1.一种挂马检测方法,其特征在于,所述检测方法包括:
获取待识别统一资源定位符,所述待识别统一资源定位符为待识别网页的统一资源定位符;
解析所述待识别统一资源定位符对应的待识别程序状态序列,所述待识别程序状态序列包括所述待识别统一资源定位符的多条属性;
根据所述待识别程序状态序列与挂马事件特征库中各挂马程序状态序列的相似度确定所述待识别网页是否为挂马网页。
2.根据权利要求1所述的挂马检测方法,其特征在于,所述解析所述待识别统一资源定位符对应的待识别程序状态序列之前,还包括:
采用正则表达式对所述待识别统一资源定位符进行过滤处理,获得过滤处理后的待识别统一资源定位符。
3.根据权利要求1所述的挂马检测方法,其特征在于,所述根据所述待识别程序状态序列与挂马事件特征库中各挂马程序状态序列的相似度确定所述待识别网页是否为挂马网页,具体包括:
获取相似度阈值;
采用相似性计算方法计算所述待识别程序状态序列与挂马事件特征库中各挂马程序状态序列的相似度值;
判断是否存在大于或者等于所述相似度阈值的相似度值;
若是,确定所述待识别网页为挂马网页。
4.根据权利要求3所述的挂马检测方法,其特征在于,所述确定所述待识别网页为挂马网页之后,还包括:
从大于或者等于所述相似度阈值的各个相似度值中筛选出最大相似度值;
将所述待识别网页对应的挂马类型确定为所述最大相似度值对应的挂马程序状态序列的挂马类型。
5.根据权利要求3所述的挂马检测方法,其特征在于,所述采用相似性计算方法计算所述待识别程序状态序列与挂马事件特征库中各挂马程序状态序列的相似度值,具体包括:
采用余弦相似性计算方法计算所述待识别程序状态序列与挂马事件特征库中各挂马程序状态序列的相似度值。
6.根据权利要求1所述的挂马检测方法,其特征在于,所述待识别程序状态序列包括所述待识别统一资源定位符的协议、ip地址、路径、端口、域名种类、域名长度、域名性质和网页位置中至少两者。
7.根据权利要求1所述的挂马检测方法,其特征在于,建立所述挂马事件特征库的方法包括:
获取多种挂马告警事件的统一资源定位符;
解析每一所述挂马告警事件的统一资源定位符对应的挂马程序状态序列,所述挂马程序状态序列包括所述挂马告警事件的统一资源定位符的多条属性;
根据各所述挂马程序状态序列建立所述挂马事件特征库。
8.一种挂马检测系统,其特征在于,所述检测系统包括:
获取模块,用于获取待识别统一资源定位符,所述待识别统一资源定位符为待识别网页的统一资源定位符;
解析模块,用于解析所述待识别统一资源定位符对应的待识别程序状态序列,所述待识别程序状态序列包括所述待识别统一资源定位符的多条属性;
挂马检测模块,用于根据所述待识别程序状态序列与挂马事件特征库中各挂马程序状态序列的相似度确定所述待识别网页是否为挂马网页。