专利名称:木马病毒的阻止方法及装置的制作方法
技术领域:
本发明涉及互联网领域,具体而言,涉及一种木马病毒的阻止方法及装置。
背景技术:
随着以高交互性为主要特点的Web 2. O技术的推广,很多Web站点允许用户上传文件,随之而来的是Web服务器挂马(被安装木马病毒)越来越威胁Web服务器和客户端浏览器的安全。从Web服务器木马的种类区分有两种形式,一种是服务器木马,一种是客户端木马。服务器木马通常是一个可以在Web服务器上被动态执行的恶意脚本或恶意可执行程序。客户端木马通常是恶意的浏览器程序,它可以是一段Javascript脚本、恶意JavaApplet小程序或恶意浏览器插件。Web服务器挂马,通常是借助某些其他的漏洞实现,例如SQL注入漏洞、跨站漏洞、上传漏洞等。 现有技术中在服务器上安装反病毒软件,通过对服务器上文件的监控和扫描,发现恶意代码。当攻击者上传恶意文件的时候,由杀毒软件发现并响应。该技术的缺点是杀毒软件是基于已知病毒样本的,对未知恶意代码缺乏有效的抵抗手段。现在攻击者在制作恶意程序的时候,通常会使用主流的杀毒软件进行测试,通过各种混淆手段做到杀毒软件的免杀。这样,杀毒软件在应对文件病毒的时候作用有限。如果攻击者上传的恶意代码没有保存成文件,而是利用数据库保存(或者干脆存储在内存中),基于文件的杀毒软件将无法检测。而且,杀毒软件严重消耗服务器计算资源和性能,特别是对IO读写非常频繁的Web服务器更是如此。很多情况下,针对Web服务器的挂马,仅仅是在受害服务器的页面上添加一个包含恶意内容的HTML标签(例如<link>、〈iframe>等等),真正的恶意软件实体并没有存放在受害服务器上。此时,服务器杀毒软件没有能力发现恶意内容。针对现有技术中无法准确阻止木马病毒的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了一种木马病毒的阻止方法及装置,以至少解决现有技术中无法准确阻止木马病毒的问题。为了实现上述目的,根据本发明的一个方面,提供了一种木马病毒的阻止方法。根据本发明的木马病毒的阻止方法包括防火墙获取第一服务器发送给客户端的引用资源的地址;防火墙判断地址对应的引用资源是否来自第二服务器,其中,第二服务器的名称在管理员设置的白名单中;以及当地址对应的引用资源来自第二服务器时,防火墙允许第一服务器引用来自第二服务器的引用资源。进一步地,防火墙获取第一服务器发送给客户端的引用资源的地址包括防火墙对引用资源进行语法分析以获取引用资源的标签,其中,标签中包括引用资源的地址;以及防火墙获取标签中的引用资源的地址。进一步地,在防火墙获取第一服务器发送给客户端的引用资源的地址之后和防火墙判断地址对应的引用资源是否来自第二服务器之前,上述方法包括防火墙判断地址是否为第一服务器内部的地址;以及当地址是第一服务器内部的地址时,防火墙允许第一服务器引用来自第一服务器内部的引用资源。进一步地,在防火墙判断地址对应的引用资源是否来自第二服务器之后,上述方法还包括当引用资源不是来自第二服务器时,防火墙终止访问者与第一服务器之间的连接。进一步地,在防火墙判断地址对应的引用资源是否来自第二服务器之后,上述方法还包括当引用资源不是来自第二服务器时,防火墙获取地址黑名单;防火墙判断引用资源的地址是否在地址黑名单中;当引用资源的地址在地址黑名单中时,防火墙终止访问者与第一服务器之间的连接;以及当引用资源的地址不在地址黑名单中时,防火墙允许第一服务器引用来自第二服务器的引用资源。为了实现上述目的,根据本发明的另一个方面,提供了一种木马病毒的阻止装置, 该装置用于执行本发明提供的任意一种木马病毒的阻止方法。根据本发明的另一方面,提供了一种木马病毒的阻止装置。该木马病毒的阻止装置包括第一获取单元,用于获取第一服务器发送给客户端的引用资源的地址;第一判断单元,用于判断地址对应的引用资源是否来自第二服务器,其中,第二服务器的名称在管理员设置的白名单中;以及第一允许单元,用于当地址对应的引用资源来自第二服务器时,允许第一服务器引用来自第二服务器的引用资源。进一步地,第一获取单元包括第一获取子单元,用于对引用资源进行语法分析以获取引用资源的标签,其中,标签中包括引用资源的地址;以及第二获取子单元,用于获取标签中的引用资源的地址。进一步地,上述装置还包括第二判断单元,用于判断地址是否为第一服务器内部的地址;以及第二允许单元,用于当地址是第一服务器内部的地址时,允许第一服务器引用来自第一服务器内部的引用资源。进一步地,上述装置还包括第一终止单元,用于当引用资源不是来自第二服务器时,终止访问者与第一服务器之间的连接。进一步地,上述装置还包括第二获取单元,用于当引用资源不是来自第二服务器时,获取地址黑名单;第三判断单元,用于判断引用资源的地址是否在地址黑名单中;第二终止单元,用于当引用资源的地址在地址黑名单中时,终止访问者与第一服务器之间的连接;以及第三允许单元,用于当引用资源的地址不在地址黑名单中时,允许第一服务器引用来自第二服务器的引用资源。通过本发明,由于采用了管理员设置的白名单,可以准确判定哪些服务器是安全的,引用这些白名单中的服务器的引用资源,可以确保阻止木马病毒的攻击,因此解决了现有技术中无法准确阻止木马病毒的问题,进而达到了准确阻止木马病毒的效果。
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图I是根据本发明实施例的木马病毒的阻止装置的结构框图2是根据本发明实施例的木马病毒的阻止方法的流程图;以及图3是根据本发明优选实施例的木马病毒的阻止方法的流程图。
具体实施例方式需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。本发明实施例提供了一种木马病毒的阻止装置,以下对本发明实施例所提供的木马病毒的阻止装置进行介绍。图I是根据本发明实施例的木马病毒的阻止装置的结构框图。如图I所示,该木马病毒的阻止装置包括第一获取单元11、第一判断单元12和第一允许单元13。 第一获取单元11用于获取第一服务器发送给客户端的引用资源的地址。在本实施例中,第一服务器就是管理员需要保护的服务器,第一获取单元11可以通过语法分析的获取到引用资源的地址。具体的,第一获取单元11包括第一获取子单元和第二获取子单元。第一获取子单元用于对引用资源进行语法分析以获取引用资源的标签,其中,标签中包括引用资源的地址。第二获取子单元用于获取标签中的引用资源的地址。第一判断单元12用于判断地址对应的引用资源是否来自第二服务器,其中,第二服务器的名称在管理员设置的白名单中。本实施例中的第二服务器是指白名单中的服务器,第一判断单元12会将获取到的地址与白名单中的服务器进行比对,根据获取到的地址是否在白名单的服务器中来判断地址对应的资源是不是第二服务器中的资源。第一允许单元13用于当地址对应的引用资源来自第二服务器时,允许第一服务器引用来自第二服务器的引用资源。在本实施例中,由于采用了管理员设置的白名单,可以准确判定哪些服务器是安全的,引用这些白名单中的服务器的引用资源,可以确保阻止木马病毒的攻击,因此解决了现有技术中无法准确阻止木马病毒的问题,进而达到了准确阻止木马病毒的效果。对于引用资源的地址就在第一服务器内的情况,本实施例进行了相应地设置,优选地,上述装置包括第二判断单元和第二允许单元。第二判断单元用于判断地址是否为第一服务器内部的地址。第二允许单元用于当地址是第一服务器内部的地址时,允许第一服务器引用来自第一服务器内部的引用资源。为了减小木马病毒的阻止装置的工作量,对于地址不在第二服务器的引用资源,可以直接进行阻断,优选地,上述装置还包括第一终止单元。第一终止单元用于当引用资源不是来自第二服务器时,终止访问者与第一服务器之间的连接。为了确保阻止木马的准确性,对于地址不在第二服务器的引用资源,可以进行进一步确认,优选地,上述装置还包括第二获取单元、第三判断单元、第二终止单元和第三允许单元。
第二获取单元用于当引用资源不是来自第二服务器时,获取地址黑名单;第三判断単元用于判断引用资源的地址是否在地址黑名单中;第二终止单元用于当引用资源的地址在地址黑名单中时,終止访问者与第一服务器之间的连接;以及第三允许单元用于当引用资源的地址不在地址黑名单中时,允许第一服务器引用来自第二服务器的引用资源。本发明实施例还提供了一种木马病毒的阻止方法,该方法可以基于上述的装置来执行。图2是根据本发明实施例的木马病毒的阻止方法的流程图。如图2所示,该木马病毒的阻止方法包括如下的步骤S202至步骤S204。 步骤S202,防火墙获取第一服务器发送给客户端的引用资源的地址。通过多种技术都可以获取引用资源的地址,最常用的是通过语法分析的方法。防火墙对引用资源进行语法分析以获取引用资源的标签,其中,标签中包括引用资源的地址。客户端在Web服务器上即第一服务器上浏览时,对于服务器返回给客户端的页面,既包括HTML文件(包含动态页面的执行結果),也包括CSS文件。本实施例对其进行语法分析=HTML文件通过HTML语法分析器进行分析,CSS文件通过CSS语法分析器进行分析,并把分析结果还原成HTML/CSS的语法树。通过使用语义分析器,可以从HTML/CSS的语法树中找到存在对外引用的标签,例如 <link>、くiframe>、<object>、<form>、くscript〉、くstyle〉等等。此时,防火墙可以获取标签中的引用资源的地址。在本实施例中可以是得到其引用资源的URL。本实施例中的步骤S202与步骤S204之间,防火墙可以先判断地址是否为第一服务器内部的地址。当地址是第一服务器内部的地址时,防火墙允许第一服务器引用来自第一服务器内部的引用资源。即,如果中得到的URL是对本服务器内部资源的引用,则认为该引用是合法的。步骤S204,防火墙判断地址对应的引用资源是否来自第二服务器,其中,第二服务器的名称在管理员设置的白名单中。Web服务器的管理员需要根据自己所管理的Web服务器上的页面特征,创建ー份允许对外资源引用的而且可信任的外部服务器白名単。例如,某管理员管理的站点是www. aaa. com。在这个站点上的,有ー些页面,会统一引用www. bbb. com/style/common, css里的文件,即在www. aaa. com下的页面代码中,都会包含如下的 HTML 标签〈link href =”www. bbb. com/style/common, css” type=” text/css,,>。此时www. aaa. com对外引用白名单的设置为www. bbb. com/style/common, css或者也可以设置为www. bbb. com 或 www. bbb. com/style/同一份白名单下可以有多条类似的设置,用以表示多个合法的对外引用。假如,针对www. aaa. com服务器创建白名单为
www. bbb. com/style/客户端浏览http://www. aaa. com/test. asp id=l页面中包含如下标签<link href = http://www. bbb. com/style/common, css,,type=,,text/css,,>此时,对外引用链接http://www. bbb. com/ style/common, css文件会命中白名单,它是合法的对外引用。再例如,http://www. aaa. com/test. asp id=l中包含以下标签<link href = http://www. bbb. com/style/sub/common. css,,type=,,text/css,,>依然会命中白名单,它依然是合法的对外引用。但是,以下 的HTML标签不会命中白名单<link href = http://www. bbb. com/common, css,,type=,,text/css,,>,因为白名单中个包括 www. bbb. com/common, css。对于没有命中白名单的对外引用,可以按照以下两种策略模式处理第一种是激进策略,在该策略中,没有命中白名単,即被认为是恶意的,直接按照配置终止访问者与服务器之间的连接并记录日志。例如,对当前客户端访问的WWW. aaa.com/test. asp id=l的连接可以直接阻断。即,当引用资源不是来自第二服务器时,防火墙终止访问者与第一服务器之间的连接。第二种是保守策略,在该策略中,对没有命中白名单的对外链接,提交恶意URL库进行匹配,只有命中恶意URL库后,才会终止访问者与服务器之间的连接并记录日志,否则视为合法的对外引用予以放行。即,当引用资源不是来自第二服务器时,防火墙获取地址黑名単。防火墙判断引用资源的地址是否在地址黑名单中。当引用资源的地址在地址黑名单中时,防火墙终止访问者与第一服务器之间的连接。当引用资源的地址不在地址黑名单中时,防火墙允许第一服务器引用来自第二服务器的引用资源。步骤S206,当地址对应的引用资源来自第二服务器吋,防火墙允许第一服务器引用来自第二服务器的引用资源。即,如果中得到的URL对应的服务器的名称在白名单上,则防火墙认为该资源引用是合法的对外引用。图3是根据本发明优选实施例的木马病毒的阻止方法的流程图,如图3所示,该阻止方法包括如下的步骤S302至步骤S318,且该方法的执行主体可以是防火墙。步骤S302,获取第一服务器发送给客户端的引用资源的标签。步骤S304,获取该标签中的地址。步骤S306,判断该地址是否来自第一服务器,如果是,执行步骤S308 ;如果否,执行步骤S310。步骤S308,允许第一服务器弓I用内部的引用资源。步骤S310,判断该地址是否来自白名单中的第二服务器,如果是,执行步骤S312 ;如果否,执ィ了步骤S314。步骤S312,允许第一服务器引用来自第二服务器的引用资源。步骤S314,判断该地址的链接是否在黑名单,即恶意URL库中,如果是,执行步骤S316 ;如果否,执行步骤S318。步骤S316,終止访问者与第一服务器之间的连接。步骤S318,允许第一服务器引用来自第二服务器的引用资源。从以上的描述中,可以看出,通过本实施例一方面可以控制对外资源引用,另一方面可以保护网站的用户不受链接式挂马的攻击。需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种木马病毒的阻止方法,其特征在于,包括 所述防火墙获取第一服务器发送给客户端的引用资源的地址; 所述防火墙判断所述地址对应的引用资源是否来自第二服务器,其中,所述第二服务器的名称在管理员设置的白名单中;以及 当所述地址对应的引用资源来自所述第二服务器时,所述防火墙允许所述第一服务器引用来自所述第二服务器的引用资源。
2.根据权利要求I所述的木马病毒的阻止方法,其特征在于,所述防火墙获取第一服务器发送给客户端的引用资源的地址包括 所述防火墙对所述引用资源进行语法分析以获取所述引用资源的标签,其中,所述标签中包括引用资源的地址;以及 所述防火墙获取所述标签中的引用资源的地址。
3.根据权利要求I所述的木马病毒的阻止方法,其特征在于,在所述防火墙获取第一服务器发送给客户端的引用资源的地址之后和所述防火墙判断所述地址对应的引用资源是否来自第二服务器之前,所述方法包括 所述防火墙判断所述地址是否为所述第一服务器内部的地址;以及当所述地址是所述第一服务器内部的地址时,所述防火墙允许所述第一服务器引用来自所述第一服务器内部的引用资源。
4.根据权利要求I所述的木马病毒的阻止方法,其特征在于,在所述防火墙判断所述地址对应的引用资源是否来自所述第二服务器之后,所述方法还包括 当所述引用资源不是来自所述第二服务器时,所述防火墙终止访问者与所述第一服务器之间的连接。
5.根据权利要求I所述的木马病毒的阻止方法,其特征在于,在所述防火墙判断所述地址对应的引用资源是否来自所述第二服务器之后,所述方法还包括 当引用资源不是来自所述第二服务器时,所述防火墙获取地址黑名单; 所述防火墙判断所述引用资源的地址是否在所述地址黑名单中; 当所述引用资源的地址在所述地址黑名单中时,所述防火墙终止访问者与所述第一服务器之间的连接;以及 当所述引用资源的地址不在所述地址黑名单中时,所述防火墙允许所述第一服务器引用来自所述第二服务器的引用资源。
6.一种木马病毒的阻止装置,其特征在于,包括 第一获取单元,用于获取第一服务器发送给客户端的引用资源的地址; 第一判断单元,用于判断所述地址对应的引用资源是否来自第二服务器,其中,所述第二服务器的名称在管理员设置的白名单中;以及 第一允许单元,用于当所述地址对应的引用资源来自所述第二服务器时,允许所述第一服务器引用来自所述第二服务器的引用资源。
7.根据权利要求6所述的木马病毒的阻止装置,其特征在于,所述第一获取单元包括 第一获取子单元,用于对所述引用资源进行语法分析以获取所述引用资源的标签,其中,所述标签中包括引用资源的地址;以及 第二获取子单元,用于获取所述标签中的引用资源的地址。
8.根据权利要求6所述的木马病毒的阻止装置,其特征在于,所述装置还包括 第二判断单元,用于判断所述地址是否为所述第一服务器内部的地址;以及 第二允许单元,用于当所述地址是所述第一服务器内部的地址时,允许所述第一服务器引用来自所述第一服务器内部的引用资源。
9.根据权利要求6所述的木马病毒的阻止装置,其特征在于,所述装置还包括 第一终止单元,用于当所述引用资源不是来自所述第二服务器时,终止访问者与所述第一服务器之间的连接。
10.根据权利要求6所述的木马病毒的阻止装置,其特征在于,所述装置还包括 第二获取单元,用于当引用资源不是来自所述第二服务器时,获取地址黑名单; 第三判断单元,用于判断所述引用资源的地址是否在所述地址黑名单中; 第二终止单元,用于当所述引用资源的地址在所述地址黑名单中时,终止访问者与所述第一服务器之间的连接;以及 第三允许单元,用于当所述引用资源的地址不在所述地址黑名单中时,允许所述第一服务器引用来自所述第二服务器的引用资源。
全文摘要
本发明公开了一种木马病毒的阻止方法及装置,该木马病毒的阻止方法包括防火墙获取第一服务器发送给客户端的引用资源的地址;防火墙判断地址对应的引用资源是否来自第二服务器,其中,第二服务器的名称在管理员设置的白名单中;以及当地址对应的引用资源来自第二服务器时,防火墙允许第一服务器引用来自第二服务器的引用资源。通过本发明,由于采用了管理员设置的白名单,可以准确判定哪些服务器是安全的,引用这些白名单中的服务器的引用资源,可以确保阻止木马病毒的攻击,进而达到了准确阻止木马病毒的效果。
文档编号H04L29/06GK102801741SQ20121031696
公开日2012年11月28日 申请日期2012年8月30日 优先权日2012年8月30日
发明者张斌, 常磊 申请人:山石网科通信技术(北京)有限公司