[发明专利]木马病毒的阻止方法及装置

说明书

技术领域

本发明涉及互联网领域，具体而言，涉及一种木马病毒的阻止方法及装置。

背景技术

随着以高交互性为主要特点的Web 2.0技术的推广，很多Web站点允许用户上传文件，随之而来的是Web服务器挂马（被安装木马病毒）越来越威胁Web服务器和客户端浏览器的安全。从Web服务器木马的种类区分有两种形式，一种是服务器木马，一种是客户端木马。服务器木马通常是一个可以在Web服务器上被动态执行的恶意脚本或恶意可执行程序。客户端木马通常是恶意的浏览器程序，它可以是一段Javascript脚本、恶意Java Applet小程序或恶意浏览器插件。Web服务器挂马，通常是借助某些其他的漏洞实现，例如SQL注入漏洞、跨站漏洞、上传漏洞等。

现有技术中在服务器上安装反病毒软件，通过对服务器上文件的监控和扫描，发现恶意代码。当攻击者上传恶意文件的时候，由杀毒软件发现并响应。

该技术的缺点是杀毒软件是基于已知病毒样本的，对未知恶意代码缺乏有效的抵抗手段。现在攻击者在制作恶意程序的时候，通常会使用主流的杀毒软件进行测试，通过各种混淆手段做到杀毒软件的免杀。这样，杀毒软件在应对文件病毒的时候作用有限。如果攻击者上传的恶意代码没有保存成文件，而是利用数据库保存（或者干脆存储在内存中），基于文件的杀毒软件将无法检测。而且，杀毒软件严重消耗服务器计算资源和性能，特别是对IO读写非常频繁的Web服务器更是如此。很多情况下，针对Web服务器的挂马，仅仅是在受害服务器的页面上添加一个包含恶意内容的HTML标签（例如<link>、<iframe>等等），真正的恶意软件实体并没有存放在受害服务器上。此时，服务器杀毒软件没有能力发现恶意内容。

针对现有技术中无法准确阻止木马病毒的问题，目前尚未提出有效的解决方案。

发明内容

本发明提供了一种木马病毒的阻止方法及装置，以至少解决现有技术中无法准确阻止木马病毒的问题。

为了实现上述目的，根据本发明的一个方面，提供了一种木马病毒的阻止方法。

根据本发明的木马病毒的阻止方法包括：防火墙获取第一服务器发送给客户端的引用资源的地址；防火墙判断地址对应的引用资源是否来自第二服务器，其中，第二服务器的名称在管理员设置的白名单中；以及当地址对应的引用资源来自第二服务器时，防火墙允许第一服务器引用来自第二服务器的引用资源。

进一步地，防火墙获取第一服务器发送给客户端的引用资源的地址包括：防火墙对引用资源进行语法分析以获取引用资源的标签，其中，标签中包括引用资源的地址；以及防火墙获取标签中的引用资源的地址。

进一步地，在防火墙获取第一服务器发送给客户端的引用资源的地址之后和防火墙判断地址对应的引用资源是否来自第二服务器之前，上述方法包括：防火墙判断地址是否为第一服务器内部的地址；以及当地址是第一服务器内部的地址时，防火墙允许第一服务器引用来自第一服务器内部的引用资源。

进一步地，在防火墙判断地址对应的引用资源是否来自第二服务器之后，上述方法还包括：当引用资源不是来自第二服务器时，防火墙终止访问者与第一服务器之间的连接。

进一步地，在防火墙判断地址对应的引用资源是否来自第二服务器之后，上述方法还包括：当引用资源不是来自第二服务器时，防火墙获取地址黑名单；防火墙判断引用资源的地址是否在地址黑名单中；当引用资源的地址在地址黑名单中时，防火墙终止访问者与第一服务器之间的连接；以及当引用资源的地址不在地址黑名单中时，防火墙允许第一服务器引用来自第二服务器的引用资源。

为了实现上述目的，根据本发明的另一个方面，提供了一种木马病毒的阻止装置，该装置用于执行本发明提供的任意一种木马病毒的阻止方法。

根据本发明的另一方面，提供了一种木马病毒的阻止装置。该木马病毒的阻止装置包括：第一获取单元，用于获取第一服务器发送给客户端的引用资源的地址；第一判断单元，用于判断地址对应的引用资源是否来自第二服务器，其中，第二服务器的名称在管理员设置的白名单中；以及第一允许单元，用于当地址对应的引用资源来自第二服务器时，允许第一服务器引用来自第二服务器的引用资源。

进一步地，第一获取单元包括：第一获取子单元，用于对引用资源进行语法分析以获取引用资源的标签，其中，标签中包括引用资源的地址；以及

第二获取子单元，用于获取标签中的引用资源的地址。