1.一種基于URL請求時(shí)序的惡意代碼檢測方法，其特征在于，包括：

步驟a、按照捕獲時(shí)序?qū)W(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析，提取請求的URL和對應(yīng)數(shù)據(jù)包時(shí)間；

步驟b、判斷所述URL與模型數(shù)據(jù)庫中模型的第一條特征是否匹配，如果匹配成功則將所述URL、對應(yīng)數(shù)據(jù)包時(shí)間和所述模型記錄到緩存中，標(biāo)記所述模型中匹配成功的特征；所述模型數(shù)據(jù)庫是通過捕獲惡意代碼產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析，提取數(shù)據(jù)包中URL的請求時(shí)間順序的序號、URL特征、間隔時(shí)間，所述時(shí)間間隔是指相鄰兩個(gè)URL請求時(shí)間的平均時(shí)間差擴(kuò)大預(yù)設(shè)范圍得到的時(shí)間值；否則回到步驟a按照捕獲時(shí)序繼續(xù)解析下一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包提取請求的URL；

步驟c、如果所述緩存不為空，則按照時(shí)序?qū)⒔馕鏊鱿乱粋€(gè)網(wǎng)絡(luò)數(shù)據(jù)包提取請求的URL與所述模型中時(shí)間順序序號在先的未標(biāo)記匹配成功的特征進(jìn)行匹配，如果匹配成功則標(biāo)記模型中的所述特征并將所述URL、對應(yīng)數(shù)據(jù)包時(shí)間和所述模型更新記錄到緩存中；否則回到步驟a按照捕獲時(shí)序繼續(xù)解析下一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包提取請求的URL；

步驟d、如果所述模型中的URL特征全部標(biāo)記成功，則判斷存在惡意代碼威脅。

2.如權(quán)利要求1所述的基于URL請求時(shí)序的惡意代碼檢測方法，其特征在于，步驟a還包括：記錄提出請求的客戶端IP。

3.如權(quán)利要求1所述的基于URL請求時(shí)序的惡意代碼檢測方法，其特征在于，提取請求的URL中“?”字符之前的域名和路徑部分。

4.如權(quán)利要求1所述的基于URL請求時(shí)序的惡意代碼檢測方法，其特征在于，步驟b中判斷所述URL與模型數(shù)據(jù)庫中模型的第一條特征是否匹配之強(qiáng)還包括：

判斷所述URL與特征數(shù)據(jù)庫中的特征是否匹配，所述特征數(shù)據(jù)庫的內(nèi)容為模型數(shù)據(jù)庫中每個(gè)模型的第一條特征和對應(yīng)的模型編號；

如果匹配成功則將所述URL、對應(yīng)數(shù)據(jù)包時(shí)間和所述模型編號對應(yīng)的模型數(shù)據(jù)庫中的模型記錄到緩存中；所述模型數(shù)據(jù)庫是通過捕獲惡意代碼產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析，提取數(shù)據(jù)包中URL的請求時(shí)間順序的序號、URL特征、間隔時(shí)間，所述時(shí)間間隔是指相鄰兩個(gè)URL請求時(shí)間的平均時(shí)間差擴(kuò)大預(yù)設(shè)范圍得到的時(shí)間值。

5.如權(quán)利要求1所述的基于URL請求時(shí)序的惡意代碼檢測方法，其特征在于，步驟c還包括：

如果所述緩存不為空，則按照時(shí)序?qū)⒔馕鏊鱿乱粋€(gè)網(wǎng)絡(luò)數(shù)據(jù)包提取請求的URL與所述模型中時(shí)間順序序號在先的未標(biāo)記匹配成功的特征進(jìn)行匹配，如果匹配不成功，則判斷所述匹配不成功的URL對應(yīng)的數(shù)據(jù)包時(shí)間與所述模型中標(biāo)記匹配成功的最后一個(gè)序號的URL特征的請求時(shí)間的差值是否小于所述模型中標(biāo)記匹配成功的最后一個(gè)序號的URL特征的時(shí)間間隔，如果是則回到步驟a按照捕獲時(shí)序繼續(xù)解析下一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包提取請求的URL；否則，清除所述緩存中的所述模型，回到步驟a按照捕獲時(shí)序繼續(xù)解析下一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包提取請求的URL。

6.一種基于URL請求時(shí)序的惡意代碼檢測系統(tǒng)，其特征在于，包括：

解析單元，用于按照捕獲時(shí)序?qū)W(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析，提取請求的URL和對應(yīng)數(shù)據(jù)包時(shí)間；

檢測單元，用于判斷所述URL與模型數(shù)據(jù)庫中模型的第一條特征是否匹配，如果匹配成功則將所述URL、對應(yīng)數(shù)據(jù)包時(shí)間和所述模型記錄到緩存中，標(biāo)記所述模型中匹配成功的特征；所述模型數(shù)據(jù)庫是通過捕獲惡意代碼產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析，提取數(shù)據(jù)包中URL的請求時(shí)間順序的序號、URL特征、間隔時(shí)間，所述時(shí)間間隔是指相鄰兩個(gè)URL請求時(shí)間的平均時(shí)間差擴(kuò)大預(yù)設(shè)范圍得到的時(shí)間值；否則按照捕獲時(shí)序繼續(xù)解析下一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包提取請求的URL；

如果所述緩存不為空，則按照時(shí)序?qū)⒔馕鏊鱿乱粋€(gè)網(wǎng)絡(luò)數(shù)據(jù)包提取請求的URL與所述模型中時(shí)間順序序號在先的未標(biāo)記匹配成功的特征進(jìn)行匹配，如果匹配成功則標(biāo)記模型中的所述特征并將所述URL、對應(yīng)數(shù)據(jù)包時(shí)間和所述模型更新記錄到緩存中；否則按照捕獲時(shí)序繼續(xù)解析下一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包提取請求的URL；

輸出單元，用于判斷如果所述模型中的URL特征全部標(biāo)記成功，則判斷存在惡意代碼威脅。

7.如權(quán)利要求6所述的基于URL請求時(shí)序的惡意代碼檢測系統(tǒng)，其特征在于，解析單元具體還用于記錄提出請求的客戶端IP。

8.如權(quán)利要求6所述的基于URL請求時(shí)序的惡意代碼檢測系統(tǒng)，其特征在于，提取請求的URL中“?”字符之前的域名和路徑部分。