[发明专利]网站源代码恶意链接注入监控方法及装置

说明书

技术领域

本发明涉及网站安全技术，尤其涉及一种网站源代码恶意链接注入监控方法及装置。

背景技术目前一种被普遍采用的传播病毒的方式是首先利用操作系统或第三方应用漏洞来获取系统的写权限,然后注入恶意的重定向网址到合法网站的页面代码中。如何检测网站是否被感染，目前的方案主要是：从外部抓取（crawling）网站内容，然后扫描页面内容是否有恶意代码。这类方法比较典型，如：symantec的safeweb技术，McAfee的siteadvisor技术等。基于抓取技术的外部检测系统，存在着非实时性、漏报、误报等问题。病毒的传播性很强，可以在短时间内感染大量的网站，而从外部抓取网站内容无法在短时间内将所有网站内容抓取下来，故无法实时检测网站的安全性；这样会导致已经感染的页面因为非实时性而被误报为仍然安全，导致误报。

目前的网站的开发方式基本上为少量的源代码动态加载大量的数据库内容，对于数据库内容的安全性，如防止SQL注入、XSS跨站攻击，目前都有较成熟的解决方案，而对源代码的保护却不够，而这部分也正是恶意网址注入的攻击点之一。

发明内容

有鉴于此，有必要提供一种网站源代码恶意链接注入监控方法及装置，其可提升网站源代码的安全性。

一种网站源代码恶意链接注入监控方法，包括：监控对网站源代码文件的修改操作并获取变更的代码片段；分析所述变更的代码片段以抽取出外部链接；判断所述外部链接是否为可疑或者恶意链接；以及若检测到所述可疑或者恶意链接则发出警告消息。

一种网站源代码恶意链接注入监控装置，包括：代码监控单元，用于监控对网站源代码文件的修改操作并获取变更的代码片段；链接抽取单元，用于分析所述变更的代码片段以抽取出外部链接；链接分析单元，用于判断所述外部链接是否为可疑或者恶意链接；以及安全警告单元，用于若检测到所述可疑或者恶意链接则发出警告消息。

上述的网站源代码恶意链接注入监控方法及装置可实时监控源代码的变更内容，如果包含一些危险的外部链接元素，则立即发出警告给系统管理员，从而能够实时监控网站的安全性，进而有效的阻止了通过利用操作系统或第三方应用漏洞获取系统写权限后注入恶意的重定向网址到合法网站的页面代码中这样一类常见的病毒传播方式。

相比于传统的外部抓取方式，可以做到实时保护，避免了在等待被抓取的期间恶意链接的传播。此外，由于网站源代码文件有限，并且相对来说变更的频率较低，故本实施例的方法对系统的性能影响较低。

为让本发明的上述和其他目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附图式，作详细说明如下。

附图说明

图1为第一实施例提供的一种网站源代码恶意链接注入监控方法流程图。

图2为第二实施例提供的一种网站源代码恶意链接注入监控装置流程图。

具体实施方式

为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效，以下结合附图及较佳实施例，对依据本发明的具体实施方式、结构、特征及其功效，详细说明如后。

实施例1

参阅图1，第一实施例提供一种网站源代码恶意链接注入监控方法，上述的监控方法包括：

步骤S110、监控对网站源代码文件的修改操作并获取变更的代码片段。

一般来说，网站源代码文件会存储在一个或多个目录下，通过实时监控这些目录下的源代码文件，当有变更的时候，抽取变更的代码段。例如，首先可将网站源代码文件进行备份，并对所有备份源代码文件建立索引，存储其修改时间。然后通过比较监控的目录下源代码文件的修改时间与备份的源代码文件的修改时间即可获知源代码文件是否已经被修改。进一步地，比较两个版本的内容即可提取出变更的代码片段。

此外，可以理解，监控源代码文件的修改并不限于上述方法，例如，还可通过监测系统对磁盘的写操作，并在检测对网站源代码目录内的文件进行写操作时直接获取变更的代码片段。

步骤S120、分析所述变更的代码片段以抽取出外部链接。

变更的代码片段可能是采用不同的编程语言例如HTML、Javascripts、或者PHP等编写完成的。而不同的编程语言具有不同的语法，需要分别进行分析。具体地，步骤S120例如可包括：根据变更的代码片段所采用的编程语言加载相应的代码分析器；以及采用该代码分析器解析所述代码片段以抽取出所述外部链接。例如，采用文件物件模型（Document ObjectModel,DOM）加载分析HTML格式的代码片段以抽取出外部链接。