移動網路訪問「暗鏈」網頁的情況和檢測簡談

目前，通過手機瀏覽器上網的行為佔比，除了APP之外，應該可以排在第二，其中，瀏覽器的類型，包括手機終端自帶瀏覽器，或，從應用市場下載瀏覽器。

這種類型的瀏覽器，在瀏覽網頁的時候，除了Chrome/QQ瀏覽器等會自帶部分URL檢測功能之外，其他品牌瀏覽器很少會對網站的安全性進行檢查。

實際上，用戶在通過手機終端進行網頁瀏覽訪問時，傳統PC上出現的惡意行為目前在移動終端上正在發生，這裡說一種情況，那就是網頁中包含的「暗鏈」情況，簡單說，這種鏈接通過JS代碼實現，但對用戶透明，但當用戶的瀏覽器載入該網頁的時候，通過觸屏操作，會出發暗鏈關聯代碼的執行動作，這種動作背後通常包括流量的產生和資費的消耗，比如，通過重定向或後台下載應用的方式，增加指定站點的點擊數或APP或組件的下載數，從另一方面進行獲利。

針對這種包含暗鏈的網頁，目前主流瀏覽器並沒提供針對性的檢測方式（考慮到js變化的多樣性以及混淆加密等方式的存在），所以導致，很多用戶在訪問此類站點的時候，會「被消費」。從這個角度出發，一、通用檢測方式，通過對海量網頁代碼的抓取，進行分析，對可能產生惡意行為的UR進行歸類和JS代碼特徵的提取，形成網頁JS惡意特徵庫，可以提供給瀏覽器或第三方APP通過SDK方式在發現進行網頁訪問行為的時候進行調用；二、對於複雜經過混淆加密的JS，混淆的內容，可以通過已有反混淆工具進行解密後，進行惡意性判斷，對於產生惡意行為的網頁，參考通用檢測方式進行特徵摘取，對於加密抗分析的JS代碼，可以通過在沙盒中運行的方式，對其執行邏輯進行跟蹤和數據摘取（訪問目標地址，訪問數據動作），判斷該部分JS代碼是否具有惡意特性，如果具有，同樣參考通用檢測方式進行特徵摘取；對於只有空結構的JS代碼，需要採用爬蟲技術，對其實際調用的JS源進行代碼數據的獲取和檢測，結合「一」和「二」提供的方式，對獲取的爬蟲數據進行安全性分析（這裡爬蟲深度可以根據網頁業務的權重進行定義）。

因為移動設備和用戶的流量，支付，交易關聯更加緊密，通過網頁進行內容訪問的行為也會佔到相當比重，所以，針對這種情況，這裡簡單探討了一下大概思路。

推薦閱讀：