技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于URL異構性的可疑事件檢測方法及系統。

背景技術

用來瀏覽網站的web瀏覽器已經從展示內容發展為一個可執行分布式應用程序的環境。為了能更好的展示網站的各種功能，瀏覽器已經從原來的靜態角色轉變成了可以動態運行客戶端程序的操作系統，同時也給用戶帶來了更大的安全隱患。

傳統惡意程序的檢測方法多是基于特征碼進行檢測，對于URL進行檢測的方法是通過已知捕獲的惡意URL進行匹配，但是這種方式對于未知的惡意URL基本無效，并且其反應速度也遠遠落后于惡意程序發展及轉化的速度。

發明內容

針對上述技術問題，本發明提供了一種基于URL異構性的可疑事件檢測方法及系統，該發明通過知識庫中的檢測規則來檢測URL是否是高度可疑事件，并及時處理和響應。由于知識庫中的檢測規則是可以根據形勢和需要補充或者替換，所以便于維護，并且由于本發明所提供的技術方案不依賴于已知惡意URL的特征提取，所以其對于未知的惡意URL有很好的檢出效果。

本發明采用如下方法來實現：一種基于URL異構性的可疑事件檢測方法，包括：

捕獲用戶發出方向的網絡數據包；

解析所述網絡數據包，提取所述網絡數據包中的URL；

基于知識庫中的檢測規則來判斷所述URL是否是高度可疑事件，若是，則進行深度檢測，否則利用預設的檢測方案進行檢測；

所述檢測規則根據需要添加或刪除，包括：

判斷所述URL請求的服務器端口是否為系統保留端口，若是，則是安全事件，否則是高度可疑事件；其中，所述系統保留端口小于等于1024；通常正常的網絡服務都是使用系統保留端口，例如：HTTP的80端口、FTP的22端口等。惡意程序由于很多條件限制，例如為了逃避檢測，所以很少使用系統保留端口；

判斷所述URL的域名是否是具有實際意義的詞匯，若是，則是安全事件，否則是高度可疑事件。因為正常的網絡服務一般都會選擇一個具有實際意義的單詞、拼音或者已知域名等作為域名。惡意程序為了隱藏自己需求等原因，可能需要使用沒有任何實際意義的域名。

其中，所述檢測規則是可以不斷完善的，能夠根據形勢或者需要添加新的檢測規則，或者刪除不再有效地檢測規則。

進一步地，若判斷所述URL請求的服務器端口是系統保留端口，則繼續判斷所述URL請求是否與端口所對應的協議一致，若是，則是安全事件，否則是高度可疑事件。

本發明采用如下系統來實現：一種基于URL異構性的可疑事件檢測系統，包括：

數據包捕獲模塊，用于捕獲用戶發出方向的網絡數據包；

URL提取模塊，用于解析所述網絡數據包，提取所述網絡數據包中的URL；

判定模塊，用于基于知識庫中的檢測規則來判定所述URL是否是高度可疑事件，若是，則進行深度檢測，否則利用預設的檢測方案進行檢測；

知識庫，用于存儲檢測規則，所述檢測規則根據需要添加或刪除，包括：

判斷所述URL請求的服務器端口是否為系統保留端口，若是，則是安全事件，否則是高度可疑事件；其中，所述系統保留端口小于等于1024；通常正常的網絡服務都是使用系統保留端口，例如：HTTP的80端口、FTP的22端口等。惡意程序由于很多條件限制，例如為了逃避檢測，所以很少使用系統保留端口；

判斷所述URL的域名是否是具有實際意義的詞匯，若是，則是安全事件，否則是高度可疑事件。因為正常的網絡服務一般都會選擇一個具有實際意義的單詞、拼音或者已知的域名等作為域名。惡意程序為了隱藏自己需求等原因，可能需要使用沒有任何實際意義的域名。

其中，所述知識庫是可以不斷完善的，能夠根據形勢或者需要添加新的檢測規則，或者刪除不再有效地檢測規則。

進一步地，若判斷所述URL請求的服務器端口是系統保留端口，則繼續判斷所述URL請求是否與端口所對應的協議一致，若是，則是安全事件，否則是高度可疑事件。

綜上所述，本發明提供了一種基于URL異構性的可疑事件檢測方法及系統，利用惡意程序通常都會主動與控制端進行網絡通信的特點，本發明所述技術方案通過監控用戶發出方向的網絡數據包，并解析出URL，基于預設的檢測規則檢測所述URL請求是否是高度可疑事件，并根據檢測結果進行后續處理。由于本技術方案沒有使用已知惡意URL特征進行檢測，并且其使用的檢測規則可以根據需要靈活添加或者刪除，所以其可以有效地檢出未知惡意URL。

附圖說明