一种网页异常脚本检测方法及系统.pdf

摘要
申请专利号：	CN201210578161.X	申请日：	2012.12.27
公开号：	CN103425931A	公开日：	2013.12.04
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|著录事项变更IPC(主分类):G06F 21/56变更事项:申请人变更前:北京安天电子设备有限公司变更后:北京安天网络安全技术有限公司变更事项:地址变更前:100080 北京市海淀区中关村大街1号海龙大厦14层1415室变更后:100080 北京市海淀区闵庄路3号清华科技园玉泉慧谷一期1号楼\|\|\|实质审查的生效IPC(主分类):G06F 21/56申请日:20121227\|\|\|公开
IPC分类号：	G06F21/56(2013.01)I; H04L29/06	主分类号：	G06F21/56
申请人：	北京安天电子设备有限公司
发明人：	肖新光; 邱勇良; 童志明; 李柏松
地址：	100080 北京市海淀区中关村大街1号海龙大厦14层1415室
优先权：
专利代理机构：		代理人：
PDF下载：	PDF下载

内容摘要

本发明公开了一种网页异常脚本检测方法及系统，首先，获取网络数据包，对网络数据包进行协议解码，提取出网页内容；扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本为异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网页脚本为异常脚本，否则所述网页脚本不是异常脚本。从而，完成对于未知网页异常脚本的检测，提高检测效率。

权利要求书

1.  一种网页异常脚本检测方法，其特征在于，包括：
获取网络数据包，对网络数据包进行协议解码，提取出网页内容；
扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网页脚本是异常脚本，否则所述网页脚本不是异常脚本。

2.  如权利要求1所述的方法，其特征在于，将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。

3.  如权利要求1所述的方法，其特征在于，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。

4.  如权利要求2或3所述的方法，其特征在于，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。

5.  一种网页异常脚本检测系统，其特征在于，包括：
提取模块，用于获取网络数据包，对网络数据包进行协议解码，提取出网页内容；
判定模块，用于扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网页脚本是异常脚本，否则所述脚本不是异常脚本。

6.  如权利要求5所述的系统，其特征在于，将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。

7.  如权利要求5所述的系统，其特征在于，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。

8.  如权利要求6或7所述的系统，其特征在于，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。

说明书

一种网页异常脚本检测方法及系统
技术领域
本发明涉及网络安全技术领域，尤其涉及一种网页异常脚本检测方法及系统。
背景技术
目前，网络应用越来越丰富，网页的使用和视觉效果离不开网页中内嵌的脚本。然而，普通用户上网所使用的浏览器，由于各种原因，可能存在这样或者那样的漏洞。黑客常常通过在网页中内嵌恶意脚本利用这些漏洞，触发恶意脚本的执行，达到传播恶意代码的目的，谋取非法利益。
恶意脚本编写者为了逃避反病毒软件的检测，利用脚本解释器的特点，对代码进行不同的编码转换，加塞各种无效字符等操作，即通常所说的代码加花，经过这个处理之后，并不影响实际的执行效果。比如，在脚本的起始标志或者结束标志中，添加空格、回车、换行、tab等字符，让以<script>为开始标志，以</script>为结束标志的脚本提取方法失效，这在一定程度上影响脚本病毒的检出率。
发明内容
针对上述技术问题，本发明提供了一种网页异常脚本检测方法及系统，本方法认为检测出异常编码的网页脚本是异常脚本，所以其解决了脚本提取方法失效，从而影响病毒检出率的问题。
本发明采用如下方法来实现：一种网页异常脚本检测方法，包括：
获取网络数据包，对网络数据包进行协议解码，提取出网页内容；
其中，获取网络数据包的方法可以为：pcap捕包、零拷贝捕包或者专用网卡捕包；所述对网络数据包进行协议解码，提取出网页内容可以为：根据TCP协议的端口信息或者传输层负载的起始内容是否为HTTP的起始关键词（如：get、post、http等）来识别HTTP协议，并对HTTP连接的服务器应答内容进行协议解码，提取出网页内容。
扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网页脚本是异常脚本，否则所述网页脚本不是异常脚本。
其中，所述扫描所述网页内容，找出网页脚本的起始标志和结束标志的方法为：在html网页中内嵌脚本的起始标志和结束标志分别为<script和</script>，在实际的网页代码中，浏览器的兼容性可以允许出现一些变形，比如中间夹杂空格等字符，使用有限自动机的搜索，忽略无效字符，还原变形后数据；
其中，所述提取网页脚本内容包括：如果脚本的内容在多个包中，则需要缓存这些包，按顺序重组后，提取脚本内容
其中，所述起始标志和/或结束标志异常包括：标志中夹杂大量的多余字符或者大小写混杂。
其中，所述对网页脚本内容进行解码可以利用脚本解释器或者脚本解码模拟器来完成解码工作。例如，脚本使用了转义符来转变，使用%XX编码来转变ASCII码字符，使用%uXXXX编码来转变中文字符，或者使用URI等编码来转化字符，脚本解码模拟器就是执行反向编码转化。
方法中，将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。
方法中，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。
上述方法中，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。
对于已知的恶意脚本样本可以提取其异常的起始标志和/或结束标志，或者脚本内容中的异常编码作为特征字符串加入病毒库，用于检测新提取的网页内容是否存在异常脚本。
本发明所述方法可以用在网页中内嵌脚本文件或者独立脚本文件的检测。
一种网页异常脚本检测系统，包括：
提取模块，用于获取网络数据包，对网络数据包进行协议解码，提取出网页内容；
判定模块，用于扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网页脚本是异常脚本，否则所述脚本不是异常脚本。
系统中，将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。
系统中，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。
系统中，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。
综上所述，本发明提供了一种网页异常脚本检测方法及系统，通过检测网业脚本的起始标志和/或结束标志是否存在异常，若是则所述网页脚本为异常脚本，否则解码网页脚本内容，判断解码前后网页脚本内容的相似性，若相似度低，则所述网页脚本为异常脚本。从而避免了由于恶意代码编写者修改了脚本的起始标志和/或结束标志，从而传统的提取脚本的方法失效，提高了异常脚本的检出率。
附图说明
为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
图1为本发明提供的一种网页异常脚本检测方法流程图；
图2为本发明提供的一种网页异常脚本检测系统结构图。
具体实施方式
本发明给出了一种网页异常脚本检测方法及系统，为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明：
本发明首先提供了一种网页异常脚本检测方法，如图1所示，包括：
S101获取网络数据包，对网络数据包进行协议解码，提取出网页内容；
S102扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则执行S103；
S103提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，并判断相似度是否低于设定值，若是，则所述网页脚本是异常脚本，否则所述网页脚本不是异常脚本。
优选地，将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。
优选地，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。
更为优选地，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。
本发明还提供了一种网页异常脚本检测系统，如图2所示，包括：
提取模块201，用于获取网络数据包，对网络数据包进行协议解码，提取出网页内容；
判定模块202，用于扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网页脚本是异常脚本，否则所述脚本不是异常脚本。
优选地，将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。
优选地，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。
更为优选地，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。
如上所述，本发明给出了一种网页异常脚本检测方法及系统，其与传统方法的区别在于，传统方法通过提取网页脚本，然后针对提取的网页脚本进行是否恶意的检测；本方案检测是否存在异常的脚本起始标志和/或结束标志，若存在则认为所述网页脚本为异常脚本，解决了传统检测方法有时无法成功提取网页脚本的问题。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换，均应涵盖在本发明的权利要求范围当中。

资源描述

《一种网页异常脚本检测方法及系统.pdf》由会员分享，可在线阅读，更多相关《一种网页异常脚本检测方法及系统.pdf（6页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103425931 A(43)申请公布日 2013.12.04CN103425931A*CN103425931A*(21)申请号 201210578161.X(22)申请日 2012.12.27G06F 21/56(2013.01)H04L 29/06(2006.01)(71)申请人北京安天电子设备有限公司地址 100080 北京市海淀区中关村大街1号海龙大厦14层1415室(72)发明人肖新光邱勇良童志明李柏松(54) 发明名称一种网页异常脚本检测方法及系统(57) 摘要本发明公开了一种网页异常脚本检测方法及系统，首先，获取网络数据包，对网络数据包进行协议解码。

2、，提取出网页内容；扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本为异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网页脚本为异常脚本，否则所述网页脚本不是异常脚本。从而，完成对于未知网页异常脚本的检测，提高检测效率。(51)Int.Cl.权利要求书1页说明书3页附图1页(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书1页说明书3页附图1页(10)申请公布号 CN 103425931 ACN 103425931 A1/1页21.一种网页。

3、异常脚本检测方法，其特征在于，包括：获取网络数据包，对网络数据包进行协议解码，提取出网页内容；扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网页脚本是异常脚本，否则所述网页脚本不是异常脚本。2.如权利要求1所述的方法，其特征在于，将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。3.如权利要求1所述的方法，其特征在于，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。4.如权利要求。

4、2或3所述的方法，其特征在于，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。5.一种网页异常脚本检测系统，其特征在于，包括：提取模块，用于获取网络数据包，对网络数据包进行协议解码，提取出网页内容；判定模块，用于扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网页脚本是异常脚本，否则所述脚本不是异常脚本。6.如权利要求5所述的系统，其特征在于，将判断为异常的起始标志和/或结束标志。

5、作为特征字符串加入病毒库。7.如权利要求5所述的系统，其特征在于，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。8.如权利要求6或7所述的系统，其特征在于，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。权利要求书CN 103425931 A1/3页3一种网页异常脚本检测方法及系统技术领域0001 本发明涉及网络安全技术领域，尤其涉及一种网页异常脚本检测方法及系统。背景技术0002 目前，网络应用越来越丰富，网页的使用和视觉效果离不开网页中内嵌的脚本。然而，普通用户上网所使用的浏览器，由于各种原因，可能存在这样或者那样的漏洞。黑。

6、客常常通过在网页中内嵌恶意脚本利用这些漏洞，触发恶意脚本的执行，达到传播恶意代码的目的，谋取非法利益。0003 恶意脚本编写者为了逃避反病毒软件的检测，利用脚本解释器的特点，对代码进行不同的编码转换，加塞各种无效字符等操作，即通常所说的代码加花，经过这个处理之后，并不影响实际的执行效果。比如，在脚本的起始标志或者结束标志中，添加空格、回车、换行、tab等字符，让以为开始标志，以为结束标志的脚本提取方法失效，这在一定程度上影响脚本病毒的检出率。发明内容0004 针对上述技术问题，本发明提供了一种网页异常脚本检测方法及系统，本方法认为检测出异常编码的网页脚本是异常脚本，所以其解决了脚本提取方法失效。

7、，从而影响病毒检出率的问题。 0005 本发明采用如下方法来实现：一种网页异常脚本检测方法，包括：获取网络数据包，对网络数据包进行协议解码，提取出网页内容；其中，获取网络数据包的方法可以为：pcap捕包、零拷贝捕包或者专用网卡捕包；所述对网络数据包进行协议解码，提取出网页内容可以为：根据TCP协议的端口信息或者传输层负载的起始内容是否为HTTP的起始关键词（如：get、post、http等）来识别HTTP协议，并对HTTP连接的服务器应答内容进行协议解码，提取出网页内容。0006 扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本。

8、是异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网页脚本是异常脚本，否则所述网页脚本不是异常脚本。0007 其中，所述扫描所述网页内容，找出网页脚本的起始标志和结束标志的方法为：在html网页中内嵌脚本的起始标志和结束标志分别为，在实际的网页代码中，浏览器的兼容性可以允许出现一些变形，比如中间夹杂空格等字符，使用有限自动机的搜索，忽略无效字符，还原变形后数据；其中，所述提取网页脚本内容包括：如果脚本的内容在多个包中，则需要缓存这些包，按顺序重组后，提取脚本内容其中，所述起始标志和/或结束标志异常包括：标志中夹杂大量的多余字符。

9、或者大小写混杂。说明书CN 103425931 A2/3页40008 其中，所述对网页脚本内容进行解码可以利用脚本解释器或者脚本解码模拟器来完成解码工作。例如，脚本使用了转义符来转变，使用%XX编码来转变ASCII码字符，使用%uXXXX编码来转变中文字符，或者使用URI等编码来转化字符，脚本解码模拟器就是执行反向编码转化。0009 方法中，将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。0010 方法中，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。0011 上述方法中，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。。

10、0012 对于已知的恶意脚本样本可以提取其异常的起始标志和/或结束标志，或者脚本内容中的异常编码作为特征字符串加入病毒库，用于检测新提取的网页内容是否存在异常脚本。0013 本发明所述方法可以用在网页中内嵌脚本文件或者独立脚本文件的检测。0014 一种网页异常脚本检测系统，包括：提取模块，用于获取网络数据包，对网络数据包进行协议解码，提取出网页内容；判定模块，用于扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似度低于设定值，则所述网。

11、页脚本是异常脚本，否则所述脚本不是异常脚本。0015 系统中，将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。0016 系统中，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。0017 系统中，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。0018 综上所述，本发明提供了一种网页异常脚本检测方法及系统，通过检测网业脚本的起始标志和/或结束标志是否存在异常，若是则所述网页脚本为异常脚本，否则解码网页脚本内容，判断解码前后网页脚本内容的相似性，若相似度低，则所述网页脚本为异常脚本。从而避免了由于恶意代码编写者修改了脚本的起始标志。

12、和/或结束标志，从而传统的提取脚本的方法失效，提高了异常脚本的检出率。附图说明0019 为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。0020 图1为本发明提供的一种网页异常脚本检测方法流程图；图2为本发明提供的一种网页异常脚本检测系统结构图。具体实施方式0021 本发明给出了一种网页异常脚本检测方法及系统，为了使本技术领域的人员更好说明书CN 103425931 A3/3页5地理解本发明实施例中的技术方案，。

13、并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明：本发明首先提供了一种网页异常脚本检测方法，如图1所示，包括：S101获取网络数据包，对网络数据包进行协议解码，提取出网页内容；S102扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则执行S103；S103提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，并判断相似度是否低于设定值，若是，则所述网页脚本是异常脚本，否则所述网页脚本不是异常脚本。0022 优选地，将判断为异常的起始标志和/或结。

14、束标志作为特征字符串加入病毒库。0023 优选地，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。0024 更为优选地，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。0025 本发明还提供了一种网页异常脚本检测系统，如图2所示，包括：提取模块201，用于获取网络数据包，对网络数据包进行协议解码，提取出网页内容；判定模块202，用于扫描所述网页内容，找出网页脚本的起始标志和结束标志，并判断所述起始标志和/或结束标志是否异常，若是，则所述网页脚本是异常脚本，否则提取网页脚本内容，并对网页脚本内容进行解码，对比解码前后的网页脚本的相似性，若相似。

15、度低于设定值，则所述网页脚本是异常脚本，否则所述脚本不是异常脚本。0026 优选地，将判断为异常的起始标志和/或结束标志作为特征字符串加入病毒库。0027 优选地，将判断为异常脚本的网页脚本内容中的异常编码作为特征字符串加入病毒库。0028 更为优选地，将病毒库与待检测网页内容进行匹配，若匹配成功，则存在异常脚本，否则不存在异常脚本。0029 如上所述，本发明给出了一种网页异常脚本检测方法及系统，其与传统方法的区别在于，传统方法通过提取网页脚本，然后针对提取的网页脚本进行是否恶意的检测；本方案检测是否存在异常的脚本起始标志和/或结束标志，若存在则认为所述网页脚本为异常脚本，解决了传统检测方法有时无法成功提取网页脚本的问题。 0030 以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换，均应涵盖在本发明的权利要求范围当中。说明书CN 103425931 A1/1页6图1图2说明书附图CN 103425931 A。

展开阅读全文