[發(fā)明專利]一種惡意URL檢測方法及裝置有效
| 申請?zhí)枺?/td> | 201711296924.0 | 申請日: | 2017-12-08 |
| 公開(公告)號: | CN108092962B | 公開(公告)日: | 2020-11-06 |
| 發(fā)明(設(shè)計)人: | 白敏;汪列軍;韓志立;高浩浩 | 申請(專利權(quán))人: | 奇安信科技集團股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京路浩知識產(chǎn)權(quán)代理有限公司 11002 | 代理人: | 王瑩;李相雨 |
| 地址: | 100088 北京市西城區(qū)*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 惡意 url 檢測 方法 裝置 | ||
1.一種惡意URL檢測方法,其特征在于,包括:
讀取并解析待檢測日志數(shù)據(jù),獲得待檢測URL;
若判斷獲知所述待檢測URL不在預(yù)先配置的黑名單且不在預(yù)先配置的白名單中,則將所述待檢測URL的哈希值與映射表中的哈希值進行匹配,所述映射表包括已檢測的URL的哈希值與告警類型的映射關(guān)系;
若判斷獲知所述待檢測URL的哈希值不在所述映射表中,或所述待檢測URL對應(yīng)的告警類型為未知類型,則利用沙箱技術(shù)對所述待檢測URL對應(yīng)的待檢測日志數(shù)據(jù)進行惡意URL檢測,獲得檢測結(jié)果。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述利用沙箱技術(shù)對所述待檢測URL對應(yīng)的待檢測日志數(shù)據(jù)進行檢測,獲得檢測結(jié)果,包括:
獲取訓(xùn)練樣本,并通過所述訓(xùn)練樣本利用沙箱技術(shù)對靜態(tài)沙箱和動態(tài)沙箱進行訓(xùn)練;
根據(jù)待檢測日志數(shù)據(jù)中的靜態(tài)數(shù)據(jù)和所述靜態(tài)沙箱進行靜態(tài)分析,獲得所述待檢測URL的第一分析結(jié)果;
根據(jù)待檢測日志數(shù)據(jù)對應(yīng)的動態(tài)行為和所述動態(tài)沙箱進行動態(tài)分析,獲得所述待檢測URL的第二分析結(jié)果,
根據(jù)所述第一分析結(jié)果和所述第二分析結(jié)果獲得所述檢測結(jié)果。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法,還包括:
若根據(jù)所述檢測結(jié)果判斷所述待檢測URL為惡意URL,則根據(jù)所述待檢測URL對應(yīng)的目的IP和資產(chǎn)信息將所述檢測結(jié)果對應(yīng)的告警信息進行去重處理,并將去重后的告警信息進行存儲。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法,還包括:
將所述待檢測URL與所述黑名單和所述白名單進行匹配;
若判斷獲知所述待檢測URL在所述黑名單中,則發(fā)出告警信息;
若判斷獲知所述待檢測URL在所述白名單中,則停止對所述待檢測URL的檢測。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述將所述待檢測URL的哈希值與映射表中的哈希值進行匹配,包括:
將所述待檢測URL的哈希值與本地映射表中的哈希值進行匹配,若匹配失敗,則將所述待檢測URL的哈希值與云端映射表中的哈希值進行匹配。
6.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法,還包括:
預(yù)先建立資產(chǎn)表和告警表,將所述待檢測日志數(shù)據(jù)對應(yīng)的資產(chǎn)信息存入所述資產(chǎn)表中,將所述檢測結(jié)果對應(yīng)的告警信息存儲到所述告警表中;其中,所述資產(chǎn)表包括源目的IP、源目的端口和已檢測URL;所述告警表包括:所述源目的IP、所述已檢測URL和惡意類型。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法,還包括:
根據(jù)所述待檢測日志數(shù)據(jù)對應(yīng)的IP地址,判斷所述IP地址是否為CDN歸屬的域名。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法,還包括:
若根據(jù)所述檢測結(jié)果判斷所述待檢測URL為惡意URL,則對所述待檢測URL對應(yīng)的頁面進行截圖獲得對應(yīng)的圖片,并將所述圖片進行存儲。
9.根據(jù)權(quán)利要求1-8任一項所述的方法,其特征在于,所述方法,還包括:
獲取所述待檢測日志數(shù)據(jù)的IOC字段,根據(jù)本地IOC庫和云端IOC庫,通過所述待檢測日志數(shù)據(jù)對應(yīng)的目的IP及URL資產(chǎn)對所述待檢測日志數(shù)據(jù)進行去重處理。
10.一種惡意URL檢測裝置,其特征在于,包括:
讀取模塊,用于讀取并解析待檢測日志數(shù)據(jù),獲得待檢測URL;
第一匹配模塊,用于若判斷獲知所述待檢測URL不在預(yù)先配置的黑名單且不在預(yù)先配置的白名單中,則將所述待檢測URL的哈希值與映射表中的哈希值進行匹配,所述映射表包括已檢測的URL的哈希值與告警類型的映射關(guān)系;
檢測模塊,用于若判斷獲知所述待檢測URL的哈希值不在所述映射表中,或所述待檢測URL對應(yīng)的告警類型為未知類型,則利用沙箱技術(shù)對所述待檢測URL對應(yīng)的待檢測日志數(shù)據(jù)進行惡意URL檢測,獲得檢測結(jié)果。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于奇安信科技集團股份有限公司,未經(jīng)奇安信科技集團股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711296924.0/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 惡意特征數(shù)據(jù)庫的建立方法、惡意對象檢測方法及其裝置
- 用于檢測惡意鏈接的方法及系統(tǒng)
- 惡意信息識別方法、惡意信息識別裝置及系統(tǒng)
- 主動式移動終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺系統(tǒng)及其方法
- 一種追溯惡意進程的方法、裝置及存儲介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測方法及系統(tǒng)
- 惡意樣本增強方法、惡意程序檢測方法及對應(yīng)裝置
- 惡意語音樣本的確定方法、裝置、計算機設(shè)備和存儲介質(zhì)
- 一種動態(tài)檢測URL重定向死循環(huán)的方法及裝置
- 一種瀏覽器側(cè)提示訪問安全信息的方法及裝置
- 一種短URL服務(wù)的實現(xiàn)方法及裝置
- 一種用于發(fā)送和驗證URL簽名以進行自適應(yīng)流中URL認證和基于URL的內(nèi)容訪問授權(quán)的系統(tǒng)和方法
- 提供短統(tǒng)一資源定位符服務(wù)的方法和裝置及通信系統(tǒng)
- 一種URL檢測方法及檢測裝置
- 一種統(tǒng)一資源定位符的去重方法、裝置及電子設(shè)備
- 惡意URL檢測方法及系統(tǒng)
- 一種自身校驗發(fā)布和訪問URL的方法、裝置、系統(tǒng)和介質(zhì)
- 一種統(tǒng)一資源定位符URL的處理方法及裝置
