一种对WEB安全进行自动化检测的系统和方法

1.一种对WEB安全进行自动化检测的系统，其特征在于，包括：
表示层：负责用户注册任务配置、报告生成展示、进度和状态展示；
功能层：该系统的核心模块，负责核查用户提交的信息、扫描检测和生成报表，包括八个模块：
检测任务控制模块，对其他模块起调度、协作作用；
URL提取分析模块，为WEB应用程序漏洞检测模块、网站挂马检测模块提供有效的URL；
网站挂马检测模块，检测网站是否被挂马，包括静态特征检测子模块和动态行为检测子模块；
WEB应用程序漏洞检测模块，对待检测网站的WEB应用程序进行漏洞检测；
系统漏洞检测模块，包括对待检测网站的服务器操作系统、数据库系统进行漏洞检测，如果在检测过程中扫描得到的信息符合WEB应用程序漏洞检测模块和网站挂马检测模块的检测规则，则将所述信息存入复检测临时特征库，以便WEB应用程序漏洞检测模块和网站挂马检测模块进行读取并进一步检测；
报表生成模块，通过以上检测结果汇总和数据的加权分析，输出一份包含检测时间、检测类别、安全级别、漏洞概述、漏洞具体信息的最终解决方案的报告文档；
库升级维护模块，保障以上检测模块特征库的更新，以及一些失效、错误特征的剔除；
插件接口模块，增加新的扫描检测插件，和需本地扫描检测的插件；
数据层：包括网络木马特征库、用户自定义临时特征库、WEB应用程序漏洞特征库、系统漏洞基本特征库、复检测临时特征库。
2.一种对WEB安全进行自动化检测的方法，其特征在于，包括：
URL提取分析，为WEB应用程序漏洞检测、网站挂马检测提供有效的URL；
网站挂马检测，检测网站是否被挂马，包括静态特征检测和动态行为检测；
WEB应用程序漏洞检测，对待检测网站的WEB应用程序进行漏洞检测；
系统漏洞检测，包括对待检测网站的服务器操作系统、数据库系统进行漏洞检测，如果在检测过程中扫描得到的信息符合WEB应用程序漏洞检测和网站挂马检测的检测规则，则将所述信息存入复检测临时特征库，以便WEB应用程序漏洞检测和网站挂马检测进行读取并进一步检测；
报表生成，根据各阶段的检测结果生成检测结果报表。
3.根据权利要求2所述的对WEB安全进行自动化检测的方法，其特征在于，所述的URL提取分析包括以下步骤：
(1)分别提取网站挂马检测URL和WEB应用程序漏洞检测URL；
(2)分别对上述两类URL进行解析并分别将其放入用于网站挂马检测和用于WEB应用程序漏洞检测的URL队列中；
(3)判断页面数量级别，在指定数量范围内进行URL状态的判断；
(4)判断URL状态；
(5)分别生成网站挂马检测有效URL队列和WEB应用程序漏洞检测有效URL队列；
(6)分别对上述两种有效URL队列进行网站挂马检测和WEB应用程序漏洞检测。
4.根据权利要求2所述的对WEB安全进行自动化检测的方法，其特征在于，所述的静态特征检测包括以下步骤：
(1)特征匹配检测：将待检测URL页面信息和网络木马特征库里的特征值进行匹配；
(2)加权等级判断：若匹配到相应的网络木马特征，则会采用加权值的方法对待检测的URL做一个安全级别分类，具体权值根据网络木马特征类别会有不同；
(3)报表生成：根据检测结果生成相应的报表。
5.根据权利要求2所述的对WEB安全进行自动化检测的方法，其特征在于，所述的动态行为检测采用虚拟机模拟用户动态检测技术，虚拟机模拟浏览器访问指定URL，同时对其进行外部实体机实时监控和虚拟机内部实时监控。
6.根据权利要求5所述的对WEB安全进行自动化检测的方法，其特征在于，所述的外部实体机实时监控包括：
(1)虚拟机内源文件的备份：对IE临时文件夹的临时文件、样本衍生文件、样本感染文件的备份；
(2)网络抓包监控；
(3)虚拟机状态监控：对虚拟机内部传输数据的记录分析和反馈。
7.根据权利要求5所述的对WEB安全进行自动化检测的方法，其特征在于，所述的虚拟机内部实时监控包括：
(1)系统文件监控：主要监控系统文件是否修改和删除以及系统文件夹中是否新增文件；
(2)可疑进程监控：打开指定URL后监控进程数量，看是否有新增的进程；
(3)自动下载文件监控：监控程序在用户未授权前提下在后台自动下载文件的行为。
8.根据权利要求5所述的对WEB安全进行自动化检测的方法，其特征在于，所述的外部实体机实时监控与虚拟机内部实时监控的关系是：虚拟机内部实时监控的所有信息都需要外部实体机实时监控来分析处理。
9.根据权利要求2所述的对WEB安全进行自动化检测的方法，其特征在于，所述的WEB应用程序漏洞检测包括以下步骤：
(1)特征匹配检测：按照检测类别里的具体规则来测试待检测URL，再与WEB应用程序漏洞库和用户自定义临时库进行匹配；
(2)加权等级判断：将上述URL和其特征放入加权等级判断里进行细类别的判断；
(3)报表生成：根据检测结果生成相应的报表。
10.根据权利要求2所述的对WEB安全进行自动化检测的方法，其特征在于，所述的系统漏洞检测包括：
(1)系统基本信息探测：确定目标服务器的工作状态、端口状态、以及目标服务器操作系统和应用服务程序系统的类别和版本；
(2)端口扫描：根据目标服务器的状态，执行对应的漏洞测试攻击脚本，将反馈数据与系统漏洞基本特征库中的特征值进行匹配，并根据匹配结果确认安全风险；
(3)报表生成：根据检测结果生成相应的报表。
11.根据权利要求2所述的对WEB安全进行自动化检测的方法，其特征在于，所述的报表生成包括以下步骤：
(1)用户检测级别判定：根据不同的用户检测级别给予不同的方案建议；
(2)分类加权判断：将检测结果进行分类加权处理，生成对应的风险级别；
(3)整合分类数据：将数据进行分类并综合分析，得出一个综合评估报告，这样做能更清晰的展现出待检测网站的具体薄弱环节和以后修补的方向。

一种对WEB安全进行自动化检测的系统和方法\n技术领域\n[0001] 本发明涉及网站安全技术领域，尤其是涉及一种全面的对网站应用程序及其服务器进行安全评估的系统和方法。\n背景技术\n[0002] 在专利申请号为200810101530.X的申请文件中提到一种用于WEB系统的自动化渗透性测试系统和方法。该系统设有三个层次：提供与用户交互界面GUI的表示层，作为系统的控制核心、执行扫描、检测程序的运行及相关功能的逻辑层，用于存储、维护各种扫描规则和任务执行过程中的配置信息的数据层，本发明系统能根据用户在GUI表示层设置的WEB扫描任务对WEB网站自动进行渗透扫描或常规扫描，综合相应的插件对扫描结果进行分析，找出该WEB网站可能存在的问题，然后生成检测报告来通报已经形成的综合风险列表。\n[0003] 这是目前常规的检测方法，该发明采用了自动渗透检测和人工交互模式检测来提供一种用于WEB系统的自动化渗透性测试系统和方法；其中检测方法包括了注入检测、跨站、缓冲区、输入验证等。但此项发明也存在以下几点缺陷：\n[0004] (1)此发明在目录信息、源码文件泄露、WEB木马后门甚至后续的代码审核等方面没有做出详细说明。但渗透测试最重要的一点恰恰就是细节和各个环节直接的联系，如果检测方法比较单一，而且之间仅仅是单独的扫描检测没有关联，将会遗漏很多重要信息，往往是“千里之堤，溃于蚁穴”。\n[0005] (2)此自动化渗透测试系统有一个链接分析模块，可以来判断URL的目前状态，以及通过队列来筛选URL。但是链接分析模块没有考虑到待检测页面数量的问题，如果一旦用于大型网站的检测，如何来提取需要检测的链接和数量并对其进行控制；一个包含二级域名的上万个页面的网站，该自动渗透测试系统应当如何去检测。此发明并没有解决上述问题。\n[0006] (3)此发明提出的方法主要用于对WEB应用程序进行漏洞检测，但对WEB安全的检测除了对WEB应用程序进行漏洞检测外，还包括对WEB服务器操作系统、数据库系统的检测和网站挂马检测。本发明并未就后两点检测技术进行说明，因此存在一定的局限性。\n发明内容\n[0007] 为解决以上不足，本发明提出一种对WEB安全进行自动化检测的系统和方法。\n[0008] 本发明采用如下技术方案：\n[0009] 一种对WEB安全进行自动化检测的方法，包括：\n[0010] (1)URL提取分析，为WEB应用程序漏洞检测、网站挂马检测提供有效的URL；\n[0011] (2)网站挂马检测，检测网站是否被挂马，包括静态特征检测和动态行为检测；\n[0012] (3)WEB应用程序漏洞检测，对待检测网站的WEB应用程序进行漏洞检测；\n[0013] (4)系统漏洞检测，包括对待检测网站的服务器操作系统、数据库系统进行漏洞检测，如果在检测过程中扫描得到的信息符合WEB应用程序漏洞检测和网站挂马检测的检测规则，则将所述信息存入复检测临时特征库，以便WEB应用程序漏洞检测和网站挂马检测进行读取并进一步检测；\n[0014] (5)报表生成，根据各阶段的检测结果生成检测结果报表。\n[0015] 一种对WEB安全进行自动化检测的系统，该系统是基于Browser/Server架构，用户与本系统的交互是完全基于WEB浏览器界面。检测系统整体分为三层：\n[0016] A、表示层：包括用户注册任务配置、报告生成展示、进度和状态展示；\n[0017] B、功能层：负责判断用户提交的信息、扫描检测、库的更新和报表的生成。该层包括检测任务控制模块、URL提取分析模块、网站挂马检测模块、WEB应用程序漏洞检测模块、系统漏洞检测模块、报表生成模块、库升级维护模块、插件接口模块八个部分，其中网站挂马检测模块、WEB应用程序漏洞检测模块、系统漏洞检测模块这三个模块还包含众多子模块。\n[0018] 检测任务控制模块，对其他模块起调度、协作作用；\n[0019] URL提取分析模块，为WEB应用程序漏洞检测模块、网站挂马检测模块提供有效的URL；\n[0020] 网站挂马检测模块，检测网站是否被挂马，包括静态特征检测子模块和动态行为检测子模块；\n[0021] WEB应用程序漏洞检测模块，对待检测网站的WEB应用程序进行漏洞检测；\n[0022] 系统漏洞检测模块，包括对待检测网站的服务器操作系统、数据库系统进行漏洞检测，如果在检测过程中扫描得到的信息符合WEB应用程序漏洞检测模块和网站挂马检测模块的检测规则，则将所述信息存入复检测临时特征库，以便WEB应用程序漏洞检测模块和网站挂马检测模块进行读取并进一步检测；\n[0023] 报表生成模块，通过以上检测结果汇总和数据的加权分析，输出一份包含检测时间、检测类别、安全级别、漏洞概述、漏洞具体信息的最终解决方案的报告文档；\n[0024] 库升级维护模块，保障以上检测模块特征库的更新，以及一些失效、错误特征的剔除；\n[0025] 插件接口模块，增加新的扫描检测插件，和需本地扫描检测的插件；\n[0026] C、数据层：包括网络木马特征库、用户自定义临时特征库、WEB应用程序漏洞特征库、系统漏洞基本特征库、复检测临时特征库。\n[0027] 技术效果\n[0028] 本发明的有益效果有以下几点：\n[0029] (1)Browser/Server结构使得用户操作更加迅捷，基本可以忽略用户物理距离、网络划分、安装设备等性能问题。用户提交完待检测网站、检测内容和检测级别后，完全是系统自动检测，检测结果直接输出在用户的浏览器上，更加直观方便。\n[0030] (2)检测完全自动化，用户降低了运营成本。传统的WEB安全检测是用户通过安全团队人工进行定期检测或通过购买漏洞检测产品自己做检测，都需支付昂贵的开销。但本发明只需要用户在浏览器端提交信息，接下来的检测工作可由本发明的检测系统自动完成，并将检测结果以报表的形式显示在浏览器端以反馈用户，这样大大降低了用户的成本。\n[0031] (3)检测全面性和信息关联复检测技术，完全模拟真实的渗透测试流程。从WEB应用程序、服务器系统漏洞、网站挂马检测等各方面对WEB安全性进行检测，为用户提供更加准确、全面的检测报告。\n附图说明\n[0032] 图1是本发明所述的对WEB安全进行自动化检测的系统结构图；\n[0033] 图2是本发明所述的对WEB安全进行自动化检测方法的具体实施流程图；\n[0034] 图3是本发明自动化检测系统中的URL提取分析模块的具体实施流程图；\n[0035] 图4是本发明自动化检测系统中的网站挂马检测模块静态特征检测的具体实施流程图；\n[0036] 图5是本发明自动化检测系统中的网站挂马检测模块动态行为监测的具体实施流程图；\n[0037] 图6是本发明自动化检测系统中的WEB应用程序漏洞检测模块的具体实施流程图；\n[0038] 图7是本发明自动化检测系统中的系统漏洞检测模块的具体实施流程图；\n[0039] 图8是本发明自动化检测系统中的各检测模块和对应特征库的关系图；\n[0040] 图9是本发明自动化检测系统中的报表生成模块的具体实施流程图。\n具体实施方式\n[0041] 下面结合附图及实施例对本发明的技术方案进行更详细的说明。\n[0042] 本发明提供了一种对WEB安全自动化检测的系统如图1所示，该系统是基于Browser/Server架构。用户与本系统的交互是完全基于WEB浏览器界面，整个流程用户只需在提交检测信息的时候参与，之后用户无需再提供任何相关信息、网络或硬件支持。整个交互系统本着“简单、自然、友好、一致”的原则，大大减少了用户在项目安全检测上所花费的精力和财力。检测系统整体分三层：\n[0043] A、表示层：包括用户注册任务配置、进度和状态展示、报告生成展示。\n[0044] (1)用户注册任务配置：当用户提交注册信息后，为了保障之后提交的待检测网站确实是合法且由用户授权检测的，采取了信息核实环节。在通过信息核实后，用户可以根据给出的检测方案和检测级别，选取适合用户自己需要的检测方案。当用户确定并提交检测表单后，待检测数据将传输到后方Server核心检测系统，开始自动化检测评估。\n[0045] (2)进度和状态展示：根据用户提交的检测方案和检测级别，系统对检查进度和状态进行展示，即提供给用户一个检测进度图(包含检测到哪个阶段、剩余时间、其他信息)，让用户随时都可以了解到检测进度。\n[0046] (3)报告生成展示：检测完成后，系统会展示报告生成。检测结果将导入报表生成模块，最终给用户提供三个细类检测评估报告和一个综合整体检测评估报告。\n[0047] B、功能层：包含用户信息提交任务的判断，负责扫描检测，库的更新和报表的生成。具体包括八个主模块：检测任务控制模块、URL提取分析模块、网站挂马检测模块、WEB应用程序漏洞检测模块、系统漏洞检测模块、报表生成模块、库升级维护模块、插件接口模块。\n[0048] (1)检测任务控制模块：对其他模块起调度、协作作用。尤其是对于当有多个检测请求同时提交时，该模块确保其他检测模块不会发生检测顺序的颠倒和错乱，以及保障合理的资源分配。\n[0049] (2)URL提取分析模块：为接下来WEB应用程序漏洞检测模块、网站挂马检测模块这两个主检测模块提供有效的URL。主要通过聚焦爬虫技术和快速定位技术来提取指定的URL，其中聚焦爬虫技术是根据一定的网页分析算法过滤与主题无关的链接，保留有用的链接并将其放入等待抓取的URL队列。快速定位是在一些HTML语法不规则，不能有效提取内部元素的网站中来准确快速提取自动加载的URL的一项技术。保障了网站挂马模块内的URL数据来源。另外URL提取分析模块，根据HTTP协议把URL分为失效、等待、错误、拒绝访问、有效、重定向等其他多个类别，目的是为了后续不同模块的不同需求做准备。\n[0050] (3)网站挂马检测模块：包含静态特征检测和动态行为检测两个子模块。静态特征检测是通过模拟浏览器加载URL来解析页面元素，再通过对每条URL的深度搜索匹配特征来确定页面是否包含恶意脚本代码。在静态特征检测过程中，由于待检测某些恶意URL内包含反挂马检测代码，比如：源码文件内容不规范、重复恶意网马代码等。为了避免重复的检测并提高模块检测的效率，本模块专门对此有排错去重功能。动态行为检测是通过完全模拟用户，并根据进程创建规则、后台下载文件规则和调用系统文件规则等异常行为来判断待检测URL是否挂马。\n[0051] (4)WEB应用程序漏洞检测模块：对待检测网站的WEB应用程序进行漏洞检测。该模块包含以下子模块：SQL注入、跨站脚本、不安全的对象引用、本地路径泄露、不安全的目录权限、敏感目录和文件扫描、备份文件扫描、源代码泄露、命令执行、文件包含、敏感信息、Web木马后门等。\n[0052] (5)系统漏洞检测模块：对待检测网站的服务器操作系统、数据库系统等进行漏洞检测。该模块包含端口扫描模块、缓冲区漏洞检测模块、弱口令检测模块、系统错误配置检测模块。应特别注意的是，本发明针对以往常规漏洞扫描检测系统进行改进，加入了信息复检测技术。信息复检测技术是指在系统漏洞扫描得到的信息通过一个规则筛选得到一些可重复检测的信息，该信息再次重返WEB应用程序漏洞检测模块和网站挂马检测模块内的部分子模块重新检测。该技术更接近真实渗透测试，加强了信息的关联度，使得检测结果更加准确。\n[0053] (6)报表生成模块：通过以上检测结果汇总、数据的加权分析，输出一份包含检测时间、检测类别、安全级别，漏洞概述，漏洞具体信息的最终解决方案的报告文档。文档以HTML的格式展示在用户的浏览器上，也可以生成PDF和其他文件格式。\n[0054] (7)库升级维护模块：保障以上检测模块的特征库的更新，以及一些失效、错误特征的剔除。\n[0055] (8)插件接口模块：增加新的扫描检测插件和需本地扫描检测的插件，比如程序源代码审计插件等。\n[0056] C、数据层，也是提供功能层相关检查模块的数据资源。该层具体地包括网马特征库、用户自定义临时特征库、WEB应用程序漏洞特征库、系统漏洞基本特征库、复检测临时特征库。\n[0057] 本发明还提供一种对WEB安全进行自动化检测方法如图2所示，当用户提交待检测站点后包括如下步骤：\n[0058] 如果根据待检测站点页面数量级别进行检测，则进行步骤201；如果刨除页面数量基本的问题而直接进行系统漏洞检测，则进行步骤203：\n[0059] 步骤201页面数量级别确定：即确定待检测站点的页面数量总数属于哪个级别；\n根据页面数量的级别返回一个初步检测时间，以方便用户使用；\n[0060] 步骤202URL提取分析：提取有效的URL；如果提取成功，则同时执行步骤204和步骤205；为了提高检测效率，步骤204和步骤205是同步进行的。\n[0061] 步骤203系统漏洞检测：对待检测网站的服务器操作系统、数据库系统等进行漏洞检测包括：端口扫描、漏洞扫描(本地、远程溢出)、弱口令扫描。当系统漏洞检测到符合WEB漏洞检测和网站挂马检测规则的，则以队列的形式放入复检测临时特征库中，为了提高效率，该信息传输采用异步传输的方式。如果对信息进行复检测，则执行步骤204和步骤\n205；否则执行步骤206。\n[0062] 步骤204WEB应用程序漏洞检测：对待检测网站的WEB应用程序进行漏洞检测。\n[0063] 在此步骤中，包括：\n[0064] A、主站检测，其中主站检测包括SQL注入、跨站脚本、不安全的对象引用、本地路径泄露、不安全的目录权限、敏感目录和文件扫描、备份文件扫描、源代码泄露、命令执行、文件包含、敏感信息、Web木马后门；\n[0065] B、旁注检测；\n[0066] 步骤205网站挂马检测：检测网站是否被挂马。包括：\n[0067] A、静态特征检测；\n[0068] B、动态行为检测；\n[0069] 步骤206生成报表：报表生成模块根据各阶段的检测结果生成检测结果报表。\n[0070] 整个检测过程都是在检测任务控制模块下监视调度的，当完成每个子模块的检测后都会给用户反馈一个实时数据，使得用户能随时知道检测的进度。\n[0071] 本发明所述的URL提取分析模块具体操作如图3所示。本模块是最基本的资源数据提供环节，为后续WEB应用程序漏洞检测和网站挂马检测提供有效的URL。页面本身源码的不规范、一些恶意代码页面为了躲避杀毒软件刻意通过特殊编码和字符串变形，都给URL提取带来了很大的困难。本发明对此采取比较完善高效的处理方法，即采用多线程快速提取URL，其中提取规则包括：对“src、iframe、href”等HTML元素的解析；字符编码转换；如同“\x00”类的去花；针对如JPG、GIF、FLASH、CSS等格式的链接时，通过文件格式、文件内容、文件大小来快速识别正常文件和伪造的网马文件等。因为网站挂马检测和WEB应用程序漏洞检测所需的URL是不同的，所以将待检测站点的URL按照两类不同的规则进行解析并生成相应的URL队列。\n[0072] 本发明所述的URL提取分析包括如下步骤：\n[0073] 如果是网站挂马检测所需的URL，则执行步骤301；如果是WEB应用程序漏洞检测所需的URL，则执行302。\n[0074] 步骤301网站挂马检测URL提取，再执行步骤303；\n[0075] 步骤302WEB应用程序漏洞检测URL提取，再执行步骤304；\n[0076] 步骤303将经过解析的URL放入用于网站挂马检测的URL队列中；\n[0077] 步骤304将经过解析的URL放入用于WEB应用程序漏洞检测的URL队列中；\n[0078] 步骤305页面数量级别判断：通过页面数量级别验证，在指定数量范围内进行URL状态的判断；\n[0079] 步骤306URL状态判断：URL状态判断主要发出HTTP请求，通过返回的数据来判断URL目前的状态，分类为：失效、超时、错误筛选、拒绝访问、重定向等；在网马检测环节主要是提取目前用户可以访问有效的URL，而WEB应用程序漏洞检测除了对有效URL的检测，还需对拒绝访问、服务器内部错误、重定向等URL进行特殊判断；如果是网站挂马检测有效URL，则执行步骤307；如果是WEB应用程序漏洞检测有效URL，则执行步骤308；\n[0080] 步骤307网站挂马检测有效URL队列：生成网站挂马检测有效URL队列，执行步骤\n310；如果接收到网站挂马检测模块提交的URL信息，则执行步骤309；\n[0081] 步骤308WEB应用程序漏洞检测有效URL队列：生成WEB应用程序漏洞检测有效URL队列；\n[0082] 步骤309页面提取深度判断：通过深度搜索解析下一层页面中的URL开始循环判断；\n[0083] 步骤310网站挂马检测：对生成的网站挂马检测有效URL队列进行网站挂马检测；\n如果对之前待检测的URL中未发现恶意链接，将会对这些URL做一个安全标记，然后执行步骤307；如果发现挂马链接，则停止检测；否则结束标记还是通过页面数量级来控制；\n[0084] 步骤311WEB应用程序漏洞检测：对生成的WEB应用程序漏洞检测有效URL队列进行WEB应用程序漏洞检测。\n[0085] 根据上述本发明所述的URL提取分析的描述，WEB应用程序漏洞检测有效URL队列和WEB应用程序漏洞检测模块是单向的，结束标记是通过页面数量级来控制的。而网站挂马检测有效URL队列和网站挂马检测模块之间是双向交互的。\n[0086] 本发明所述的网站挂马检测的静态特征检测如图4所示。静态特征检测本身实现不难，前提是在前端URL状态判断和网马特征库的保障下。包括如下步骤：\n[0087] 步骤401网站挂马检测有效URL队列；\n[0088] 步骤402网络木马特征库；\n[0089] 步骤403特征匹配检测：将网站挂马检测有效URL队列(401)的待检测URL页面信息和网络木马特征库(402)里的特征值进行匹配，网络木马特征包括URL黑名单、网马文件特征、网马文件名特征等；\n[0090] 步骤404加权等级判断：为了保证低误报和发现ODAY挂马事件，若匹配到相应的网络木马特征，则会采用加权值的方法对待检测的URL做出一个安全级别分类，具体权值根据网络木马特征类别会有不同；\n[0091] 步骤405报表生成：根据检测结果生成相应的报表。\n[0092] 本发明所述的网站挂马检测的动态行为检测如图5所示。在网站挂马动态行为检测一般可以分为脚本解析引擎动态检测(512)和虚拟机模拟用户动态检测(501)。在本发明中暂不采用脚本解析引擎。脚本解析引擎一般是指JavaScript脚本的解析，优点是在对于采用代码变形加密的网马有很好的识别性能，而且很多开源的JavaScript脚本解析引擎，比如：V8，所以脚本解析引擎比较好实现。但缺点很多，比如：网马脚本是VBS的或者其他FLASH的AS来实现的网马则无法解析；一些以文件格式漏洞比如PDF、SWF等则无法识别；脚本解析引擎虽然实现容易，但内部构造复杂且不稳定，维护人员也需要比较高的专业知识。\n[0093] 虚拟机模拟用户动态检测，也称蜜罐环境检测技术。该技术的优点是判断准确，同时可以提取真实的挂马源文件和网马样本，以及通过抓包可以得到网马下载的PE样本地址和木马配置信息等，通过这些可以为用户提供一个详细的挂马分析报告和真实数据证据；其次是原理和流程简单，也很容易维护。缺点是环境的搭建必须全面，比如一个网马所利用的第三方软件在虚拟环境中没有安装，那肯定是无法判断该链接是否存在网马链接的。\n[0094] 虚拟机模拟用户动态检测包括如下步骤：\n[0095] 步骤502虚拟机模拟浏览器访问指定URL：外部实体机和虚拟机内部同时对其进行实时监控；\n[0096] 步骤503外部实体机实时监控包括三个功能：\n[0097] 步骤506虚拟机内源文件的备份：即对IE临时文件夹的临时文件、样本衍生文件、[0098] 样本感染文件的备份；\n[0099] 步骤507网络抓包监控；\n[0100] 步骤508虚拟机状态监控：即对虚拟机内部传输数据的记录分析和反馈。\n[0101] 步骤504虚拟机内部实时监控：在装有网马可利用漏洞软件的虚拟机内部部署一个实时监控模块并做快照，虚拟机内部实时监控包括三个功能：\n[0102] 步骤509系统文件监控：即主要监控系统文件是否修改和删除以及系统文件夹中是否新增文件；\n[0103] 步骤510可疑进程监控：打开指定URL后监控进程数量，看是否有新增的进程；\n[0104] 步骤511自动下载文件监控：监控程序在用户未授权前提下在后台自动下载文件的行为。虚拟机内部实时监控的所有信息都需要外部实体机上的实时监控模块来分析处理；\n[0105] 步骤505报表生成：每个URL会有一个上限时间，如果超时也没有可疑行为特征则判定该URL未挂马，如果发现有可疑的行为特征则立刻还原虚拟机，将检测信息生成报表。\n[0106] 本发明所述的外部实体机实时监控与虚拟机内部实时监控的关系是：虚拟机内部实时监控的所有信息都需要外部实体机上的实时监控模块来分析处理。\n[0107] 本发明所述的WEB应用程序漏洞检测如图6所示。首先根据用户的需要和检测范围本系统会提供一个用户交互方式，为用户提供一些有助于自动化渗透的资料信息，比如：\n待检测网站后台地址、某些目录地址、WEB应用系统配置文件等。另外本系统还会有一个代码审核模块，该模块是为了对用户提供的WEB应用程序源代码进行安全审核。这两方面主要是节约用户检测成本和提高检测效率来做的。包括如下检测步骤：\n[0108] 步骤601特征匹配检测：也是传统WEB安全检测，按照检测类别里的具体规则来测试待检测URL，再与WEB应用程序漏洞库和用户自定义临时特征库进行匹配，如果匹配成功将进入加权等级判断模块进行细类别的风险等级判断。特征匹配检测包括：SQL注入、跨站脚本、不安全的对象引用、本地路径泄漏、不安全的目录权限、敏感目录和文件扫描、备份文件扫描、源代码泄露、命令执行、文件包含、敏感信息、Web木马后门等；\n[0109] 步骤602加权等级判断：将上述URL和其特征放入加权等级判断里进行细类别的判断；\n[0110] 步骤603报表生成：根据检测结果生成相应报表。\n[0111] 本模块还有一个分支是旁注检测，其检测方式和上述的传统WEB安全检测是一致的，其区别是旁注是针对目标网站服务器上其他网站做渗透测试，以一种迂回的方式来获得目标网站的权限。优点是更接近真实渗透测试环境，能更大限度的发现网站存在的漏洞。\n但由于页面数量级别和检测时间的限制，该分支是一个可选分支。因此并没有在该图中画出。\n[0112] 本发明所述的系统漏洞检测如图7所示，采用了插件程序结构。每个插件里面都封装一个或者多个漏洞的测试攻击代码。使用插件程序的目的是为了更方便漏洞库的升级维护，在用脚本编写插件比较简单易学，整体采用插件程序可以有很强的扩展性。包括如下步骤：\n[0113] 步骤701系统基本信息探测：确定目标服务器的状态。包括：识别目标服务器的工作状态、识别目标服务器端口状态、识别目标服务器操作系统及其应用服务程序系统的类别和版本。在系统基本信息探测模块检测时结果会存储到复检测临时数据库一份，供其他模块使用；\n[0114] 步骤702端口扫描：根据目标服务器的状态，执行对应的漏洞测试攻击脚本，将反馈数据与系统漏洞基本特征库中的特征值进行匹配，并根据匹配结果确认安全风险；\n[0115] 步骤703报表生成：根据检测结果生成相应的报表。\n[0116] 本发明所述的各检测模块和相应数据库对应关系如图8所示，WEB应用程序漏洞检测(802)、网站挂马检测(803)、系统漏洞检测(804)调用数据库特征都是单向调用，库升级维护模块(808)和所有数据库是双向关系。本发明采用的数据库均为关系型数据库。\n在WEB应用程序漏洞特征库(805)和缓冲区溢出基本特征库(807)的设计和升级都是基于CVE标准(英文全称是Common Vulnerabilities & Exposures，是一个行业标准，为每个漏洞和暴露确定了惟一的名称和标准化的描述，可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准)来建立，这使得漏洞库有较强的扩充性以及有利于随后的更新和升级。网络木马特征库(806)采用URL黑名单、网马文件特征、网马文件名特征等。在维护过程中会对失效的URL黑名单做失效判断来减轻库的容量，对于黑名单里失效的URL会根据具体URL的流行度来做一个在库中保存时间的级别判断，从而检测出网马链接已经失效的被挂马网站，以此弥补的动态挂马检测的不足。本发明采用这些网马静态特征，在每次检测后都会在后台生成日志，通过分析日志来处理误报及实时更新其特征库。\n[0117] 本发明所述的报表生成如图9所示，包括如下步骤：\n[0118] 步骤901用户检测级别判定：根据不同的用户检测级别给予不同的方案建议；\n[0119] 步骤902分类加权判断：将检测结果进行分类加权处理，生成对应的风险级别；\n[0120] 步骤903整合分类数据，综合分析，得出一个综合评估报告。这样做能更清晰的展现出待检测网站的具体薄弱环节和以后修补的方向。\n[0121] 以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。