[发明专利]网站恶意内容检测与认证方法及系统

说明书

技术领域

本发明涉及网络安全领域，尤其涉及网站恶意内容检测与认证方法及系统，用于检测目标网站上是否存在恶意内容，所述目标网站即被检测的网站。

背景技术

目前，网络已被普遍应用，网络上的各个网站为人们获取信息或进行联络提供了极大的方便。但是，使用网络也存在着种种风险，例如，人们在浏览某些网站的网页时可能使自己的电脑感染病毒、在下载文件时也可能同时下载了不希望的病毒或者其它恶意软件。

为了保障网站安全，目前申请号为PCT/US2004/032100的国际申请公开了一种在线服务实时安全认证方法(“METHOD ANDAPPARATUS FOR REAL-TIME SECURITY VERIFICATION OFON-LINE SERVICES”)，其基本原理为：对网站所在服务器系统和相关设备进行漏洞扫描，扫描对象包括网站程序、网站服务器上开启的诸如FTP和数据库服务器的其它服务等等。

然而，申请号为PCT/US2004/032100的国际申请本身存在的主要问题如下：1)只关心网站系统是否存在缺陷/漏洞，而不关心网站是否包含对用户有害的恶意内容，而网站是否存在漏洞是不能与网站是否包含恶意内容划等号的；2)只能对一些已知的缺陷/漏洞进行扫描检测，对未知漏洞无法检测；3)并不是所有已知缺陷/漏洞都有固定特征并可 以进行远程检测，事实上很多漏洞无法进行远程精确扫描检测，因而会造成漏报；4)对网站服务进行扫描可能对网站业务造成不可预测的损害，例如服务器宕机、业务中断，从而使用户无法进行正常访问等等。

然而在实际应用中，并不是所有的漏洞都可以远程检测到，而且即便网站不存在软件和硬件上的漏洞，也有可能因为管理不当或者其它人为因素(比如网站内部某些管理人员蓄意或者无意的违规操作)，导致网站被入侵或者被加入恶意内容，这些都不能够被远程漏洞扫描所检测到。

而且，事实上很多恶意内容链接自其它网站。例如，目前很多用户在浏览网站时或者下载安装软件后，计算机就会感染病毒或被木马软件控制，其根本原因就是，很多网站安全性不够高，被恶意黑客以各种手段入侵，并在网站的网页代码中插入一些链接，指向自己控制的恶意代码，在用户浏览或者下载后，计算机即被感染。又如，随着网络的普及和网上交易的流行，很多以盈利为目的的恶意黑客把目标投向了窃取用户个人敏感资料，如网上银行账号密码、游戏密码、游戏装备及电子邮箱密码等等。而根据安全公司研究表明，目前恶意黑客利用的最多的方式，就是通过入侵网站在网站中加入恶意内容，从而感染和控制访问此网站的用户电脑。黑客加入的恶意内容，可能只是一个超链接，也可能是在用户要下载的软件中直接捆绑木马病毒程序等等。而申请号为PCT/US2004/032100的国际申请对于这些由非漏洞原因引起的服务器内容遭到篡改被加入恶意内容等情况无法进行检测。

保证网络安全的另外一项技术是利用杀毒软件。但杀毒软件只能查杀存在于服务器上的病毒和恶意软件，而根据目前的网络攻击方式和特点，这些病毒和恶意软件往往并不会被存放在目标服务器上，而只是以链接的方式将用户重定向到存在病毒和恶意软件的其它网站，所以杀毒软件对此无从检测。而且，在服务器上安装杀毒软件，通常会对服务器性能造成很大影响。

因此，目前没有针对网站恶意内容进行实时检测并进行认证的方法和系统。

发明内容

鉴于上述问题，本发明的目的在于提供一种网站恶意内容检测方法及系统，以便对目标网站上的恶意内容进行检测认证从而保证网络安全。

因此，本发明提供一种网站恶意内容检测与认证方法：用于检测目标网站中是否存在恶意内容，该方法包括：步骤100，以模拟用户行为的方式来对目标网站上的内容进行采集；步骤200，存储所述采集到的内容；步骤300，对所述存储下来的内容进行分析以检测其中是否存在恶意内容，然后将所述分析结果存储下来，在存在恶意内容的情况下，执行步骤400，而在不存在恶意内容的情况下，执行步骤500；步骤400，将所述存在恶意内容的分析结果反馈给所述目标网站以便目标网站对恶意内容进行相应处理；步骤500，对所述目标网站授予通过认证的标志。

优选地，在步骤300中利用特征匹配方式、智能化启发方式以及授权的杀毒软件中的至少其中一种方式来对所述存储下来的内容进行分析。

进一步地，在步骤300中被分析的内容包括网页、脚本代码、软件、多媒体内容和下载内容中的至少其中一种。

优选地，在步骤300中根据预定的不同检测等级来确定待检测的内容。