本發(fā)明實施例涉及網(wǎng)絡技術領域，尤其涉及一種網(wǎng)絡攻擊信息的檢測方法及裝置。

背景技術：

隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，人們對于網(wǎng)絡的使用愈加頻繁，通過網(wǎng)絡可以進行工作、學習、生活、娛樂等多方面的事宜，給人們帶來了極大的便利。然而，人們在使用互聯(lián)網(wǎng)的過程中所用到的一些網(wǎng)頁存在網(wǎng)絡攻擊信息，這些網(wǎng)頁的網(wǎng)絡攻擊信息給惡意開發(fā)者以可乘之機，惡意開發(fā)者們可以利用這些網(wǎng)頁的網(wǎng)絡攻擊信息對網(wǎng)絡進行攻擊，獲取客用戶的個人信息，威脅用戶的信息安全，給用戶的人身、財產(chǎn)等方面損失。

因此，如何高效、全面地對互聯(lián)網(wǎng)中的網(wǎng)絡攻擊信息進行檢測，是當前亟待解決的重要問題。

技術實現(xiàn)要素：

本發(fā)明實施例提供一種網(wǎng)絡攻擊信息的檢測方法及裝置，實現(xiàn)了高效、全面地對互聯(lián)網(wǎng)中的網(wǎng)絡攻擊信息進行檢測。

本發(fā)明實施例提供一種網(wǎng)絡攻擊信息的檢測方法，包括：

對沙箱中的網(wǎng)頁進行解碼處理，得到所述網(wǎng)頁的源代碼；

對所述網(wǎng)頁的源代碼進行分析，得到所述網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑；

根據(jù)所述所有可執(zhí)行代碼路徑，執(zhí)行每個可執(zhí)行代碼路徑對應的所述網(wǎng)頁的當前源代碼，得到所述每個可執(zhí)行代碼路徑的執(zhí)行結果；

若得到的執(zhí)行結果中存在異常，則確定所述網(wǎng)頁存在網(wǎng)絡攻擊信息。

進一步地，上述所述的方法中，對所述網(wǎng)頁的源代碼進行分析，得到所述網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑，包括：

對所述網(wǎng)頁的源代碼中的javascript進行編譯，得到所述網(wǎng)頁對應的二進制代碼；

根據(jù)預設的劃分規(guī)則，對所述二進制代碼進行劃分，得到所述網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑。

進一步地，上述所述的方法中，根據(jù)所述所有可執(zhí)行代碼路徑，執(zhí)行每個可執(zhí)行代碼路徑對應的所述網(wǎng)頁的當前源代碼，得到每個可執(zhí)行代碼路徑對應的執(zhí)行結果，包括：

將每個可執(zhí)行代碼路徑，分別放置在路徑樹中所對應的分支上；

根據(jù)當前分支上的可執(zhí)行代碼路徑，在當前分支上執(zhí)行所述網(wǎng)頁的當前源代碼過程中，若遇到call指令生成子進程，對所述子進程進行標記檢測；

若檢測出所述子進程為混淆程序，確定所述可執(zhí)行代碼路徑對應的執(zhí)行結果為異常。

進一步地，上述所述的方法，還包括：

在執(zhí)行每個可執(zhí)行代碼路徑對應的所述網(wǎng)頁的當前源代碼的過程中，監(jiān)測所述沙箱的內存使用狀態(tài)是否達到設定的閾值；

若監(jiān)測到所述沙箱的內存使用量達到設定的閾值，確定所述網(wǎng)頁存在網(wǎng)絡攻擊信息。

進一步地，上述所述的方法，還包括：確定所述網(wǎng)頁存在網(wǎng)絡攻擊信息之后，還包括：

獲取所述網(wǎng)頁對應的網(wǎng)站的鏈接信息；

根據(jù)所述網(wǎng)站的鏈接信息，獲取所述網(wǎng)頁的數(shù)據(jù)。

本發(fā)明實施例還提供一種網(wǎng)絡攻擊信息的檢測裝置，包括：

處理模塊，用于對沙箱中的網(wǎng)頁進行解碼處理，得到所述網(wǎng)頁的源代碼；

分析模塊，用于對所述網(wǎng)頁的源代碼進行分析，得到所述網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑；

執(zhí)行模塊，用于根據(jù)所述所有可執(zhí)行代碼路徑，執(zhí)行每個可執(zhí)行代碼路徑對應的所述網(wǎng)頁的當前源代碼，得到所述每個可執(zhí)行代碼路徑的執(zhí)行結果；

確定模塊，用于若得到的執(zhí)行結果中存在異常，則確定所述網(wǎng)頁存在網(wǎng)絡攻擊信息。

進一步地，上述所述的裝置中，所述分析模塊，具體用于：

對所述網(wǎng)頁的源代碼中的javascript進行編譯，得到所述網(wǎng)頁對應的二進制代碼；

根據(jù)預設的劃分規(guī)則，對所述二進制代碼進行劃分，得到所述網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑。

進一步地，上述所述的裝置中，所述執(zhí)行模塊，具體用于：

將每個可執(zhí)行代碼路徑，分別放置在路徑樹中所對應的分支上；

根據(jù)當前分支上的可執(zhí)行代碼路徑，在當前分支上執(zhí)行所述網(wǎng)頁的當前源代碼過程中，若遇到call指令生成子進程，對所述子進程進行標記檢測；

若檢測出所述子進程為混淆程序，確定所述可執(zhí)行代碼路徑對應的執(zhí)行結果為異常。

進一步地，上述所述的裝置，還包括：監(jiān)測模塊，用于在執(zhí)行每個可執(zhí)行代碼路徑對應的所述網(wǎng)頁的當前源代碼的過程中，監(jiān)測所述沙箱的內存使用狀態(tài)是否達到設定的閾值；

所述確定模塊，還用于若監(jiān)測到所述沙箱的內存使用量達到設定的閾值，確定所述網(wǎng)頁存在網(wǎng)絡攻擊信息。

進一步地，上述所述的裝置，還包括：

獲取模塊，用于獲取所述網(wǎng)頁對應的網(wǎng)站的鏈接信息，根據(jù)所述網(wǎng)站的鏈接信息，獲取所述網(wǎng)頁的數(shù)據(jù)。

本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法及裝置，通過對沙箱中的網(wǎng)頁進行解碼處理，得到網(wǎng)頁的源代碼后，對網(wǎng)頁的源代碼進行分析，得到網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑，并根據(jù)所有可執(zhí)行代碼路徑，執(zhí)行每個可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼，得到每個可執(zhí)行代碼路徑的執(zhí)行結果，若得到的執(zhí)行結果中存在異常，則確定網(wǎng)頁存在網(wǎng)絡攻擊信息，實現(xiàn)了高效、全面地對互聯(lián)網(wǎng)中的網(wǎng)絡攻擊信息進行檢測。

附圖說明

此處所說明的附圖用來提供對本發(fā)明實施例的進一步理解，構成本發(fā)明實施例的一部分，本發(fā)明實施例的示意性實施例及其說明用于解釋本發(fā)明實施例，并不構成對本發(fā)明實施例的不當限定。在附圖中：

圖1為本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法實施例一的流程圖；

圖2為本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法實施例二的流程圖；

圖3為本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法實施例三的流程圖；

圖4為本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測裝置實施例一的結構示意圖；

圖5為本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測裝置實施例二的結構示意圖。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結合本發(fā)明實施例具體實施例及相應的附圖對本發(fā)明實施例技術方案進行清楚、完整地描述。顯然，所描述的實施例僅是本發(fā)明實施例一部分實施例，而不是全部的實施例?；诒景l(fā)明實施例中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明實施例保護的范圍。

說明書和權利要求書及上述附圖中的術語“第一”、“第二”等(如果存在)是用于區(qū)別類似的部分，而不必用于描述特定的順序或先后次序。應該理解這樣使用的數(shù)據(jù)在適當情況下可以互換，以便這里描述的本申請的實施例能夠以除了在這里圖示的以外的順序實施。

以下結合附圖，詳細說明本發(fā)明實施例各實施例提供的技術方案。

實施例一

圖1為本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法實施例一的流程圖，如圖1所示，本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法，具體可以包括如下步驟：

100、對沙箱中的網(wǎng)頁進行解碼處理，得到網(wǎng)頁的源代碼。

本發(fā)明實施例為了加強對網(wǎng)絡安全的保護，可以將沙箱技術應用于網(wǎng)頁防護中。從技術實現(xiàn)角度而言，就是從原有的阻止可疑程序對系統(tǒng)訪問，轉變成將可疑程序對磁盤、注冊表等的訪問重定向到指定文件夾下，從而消除對系統(tǒng)的危害。

用戶通過瀏覽器所作的任何寫磁盤操作，都將重定向到一個特定的臨時文件夾中。這樣，即使網(wǎng)頁中包含病毒，木馬，廣告等惡意程序，被強行安裝后，也只是安裝到了臨時文件夾中，不會對用戶終端造成危害。

在一個具體實現(xiàn)過程中，當某一網(wǎng)頁被載入沙箱后，可以主動對該網(wǎng)頁和/或該網(wǎng)頁對應的網(wǎng)站提供的其它相關網(wǎng)頁進行解碼處理，從而可以得到每個網(wǎng)頁的源代碼。

101、對網(wǎng)頁的源代碼進行分析，得到網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑。

在得到網(wǎng)頁的源代碼后，若按照網(wǎng)頁的源代碼的邏輯關系執(zhí)行網(wǎng)頁的源代碼，其效率比較低，因此本發(fā)明實施例可以利用路徑執(zhí)行技術對網(wǎng)頁的源代碼進行分析，從網(wǎng)頁的源代碼中找出所有可執(zhí)行代碼路徑。其中可執(zhí)行代碼路徑為一連串的源代碼語句，該一連串的源代碼語句起始于程序開始運行的語句并且終止于一條特定的語句。

102、根據(jù)所有可執(zhí)行代碼路徑，執(zhí)行每個可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼，得到每個可執(zhí)行代碼路徑的執(zhí)行結果。

例如，本發(fā)明實施例可以構造一個路徑樹，在得到所有可執(zhí)行代碼路徑之后，可以將每個可執(zhí)行代碼路徑，分別放置在路徑樹中所對應的分支上；根據(jù)當前分支上的可執(zhí)行代碼路徑，在當前分支上執(zhí)行網(wǎng)頁的當前源代碼過程中，若遇到call指令生成子進程，對子進程進行標記檢測；若檢測出子進程為混淆程序，確定可執(zhí)行代碼路徑對應的執(zhí)行結果為異常。

在一個具體實現(xiàn)過程中，本發(fā)明實施例將每個可執(zhí)行代碼路徑，分別放置在路徑樹中所對應的分支上，可以使得在每個分支上執(zhí)行網(wǎng)頁的當前源代碼時不受網(wǎng)頁的源代碼邏輯關系限制，能夠獨立執(zhí)行每一個分支上的網(wǎng)頁的當前源代碼，使得執(zhí)行網(wǎng)頁的源代碼的效率更高。且在當前分支上執(zhí)行網(wǎng)頁的當前源代碼過程中，網(wǎng)頁會生成一個新的事件，例如彈出一個廣告信息等，此時相當于call指令生成子進程，本發(fā)明實施例中，可以將該可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼列為可疑網(wǎng)絡攻擊信息，并將該子進程進行標記并對該子進程進行檢測。

由于網(wǎng)絡攻擊信息目的是攻擊網(wǎng)絡，所以生成的子進程所對應的程序代碼是不想被編譯破解的，此時子進程所對應的程序代碼是會采用代碼混淆的方式進行加密處理等操作，最終形成一個混淆程序。因此，本發(fā)明實施例中若檢測出所述子進程為混淆程序，則可以確定該可執(zhí)行代碼路徑對應的執(zhí)行結果為異常；反之，則可執(zhí)行代碼路徑對應的執(zhí)行結果為正常。

需要說明的是，本發(fā)明實施例中的網(wǎng)絡攻擊信息可以包括但不限制于惡意代碼和/或漏洞。為了保護網(wǎng)絡不被攻擊，本發(fā)明實施例在確定該可執(zhí)行代碼路徑對應的執(zhí)行結果為異常后，可以將該子進程禁止，并刪除該子進程。

103、若得到的執(zhí)行結果中存在異常，則確定網(wǎng)頁存在網(wǎng)絡攻擊信息。

若到的執(zhí)行結果中存在異常，說明該網(wǎng)頁中存在網(wǎng)絡攻擊信息的可能性比較大，為了能夠保護網(wǎng)絡不被攻擊，本發(fā)明實施例可以將此網(wǎng)頁確定為存在網(wǎng)絡攻擊信息，以便后續(xù)對該網(wǎng)頁進行重點檢測。

本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法的執(zhí)行主體可以為網(wǎng)絡攻擊信息的檢測裝置，該網(wǎng)絡攻擊信息的檢測裝置具體可以通過軟件來集成，例如該網(wǎng)絡攻擊信息的檢測裝置具體可以為一個應用，本發(fā)明對此不進行特別限定。

本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法，通過對沙箱中的網(wǎng)頁進行解碼處理，得到網(wǎng)頁的源代碼后，對網(wǎng)頁的源代碼進行分析，得到網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑，并根據(jù)所有可執(zhí)行代碼路徑，執(zhí)行每個可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼，得到每個可執(zhí)行代碼路徑的執(zhí)行結果，若得到的執(zhí)行結果中存在異常，則確定網(wǎng)頁存在網(wǎng)絡攻擊信息，實現(xiàn)了高效、全面地對互聯(lián)網(wǎng)中的網(wǎng)絡攻擊信息進行檢測。

實施例二

圖2為本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法實施例二的流程圖，如圖2所示，本發(fā)明實施例在圖1所示實施例的基礎上進一步更加詳細地對本發(fā)明的技術方案進行描述。

如圖2所示，本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法，具體可以包括如下步驟：

200、對沙箱中的網(wǎng)頁進行解碼處理，得到網(wǎng)頁的源代碼。

本發(fā)明實施例的實現(xiàn)原理與圖1所示實施例中步驟100的實現(xiàn)原理相同，詳細請參考上述相關記載，在此不再贅述。

201、對網(wǎng)頁的源代碼中的javascript進行編譯，得到網(wǎng)頁對應的二進制代碼。

為了能夠識別得到網(wǎng)頁的源代碼，本發(fā)明實施例可以對網(wǎng)頁的源代碼中的javascrip(客戶端web開發(fā)的腳本語言)進行編譯，得到該網(wǎng)頁對應的二進制代碼。

202、根據(jù)預設的劃分規(guī)則，對二進制代碼進行劃分，得到網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑。

在得到該網(wǎng)頁對應的二進制代碼之后，可以根據(jù)預設的劃分規(guī)則，對二進制代碼進行劃分，得到網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑。

例如，可以分別設定起始于程序開始運行的語句對應的第一標識以及終止于一條特定的語句的第二標識，在編譯二進制代碼時，將該標識寫入二進制代碼中，針對第一標識和第二標識設置劃分規(guī)則，以準確的識別第一標識和第二標識等，從而對二進制代碼進行劃分，得到網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑。

203、根據(jù)所有可執(zhí)行代碼路徑，執(zhí)行每個可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼，得到每個可執(zhí)行代碼路徑的執(zhí)行結果。

本發(fā)明實施例的實現(xiàn)原理與圖1所示實施例中步驟102的實現(xiàn)原理相同，詳細請參考上述相關記載，在此不再贅述。

204、若得到的執(zhí)行結果中存在異常，則確定網(wǎng)頁存在網(wǎng)絡攻擊信息。

本發(fā)明實施例的實現(xiàn)原理與圖1所示實施例中步驟103的實現(xiàn)原理相同，詳細請參考上述相關記載，在此不再贅述。

205、獲取網(wǎng)頁對應的網(wǎng)站的鏈接信息。

在一個具體實現(xiàn)過程中，為了保護網(wǎng)絡不被攻擊、提高漏洞掃描器檢測網(wǎng)絡攻擊信息的可靠性，需要漏洞掃描器能夠抓取網(wǎng)頁的所有數(shù)據(jù)，因此本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法，在確定網(wǎng)頁存在網(wǎng)絡攻擊信息之后，需要對該網(wǎng)頁進行重點檢測，并獲取該網(wǎng)頁對應的網(wǎng)站的鏈接信息。

206、根據(jù)網(wǎng)站的鏈接信息，獲取網(wǎng)頁的數(shù)據(jù)。

在得到網(wǎng)站的鏈接信息之后，可以根據(jù)該鏈接信息獲取到網(wǎng)頁的數(shù)據(jù)。例如，網(wǎng)頁當前頁面的內容、網(wǎng)頁后臺數(shù)據(jù)等。

本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法，實現(xiàn)了高效、全面地對互聯(lián)網(wǎng)中的網(wǎng)絡攻擊信息進行檢測，并提高了漏洞掃描器發(fā)現(xiàn)漏洞的概率，以及檢測網(wǎng)絡攻擊信息的可靠性。

實施例三

圖3為本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法實施例三的流程圖，如圖3所示，本發(fā)明實施例在圖1所示實施例的基礎上進一步更加詳細地對本發(fā)明的技術方案進行描述。

如圖3所示，本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法，具體可以包括如下步驟：

300、對沙箱中的網(wǎng)頁進行解碼處理，得到網(wǎng)頁的源代碼。

本發(fā)明實施例的實現(xiàn)原理與圖1所示實施例中步驟100的實現(xiàn)原理相同，詳細請參考上述相關記載，在此不再贅述。

301、對所網(wǎng)頁的源代碼中的javascript進行編譯，得到網(wǎng)頁對應的二進制代碼。

本發(fā)明實施例的實現(xiàn)原理與圖2所示實施例中步驟201的實現(xiàn)原理相同，詳細請參考上述相關記載，在此不再贅述。

302、根據(jù)預設的劃分規(guī)則，對二進制代碼進行劃分，得到網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑。

本發(fā)明實施例的實現(xiàn)原理與圖2所示實施例中步驟202的實現(xiàn)原理相同，詳細請參考上述相關記載，在此不再贅述。

303、根據(jù)所有可執(zhí)行代碼路徑，執(zhí)行每個可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼。

本發(fā)明實施例的實現(xiàn)原理與圖2所示實施例中步驟203的實現(xiàn)原理相同，詳細請參考上述相關記載，在此不再贅述。

304、在執(zhí)行每個可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼的過程中，監(jiān)測沙箱的內存使用狀態(tài)是否達到設定的閾值；若監(jiān)測到沙箱的內存使用量達到設定的閾值，執(zhí)行步驟305，否則，結束。

為了能夠更有效的發(fā)現(xiàn)網(wǎng)頁中網(wǎng)絡攻擊信息，本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法，還可以在執(zhí)行每個可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼的過程中，監(jiān)測沙箱的內存使用狀態(tài)是否達到設定的閾值。

在一個具體實現(xiàn)過程中，沙箱執(zhí)行正常的可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼的過程中，其對沙箱的內存消耗是比較低的，而沙箱執(zhí)行不正?？蓤?zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼的過程中，其對沙箱的內存消耗是比較高的，因此，本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法，還可以針對沙箱的內存使用量設定一個閾值，并監(jiān)測沙箱的內存使用狀態(tài)是否達到設定的閾值，若監(jiān)測到沙箱的內存使用量達到設定的閾值，執(zhí)行步驟305。

305、確定網(wǎng)頁存在網(wǎng)絡攻擊信息。

例如，若監(jiān)測到沙箱的內存使用量達到設定的閾值，說明該可執(zhí)行路徑異常，此時為了保護網(wǎng)絡不受攻擊，可以確定網(wǎng)頁存在網(wǎng)絡攻擊信息，以便后續(xù)對該網(wǎng)頁進行重點檢測。

306、獲取網(wǎng)頁對應的網(wǎng)站的鏈接信息。

本發(fā)明實施例的實現(xiàn)原理與圖2所示實施例中步驟205的實現(xiàn)原理相同，詳細請參考上述相關記載，在此不再贅述。

307、根據(jù)網(wǎng)站的鏈接信息，獲取網(wǎng)頁的數(shù)據(jù)。

本發(fā)明實施例的實現(xiàn)原理與圖2所示實施例中步驟207的實現(xiàn)原理相同，詳細請參考上述相關記載，在此不再贅述。

本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測方法，通過監(jiān)測沙箱的內存使用量，實現(xiàn)了高效、全面地對互聯(lián)網(wǎng)中的網(wǎng)絡攻擊信息進行檢測，并提高了漏洞掃描器發(fā)現(xiàn)漏洞的概率，以及檢測網(wǎng)絡攻擊信息的可靠性。

需要說明的是，在一個具體實現(xiàn)過程中，上述圖2所示實施例和圖3所示實施例，可以結合使用，例如在執(zhí)行步驟203中“得到每個可執(zhí)行代碼路徑的執(zhí)行結果”之前執(zhí)行步驟304和步驟305，若出現(xiàn)步驟305的狀況，則可以直接確定該可執(zhí)行代碼路徑的執(zhí)行結果為異常，而不再需要檢測生成的子程序是否為混淆程序，才能得知該可執(zhí)行代碼路徑的執(zhí)行結果為異常；若在執(zhí)行步驟304時，若監(jiān)測到沙箱的內存使用量未達到設定的閾值，則可以進一步按照圖2所示實施例中步驟203-206執(zhí)行，進而能夠更高效、全面地對互聯(lián)網(wǎng)中的網(wǎng)絡攻擊信息進行檢測提高了漏洞掃描器發(fā)現(xiàn)漏洞的概率，以及檢測網(wǎng)絡攻擊信息的可靠性。

實施例四

圖4為本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測裝置實施例一的結構示意圖，如圖4所示，本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測裝置可以包括處理模塊10、分析模塊11、執(zhí)行模塊12和確定模塊13。

在一個具體實現(xiàn)過程中，各模塊之間相互傳遞數(shù)據(jù)。

處理模塊10，用于對沙箱中的網(wǎng)頁進行解碼處理，得到網(wǎng)頁的源代碼；

分析模塊11，用于對網(wǎng)頁的源代碼進行分析，得到網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑；

執(zhí)行模塊12，用于根據(jù)所有可執(zhí)行代碼路徑，執(zhí)行每個可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼，得到每個可執(zhí)行代碼路徑的執(zhí)行結果；

例如，執(zhí)行模塊12，具體用于：

將每個可執(zhí)行代碼路徑，分別放置在路徑樹中所對應的分支上；

根據(jù)當前分支上的可執(zhí)行代碼路徑，在當前分支上執(zhí)行網(wǎng)頁的當前源代碼過程中，若遇到call指令生成子進程，對子進程進行標記檢測；

若檢測出子進程為混淆程序，確定可執(zhí)行代碼路徑對應的執(zhí)行結果為異常。

確定模塊13，用于若得到的執(zhí)行結果中存在異常，則確定網(wǎng)頁存在網(wǎng)絡攻擊信息。

例如，本發(fā)明實施例中的網(wǎng)絡攻擊信息可以包括但不限制于惡意代碼和/或漏洞。

本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測裝置，通過采用上述各模塊實現(xiàn)檢測網(wǎng)絡攻擊信息的實現(xiàn)機制與上述圖1所示實施例的實現(xiàn)機制相同，詳細可以參考上述圖1所示實施例的記載，在此不再贅述。

本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測裝置，通過采用上述各模塊能夠對沙箱中的網(wǎng)頁進行解碼處理，得到網(wǎng)頁的源代碼后，對網(wǎng)頁的源代碼進行分析，得到網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑，并根據(jù)所有可執(zhí)行代碼路徑，執(zhí)行每個可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼，得到每個可執(zhí)行代碼路徑的執(zhí)行結果，若得到的執(zhí)行結果中存在異常，則確定網(wǎng)頁存在網(wǎng)絡攻擊信息，實現(xiàn)了高效、全面地對互聯(lián)網(wǎng)中的網(wǎng)絡攻擊信息進行檢測。

實施例五

圖5為本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測裝置實施例二的結構示意圖，如圖5所示，本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測裝置在圖4所示實施例的基礎上進一步還可以包括監(jiān)測模塊14和獲取模塊15。

在一個具體實現(xiàn)過程中，分析模塊11，具體用于：

對所網(wǎng)頁的源代碼中的javascript進行編譯，得到網(wǎng)頁對應的二進制代碼；

根據(jù)預設的劃分規(guī)則，對二進制代碼進行劃分，得到網(wǎng)頁的源代碼的所有可執(zhí)行代碼路徑。

監(jiān)測模塊14，用于在執(zhí)行每個可執(zhí)行代碼路徑對應的網(wǎng)頁的當前源代碼的過程中，監(jiān)測沙箱的內存使用狀態(tài)是否達到設定的閾值；

確定模塊13，還用于若監(jiān)測到沙箱的內存使用量達到設定的閾值，確定網(wǎng)頁存在網(wǎng)絡攻擊信息。

獲取模塊15，用于獲取網(wǎng)頁對應的網(wǎng)站的鏈接信息，根據(jù)網(wǎng)站的鏈接信息，獲取網(wǎng)頁的數(shù)據(jù)。

本發(fā)明實施例的網(wǎng)絡攻擊信息的檢測裝置，通過采用上述各模塊實現(xiàn)檢測網(wǎng)絡攻擊信息的實現(xiàn)機制與上述圖2或圖3所示實施例的實現(xiàn)機制相同，詳細可以參考上述圖2或圖3所示實施例的記載，在此不再贅述。

本領域內的技術人員應明白，本發(fā)明的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此，本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結合軟件和硬件方面的實施例的形式。而且，本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器、cd-rom、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。

本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設備上，使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

在一個典型的配置中，計算設備包括一個或多個處理器(cpu)、輸入/輸出接口、網(wǎng)絡接口和內存。

內存可能包括計算機可讀介質中的非永久性存儲器，隨機存取存儲器(ram)和/或非易失性內存等形式，如只讀存儲器(rom)或閃存(flashram)。內存是計算機可讀介質的示例。

計算機可讀介質包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結構、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質的例子包括，但不限于相變內存(pram)、靜態(tài)隨機存取存儲器(sram)、動態(tài)隨機存取存儲器(dram)、其他類型的隨機存取存儲器(ram)、只讀存儲器(rom)、電可擦除可編程只讀存儲器(eeprom)、快閃記憶體或其他內存技術、只讀光盤只讀存儲器(cd-rom)、數(shù)字多功能光盤(dvd)或其他光學存儲、磁盒式磁帶，磁帶磁磁盤存儲或其他磁性存儲設備或任何其他非傳輸介質，可用于存儲可以被計算設備訪問的信息。按照本文中的界定，計算機可讀介質不包括暫存電腦可讀媒體(transitorymedia)，如調制的數(shù)據(jù)信號和載波。

還需要說明的是，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。

本領域技術人員應明白，本發(fā)明實施例的實施例可提供為方法、系統(tǒng)或計算機程序產(chǎn)品。因此，本發(fā)明實施例可采用完全硬件實施例、完全軟件實施例或結合軟件和硬件方面的實施例的形式。而且，本發(fā)明實施例可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器、cd-rom、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。

以上所述僅為本申請的實施例而已，并不用于限制本申請。對于本領域技術人員來說，本申請可以有各種更改和變化。凡在本申請的精神和原理之內所作的任何修改、等同替換、改進等，均應包含在本申請的權利要求范圍之內。