[发明专利]一种检测网页木马的方法和装置

说明书

技术领域

本发明涉及网络安全技术，尤指一种检测网页木马的方法和装置。

背景技术

所谓网页木马，就是利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。网页木马实际上是一个HTML网页，是木马程序的“种植器”，它通过攻击浏览器或浏览器外挂程序(目标通常是IE浏览器和ActiveX程序)的漏洞，向目标用户机器植入木马、病毒、密码盗取。

目前防范网页木马比较常用的是网页防火墙，网盾，它们一般是采用“特征码”判断的办法。当提交HTTP请求并返回数据包时，检测是否存在已知的攻击代码，当存在已知的攻击代码时，则阻止其下载及运行。

但是，由于漏洞是层出不穷的，而根据漏洞的不同，恶意代码也在时时的发生变化，这样攻击防范的措施永远滞后于黑客发现漏洞并挂马的那一刻，并不能对网页木马进行有效的检测。

发明内容

有鉴于此，本发明的主要目的在于提供一种检测网页木马的方法和装置，应用本发明所提供的方法和装置能够实现对网页木马的有效检测。

为达到上述目的，本发明的技术方案是这样实现的：

一种检测网页木马的方法，该方法包括：

截获浏览器接收的传输控制协议(Transmission Control Protocol，TCP)包；

检测截获的TCP包中是否携带PE文件，当携带PE文件时，向用户提示存在下载PE文件的操作，接收用户返回的指示；当用户指示下载时，则允许下载该PE文件；当用户拒绝下载时，则拒绝下载该PE文件。

一种检测网页木马的装置，该装置包括截获单元、检测单元和用户接口单元；

所述截获单元，用于截获浏览器接收的TCP包；

所述检测单元，用于检测所述截获单元截获的TCP包中是否携带PE文件，如果携带PE文件，则通过所述用户接口单元向用户提示存在下载PE文件的操作，通过所述用户接口单元接收用户返回的指示；当用户指示下载时，则运行下载该PE文件；当用户拒绝下载时，则拒绝下载该PE文件；

所述用户接口单元，用于提供所述检测单元与用户的接口。

本发明所提供的一种检测网页木马的方法和装置，为了能够对网页木马进行有效的检测，对接收到的TCP包进行监控，当发现有PE文件下载到电脑上时则提示用户，保证用户的安全。本发明的技术方案提供了一种积极、有效的检测网页木马的技术方案，能够迅速发现网页木马，实现对网页木马的有效检测。采用本发明的技术方案，即使在用户没打相关补丁以及没有安装杀毒软件的情况下，也能够确保浏览挂马网站时弹出提示，以便用户进行操作。本发明以最简洁的方式实现最复杂的功能。

附图说明

图1为本发明方法的示例性流程图；

图2为本发明装置的示例性流程图；

图3为本发明实施例方法的示例性流程图；

图4为现有技术的一效果图；

图5为现有技术的又一效果图；

图6为本发明实施例所使用的一软件界面；

图7为本发明实施例的一效果图；

图8为本发明实施例的又一效果图；

图9为本发明实施例的再一效果图。

具体实施方式

在本部分的详细描述中，仅通过对实施本发明的发明者所预期的最佳方式的示例，示出并描述了本发明的较佳实施例。应意识到，可以在不背离本发明的前提下，就各个显而易见的方面对其进行修改。相应地，附图和说明书应被视为在本质上是示例性的，而不是限制性的。

通过长期的分析、研究可以发现几乎所有的木马病毒都是可移植的执行体(PE，Portable Execute)文件。常见的PE文件包括EXE、DLL、OCX、SYS、COM。攻击者通过将携带木马病毒的PE文件下载到电脑上，来实施木马攻击。因此，为了能够对网页木马进行有效的检测，可以对接收到的数据包进行监控，当发现有PE文件下载到电脑上，则认为其为木马病毒的可能大，向用户提示。

具体可参见图1，图1为本发明方法的示例性流程图。在步骤101中，截获浏览器接收的数据包；在步骤102中，检测截获的数据包中是否携带PE文件，当携带PE文件时，向用户提示存在下载PE文件的操作。

由于用户非常清楚自身当前执行的所有操作，用户能够准确的判断哪些是非法下载的PE文件，哪些是合法下载的PE文件，从而能够更加有效的对网页木马进行检测。因此本发明还可以进一步接收用户返回的指示；当用户指示下载时，则允许下载该PE文件；当用户拒绝下载时，则拒绝下载该PE文件。