意程序进行替换。其中,填充字符包括:字母、数字安全字符和/或空白占位符。由此,提高了填充字符的多样性与选择性。
[0062]本发明提出的一种网页防护方法,通过获取网页文件中的图片,检测图片中是否嵌入恶意程序,如果图片中存在恶意程序,则获取图片中恶意程序的位置,并利用填充字符对恶意程序进行替换,从而,及时检测出网站中图片的恶意程序,可对其进行有效的处理,不仅减少了给网站带来的危害的几率,同时提高了网站的安全等级。
[0063]为了更好地理解与应用本发明提出的一种网站防护方法,本发明针对网页中JPEG格式图片进行检测以及查杀恶意程序的具体问题进行示例,且本发明不仅局限以下示例。
[0064]JPEG图像漏洞主要涉及操作系统中一个名为GdiPlus.dll的文件,由于众多软件都调用了这个动态链接库处理JPEG图片,使得该漏洞的涉及面非常广。例如,Windows XPSPUMS 0ffice、QQ2004等。入侵者可以将恶意程序通过这个漏洞原理来插入到图片中,这样存在此漏洞的恶意程序会无条件运行图片中的恶意程序,从而控制受影响的系统。
[0065]从上述所述的JPEG图像的漏洞原理,我们可以看出该漏洞使入侵者的入侵手法有了很大的发挥余地,例如,入侵者可以在图片中插入木马后门等恶意程序,使浏览者在打开图片的同时木马后门等恶意程序已悄悄运行,或者在图片中插入一些第三方连接程序,将修改过的图片作为类似木马服务器进行设置,连接这个图片即可连接后门等恶意程序。
[0066]具体地,将木马后门等恶意程序插入到图片中,这样浏览者只要一打开含有图片的网页、邮件等,就会自动打开图片,同时也就运行了木马后门等恶意程序,这是最典型的漏洞利用方法。例如,利用一款工具:JPEG Downloader,它能有效地帮我们将木马文件等恶意程序插入到指定图片文件中,打开它,在Downloader file —栏中填写即将插入的木马等恶意程序的下载地址,填写完毕,双击“make”按钮即可,这样在同目录下即可生成一个图片文件,只不过这是插入了木马等恶意程序代码的。
[0067]进一步地,上述图片文件表面上和寻常图片文件看起来相同,但是一旦打开它,那么就会自动下载并运行先前指定好的木马等恶意程序,且唯一表面上不同的是打开图片不能正常显示,而是以包括但不限于一个红色的X号的显示方式进行显示。
[0068]更进一步地,由于JPEG图像漏洞主要涉及操作系统中一个名为GdiPlus.dll的文件,而众多软件都调用了这个动态链接库处理JPEG图片,使得该漏洞的涉及面非常广,所以针对JPEG图像漏洞如何进行后门等恶意程序的查杀,本发明提出了一种网站防护方法。
[0069]具体地,对网站的网站日志文件通过⑶N(Content Delivery Network,内容分发网络)记录,并进行分析,识别出网站的日志文件中的每条日志数据并进行进一步分析。其中,网站的日志数据包括:host、时间、IP地址、URL(Uniform Resource Locat1n,统一资源定位符)、网页参数等信息,可将检测网站的日志数据的网页参数提取出来,获取网页文件。
[0070]进一步地,将网页文件与预先存储在数据库中的网页文件进行比对。具体地,统计网站每个网页的访问频度,即一段时间内的访问量PV,将访问频度低于预设访问频度阈值的网页文件识别为可疑网页文件,其中,访问频度异常权值与网页文件的访问频度成反比,即访问频度越小,访问频度异常权值越大,反之,访问频度越大,则访问频度异常权值越小;和/或统计网站每个网页的访问来源数,将访问来源数低于预设访问来源数阈值的网页文件识别为可疑网页文件,其中,访问来源异常权值与网页文件的访问来源数成反比,即访问来源数越小,访问来源异常权值越大,反之,访问来源数越大,则访问来源异常权值越小;和/或分时段统计网站每个网页的访问量,将分时段访问量超出预设分时段访问量阈值的次数大于规定次数的网页文件识别为可疑文件,并计算可疑网页文件的分时段访问异常权值。
[0071]例如,按照一定时间段对网页日志进行分析,例如,按照天来进行分析,一般所有文件的访问量和高峰期是有明显规律的,如果是用户访问的话,就会按照时间有坡度的升降,如果是机器自动访问,则文件的访问会有固定的时间点,只有后门文件、木马、病毒等恶意程序的访问是无序的。因此,可以通过分时段地统计访问量来检测,根据实际应用情形设置分时段阈值,对于分时段访问量超出分时段阈值的次数大于规定次数的网页文件,可将其识别为可疑网页文件。例如,分为12个时段,每个时段设置不同的分时段阈值,规定超过分时段阈值的次数应该小于3次,当网页文件有超过3个时段的访问量超出对应时段的分时段阈值时,则将上述网页识别为可疑网页。
[0072]进一步地,将可疑网页文件与预先存储在数据库中的网页文件进行比对,若网页文件中的图片与预先存储在数据库中的图片不同,则获取网页中的图片,由此,提高了获取网页文件中图片的高效性与准确性。
[0073]进一步地,检测图片中是否嵌入恶意程序。具体地,加载恶意程序规则库;使用规则库中的规则对图片进行匹配。由此,提高了获取图片中嵌入恶意程序的准确性。
[0074]进一步地,获取网页中的图片属性信息;根据图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度;将属性异常度大于预设异常度阈值的图片判断为嵌入恶意程序的图片。
[0075]更进一步地,根据图片属性信息中的图片创建时间和/或图片权限,确定图片的属性异常度,进一步包括:根据图片创建时间确定图片的属性异常度为:计算图片的创建时间与同网页中其他图片的时间的离散度,确定时间离散度大于预设离散度阈值的图片,并为其赋予创建时间异常权值。其中,时间离散度的计算方法包括但不限于以下方式:
[0076]获取同目录下所有图片的创建时间,按照时间先后排序,计算每个图片的时间离散度。离散度可以采用极差、距离均差的平方和、方差或标准差等数学方法进行计算,由此,提高了获取图片的时间离散度的多样性与准确性。例如,以极差的方式进行计算,可以为:
[0077]当前图片的时间离散度=当前图片的创建时间-同目录下最先创建的图片的创建时间。例如,当前图片的创建时间为某一天的10:30,而同目录下最先创建的图片的创建时间是同一天的10:28,则此时当前图片的时间离散度为2分钟。
[0078]判断每个图片的时间离散度是否超过预设离散度阈值,确定时间离散度大于预设离散度阈值的图片,并为其赋予创建时间异常权值。例如,预设离散度值为5,则认为上述例子中的当前图片为正常图片,否则为异常图片。
[0079]更进一步地,根据图片权限确定图片属性异常度为:判断图片权限是否为默认权限,如果不是,则为图片赋予权限异常权值;根据创建时间异常权值和/或权限异常权值确定图片的属性异常度。即可以理解为判断图片的权限是否为默认权限,如果发现图片权限不是默认权限,则赋予一个常数作为权限异常权值。例如,在Iinux下,图片的默认权限通常为0744。
[0080]更进一步地,如果图片中存在恶意程序,则获取图片中恶意程序的位置,并利用填充字符对恶意程序进行替换。其中,填充字符包括:字母安全字符,例如,a-z或者A-Z、数字安全字符和/或空白占位符。由此,提高了填充字符的多样性与选择性。
[0081]本发明提出的一种网页防护方法,通过获取网页文件中的图片,检测图片中是否嵌入恶意程序,如果图片中存在恶意程序,则获取图片中恶意程序的位置,并利用填充字符对恶意程序进行替换,从而,及时检测出网站中图片的恶意程序,可对其进行有效的处理,不仅减少了给网站带来的危害的几率,同时提高了网站的安全等级。本发明还公开了一种网页防护装置。
[0082]如图2所示,本发明提出的一种网站防护装置10,包括:图片获取模块101、恶意程序检测模块102、恶意程序位置获取模块103以及字符替换模块104。
[0083]具体地,图片获取模块101用于获取网页文件中的图片,其中,图片获取模块101进一步包括:网页文件比对单元用于将网页文件与预先存储的网页文件进行比对;网页中图片获取单元用于若网页文件中的图片与预先存储的网页文件中的图片不同,则获取网页中的图片。由此,提高了获取网页文件中图片的高效性与准确性。
[0084]恶意程序检测模块102用于检测图片中是否嵌入恶意程序,其中,恶意程序检测模块102还包括:恶意程序规则库加载单元用于加载恶意程序规则库;图片匹配单元用于使用规则库中的原则对图片进行匹配。由此,提高了获取图片中嵌入恶意程序的准确性。
[0085]更进一步地,恶意程序