技術領域

本發明涉及計算機網絡安全技術領域，尤其涉及基于URL請求時序的惡意代碼檢測方法和系統。

背景技術

隨著互聯網的快速普及，惡意代碼的傳播方式目前主要以通過網絡傳播為主，惡意代碼的主要功能也由破壞、感染用戶系統逐步發展到以獲得用戶系統數據信息，利用用戶系統資源進行新的擴散、攻擊為主。目前惡意代碼的檢測方式基于特征碼匹配、啟發式檢測主要基于文件的檢測，根據文件的基本屬性和環境對文件進行檢測判定。惡意代碼的傳播、非法獲得用戶數據以及利用用戶系統資源主要在網絡中進行，而其中URL在其每個環節都起到關鍵的作用。在基于傳統的惡意代碼檢測方式的基礎上，URL分類和URL過濾技術等基于對URL的檢測來阻斷惡意代碼的傳播、回傳也開始成為在網絡中對惡意代碼的主流檢測方法。

目前針對惡意代碼的特征碼匹配方式，需要不斷升級病毒特征庫來對抗惡意代碼的不斷更新，對于惡意代碼使用加密保護殼，在特征碼匹配需對惡意代碼進行脫殼處理。這些因素導致目前特征庫不斷膨脹。而目前URL分類和過濾技術，還是單一URL規則對應單一威脅事件的模式，而且惡意代碼利用的URL中存在可信網站則很難判定。

我們通過研究分析惡意代碼在對抗反病毒軟件，對自身做了升級更新而使得反病毒軟件原有特征碼失效，而在傳播、信息回傳以及利用用戶資源等利用了可信網站的URL，這時反病毒軟件和URL過濾的技術對這類惡意代碼難以檢測。

發明內容

為了解決上述問題，本發明提供了一種基于URL請求時序的惡意代碼的檢測方法，該方法有效地提高了對同族惡意代碼的檢出率和準確率。

本發明提供了一種基于URL請求時序的惡意代碼的檢測方法，該方法包括步驟：

A、依照網絡數據包的捕獲時序對其做解析，提取客戶端請求的URL和對應數據包時間。另外根據本發明應用場景的不同還可以記錄客戶端IP等。

B、URL與特征數據庫匹配，記錄匹配成功的URL、時間和對應模型入緩存。

C、后續包中的URL與緩存中的模型匹配。

D、當模型中的所有特征都匹配成功則成功檢出，輸出相應結果。

所述步驟A中進一步需要對提取的URL做預處理，在數據包中提取域名和請求數據組成完整URL（參看：RFC1738標準http://www.ietf.org/rfc/rfc1738.txt），在本發明中只需要“http://<host>:<port>/<path>”這種格式，也就是只提取URL中“?”字符之前的域名和路徑部分，對查詢域的內容剔除。進一步提取的URL會同時進入B和C步驟，在進行C步驟之前會先判斷緩存是否為空，如果為空則A步驟提取的URL不進行C步驟的后續處理。

所述步驟B中進一步包括特征數據庫的建立，特征數據庫的建立依賴模型數據庫的建立。特征數據庫的內容為模型數據庫中每個模型的第一條特征和對應的模型編號。模型數據庫中的模型具體包括基于URL請求時間順序的序號、URL特征、間隔時間。進一步的模型數據庫中的URL序號如果有相同的情況則表示滿足其中一個特征即可。間隔時間為在一條URL的請求時間，與下一條URL請求時間的平均時間差的基礎上再擴大一定時間范圍，如在其基礎上在增加1000MS，這種時間上限。設置間隔時間的目的是為了更加準確的判斷URL請求時序。

在本發明的實際應用中也可以直接只采用模型數據庫來做之后的匹配，在這里為了更好的理解本發明，單獨在模型數據庫的基礎上建立特征數據庫。進一步當匹配成功后則記錄相應URL、時間和模型入緩存，其中模型中對已匹配成功的特征需做已匹配成功的標記。若匹配失敗則到步驟A進行后續一個數據包的解析。