一種網(wǎng)頁腳本的識別方法及裝置的制造方法
【專利說明】一種網(wǎng)頁腳本的識別方法及裝置
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及信息安全領(lǐng)域����,具體來說,涉及一種網(wǎng)頁腳本的識別方法及裝置��。
[0003]
【背景技術(shù)】
[0004]網(wǎng)絡(luò)流量異常指網(wǎng)絡(luò)中流量不規(guī)則的顯著變化�,如網(wǎng)絡(luò)短暫擁塞、分布式拒絕服務(wù)攻擊(DDoS�,Distributed Denial ofService)、大范圍掃描等本地事件或者網(wǎng)絡(luò)路由異常等全局事件�。網(wǎng)絡(luò)流量異常的監(jiān)測和分析對網(wǎng)絡(luò)安全應(yīng)急響應(yīng)部門而言非常重要,但是由于宏觀流量異常監(jiān)測比較困難����,需要從大量高維的富含噪聲的數(shù)據(jù)中提取和解釋異常模式,使得對于網(wǎng)絡(luò)異常的監(jiān)測和分析仍然是一個極大的挑戰(zhàn)��。
[0005]針對相關(guān)技術(shù)中的問題�����,目前尚未提出有效的解決方案���。
[0006]
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是提供一種網(wǎng)頁腳本的識別方法及裝置,以克服目前現(xiàn)有技術(shù)存在的上述不足��。
[0008]本發(fā)明的目的是通過以下技術(shù)方案來實現(xiàn):
一種網(wǎng)頁腳本的識別方法,包括如下步驟:
根據(jù)常用的系統(tǒng)命令和數(shù)據(jù)命令�,腳本語言函數(shù),生成敏感參數(shù)特征庫對網(wǎng)頁流量進行深度協(xié)議解析���,提取命令參數(shù)����;
利用向量空間算法將提取到的命令參數(shù)和所述敏感參數(shù)特征庫進行相似性分析����;將相似性分析結(jié)果和閥值進行比較,將相似性結(jié)果大于閥值的參數(shù)信息記錄到敏感參數(shù)特征庫�,并且將該信息標記為黑名單,同時更新敏感參數(shù)特征庫��。
[0009]進一步的����,所述相似性分析結(jié)果和閥值進行比較還包括:
當(dāng)相似性結(jié)果小于閥值時,將參數(shù)信息記錄到敏感參數(shù)特征庫�,并且將該信息標記為白名單。
[0010]其中��,一種網(wǎng)頁腳本識別裝置,其特征在于�,包括數(shù)據(jù)生成單元、深度協(xié)議解析單元��、相似性分析單元以及數(shù)據(jù)處理單元���,其中
數(shù)據(jù)生成單元��,用于根據(jù)常用的系統(tǒng)命令和數(shù)據(jù)命令�����,腳本語言函數(shù)���,生成敏感參數(shù)特征庫;
深度協(xié)議解析單元�,用于對網(wǎng)頁流量進行深度協(xié)議解析,提取命令參數(shù)����;
相似性分析單元,用于利用向量空間算法將提取到的命令參數(shù)和所述敏感參數(shù)特征庫進行相似性分析���;
數(shù)據(jù)處理單元�,用于將相似性分析結(jié)果和閥值進行比較,將相似性結(jié)果大于閥值的參數(shù)信息記錄到敏感參數(shù)特征庫�����,并且將該信息標記為黑名單�����,同時更新敏感參數(shù)特征庫�。[ΟΟ?1 ] 進一步的�,所述深度協(xié)議解析單元包括url解碼,html解碼�����,base64解碼��。
[0012]本發(fā)明的有益效果為:通過基礎(chǔ)庫知識庫生成���、深度協(xié)議解析數(shù)據(jù)分析����,相似性分析���,數(shù)據(jù)處理等步驟�,并且通過深度協(xié)議解析達到了良好的實時性,能夠應(yīng)用于多種場合���。同時�,通過信息積累�,也提高了網(wǎng)頁木馬識別的正確率�。
[0013]
【附圖說明】
[0014]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例中所需要使用的附圖作簡單地介紹����,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖。
[0015]圖1是根據(jù)本發(fā)明實施例的一種網(wǎng)頁腳本的識別方法流程圖��。
[0016]
【具體實施方式】
[0017]下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚�、完整地描述,顯然�,所描述的實施例僅僅是本發(fā)明一部分實施例�,而不是全部的實施例?��;诒景l(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍����。
[0018]如圖1所示�����,根據(jù)本發(fā)明的實施例所述的一種網(wǎng)頁腳本的識別方法,包括如下步驟:
根據(jù)常用的系統(tǒng)命令和數(shù)據(jù)命令��,腳本語言函數(shù)����,生成敏感參數(shù)特征庫對網(wǎng)頁流量進行深度協(xié)議解析,提取命令參數(shù)���;
利用向量空間算法將提取到的命令參數(shù)和所述敏感參數(shù)特征庫進行相似性分析����;將相似性分析結(jié)果和閥值進行比較�,將相似性結(jié)果大于閥值的參數(shù)信息記錄到敏感參數(shù)特征庫,并且將該信息標記為黑名單�,同時更新敏感參數(shù)特征庫。
[0019]進一步的����,所述相似性分析結(jié)果和閥值進行比較還包括:
當(dāng)相似性結(jié)果小于閥值時,將參數(shù)信息記錄到敏感參數(shù)特征庫���,并且將該信息標記為白名單�����。
[0020]其中一種網(wǎng)頁腳本識別裝置����,包括數(shù)據(jù)生成單元、深度協(xié)議解析單元��、相似性分析單元以及數(shù)據(jù)處理單元���,其中
數(shù)據(jù)生成單元�����,用于根據(jù)常用的系統(tǒng)命令和數(shù)據(jù)命令,腳本語言函數(shù)�����,生成敏感參數(shù)特征庫�;
深度協(xié)議解析單元,用于對網(wǎng)頁流量進行深度協(xié)議解析����,提取命令參數(shù);
相似性分析單元�,用于利用向量空間算法將提取到的命令參數(shù)和所述敏感參數(shù)特征庫進行相似性分析���;
數(shù)據(jù)處理單元,用于將相似性分析結(jié)果和閥值進行比較�,將相似性結(jié)果大于閥值的參數(shù)信息記錄到敏感參數(shù)特征庫,并且將該信息標記為黑名單��,同時更新敏感參數(shù)特征庫����。[0021 ] 進一步的,所述深度協(xié)議解析單元包括urI解碼�����,html解碼���,base64解碼���。
[0022]綜上所述,借助于本發(fā)明的上述技術(shù)方案�����,通過基礎(chǔ)庫知識庫生成、深度協(xié)議解析數(shù)據(jù)分析����,相似性分析,數(shù)據(jù)處理等步驟����,并且通過深度協(xié)議解析達到了良好的實時性,能夠應(yīng)用于多種場合�����。同時��,通過信息積累���,也提高了網(wǎng)頁木馬識別的正確率。
[0023]以上所述僅為本發(fā)明的較佳實施例而已�,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)��,所作的任何修改��、等同替換���、改進等�����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)����。
【主權(quán)項】
1.一種網(wǎng)頁腳本的識別方法,其特征在于��,包括如下步驟: 根據(jù)常用的系統(tǒng)命令和數(shù)據(jù)命令���,腳本語言函數(shù)���,生成敏感參數(shù)特征庫 對網(wǎng)頁流量進行深度協(xié)議解析,提取命令參數(shù)�; 利用向量空間算法將提取到的命令參數(shù)和所述敏感參數(shù)特征庫進行相似性分析; 將相似性分析結(jié)果和閥值進行比較���,將相似性結(jié)果大于閥值的參數(shù)信息記錄到敏感參數(shù)特征庫�,并且將該信息標記為黑名單�,同時更新敏感參數(shù)特征庫。2.根據(jù)權(quán)利要求1所述的網(wǎng)頁腳本的識別方法�,其特征在于,所述相似性分析結(jié)果和閥值進行比較還包括: 當(dāng)相似性結(jié)果小于閥值時,將參數(shù)信息記錄到敏感參數(shù)特征庫����,并且將該信息標記為白名單。3.—種網(wǎng)頁腳本識別裝置���,其特征在于,包括數(shù)據(jù)生成單元、深度協(xié)議解析單元、相似性分析單元以及數(shù)據(jù)處理單元,其中 數(shù)據(jù)生成單元�,用于根據(jù)常用的系統(tǒng)命令和數(shù)據(jù)命令����,腳本語言函數(shù)�����,生成敏感參數(shù)特征庫; 深度協(xié)議解析單元�����,用于對網(wǎng)頁流量進行深度協(xié)議解析,提取命令參數(shù); 相似性分析單元,用于利用向量空間算法將提取到的命令參數(shù)和所述敏感參數(shù)特征庫進行相似性分析; 數(shù)據(jù)處理單元����,用于將相似性分析結(jié)果和閥值進行比較���,將相似性結(jié)果大于閥值的參數(shù)信息記錄到敏感參數(shù)特征庫,并且將該信息標記為黑名單,同時更新敏感參數(shù)特征庫�����。4.根據(jù)權(quán)利要求3所述的網(wǎng)頁腳本識別裝置�,其特征在于�����,所述深度協(xié)議解析單元包括111'1解碼,111:1111解碼�����,&38664解碼。
【專利摘要】本發(fā)明公開了一種網(wǎng)頁腳本的識別方法,包括如下步驟:根據(jù)常用的系統(tǒng)命令和數(shù)據(jù)命令,腳本語言函數(shù),生成敏感參數(shù)特征庫���;對網(wǎng)頁流量進行深度協(xié)議解析����,提取命令參數(shù)�;利用向量空間算法將提取到的命令參數(shù)和所述敏感參數(shù)特征庫進行相似性分析��;將相似性分析結(jié)果和閥值進行比較����,將相似性結(jié)果大于閥值的參數(shù)信息記錄到敏感參數(shù)特征庫����,并且將該信息標記為黑名單�����,同時更新敏感參數(shù)特征庫。本發(fā)明的有益效果為:通過基礎(chǔ)庫知識庫生成�����、深度協(xié)議解析數(shù)據(jù)分析,相似性分析���,數(shù)據(jù)處理等步驟��,并且通過深度協(xié)議解析達到了良好的實時性,能夠應(yīng)用于多種場合����。同時�,通過信息積累���,也提高了網(wǎng)頁木馬識別的正確率����。
【IPC分類】H04L29/06
【公開號】CN105516098
【申請?zhí)枴緾N201510857021
【發(fā)明人】儲來斌
【申請人】睿峰網(wǎng)云(北京)科技股份有限公司
【公開日】2016年4月20日
【申請日】2015年11月30日