CN107786537B

CN107786537B - 一种基于互联网交叉搜索的孤页植入攻击检测方法

Info

Publication number: CN107786537B
Application number: CN201710845948.0A
Authority: CN
Inventors: 王方军; 范渊; 黄进
Original assignee: DBAPPSecurity Co Ltd
Current assignee: DBAPPSecurity Co Ltd
Priority date: 2017-09-19
Filing date: 2017-09-19
Publication date: 2020-04-07
Anticipated expiration: 2037-09-19
Also published as: CN107786537A

Abstract

本发明涉及信息安全技术，旨在提供一种基于互联网交叉搜索的孤页植入攻击检测方法。该种基于互联网交叉搜索的孤页植入攻击检测方法包括步骤：将互联网上的网站整理成网站库，对每一个站点的首页进行暗链和关键词检索；对于可疑程度较高网站，将其风险链接模块中的风险链接进行逐条解析；将非法链接的源页面和指向页面进行组合分析，进一步确认被非法篡改或植入的可能性；从非法链接指向的页面所在的WEB***找出并确认是孤页。本发明确认非法模块、非法链接、非法内容的概率是可变化、可学习的；本发明从整体多个角度分析比单一内容更准确，更可信。

Description

一种基于互联网交叉搜索的孤页植入攻击检测方法

技术领域

本发明是关于信息安全技术领域，特别涉及一种基于互联网交叉搜索的孤页植入攻击检测方法。

背景技术

自世界上第一个网站在上世纪90年代初诞生，WEB网站一直伴随着互联网技术革新而延续发展至今。其中最重要的一次变化，是WEB1.0时代网站信息提供者单向性地提供内容(静态网站)，到动态网站的广泛应用。随着BBS论坛的蓬勃兴起，WEB2.0时代的到来，网页交互性也随着用户的重要性的提升，各种网页技术、数据库技术和WEB容器技术也发展迅速。但是技术是把双刃剑，在提升用户体验的同时，用户的输入也是一个不可控的因素，各种注入、攻击直接导致了WEB网站的安全性下降。甚至于某些黑客通过web前端直接获取到***权限，对后台进行更改和破坏，以此达到其非法的目的。这些行为表现在普通用户可见的形式上，就是篡改、挂马、植入暗链和孤页等。

植入孤页这类攻击，由于其特殊性，一般没有从本站的链接指向，我们很难从本站直接找出。目前可能使用的方法有：一种方法是通过进入WEB网站安装的操作***中，直接扫描本地文件目录，通过敏感文本分析、页面添加历史记录、***日志记录操作等手段，发现孤页；另外一种方法是通过互联网内容搜索引擎输入指令的方式，加上特定关键词，手动搜索。

但上述两种方法都有其局限性：

第一种方法的缺点有以下几点：1、逐个登录***，无法大批量检查；2、没有用户名密码无法进入***，否则只能预先在内部安装本地客户端。一方面要增加客户端的装机量，另一方面本地安装了应用，不可能对***没有任何影响。3、页面添加历史记录，***操作记录日志等可能会被抹去，这样查找起来完全没有头绪。

第二种方法也有以下几个缺陷：1、搜索引擎虽然已经将被植入的孤链完全呈现，但是这些信息完全湮没在大量非网络安全相关的信息中，没有自动化方式将其提取；2、搜索引擎缓存了过多的内容，没有专一性，更新周期变长导致及时性下降。此外，两者存在一个共同的缺陷是，使用敏感信息文本进行搜索时，对关键词的命中率要求很高，无法保证其有效性。以上的两种检测方法，都可以作为本发明的佐证手段。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能够发现孤页植入攻击的方法。为解决上述技术问题，本发明的解决方案是：

提供一种基于互联网交叉搜索的孤页植入攻击检测方法，具体包括下述步骤：

(1)将互联网上的网站整理成网站库，对每一个站点的首页进行暗链和关键词检索；具体包括下述子步骤：

步骤A：将互联网上域名网站和IP加端口的网站进行汇总分类，取并集成网站库(不断增加完善)，网站库存放网站入口所用的URL；

步骤B：对网站库的网站进行初步分析，对URL不同实际是同一个网站(包括存在跳转、不同格式；对存在跳转的url1，获取跳转后的url2并将url1关联至url2下，多次跳转将最终的URL为准，如进行两次跳转之后获取到url3；对所有URL，即url1、url2、url3进行标记为应该进行分析；对不同格式的只标记是域名且长度最短的为应该进行分析，如url4为http://www.aaa.com，url5为http://www.aaa.com/index.html，url6为http://204.205.206.207:7788，他们实际指向同一个站点的同一个页面，则按照原则应该选url4标记为应该进行分析，其他URL将与url4进行关联，并不进行分析)、不可访问(对不可访问的URL标记为暂时不可访问，通过程序在一段时间内进行间歇性探测；如url7恢复为可访问状态，则标记为应该进行分析；如url8超过一段时间限制，比如一天仍然不能访问，则进行删除)的情况进行预处理，获取能够访问首页的网站URL；

步骤C：使用暗链结构特性分析方法(网站页面代码静态文本分析查找特定格式的暗链的方法，动态渲染js脚本的方式查找执行js脚本后生成文本隐藏链接的方法，读取图片文字并判断是否为可***的方法，读取二维码转换为文字链接的方法)，对首页进行内容解析；若网站中存在肉眼不能发现的链接(通过代码隐藏方式、超出屏幕高度或宽度、文字颜色同底色、嵌入到图片或flash文件、转换成二维码的方式，达到网站用户浏览时肉眼不可见、不明显，网站管理者不能肉眼发现的目的)，但这种形式的链接能被搜索引擎收录时，则该网站存在被暗链攻击的风险；

使用关键词词库(采用命中率高的关键词词库，具体是指自定义关键词集合，有固定上限，默认为500个词；是根据关键词查找带敏感信息的链接，并通过验证，反馈该关键词命中的链接存在风险有效产生的；该关键词词库定期更新，淘汰命中率下降的词，补充命中率高的词进入)，对首页内容进行分析；若链接文字包含至少其中一个关键词时，则该网站存在被植入敏感信息的风险；

对存在任何一类风险的网站(即存在被暗链攻击风险的网站和存在被植入敏感信息风险的网站)，将其中的风险链接模块提取；风险链接模块是指包含一条或多条风险链接的标签模块(通常是<div>、<table>、<td>、<li>标签的文本，且不会因为这段文本写网站A页面中被程序判断为存在风险链接，写入网站B页面中变成无风险链接)；

(2)对于可疑程度较高网站，即步骤C遴选出的存在至少一个风险链接模块的网站，将其风险链接模块中的风险链接进行逐条解析，获取链接指向页面的内容，并对链接指向的网页进行内容分析；具体包括下述子步骤：

步骤D：将该可疑程度较高网站的风险链接模块中的链接逐条提取，获取链接指向页面的内容；

步骤E：对指向页面的内容进行文本分析，判断是否存在敏感文本(即命中率高的关键词)和非法的域名(即该域名所指向的内容已经判断为恶意、非法的，并公布在互联网上、存储在安全公司的黑名单中)；

若存在敏感文本或者非法的域名，则判断指向该页面的链接为非法链接，提取该非法链接，跳到步骤G执行；

若不存在敏感文本和非法的域名，则继续步骤F的处理；

步骤F：当指向页面中存在图片，则对指向页面中存在的图片，进行相似度匹配(和现有的相似度匹配是指通过图像相似度算法分析两张图片的相似程度，该方法自带有大量敏感图片的计算值)、OCR文字识别(用字符识别方法将图片上的文字图形翻译成计算机文字)；若相似度匹配算法分析指向页面上图片的计算值为1，则判断指向该页面的链接为非法链接，提取该非法链接并保存；若OCR文字识别提取的文字信息包含关键词，则判断指向该页面的链接为非法链接，提取该非法链接并保存；其他情况则判断指向该页面的链接不是非法链接；

当指向页面中不存在图片，则直接进入步骤G执行；

步骤G：循环执行步骤D、步骤E、步骤F，直至完成风险链接模块中所有非法链接的提取；

(3)将非法链接的源页面和指向页面进行组合分析，进一步确认被非法篡改或植入的可能性；将源页面以及链接进行对应保存；具体包括下述子步骤：

步骤H：将源页面中的非法信息，以及指向信息中的非法信息，进行组合加权判断，当加权概率达到预设的阈值，则认为该“源页面-指向页”非法链接对成立；

步骤I：重复执行步骤H获得的所有非法链接对；以最终非法链接对的数量，(通过算法)重新计算源页面被非法篡改或植入的概率值α；以具体“源页面-指向页”非法链接对，(通过算法)重新计算非法链接对存在非法信息的概率β；当概率α、β均超过各自预设的阈值时，则确定了多个页面之间通过URL链接产生了非法信息的连结；

至此，该方法完成了从互联网无数页面链接关系中筛选出“1对多”的关系：“1”是指找出并确定了一个包含非法链接的源页面，这个源页面是某个网站的首页；“多”是找出并确定了多个通过非法链接对指向的页面，这些指向页面可能是网站的首页，也可能是该方法最终需要找的“孤页”；孤页是指，发布该页面的WEB***(网站)上的所有页面，无一包含指向该页面的链接，只能通过输入网站完整的URL才能访问的页面(并不包括网站的入口即网站首页)，或者通过黑客植入到其他网站页面上的链接点击访问；该方法即通过后一种途径，从海量源网页中机器遴选出这些带非法信息的孤页；

(4)从非法链接指向的页面所在的WEB***(网站)找出并确认是孤页；具体包括下述子步骤；

步骤J：找出疑似的孤页，即非本站的、包含路径的链接所指向的页面(非网站首页，如网站www.aaa.com存在非法链接，通过非法链接对指向多个页面(a)http://www.aaa.com/test.html？a＝1；(b)http://www.bbb.com/；(c)http://www.bbb.com/test.html？b＝2；则疑似的孤页只能是(c)；因为(a)就是本站页面，即使是非法页面，但是因为同一网站站点包含指向该页面的链接，不符合孤页的定义；(b)是网站的入口即首页，不符合孤页的定义)，且孤页链接只能是绝对URL(即互联网上该资源的地址)；

步骤K：对疑似孤页所在网站进行所有网页的分析，提取所有本网站的链接，并将相对URL(即相对于某个绝对URL地址的地址)转化成绝对URL，并进行排重；

步骤L：将排重后的URL与疑似孤页的URL进行逐一比对；

如没有匹配上，则确认该疑似孤页是真实的孤页，该网站受到孤页植入攻击；

如果匹配上，则说明疑似孤页是普通的非法链接(非法链接但不是孤页的情况，也是该方法有用的附属产品，极有可能是被篡改的网页，本身被入侵的概率非常大)；

(5)确认非法链接为孤页之后，存储该孤页链接(黑客会把孤页植入到多个被入侵并进行篡改的网站中；任何网站，任意页面出现该孤页链接，则已经说明步骤I中源页面被非法篡改或植入的概率值α为100％)；跳到步骤C重复执行，以查找其他受到孤页植入攻击的网站。

本发明的工作原理：通过实时检测网站库各个网站首页中的非法链接标签模块，通过分析链接指向网页内容的非法性巩固原来页面存在非法链接的判断，基于互联网交叉关系来查找本站孤页，根据判断为孤页的链接作为输入条件佐证其他***存在该链接是由于被入侵、篡改所导致。

与现有技术相比，本发明的有益效果是：

本发明无须进入本地***，能不依赖检索本地文件，能进行大批量的分析研究，对***无影响，对***账号不依赖。

本发明是基于关系的，从A找B，而不是直接从A找A，从B找B；本发明依托于类似互联网搜索引擎的模式但并不依赖，也更有针对性、轻量级。

本发明对于非法链接对，还能通过非法链接模块、交叉搜索的联系进一步增加或减少其判断为非法的概率，达到我们有效识别孤页植入攻击的概率，有助于我们更快更准地发现被侵害的WEB网站。

本发明确认非法模块、非法链接、非法内容的概率是可变化、可学习的；本发明从整体多个角度分析比单一内容更准确，更可信。

孤页链接是可以反推被入侵和篡改的***，其准确性高。

附图说明

图1为本发明的工作示意图。

图2为本发明的工作流程图。

具体实施方式

首先需要说明的是，本发明涉及敏感信息检索和辨识技术，是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于：网站可用性判断、网站跳转识别、暗链模块获取、关键词库自动排行删减、网站库汇总分类、“非法链接对”的定义和存储等，凡本发明申请文件提及的均属此范畴，申请人不再一一列举。

下面结合附图与具体实施方式对本发明作进一步详细描述：

如图1所示的一种基于互联网交叉搜索的孤页植入攻击检测方法，具体包括下述步骤：

(1)通过实时检测网站库各个网站首页中的非法链接标签模块：判断网站可访问状态；分析网站首页内容；根据特征查找非法链接标签模块。

(2)通过分析链接指向网页内容的非法性巩固原来页面存在非法链接的判断：获取非法链接标签模块中的一条链接；分析该链接指向是否存在非法内容；如果确认指向内容是非法的，则进一步巩固非法链接模块的非法性概率，提供其他链接可能是是非法链接的概率。

(3)基于互联网交叉关系来查找本站是非法孤页的页面，即该页面链接在web***可爬取的页面中不存在。

(4)根据判断为孤页的链接作为输入条件佐证其他***存在该链接是被入侵篡改导致：把指向孤页的链接文本，在其他网站页面中查找是否存在；存在该孤页链接的网站，被入侵篡改的概率大大提升。

下面的实施例可以使本专业的专业技术人员更全面地理解本发明，但不以任何方式限制本发明。

如图2所示，要进行孤页植入攻击的检测，具体包括下述步骤：

步骤A：首先要整理一定规模数量的网站库，网站基数越大，则发现问题的概率越大；且网站库网站条目可逐步增加完善。

步骤B：通过暗链检测手段加关键词敏感文本信息检测手段发现非法链接模块。

步骤C：逐条分析，指向的页面也存在非法信息，则将该关系对保存，如“http://www.aaa.com->http://www.bbb.com/c/d/index.html”。

步骤D：验证http://www.bbb.com/c/d/index.html在WEB***http://www.bbb.com上是孤页，即没有任何页面的任何链接指向该页面。

步骤E：以http://www.bbb.com/c/d/index.html作为输入条件，在网站库中的网站首页中搜索，存在该连接的均有可能存在入侵风险。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。

Claims

1.一种基于互联网交叉搜索的孤页植入攻击检测方法，其特征在于，具体包括下述步骤：

（1）将互联网上的网站整理成网站库，对每一个站点的首页进行暗链和关键词检索；具体包括下述子步骤：

步骤A：将互联网上域名网站和IP加端口的网站进行汇总分类，取并集成网站库，网站库存放网站入口所用的URL；

步骤B：对网站库的网站进行初步分析，对URL不同而实际是同一个网站、以及URL不可访问的情况进行预处理，获取能够访问首页的网站URL；

步骤C：使用暗链结构特性分析方法，对首页进行内容解析；若网站中存在肉眼不能发现的链接，但这种形式的链接能被搜索引擎收录时，则该网站存在被暗链攻击的风险；

使用关键词词库，对首页内容进行分析；若链接文字包含至少其中一个关键词时，则该网站存在被植入敏感信息的风险；

对存在任何一类风险的网站，将其中的风险链接模块提取；风险链接模块是指包含一条或多条风险链接的标签模块；

（2）对于可疑程度较高网站，即步骤C遴选出的存在至少一个风险链接模块的网站，将其风险链接模块中的风险链接进行逐条解析，获取链接指向页面的内容，并对链接指向的网页进行内容分析；具体包括下述子步骤：

步骤E：对指向页面的内容进行文本分析，判断是否存在敏感文本和非法的域名；

若不存在敏感文本和非法的域名，则继续步骤F的处理；

步骤F：当指向页面中存在图片，则对指向页面中存在的图片，进行相似度匹配、OCR文字识别；若相似度匹配算法分析指向页面上图片的计算值为1，则判断指向该页面的链接为非法链接，提取该非法链接并保存；若OCR文字识别提取的文字信息包含关键词，则判断指向该页面的链接为非法链接，提取该非法链接并保存；其他情况则判断指向该页面的链接不是非法链接；

当指向页面中不存在图片，则直接进入步骤G执行；

（3）将非法链接的源页面和指向页面进行组合分析，进一步确认被非法篡改或植入的可能性；将源页面以及链接进行对应保存；具体包括下述子步骤：

步骤H：将源页面中的非法信息，以及指向页面中的非法信息，进行组合加权判断，当加权概率达到预设的阈值，则认为该源页面及其指向页面的非法链接对成立，即“源页面-指向页”非法链接对成立；

步骤I：重复执行步骤H获得的所有非法链接对；以最终非法链接对的数量，重新计算源页面被非法篡改或植入的概率值α；以具体“源页面-指向页”非法链接对，重新计算非法链接对存在非法信息的概率β；当概率α、β均超过各自预设的阈值时，则确定了多个页面之间通过URL链接产生了非法信息的连结；

（4）从非法链接指向的页面所在的WEB***找出并确认是孤页；具体包括下述子步骤；

步骤J：找出疑似的孤页，即非本站包含的链接所指向的页面，且孤页链接只能是绝对URL；

步骤K：对疑似孤页所在网站进行所有网页的分析，提取所有本网站的链接，并将相对URL转化成绝对URL，并进行排重；

步骤L：将排重后的URL与疑似孤页的URL进行逐一比对；

如果匹配上，则说明疑似孤页是普通的非法链接；

（5）确认非法链接为孤页之后，存储该孤页链接；跳到步骤C重复执行，以查找其他受到孤页植入攻击的网站。