通过网页挂马方式被感染的超过90%。近两年来,木马病毒已经成为恶 意代码发展的主要方向,从2007、 2008两年来反病毒厂商截获的新增病毒样本数来看, 木马病毒的比例都占到60%以上。通过在网页上挂马,利用浏览器及其插件的漏洞,获 得执行权限,进而劫持浏览器,植入木马病毒,是当前木马病毒传播的主要途径。
传统的网页木马检测技术通常依靠基于静态特征的方法对网页中包含的恶 意代码进行扫描和识别[参见专利基于统计特征的网页恶意脚本检测方法,专利号 ZL200610152531.8,北京理工大学]。但网页木马编写者往往使用了 "免杀"技术,利 用页面混淆和加密等各种方法躲避反病毒软件的检测。因此,仅仅给出某个网页文档中 包含网页木马的告警信息是不充分的。 针对浏览挂马网页会对系统造成恶意侵害的行为特点,研究领域提出了基于客 户端蜜罐技术思路的动态行为检测方法,该方法依据网页木马对蜜罐环境的"损害结 果"进行判定,对混淆机制免疫、能够检测新出现网页木马,被作为监测网页木马所普 遍应用的新型技术。在部署上,传统的高交互蜜罐常依赖虚拟主机程序(如VMWare, QEMU等)来构建沙箱,沙箱又叫沙盒,用于为一些来源不可信、具备破坏力或无法判 定程序意图的程序提供试验环境。通常,这种技术被计算机技术人员广泛使用,尤其是 计算机反病毒行业,沙箱是一个观察计算机病毒的重要环境。沙盒中的所有改动对操作 系统不会造成损失。通过传统方式部署, 一个虚拟主机节点内进行实现一个沙箱环境, 同一时期仅能运行单个任务,分析效率较低,且未提供明确的保障措施保证系统的持续 运行。[参见基于客户端蜜罐的恶意网页检测系统的设计与实现,孙晓妍、王洋、祝 跃飞、武东英,计算机应用,2007年第27(7)巻;All Your iFRAMEs Point to Us, Niels Provos Panayiotis Mavrommatis Moheeb Abu Rajab Fabian Monrose, 17th USENIX Security Symposium]
发明内容
本发明为提高分析效率,提出一种三层并行架构的恶意网页检测方法及系统,
通过分层控制来保障系统的持续运行。所述系统提供了高效自动化分析环境,可持续运
行、动态检测网页中的网络木马威胁。 本发明的技术方案概述如下 —种大规模恶意网页检测方法,其步骤包括 l)将若干检测服务器通过网络互接,在某一检测服务器上设置待分析任务集;
2)在各个检测服务器内部署节点自动分发模块,利用虚拟主机实现分析节点分 发,并行部署多个分析节点,同一服务器内的所有节点构成一个节点簇,部署节点簇监 控模块,通过访问分析节点内部文件的方式监控分析节点的运行情况,对节点簇内所有 节点状态进行监控,如果节点运行不正常,则调用脚本程序重置分析节点;
3)分析节点通过内部网络连接待分析任务集获取待分析任务,实现任务的分布 式调度,分析节点内部部署蜜罐环境和挂马网页检测模块,构建并行沙箱环境实现待分 析任务并行化检测;由检测状态监控模块监控挂马网页检测模块的运行,检测结果保存 在服务器上的分析结果数据库中。 所述待分析任务集通过网页爬虫或其他方式收集到。 所述节点分发模块通过网络获取分析节点的初始镜像,利用虚拟机程序提供的
API接口编写的虚拟机复制脚本,自动在每台物理主机上部署多个分析节点。 所述节点簇监控模块应用虚拟机程序所提供的API接口 ,读取各个分析节点内
部部署的检测状态监控模块记录的挂马网页检测模块运行状态信息,实现对分析节点的
状态监控,当获取状态日志文件失败,或状态日志文件提示分析节点中部署的挂马网页
检测模块失效,则调用脚本程序重置分析节点。 在分析节点内部部署的蜜罐环境包括 选择含有易被网页木马利用的漏洞的操作系统和浏览器版本的安装盘来安装操 作系统环境; 选择安装特定版本的常被网页木马利用的浏览器插件软件; 安装挂马网页检测模块的自动更新程序。 在分析节点内部部署的挂马网页检测模块包括 任务调度模块在分析节点内运行任务调度程序,获取待分析任务集; 并行沙箱控制模块构建并行沙箱程序,捕获浏览器在访问待分析任务集后所
产生的系统行为信息; 日志解析和挂马网页判断模块浏览器访问待分析任务集后,对访问过程中记
录下来的系统行为信息进行分析,判定是否为挂马网页行为。
所述任务调度模块的任务调度方法包括以下步骤 1.读取配置信息; 2.加载系统行为监控驱动程序; 3.获取待分析任务集成功,则获取一个空置的沙箱,创建新的系统行为日志文 件记录访问待分析任务集期间系统的行为; 4.启动浏览器访问待分析任务集中的网页链接,系统监控程序记录沙箱内的系统资源的访问信息; 5.调用日志解析和挂马网页判断模块解析日志文件,并判断该网页链接是否挂 马网页。 所述解析日志文件判断网页链接是否为挂马网页的方法包括以下步骤 l.从配置文件中读取新建进程的白名单、可执行文件的后缀名名单、系统启动
文件名单和控制系统启动的注册表项及其变量名单; 2.从API调用的参数列表中获取创建进程名,若进程名不在白名单内,即判断该 网页为挂马网页; 3.从API调用的参数列表获取创建文件名,若文件名后缀包含在可执行文件名后 缀名单内,即判断该网页为挂马网页; 4.从API调用的参数列表获取修改文件路径,若系统启动文件名包含在系统启动 文件路径中,即判断该网页为挂马网页; 5.从API调用的参数列表获取创建或修改的注册表项和变量名,若注册表项和变
量名包含在控制系统启动的注册表项/变量名单中,即判断该网页为挂马网页。 —种大规模恶意网页检测系统,其特征在于,采用三层并行架构 第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某
一检测服务器上设置待分析任务集; 第二层,各个检测服务器内部署有节点自动分发模块,所述节点自动分发模块 利用虚拟主机实现分析节点分发,并行部署多个分析节点;同一检测服务器内的所有节 点构成一个节点簇,部署有节点簇监控模块,所述节点簇监控模块通过访问分析节点内 部文件的方式监控分析节点的运行情况,对节点簇内所有节点状态进行监控,如果节点 运行不正常,则调用脚本程序重置分析节点; 第三层,分析节点通过内部网络连接待分析任务集获取待分析任务,实现任务 的分布式调度,分析节点内部署了蜜罐环境和挂马网页检测模块,构建并行沙箱环境实 现待分析任务并行化检测;由检测状态监控模块监控挂马网页检测模块的运行,检测结 果保存在服务器上的分析结果数据库中。 所述并行部署的服务器群的规模随分析规模扩大的需求的动态扩展。
所述待分析任务集是由集中存储于数据库或文件中的网页链接构成。
与现有技术相比,本发明的有益效果是 1)本发明提供的三层并行架构中的第一层,并行的物理主机(服务器)独立进行 自我管理,可根据系统需要动态增加物理主机的数量;任务调度位于并行架构中的第二 层,通过分布在分析节点上的任务调度模块连接数据库申请任务,实现了分布式的任务 调度,可根据物理主机的性能修改每台主机上的节点数配置;这种架构保证了各物理主 机之间以及各分析节点间的互相独立和自我维护,物理主机和节点数目的动态扩充不会 影响系统的整体运行,单个分析节点的失效也不会影响系统整体的功能;
2)本发明提出的分层监控保障策略,以节点簇为单位进行节点运行状态的实时 监测可有效监管分析节点的运行状态,当分析节点出现异常时,监控程序利用虚拟主机 程序提供的API可方便的重置分析节点的状态,保障整个分析环境的持续稳定运行;节 点自动分发策略可实现节点运行环境的高效更新;挂马网页检测程序自动更新策略,可
6方便的实现挂马网页检测程序的更新;在分析节点层实现并行沙箱的调度控制,在同一 个节点内可同时多路并行检测多个URL,比传统的单任务的动态网马检测系统分析效率 更高; 3)本发明的分析环境是针对网页挂马经常利用到的漏洞精心部署的高交互蜜罐 环境,与受害Web用户的系统配置类似,在这样的环境中动态运行浏览器访问指定的 网页链接,可更有效触发恶意网页中包含的恶意行为,可有效检测杀毒软件不能检测出 的经过加密处理的恶意网页;本发明提出的网页挂马的判断的依据,根据沙箱内进程创 建进程、下载可执行文件系统、修改启动和文件和注册表启动项等行为判断网页是否挂 马,标准明确,误报率低,可有效识别恶意网页。
图1是大规模部署恶意网页检测系统的结构示意图 图2是单个物理主机的架构示意图 图3是分析节点内挂马网页检测模块的架构示意图 图4是挂马网页检测程序中的任务调度流程示意图 图5是节点簇监控程序的流程示意图 图6是恶意网页检测系统中挂马判断的流程示意图
具体实施例方式
本发明综合使用虚拟主机技术和恶意代码分析领域中基于Copy on write思想的 轻量级沙箱技术[参见A Feather-weight Virtual Machine for Windows Applications, Yang Yu, Fanglu Guo, Susanta Nanda, Lap-chung Lam, Tzi-cker Chiueh, Proceedings of the2nd international conference on Virtual execution environments], 下面结合附图禾口具亍本实施方式
对本发明作进一步详细描述 本发明中定义的"任务集"是由集中存储于数据库中的待检测URL构成;
本发明定义"分析节点簇"为单台物理主机(检测服务器)内部署的若干分析节 点的集合,每台物理主机(检测服务器)上部署的所有分析节点构成一个分析节点簇。每 个分析节点簇所能包含的节点数量规模与该服务器的硬件性能相关,可进行动态配置。
本发明定义的"分析节点"是指安装部署了特定的蜜罐环境的分析机,利用虚 拟主机构建分析节点,可以方便的进行分析机的状态重置等维护;在分析节点内部署的 挂马网页检测程序,实现分析任务的调度和网页挂马的判定。 本发明定义的"并行沙箱"是指在分析节点内部,由挂马网页检测程序控制调 度的,通过内核级API HOOKING技术实现的受控执行环境。通过对沙箱内访问的资源 进行名字空间重定向,可实现沙箱与沙箱之间,沙箱与系统之间的相互隔离,保障沙箱 内部运行的进程不会对系统造成危害,也不会影响系统内部其他并行的沙箱的行为;
本发明定义"节点簇自动分发模块"是指为提高节点分发效率,而部署在物理 主机上的节点簇自动分配程序,该程序利用虚拟机软件提供的API和配置文件中的设定 信息,自动获取分析节点的系统镜像并进行拷贝分发。 本发明定义"节点簇监控模块"是指为了保障分析节点正常运行,而部署在物理主机上的节点簇监管程序,该程序利用虚拟机软件提供的API,实时监控分析节点内部 的状态日志文件,当获取状态日志文件失败,或状态日志文件提示分析节点中部署的挂 马网页检测程序失效,则通过预先定义好的策略调用脚本程序重置分析节点,保障分析 节点的持续运行。
本发明的系统整体架构可参见附图1,主要包括以下部分 1)待分析URL数据库(任务集)待分析URL数据库内存储通过网页爬虫或通 过其他方法收集到的待检测的Web页面链接地址,这些URL是本系统中的任务源,将提 供给挂马网页检测服务器群分析; 2)挂马网页检测服务器群挂马检测服务器群由一个或多个物理主机(分析节点
簇)构成,这些物理主机(分析节点簇间)相互独立,各自管理自己内部的分析节点。各
分析节点,即部署了特定的蜜罐环境,并安装了挂马网页检测程序的虚拟分析主机,通
过内部网络与待分析URL数据库相连,分别获取URL任务集进行检测; 3)分析结果数据库通过挂马网页检测程序深度分析后验证的挂马网页,会记
录下分析时间和分析结果并保存在挂马网页数据库中,该数据将用于挂马网页的追踪分
析和为上网用户提供网页安全度的参考信息。 本发明中的单个检测服务器的架构可参见附图2,也就是一个独立的分析节点 簇,其部署中主要包括以下部分 l)节点自动分发模块由于系统中可能会需要部署多个(几百个甚至上千个) 分析服务器,要有效的在服务器中部署分析节点,要求系统提供自动高效的节点分发策 略。本系统通过在物理主机中部署分析节点分发模块来实现这一要求,分析节点分发 模块通过网络获取分析节点的初始镜像,再利用虚拟机程序提供的API接口编写的虚拟 机复制脚本,自动在每台服务上部署多个分析节点,并自动生成虚拟机重启脚本程序; 按照脚本设定进行分发,设定的信息主要包括镜像名生成规则,镜像数量,要设置的 snapshot名等,对于相同配置的服务器,这些信息是相同的。 2)节点簇监控模块在物理主机的HostOS内部署分析节点簇监控模块,应用虚 拟机程序所提供的API接口,读取分析节点内部部署的检测状态监控模块记录的检测程 序运行状态信息,实现对分析节点的状态监控,当节点出现异常时(获取状态日志文件失 败,或状态日志文件提示分析节点中部署的挂马网页检测程序失效),调用由节点分发模 块自动生成的重启脚本来重启分析节点,保障节点的持续运行。 3)分析节点及其重置脚本分析节点是指安装部署了特定的蜜罐环境的虚拟分 析机,利用虚拟主机构建分析节点,可以方便通过API对其进行监控,必要时可通过重 置脚本对其进行状态重置等维护; 本发明中的单个分析节点配置,主要包括以下内容
1)分析节点蜜罐环境的部署 a)操作系统和浏览器的选择选择目前主流的,含有易被网马利用的漏洞的 操作系统和浏览器版本的安装盘来安装操作系统环境,并保持操作系统和浏览器的稳定 性; 常见漏洞软件的选择安装特定版本的常被网马利用的浏览器插件软件,关闭 这些软件的自动更新选项,保持系统版本的稳定性;
b)挂马网页检测程序的自动更新由于需要进行大规模部署,程序更新的过程
也相应的需要自动化进行。本发明提供的自动更新的方法是,当系统重启时,通过自动
更新程序来获取最新的分析软件,实现挂马网页检测程序的自动更新; 2)挂马网页检测模块的架构可参见附图3,主要包括以下内容 a)任务调度模块在分析节点内运行任务调度程序,通过检测任务调度接口连
接待分析URL数据库获取要分析的网页链接,并通过检测任务调度接口将分析结果存入
分析结果数据库; b)并行沙箱控制模块在客户端蜜罐中部署基于内核级API Hooking技术构建并 行沙箱程序Hook沙箱内进程对内存、进程、文件系统、注册表的行为,捕获浏览器在访 问URL后所产生的系统行为。 c)日志解析和挂马判断模块当浏览器访问URL后,需要访问过程中记录下来 的系统行为信息进行分析,判定这些行为是否为挂马网页所特有的行为。如创建异常的 新进程、没有得到用户许可即下载可执行文件、修改启动文件或注册表的启动表项等情 况,即可判断该URL所指向的页面挂马。 d)检测程序状态监控模块检测状态监控模块用于监控挂马网页检测程序运行 正常,则设置监测文件内容为"ok",当挂马网页检测程序发现错误时,则置该文件内 容为 "6rror,, o 根据发明内容中的技术方法,我们实施了一个大规模的网马检测分析环境,结 合
我们的具体的实施方式如下
1)检测服务器层的实施策略 a)分析节点簇的部署目前我们的系统实施中采用64位服务器构建分析节点 簇,每个服务器中部署8个虚拟主机分析节点,形成一个分析节点簇,每个节点内部署 10个并行沙箱,单台服务器可同时进行80个URL的并行分析; b)分析节点的分发当需要更新分析节点的环境时,可通过远程控制启动运行 分析节点分发模块,通过ftp获取分析节点的初始镜像,再利用虚拟机程序提供的API接 口编写的虚拟机复制脚本,自动在每台服务上拷贝多个分析节点和生成快照,然后生成 虚拟机启动脚本程序; 2)分析节点簇的监控流程可参见图5,具体监控方法如下
a)启动节点簇监控模块 b)读取节点簇配置文件信息,包括各节点虚拟文件的存储路径、检测时间间 隔、重置时需要读取的快照镜像名等;
c)循环访问每个分析节点 cl、若虚拟主机未运行,则无法读取监测日志文件,此时可认为该分析节点异 常,重置分析节点; c2、读取网页挂马分析程序监测日志文件,若该检测文件不存在,则可认为是 挂马网页检测程序出现异常,重置分析节点; c3、读取网页挂马分析程序监测日志文件内容,若文件内容为"ok",则认为 分析机状态正常,若文件内容为"error",则认为网页挂马分析程序状态异常,重置分 析节点;
d)当检测完最后一个分析机后睡眠等待一段时间,在我们的实现过程中,设置 等待时间为5分钟,之后重复c的轮询检查过程。
3)分析节点的实施策略 a)操作系统和浏览器选择目前挂马网页主要的目标操作系统Windows XP SP2版 本,浏览器采用IE 6.0.2900.2l80.xpsp_sp2_rtm.040803-2l58.版本,这样的系统配置会包 含常被网马利用的MS06014漏洞;b)安装特定版本的常被网马利用的浏览器插件软件,包括Adobe Flash Player, RealPlayer等,关闭这些软件的自动更新选项,保持软件版本的稳定性;
c)设置分析节点的网络配置为DHCP动态获取IP ; d)在此系统中预先安装编译好的自动更新程序,该程序的快捷方式添加系统启 动栏中,当系统重启时,便自动运行自动更新程序,从服务器上获取挂马网页检测程序 的最新版本。 4)挂马网页检测程序任务调度流程可参见附图4,主要包括以下步骤
a)启动挂马网页检测程序; b)读取配置信息,包括启用并行沙箱的个数(这里设定10)、任务源数据库服 务器的配置、单个任务运行的时间(这里设定为5分钟),等信息;
C)加载系统行为监控驱动程序; d)访问数据库获取URL,如成功,则获取一个空置的沙箱,创建新的系统行为 日志文件记录访问该URL期间,系统的行为; e)启动浏览器访问待分析链接,系统监控程序会hook系统API,记录沙箱内的 进程、文件、注册表等系统资源的访问信息; f)当单个任务运行的时间达到配置设定的时间时,停止沙箱,关闭日志文件;
g)解析日志文件并判断该URL是否挂马; 5)解析日志文件并判断该URL是否挂马的流程可参见附图6,实施策略如下
a)从配置文件中读取新建进程的白名单、可执行文件的后缀名名单、系统启动 文件名单、控制系统启动的注册表项及其变量名单; b)访问并探测日志文件是否存在,如文件不存在或文件大小异常,则判定此次 分析失败,解析过程退出;否则继续; c)读取文件行,获取api信息和api调用参数列表,判断API所属类型,若API 函数为进程创建函数,转向步骤d;若API函数为创建文件函数,转向步骤e;若API函
数为修改文件函数,转向步骤f;若API函数为新建/修改注册表项函数,转向步骤g;
d)从API调用的参数列表中获取创建进程名,判断进程名是否在白名单,若不 在白名单内,即判断该网页挂马; e)从API调用的参数列表获取创建文件名,判断该文件名后缀是否包含在配置
文件提供的可执行文件名后缀中,若包含在该名单内,即判断该网页挂马; f)从API调用的参数列表获取修改文件路径,判断该文件名是否包含在配置文件
提供的系统启动文件路径中,若包含在该名单内,即判断该网页挂马; g)从API调用的参数列表获取创建/修改的注册表项和变量名,判断该注册表项
和变量名是否包含在配置文件提供的控制系统启动的注册表项/变量名单中,若包含在该
10名单内,即判断该网页挂马。 如上所述,本发明利用高交互蜜罐主机技术和并行沙箱技术,针对网页木马的 行为特点,提出一种构建大规模恶意网页检测系统的方法。目前,本发明中的方法已被 应用于北京大学信息安全工程中心挂马网页检测平台,已持续运行数月,检测出上万个 恶意网页,很好的实现了本发明的目的。本发明具有很好的实用性和推广应用前景。
尽管为说明发明目的公开了具体实施例和附图,其目的在于帮助理解本发明的 内容并据以实施,但是本领域的技术人员可以理解在不脱离本发明及所附的权利要求 的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于最佳实 施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
权利要求
一种大规模恶意网页检测方法,其步骤包括1)将若干检测服务器通过网络互接,在某一检测服务器上设置待分析任务集;2)在各个检测服务器内部署节点自动分发模块,利用虚拟主机实现分析节点分发,并行部署多个分析节点,同一服务器内的所有节点构成一个节点簇,部署节点簇监控模块,通过访问分析节点内部文件的方式监控分析节点的运行情况,对节点簇内所有节点状态进行监控,如果节点运行不正常,则调用脚本程序重置分析节点;3)分析节点通过内部网络连接待分析任务集获取待分析任务,实现任务的分布式调度,分析节点内部部署蜜罐环境和挂马网页检测模块,构建并行沙箱环境实现待分析任务并行化检测;由检测状态监控模块监控挂马网页检测模块的运行,检测结果保存在服务器上的分析结果数据库中。
2. 如权利要求1所述的方法,其特征在于,所述待分析任务集通过网页爬虫或其他方 式收集到。
3. 如权利要求1所述的方法,其特征在于,所述节点分发模块通过网络获取分析节点的初始镜像,利用虚拟机程序提供的API接口编写的虚拟机复制脚本,自动在每台物理主机上部署多个分析节点。
4. 如权利要求1所述的方法,其特征在于,所述节点簇监控模块应用虚拟机程序所提供的API接口,读取各个分析节点内部部署的检测状态监控模块记录的挂马网页检测模块运行状态信息,实现对分析节点的状态监控,当获取状态日志文件失败,或状态日志文件提示分析节点中部署的挂马网页检测模块失效,则调用脚本程序重置分析节点。
5. 如权利要求1所述的方法,其特征在于,在分析节点内部部署蜜罐环境包括选择含有易被网页木马利用的漏洞的操作系统和浏览器版本的安装盘来安装操作系统环境;选择特定版本的常被网页木马利用的浏览器插件软件安装;安装挂马网页检测模块的自动更新程序。
6. 如权利要求1所述的方法,其特征在于,部署的挂马网页检测模块包括任务调度模块在分析节点内运行任务调度程序,获取待分析任务集;并行沙箱控制模块构建并行沙箱程序,捕获浏览器在访问待分析任务集后所产生的系统行为信息;日志解析和挂马网页判断模块浏览器访问待分析任务集后,对访问过程中记录下来的系统行为信息进行分析,判定是否为挂马网页行为。
7. 如权利要求6所述的方法,其特征在于,所述任务调度模块的任务调度方法包括以下步骤7丄读取配置信息;7.2. 加载系统行为监控驱动程序;7.3. 获取待分析任务集成功,则获取一个空置的沙箱,创建新的系统行为日志文件记录访问待分析任务集期间系统的行为;7.4. 启动浏览器访问待分析任务集中的网页链接,系统监控程序记录沙箱内的系统资源的访问信息;7.5. 调用日志解析和挂马网页判断模块,解析日志文件并判断该网页链接是否挂马网页。
8. 如权利要求6所述的方法,其特征在于,日志解析和挂马网页判断模块判断网页链接是否为挂马网页的方法包括以下步骤8丄从配置文件中读取新建进程的白名单、可执行文件的后缀名名单、系统启动文件名单和控制系统启动的注册表项及其变量名单;8.2. 从API调用的参数列表中获取创建进程名,若进程名不在白名单内,即判断该网页为挂马网页;8.3. 从API调用的参数列表获取创建文件名,若文件名后缀包含在可执行文件名后缀名单内,即判断该网页为挂马网页;8.4. 从API调用的参数列表获取修改文件路径,若系统启动文件名包含在系统启动文件路径中,即判断该网页为挂马网页;8.5. 从API调用的参数列表获取创建或修改的注册表项和变量名,若注册表项和变量名包含在控制系统启动的注册表项/变量名单中,即判断该网页为挂马网页。
9. 一种大规模恶意网页检测系统,其特征在于,采用三层并行架构第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某一检测服务器上设置待分析任务集;第二层,各个检测服务器内部署有节点自动分发模块,所述节点自动分发模块利用虚拟主机实现分析节点分发,并行部署多个分析节点;同一检测服务器内的所有节点构成一个节点簇,部署有节点簇监控模块,所述节点簇监控模块通过访问分析节点内部文件的方式监控分析节点的运行情况,对节点簇内所有节点状态进行监控,如果节点运行不正常,则调用脚本程序重置分析节点;第三层,分析节点通过内部网络连接待分析任务集获取待分析任务,实现任务的分布式调度,分析节点内部署了蜜罐环境和挂马网页检测模块,构建并行沙箱环境实现待分析任务并行化检测;由检测状态监控模块监控挂马网页检测模块的运行,检测结果保存在服务器上的分析结果数据库中。
10. 如权利要求9所述的系统,其特征在于,所述并行部署的服务器群的规模随分析规模扩大的需求的动态扩展。
11. 如权利要求9所述的系统,其特征在于,所述待分析任务集是由集中存储于数据库或文件中的网页链接构成。
全文摘要
本发明公开了一种大规模恶意网页检测方法及系统,采用三层并行架构和分层控制保障方法第一层,并行部署若干检测服务器通过网络互接,构建检测服务器机群,在某一检测服务器上设置待分析任务集;第二层,在各个检测服务器内并行部署多个分析节点,部署节点簇监控模块,监控分析节点的运行情况;第三层,在各个分析节点内部构建并行沙箱环境实现待分析任务并行化检测中。本发明的架构保证了各检测服务器之间以及各分析节点间的互相独立和自我维护,物理主机和节点数目的动态扩充不会影响系统的整体运行,单个分析节点的失效也不会影响系统整体的功能;在同一个节点内可同时多路并行检测多个任务,提高了系统分析效率。
文档编号G06F21/22GK101692267SQ20091009288
公开日2010年4月7日 申请日期2009年9月15日 优先权日2009年9月15日
发明者宋程昱, 梁知音, 武新逢, 诸葛建伟, 邹维, 韦韬, 韩心慧, 龚晓锐 申请人:北京大学