[发明专利]一种检测堆喷射型网页木马的方法和装置

说明书

【技术领域】

本发明涉及计算机安全技术领域，特别涉及一种检测堆喷射型网页木马的方法和装置。

【背景技术】

随着计算机技术的不断发展，计算机网络已经成为人们获取信息的主要工具，随之而来的是对计算机安全技术需求的不断提高。计算机病毒、木马、间谍软件和恶意代码是近几年来计算机网络面对的主要安全威胁，其中堆喷射(Heap Spraying)型网页木马是近期出现的一种新型木马，堆喷射型网页木马因其通用性强、生成恶意网页简单而被广泛的采用，目前已占网页木马的90％左右，因此堆喷射型网页木马的检测已是迫在眉睫的任务。

现有检测堆喷射型网页木马的方式为：监控javascript脚本引擎的内存分配函数，如果检测到内存分配函数为某个写操作分配了一块过大的内存，则判定为堆喷射网页木马，然而现有技术的该方式监控内存分配函数容易导致误报，将正常的写内存误报为木马，且仅针对javascprit脚本，适用范围较窄。

【发明内容】

本发明提供了一种检测堆喷射型网页木马的方法和装置，用以提高检测准确率，扩大适用范围。

具体技术方案如下：

一种检测堆喷射型网页木马的方法，该方法包括：

S1、解析待检测网页的脚本，在解析过程中通过挂函数钩子监测所述待检测网页的脚本变量，如果监测到所述待检测网页的脚本变量的长度超过预设的长度阈值，则执行步骤S3；

S3、对所述长度超过预设长度阈值的脚本变量的内容进行反汇编检测，如果不能顺利反汇编，则转至所述步骤S1继续解析所述待检测网页的脚本，如果能够顺利反汇编，则认为检测到喷射特性，执行步骤S4；

S4、确定检测到堆喷射型网页木马。

根据本发明一优选实施例，在所述步骤S1之前还包括：

S0：新建一个浏览器IE控件进程，针对预设类型脚本中导致脚本变量变化的操作挂上函数钩子。

根据本发明一优选实施例，在所述步骤S1和所述步骤S3之间还包括：

S2、对所述长度超过长度阈值的脚本变量内容进行重复性检测，如果检测到重复性达到预设重复性要求，则执行所述步骤S3；否则，转至所述步骤S1继续解析所述待检测网页的脚本。

根据本发明一优选实施例，所述重复性检测为：

对所述长度超过长度阈值的脚本变量的有效存储空间内容进行检测，如果所述有效存储空间内容中存在数据连续重复出现，且连续重复出现的次数超过预设的次数阈值，则认为重复性达到预设重复性要求。

根据本发明一优选实施例，在所述步骤S3中如果能够顺利反汇编，则对所述长度超过预设长度阈值的脚本变量的内容重新进行一次反汇编检测，如果不能顺利反汇编，则转至所述步骤S1继续解析所述待检测网页的脚本，如果仍能够顺利反汇编，则认为检测到喷射特性。

根据本发明一优选实施例，所述步骤S3中在反汇编过程中如果发生了指令解析错误、反汇编代码中存在分支跳转指令或反汇编代码操作了不可预知的高地址内存中的至少一种，则确定不能顺利反汇编；否则确定能够顺利反汇编。

根据本发明一优选实施例，在反汇编检测时，从所述长度超过预设长度阈值的脚本变量的有效存储空间中随机选择一个地址开始进行反汇编。

根据本发明一优选实施例，在所述步骤S1之前还包括：初始化喷射计数值；

在所述步骤S3中认为检测到堆喷射特性时，将所述喷射计数值进行自加；

在执行所述步骤S4之前还包括：判断当前的喷射计数值是否达到预设的计数阈值，如果是，继续执行所述步骤S4；否则，转至所述步骤S1继续解析所述待检测网页的脚本。

根据本发明一优选实施例，在所述步骤S4中采用发出警报、上报检测信息或者将所述待检测网页加入恶意网页库中的至少一种处理方式。

一种检测堆喷射型网页木马的装置，该装置包括：

脚本解析单元，用于解析待检测网页的脚本，在解析过程中通过挂函数钩子监测所述待检测网页的脚本变量，如果检测到所述待检测网页的脚本变量的长度超过预设的长度阈值，则触发反汇编检测单元；

反汇编检测单元，用于受到触发后，对所述长度超过预设长度阈值的脚本变量的内容进行反汇编检测，如果不能顺利反汇编，则触发所述脚本解析单元继续解析所述待检测网页的脚本，如果能够顺利反汇编，则认为检测到喷射特性，触发结果确输出单元；

结果输出单元，用于受到触发后，确定检测到堆喷射型网页木马。