1.一种入侵行为的获取方法,其特征在于,包括:
获取恶意网页脚本的属性信息,其中,所述恶意网页脚本为存储在目标主机中的文件;
根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串,其中,所述静态规则库包括:至少一个字符串和任意一个字符串所对应的入侵行为;
若存在,读取与所述属性信息匹配的字符串所对应的入侵行为,确定所述目标主机被入侵的原因为所述字符串对应的入侵行为。
2.根据权利要求1所述的方法,其特征在于,所述属性信息包括以下一种或几种:信息摘要算法第五版MD5、文件路径、文件内容以及所属者。
3.根据权利要求2所述的方法,其特征在于,在所述属性信息包括所述MD5、所述文件路径、所述文件内容或所述所属者的情况下,所述根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串包括:
从所述静态规则库中查找是否存在包含有所述MD5、所述文件路径、所述文件内容或所述所属者的所述字符串。
4.根据权利要求2所述的方法,其特征在于,在所述属性信息包括所述MD5的情况下,所述根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串包括:
对所述MD5做HASH算法,得到所述恶意网页脚本的签名信息;
从所述静态规则库中查找是否存在包含有所述签名信息的所述字符串。
5.根据权利要求2所述的方法,其特征在于,在所述属性信息包括所述文件路径、所述文件内容以及所述所属者中至少两个的情况下,所述根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串包括:
调用预设的正则表达式,从所述静态规则库中查找是否存在与所述文件路径、所述文件内容以及所述所属者中至少两个匹配的所述字符串。
6.根据权利要求1所述的方法,其特征在于,在所述恶意网页脚本的数量为多个的情况下,所述方法还包括:
若不存在,则计算所述恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,其中,所述后一个恶意网页脚本是指在所述恶意网页脚本之后创建的第一个恶意网页脚本;
判断所述绝对值是否小于第一预设阈值,且所述恶意网页脚本的大小是否大于第二预设阈值;
若是,则判断所述恶意网页脚本的所属者是否为预定对象;
若是,则确定所述目标主机被入侵的原因为预定对象上传。
7.一种入侵行为的获取装置,其特征在于,包括:
获取单元,用于获取恶意网页脚本的属性信息,其中,所述恶意网页脚本为存储在目标主机中的文件;
匹配单元,用于根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串,其中,所述静态规则库包括:至少一个字符串和任意一个字符串所对应的入侵行为;
第一确定单元,用于若存在,读取与所述属性信息匹配的字符串所对应的入侵行为,确定所述目标主机被入侵的原因为所述字符串对应的入侵行为。
8.根据权利要求7所述的装置,其特征在于,所述属性信息包括以下一种或几种:信息摘要算法第五版MD5、文件路径、文件内容以及所属者。
9.根据权利要求8所述的装置,其特征在于,在所述属性信息包括所述MD5、所述文件路径、所述文件内容或所述所属者的情况下,所述匹配单元用于执行以下步骤根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串:
从所述静态规则库中查找是否存在包含有所述MD5、所述文件路径、所述文件内容或所述所属者的所述字符串。
10.根据权利要求8所述的装置,其特征在于,在所述属性信息包括所述MD5的情况下,所述匹配单元包括:
计算模块,用于对所述MD5做HASH算法,得到所述恶意网页脚本的签名信息;
查找模块,用于从所述静态规则库中查找是否存在包含有所述签名信息的所述字符串。
11.根据权利要求8所述的装置,其特征在于,在所述属性信息包括所述文件路径、所述文件内容以及所述所属者中至少两个的情况下,所述匹配单元用于执行以下步骤根据所述属性信息从预设的静态规则库中,查找是否存在与所述属性信息匹配的字符串:
调用预设的正则表达式,从所述静态规则库中查找是否存在与所述文件路径、所述文件内容以及所述所属者中至少两个匹配的所述字符串。
12.根据权利要求7所述的装置,其特征在于,还包括:
计算单元,用于若不存在,则计算所述恶意网页脚本与后一个恶意网页脚本之间的文件创建时间差的绝对值,其中,所述后一个恶意网页脚本是指在所述恶意网页脚本之后创建的第一个恶意网页脚本;
第一判断单元,用于判断所述绝对值是否小于第一预设阈值,且所述恶意网页脚本的大小是否大于第二预设阈值;
第二判断单元,用于若是,则判断所述恶意网页脚本的所属者是否为预定对象;
第二确定单元,用于若是,则确定所述目标主机被入侵的原因为预定对象上传。