一種用于檢測惡意網(wǎng)站的方法和裝置制造方法
【專利摘要】本發(fā)明涉及一種用于檢測惡意網(wǎng)站的方法和裝置,其中����,所述方法包括:操縱至少一個瀏覽器訪問指定網(wǎng)站;監(jiān)測在所述至少一個瀏覽器訪問所述指定網(wǎng)站期間所述至少一個瀏覽器的行為�����;檢測所監(jiān)測的行為是否包含未經(jīng)允許的行為���;以及如果檢測結(jié)果為肯定,則確定所述指定網(wǎng)站是惡意網(wǎng)站����。利用該方法和裝置,能夠檢測出包含未知惡意程序的惡意網(wǎng)站����。
【專利說明】—種用于檢測惡意網(wǎng)站的方法和裝置
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及一種用于檢測惡意網(wǎng)站的方法和裝置。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)技術(shù)的深入發(fā)展�,在互聯(lián)網(wǎng)中出現(xiàn)了越來越多的網(wǎng)站,以向人們提供各種各樣的業(yè)務(wù)和服務(wù)��。在這種情況下,人們通過訪問網(wǎng)站來獲取所需的業(yè)務(wù)和服務(wù)已經(jīng)變成了一種趨勢�����。
[0003]在通過網(wǎng)站獲取業(yè)務(wù)和服務(wù)時���,安全性是一個非常重要因素����。然而�����,隨著黑客技術(shù)的發(fā)展����,一些網(wǎng)站已經(jīng)被惡意攻擊者控制并非法部署了例如木馬程序或蠕蟲程序等這樣的惡意程序,從而變成了惡意網(wǎng)站�����。在這種情況下��,如果人們訪問這些惡意網(wǎng)站����,則人們的計算機將會被非法安裝惡意程序�,從而被惡意攻擊者控制進行非法操作�。
[0004]為此,需要把惡意網(wǎng)站找出來將其屏蔽掉或者告知人們��,以便人們不會訪問到這些惡意網(wǎng)站�����。目前已有的用于檢測惡意網(wǎng)站的方案是基于惡意程序的特征代碼進行的��,即掃描網(wǎng)站的網(wǎng)頁文件以檢查其是否包含有惡意程序的特征代碼�����,并當掃描發(fā)現(xiàn)網(wǎng)站的網(wǎng)頁文件包含有惡意程序的特征代碼時����,確定網(wǎng)站是惡意網(wǎng)站�。然而,已有的基于惡意程序的特征代碼來檢測惡意網(wǎng)站的方案只能檢測包含已知惡意程序的惡意網(wǎng)站�����。
【發(fā)明內(nèi)容】
[0005]考慮到現(xiàn)有技術(shù)的以上問題,本發(fā)明實施例提供一種用于檢測惡意網(wǎng)站的方法和裝置���,其能夠檢測出包含未知惡意程序和/或已知惡意程序的惡意網(wǎng)站�。
[0006]按照本發(fā)明實施例的一種用于檢測惡意網(wǎng)站的方法�����,包括:操縱至少一個瀏覽器訪問指定網(wǎng)站�;監(jiān)測在所述至少一個瀏覽器訪問所述指定網(wǎng)站期間所述至少一個瀏覽器的行為;檢測所監(jiān)測的行為是否包含未經(jīng)允許的行為����;以及,如果檢測結(jié)果為肯定��,則確定所述指定網(wǎng)站是惡意網(wǎng)站���。
[0007]其中�,該方法還可以包括:檢查所述監(jiān)測的行為是否包含有從所述指定網(wǎng)站下載內(nèi)容的行為��;如果檢查結(jié)果為肯定�����,則對從所述指定網(wǎng)站下載的內(nèi)容進行病毒掃描;以及����,如果掃描結(jié)果表明從所述指定網(wǎng)站下載的內(nèi)容包含病毒,則判定所述指定網(wǎng)站是惡意網(wǎng)站�。
[0008]其中,該操縱步驟可以進一步包括:操縱所述至少一個瀏覽器中的每一個瀏覽器多次訪問所述指定網(wǎng)站��,其中��,將所述每一個瀏覽器在每次訪問所述指定網(wǎng)站時設(shè)置為不同的安全級別�����。
[0009]其中�����,上述操縱步驟可以進一步包括:操縱所述至少一個瀏覽器遍歷所述指定網(wǎng)站的各個網(wǎng)頁�。
[0010]其中�����,未經(jīng)允許的行為包括以下的至少一個:未經(jīng)允許從所述指定網(wǎng)站下載內(nèi)容����;未經(jīng)允許安裝軟件��;未經(jīng)允許從所述指定網(wǎng)站跳轉(zhuǎn)到其它惡意網(wǎng)站��;以及�����,未經(jīng)允許向所述指定網(wǎng)站上傳內(nèi)容���。[0011]其中,所述至少一個瀏覽器可以工作在虛擬的環(huán)境中�����。
[0012]按照本發(fā)明實施例的一種用于檢測惡意網(wǎng)站的裝置���,包括:操縱模塊��,用于操縱至少一個瀏覽器訪問指定網(wǎng)站�����;監(jiān)測模塊����,用于監(jiān)測在所述至少一個瀏覽器訪問所述指定網(wǎng)站期間所述至少一個瀏覽器的行為;檢測模塊�,用于檢測所監(jiān)測的行為是否包含未經(jīng)允許的行為;以及��,確定模塊�,用于如果檢測結(jié)果為肯定,則確定所述指定網(wǎng)站是惡意網(wǎng)站�。
[0013]其中,該裝置還可以包括:檢查模塊��,用于檢查所述監(jiān)測的行為是否包含有從所述指定網(wǎng)站下載內(nèi)容的行為��;掃描模塊���,用于如果檢查結(jié)果為肯定�����,則對從所述指定網(wǎng)站下載的內(nèi)容進行病毒掃描;以及�����,判定模塊,用于如果掃描結(jié)果表明從所述指定網(wǎng)站下載的內(nèi)容包含病毒�����,則判定所述指定網(wǎng)站是惡意網(wǎng)站��。
[0014]其中�,所述操縱模塊可以進一步用于:操縱所述至少一個瀏覽器中的每一個瀏覽器多次訪問所述指定網(wǎng)站,其中�,將所述每一個瀏覽器在每次訪問所述指定網(wǎng)站時設(shè)置為不同的安全級別。
[0015]其中��,所述操縱模塊可以進一步用于:操縱所述至少一個瀏覽器遍歷所述指定網(wǎng)站的各個網(wǎng)頁����。
[0016]其中,所述未經(jīng)允許的行為包括以下的至少一個:未經(jīng)允許從所述指定網(wǎng)站下載內(nèi)容����;未經(jīng)允許安裝軟件;未經(jīng)允許從所述指定網(wǎng)站跳轉(zhuǎn)到其它惡意網(wǎng)站���;以及��,未經(jīng)允許向所述指定網(wǎng)站上傳內(nèi)容��。
[0017]其中�����,所述至少一個瀏覽器可以工作在虛擬的環(huán)境中����。
[0018]從上面的描述可以看出,本發(fā)明實施例的方案利用訪問網(wǎng)站的瀏覽器的未經(jīng)允許的行為���,而不是惡意程序的特征代碼來檢測惡意網(wǎng)站�,由于瀏覽器的未經(jīng)允許的行為是受所訪問的網(wǎng)站所包含的已知的和未知的惡意程序影響而出現(xiàn)的�,因此,本發(fā)明實施例的方案能夠檢測出包含未知惡意程序的網(wǎng)站�����。
【專利附圖】
【附圖說明】
[0019]本發(fā)明的其它特點�、特征、優(yōu)點和益處通過以下結(jié)合附圖的詳細描述將變得更加顯而易見��。其中:
[0020]圖1示出了按照本發(fā)明一個實施例的用于檢測惡意網(wǎng)站的方法的流程圖�����;
[0021]圖2示出了按照本發(fā)明一個實施例的用于檢測惡意網(wǎng)站的裝置的示意圖��;以及
[0022]圖3示出了按照本發(fā)明一個實施例的用于檢測惡意網(wǎng)站的設(shè)備的示意圖�。
【具體實施方式】
[0023]發(fā)明人經(jīng)過大量實驗發(fā)現(xiàn):當利用瀏覽器訪問網(wǎng)站時,如果所訪問的網(wǎng)站包含有惡意程序��,則不管該惡意程序是已知的還是未知的���,瀏覽器通常都會受所訪問的網(wǎng)站所包含的惡意程序的影響而發(fā)出未經(jīng)允許的行為���,例如未經(jīng)允許從網(wǎng)站下載內(nèi)容、未經(jīng)允許安裝軟件�、未經(jīng)允許跳轉(zhuǎn)到其他惡意網(wǎng)站和/或未經(jīng)允許向網(wǎng)站上傳內(nèi)容等。
[0024]本發(fā)明實施例的方案正是基于發(fā)明人的上述發(fā)現(xiàn)而提出的����,其主動操縱瀏覽器訪問網(wǎng)站,檢測在瀏覽器訪問網(wǎng)站期間瀏覽器是否發(fā)出未經(jīng)允許的行為��,并當檢測結(jié)果為肯定時����,確定所訪問的網(wǎng)站是惡意網(wǎng)站。這里,利用訪問網(wǎng)站的瀏覽器的未經(jīng)允許的行為�����,而不是惡意程序的特征代碼來檢測惡意網(wǎng)站���,由于瀏覽器的未經(jīng)允許的行為是受所訪問的網(wǎng)站所包含的已知的和未知的惡意程序影響而發(fā)出的�,因此���,本發(fā)明實施例的方案能夠檢測包含已知和/或未知的惡意程序的網(wǎng)站���。
[0025]下面,將結(jié)合附圖詳細描述本發(fā)明的各個實施例��。
[0026]參見圖1�����,其示出了按照本發(fā)明一個實施例的用于檢測惡意網(wǎng)站的方法的流程圖�。如圖1所示,在步驟S100�����,操縱多個瀏覽器訪問待檢測的網(wǎng)站W(wǎng)l以遍歷網(wǎng)站W(wǎng)l的各個網(wǎng)頁。這里����,可以操縱該多個瀏覽器同時或依次訪問網(wǎng)站W(wǎng)1。這里��,可以操縱該多個瀏覽器的每一個瀏覽器L僅訪問一次網(wǎng)站W(wǎng)l ;或者��,可以操縱該多個瀏覽器的每一個瀏覽器L多次訪問網(wǎng)站W(wǎng)1����,其中�����,瀏覽器L每一次訪問網(wǎng)站W(wǎng)l時可設(shè)置為不同的安全級別(例如��,低級����、中級、高級等)���。這里���,該多個瀏覽器可以是現(xiàn)有的或以后出現(xiàn)的各種瀏覽器���,例如但不局限于微軟公司開發(fā)的瀏覽器、火狐瀏覽器(Firefox)���、谷歌瀏覽器(Chrome)����、搜狗瀏覽器等����。
[0027]在步驟S110,在該多個瀏覽器訪問網(wǎng)站W(wǎng)l期間�����,監(jiān)測該多個瀏覽器的行為���。
[0028]在步驟S120��,檢測所監(jiān)測的行為是否包含未經(jīng)允許的行為�����。正常情況下���,瀏覽器所發(fā)出的行為是由用戶主動發(fā)起的行為或者由瀏覽器主動發(fā)起但已通知用戶并得到用戶允許的行為�,這樣的行為屬于允許的行為����。如果瀏覽器所發(fā)出的行為是由瀏覽器主動發(fā)起但未得到用戶允許的行為,屬于未經(jīng)允許的行為�����,這樣的行為通常是在網(wǎng)站中的惡意程序的影響下瀏覽器發(fā)出的��。此外��,未經(jīng)允許的行為還可以包括偽裝成無害行為的惡意行為�����,這樣的行為表面上是無害的并且偽裝后的惡意行為已經(jīng)被用戶允許��,但實際上用戶并不知曉惡意行為本身�,不也知曉該惡意行為會造成損害���。這里�����,例如可以預(yù)先定義出允許的行為并存儲起來����,從而可以通過比對所監(jiān)測的行為和所存儲的允許的行為來檢測被監(jiān)測的行為是否包含未經(jīng)允許的行為。當然�,也可以采用其它方法來檢測被監(jiān)測的行為是否包含未經(jīng)允許的行為。
[0029]這里���,未經(jīng)允許的行為可以包括但不局限于以下的至少一種:未經(jīng)允許從網(wǎng)站W(wǎng)l下載內(nèi)容����、未經(jīng)允許安裝軟件���、未經(jīng)允許從網(wǎng)站W(wǎng)l跳轉(zhuǎn)到其它惡意網(wǎng)站和未經(jīng)允許向網(wǎng)站W(wǎng)l上傳內(nèi)容�。這里�,未經(jīng)允許向網(wǎng)站W(wǎng)l上傳內(nèi)容例如為未經(jīng)允許的網(wǎng)頁加載(Pageload)、未經(jīng)允許把用戶的賬號�、密碼等敏感數(shù)據(jù)上傳到網(wǎng)站W(wǎng)l等。
[0030]在步驟S130����,當步驟S120的檢測結(jié)果為肯定���,即所監(jiān)測的行為包含未經(jīng)允許的行為時,確定網(wǎng)站W(wǎng)l是惡意網(wǎng)站���。
[0031]如果步驟S120的檢測結(jié)果為否定����,即所監(jiān)測的行為不包含未經(jīng)允許的行為時�����,則
流程結(jié)束�����。
[0032]從以上描述可以看出���,本實施例主動操縱多個瀏覽器來遍歷網(wǎng)站W(wǎng)l的各個網(wǎng)頁,因此��,檢測非常全面并且檢測準確度非常高��。
[0033]其它變型
[0034]本領(lǐng)域技術(shù)人員應(yīng)當理解,上面的實施例所描述的方法還可以包括以下步驟:檢查所監(jiān)測的行為是否包含從網(wǎng)站W(wǎng)l下載內(nèi)容的行為����;如果檢查結(jié)果表明所監(jiān)測的行為包含從網(wǎng)站W(wǎng)l下載內(nèi)容的行為,則對從網(wǎng)站W(wǎng)l下載的內(nèi)容進行病毒掃描���;如果掃描結(jié)果表明從網(wǎng)站W(wǎng)l下載的內(nèi)容包含有病毒���,則確定網(wǎng)站W(wǎng)l是惡意網(wǎng)站。
[0035]本領(lǐng)域技術(shù)人員應(yīng)當理解���,上面的實施例所描述的多個瀏覽器既可以是各個廠商所開發(fā)的瀏覽器���,也可以是模仿各個廠商所開發(fā)的瀏覽器而重新編程得到的。
[0036]本領(lǐng)域技術(shù)人員應(yīng)當理解�,雖然在上面的實施例中,操縱多個瀏覽器訪問網(wǎng)站W(wǎng)1�����,然而����,本發(fā)明并不局限于此�����。在本發(fā)明的其它一些實施例中��,也可以僅操縱一個瀏覽器訪問網(wǎng)站W(wǎng)1�。
[0037]同時�,本領(lǐng)域技術(shù)人員應(yīng)當理解,可以設(shè)置瀏覽器工作在虛擬的環(huán)境中(比如利用沙箱技術(shù))����,這樣即使瀏覽器出現(xiàn)未經(jīng)允許的行為,也不會危及系統(tǒng)的安全���,從而能夠增強系統(tǒng)的安全性�。
[0038]本領(lǐng)域技術(shù)人員應(yīng)當理解��,雖然在上面實施例的步驟S100中�,操縱多個瀏覽器訪問待檢測的網(wǎng)站W(wǎng)1以遍歷網(wǎng)站W(wǎng)1的各個網(wǎng)頁����,然而,本發(fā)明并不局限于此����。在本發(fā)明的其它一些實施例中���,也可以操縱多個瀏覽器僅訪問待檢測的網(wǎng)站W(wǎng)1中的部分網(wǎng)頁,例如網(wǎng)站W(wǎng)1中用戶經(jīng)常訪問的那部分網(wǎng)頁�。在大多數(shù)情況下,惡意程序通常被黑客放置在網(wǎng)站中用戶經(jīng)常訪問的那部分網(wǎng)頁�,如果瀏覽器訪問網(wǎng)站中用戶經(jīng)常訪問的那部分網(wǎng)頁沒有被檢測到未經(jīng)允許的行為,那么該網(wǎng)站通常就不是惡意網(wǎng)站���。顯然���,如果操縱多個瀏覽器僅訪問待檢測的網(wǎng)站中的部分網(wǎng)頁,那么就會大大加快檢測的速度�����。
[0039]現(xiàn)在參見圖2���,其示出了按照本發(fā)明一個實施例的用于檢測惡意網(wǎng)站的裝置的示意圖���。圖2所示的裝置可以利用軟件、硬件(例如集成電路、現(xiàn)場可編程門陣列(FPGA)等)或者軟硬件結(jié)合的方式來實現(xiàn)����。
[0040]如圖2所示,用于檢測惡意網(wǎng)站的裝置200可以包括操縱模塊210�、監(jiān)測模塊220、檢測模塊230和確定模塊240���。其中�,操縱模塊210可以用于操縱至少一個瀏覽器訪問指定網(wǎng)站ZH�����。監(jiān)測模塊220可以用于監(jiān)測在該至少一個瀏覽器訪問指定網(wǎng)站ZH期間該至少一個瀏覽器的行為�����。檢測模塊230可以用于檢測所監(jiān)測的行為是否包含未經(jīng)允許的行為�����。確定模塊240可以用于如果檢測結(jié)果為肯定����,則確定指定網(wǎng)站ZH是惡意網(wǎng)站。
[0041]此外���,操縱模塊210可以進一步用于操縱該至少一個瀏覽器中的每一個瀏覽器L多次訪問指定網(wǎng)站ZH���,其中,瀏覽器L每次訪問指定網(wǎng)站ZH時被設(shè)置不同的安全級別�����。
[0042]此外���,操縱模塊210可以進一步用于:操縱該至少一個瀏覽器遍歷指定網(wǎng)站ZH的各個網(wǎng)頁��。
[0043]此外�����,裝置200還可以包括檢查模塊250���、掃描模塊260和判定模塊270。其中�����,檢查模塊250可以用于檢查所監(jiān)測的行為是否包含從指定網(wǎng)站ZH下載內(nèi)容的行為。掃描模塊260可以用于當檢查結(jié)果為肯定時,對從指定網(wǎng)站ZH下載的內(nèi)容進行病毒掃描����。判定模塊270可以用于當掃描結(jié)果表明從指定網(wǎng)站ZH下載的內(nèi)容包含病毒時,判定指定網(wǎng)站ZH是惡意網(wǎng)站�。
[0044]此外,未經(jīng)允許的行為可以包括以下的至少一個:未經(jīng)允許從指定網(wǎng)站ZH下載內(nèi)容�、未經(jīng)允許安裝軟件、未經(jīng)允許從指定網(wǎng)站ZH跳轉(zhuǎn)到其它惡意網(wǎng)站和未經(jīng)允許向指定網(wǎng)站ZH上傳內(nèi)容�����。此外����,該至少一個瀏覽器可以工作在虛擬的環(huán)境中。
[0045]現(xiàn)在參見圖3��,其示出了按照本發(fā)明一個實施例的用于檢測惡意網(wǎng)站的設(shè)備的示意圖�。如圖3所示,用于檢測惡意網(wǎng)站的設(shè)備300可以包括用于存儲可執(zhí)行指令的存儲器310和處理器320����。
[0046]其中,處理器320可以用于根據(jù)存儲器310所存儲的可執(zhí)行指令�����,執(zhí)行以下操作:操縱至少一個瀏覽器訪問指定網(wǎng)站ZH ;監(jiān)測在該至少一個瀏覽器訪問指定網(wǎng)站ZH期間該至少一個瀏覽器的行為��;檢測所監(jiān)測的行為是否包含未經(jīng)允許的行為��;以及�����,如果檢測結(jié)果為肯定�,則確定指定網(wǎng)站ZH是惡意網(wǎng)站。[0047]此外���,對于操縱至少一個瀏覽器訪問指定網(wǎng)站ZH的操作��,處理器320可以用于根據(jù)存儲器310所存儲的可執(zhí)行指令�����,進一步執(zhí)行以下操作:操縱該至少一個瀏覽器中的每一個瀏覽器L多次訪問指定網(wǎng)站ZH���,其中,瀏覽器L每次訪問指定網(wǎng)站ZH時可設(shè)置在不同的安全級別�。
[0048]此外����,對于操縱至少一個瀏覽器訪問指定網(wǎng)站ZH的操作��,處理器320可以用于根據(jù)存儲器310所存儲的可執(zhí)行指令�,進一步執(zhí)行以下操作:操縱該至少一個瀏覽器中的每一個瀏覽器L遍歷指定網(wǎng)站ZH的各個網(wǎng)頁。
[0049]此外��,處理器320還可以用于根據(jù)存儲器310所存儲的可執(zhí)行指令���,執(zhí)行以下操作:檢查所監(jiān)測的行為是否包含從指定網(wǎng)站ZH下載內(nèi)容的行為����;當檢查結(jié)果為肯定時�����,對從指定網(wǎng)站ZH下載的內(nèi)容進行病毒掃描���;以及���,當掃描結(jié)果表明從指定網(wǎng)站ZH下載的內(nèi)容包含病毒時,判定指定網(wǎng)站ZH是惡意網(wǎng)站�����。
[0050]此外,未經(jīng)允許的行為可以包括以下的至少一個:未經(jīng)允許從指定網(wǎng)站ZH下載內(nèi)容�����、未經(jīng)允許安裝軟件��、未經(jīng)允許從指定網(wǎng)站ZH跳轉(zhuǎn)到其它惡意網(wǎng)站和未經(jīng)允許向指定網(wǎng)站ZH上傳內(nèi)容���。此外,該至少一個瀏覽器可以工作在虛擬的環(huán)境中�。
[0051]本發(fā)明實施例還提供一種機器可讀介質(zhì),其上存儲有可執(zhí)行指令�����,當該可執(zhí)行指令被執(zhí)行時����,使得機器執(zhí)行處理器320所執(zhí)行的操作。
[0052]本領(lǐng)域技術(shù)人員應(yīng)當理解���,以上公開的各個實施例可以在沒有偏離發(fā)明本質(zhì)的情況下做出各種變型和改變���,這些變型和改變都應(yīng)當落入在本發(fā)明的保護范圍之內(nèi)��。因此���,本發(fā)明的保護范圍應(yīng)當由所附的權(quán)利要求書限定。
【權(quán)利要求】
1.一種用于檢測惡意網(wǎng)站的方法�,包括: 操縱至少一個瀏覽器訪問指定網(wǎng)站; 監(jiān)測在所述至少一個瀏覽器訪問所述指定網(wǎng)站期間所述至少一個瀏覽器的行為���; 檢測所監(jiān)測的行為 是否包含未經(jīng)允許的行為�����;以及 如果檢測結(jié)果為肯定�����,則確定所述指定網(wǎng)站是惡意網(wǎng)站�����。
2.如權(quán)利要求1所述的方法����,其中,還包括: 檢查所述監(jiān)測的行為是否包含有從所述指定網(wǎng)站下載內(nèi)容的行為��; 如果檢查結(jié)果為肯定�,則對從所述指定網(wǎng)站下載的內(nèi)容進行病毒掃描;以及如果掃描結(jié)果表明從所述指定網(wǎng)站下載的內(nèi)容包含病毒�,則判定所述指定網(wǎng)站是惡意網(wǎng)站。
3.如權(quán)利要求1所述的方法����,其中��,所述操縱至少一個瀏覽器訪問指定網(wǎng)站的步驟為: 操縱所述至少一個瀏覽器中的每一個瀏覽器多次訪問所述指定網(wǎng)站��,其中�,將所述每一個瀏覽器在每次訪問所述指定網(wǎng)站時設(shè)置為不同的安全級別。
4.如權(quán)利要求1所述的方法���,其中��, 所述操縱至少一個瀏覽器訪問指定網(wǎng)站的步驟為:操縱所述至少一個瀏覽器遍歷所述指定網(wǎng)站的每個網(wǎng)頁�����。
5.如權(quán)利要求1所述的方法����,其中,所述未經(jīng)允許的行為包括以下行為的至少一種: 未經(jīng)允許從所述指定網(wǎng)站下載內(nèi)容���; 未經(jīng)允許安裝軟件���; 未經(jīng)允許從所述指定網(wǎng)站跳轉(zhuǎn)到其它惡意網(wǎng)站;以及 未經(jīng)允許向所述指定網(wǎng)站上傳內(nèi)容��。
6.如權(quán)利要求1所述的方法����,其中, 所述的至少一個瀏覽器工作在虛擬的環(huán)境中��。
7.一種用于檢測惡意網(wǎng)站的裝置���,包括: 操縱模塊����,用于操縱至少一個瀏覽器訪問指定網(wǎng)站�����; 監(jiān)測模塊,用于監(jiān)測在所述至少一個瀏覽器訪問所述指定網(wǎng)站期間所述至少一個瀏覽器的行為���; 檢測模塊��,用于檢測所監(jiān)測的行為是否包含未經(jīng)允許的行為���;以及 確定模塊,用于如果檢測結(jié)果為肯定����,則確定所述指定網(wǎng)站是惡意網(wǎng)站。
8.如權(quán)利要求7所述的裝置���,其中,還包括: 檢查模塊���,用于檢查所述監(jiān)測的行為是否包含有從所述指定網(wǎng)站下載內(nèi)容的行為�; 掃描模塊����,用于如果檢查結(jié)果為肯定,則對從所述指定網(wǎng)站下載的內(nèi)容進行病毒掃描;以及 判定模塊�����,用于如果掃描結(jié)果表明從所述指定網(wǎng)站下載的內(nèi)容包含病毒����,則判定所述指定網(wǎng)站是惡意網(wǎng)站。
9.如權(quán)利要求7所述的裝置�,其中, 所述操縱模塊進一步用于:操縱所述至少一個瀏覽器中的每一個瀏覽器多次訪問所述指定網(wǎng)站��,其中�,將所述每一個瀏覽器在每次訪問所述指定網(wǎng)站時設(shè)置為不同的安全級別。
10.如權(quán)利要求7所述的裝置�����,其中��,所述操縱模塊進一步用于:操縱所述至少一個瀏覽器遍歷所述指定網(wǎng)站的每個網(wǎng)頁�。
11.如權(quán)利要求7所述的裝置,其中�����,所述未經(jīng)允許的行為包括以下的至少一個:未經(jīng)允許從所述指定網(wǎng)站下載內(nèi)容;未經(jīng)允許安裝軟件�;未經(jīng)允許從所述指定網(wǎng)站跳轉(zhuǎn)到其它惡意網(wǎng)站;以及未經(jīng)允許向所述指定網(wǎng)站上傳內(nèi)容��。
12.如權(quán)利要求7所述的裝置��,其中��,所述至少一個瀏覽器工作在虛擬的環(huán)境中�����。
13.一種用于檢測惡意網(wǎng)站的設(shè)備�,包括:存儲器,用于存儲可執(zhí)行指令�����;以及處理器���,用于根據(jù)所存儲的可執(zhí)行指令,執(zhí)行權(quán)利要求1-6中的任意一項所包括的步驟���。
14.一種機器可讀介質(zhì)����,其上存儲有可執(zhí)行指令,當所述可執(zhí)行指令被執(zhí)行時�,使得機器執(zhí)行權(quán)利要求1-6中的任意一項所包括的步驟。
【文檔編號】H04L29/06GK103701759SQ201210365857
【公開日】2014年4月2日 申請日期:2012年9月27日 優(yōu)先權(quán)日:2012年9月27日
【發(fā)明者】胡建軍 申請人:西門子公司