[發(fā)明專利]惡意程序發(fā)布檢測方法、裝置以及介質有效
| 申請?zhí)枺?/td> | 201810322481.6 | 申請日: | 2018-04-11 |
| 公開(公告)號: | CN108768934B | 公開(公告)日: | 2021-09-07 |
| 發(fā)明(設計)人: | 胡浩;何小梅;劉青;王明華;葉青青;岑黎光;董冬偉;李冀 | 申請(專利權)人: | 北京立思辰新技術有限公司;杭州谷逸網絡科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/08 |
| 代理公司: | 北京國帆知識產權代理事務所(普通合伙) 11334 | 代理人: | 李增朝 |
| 地址: | 100192 北京市海淀*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 惡意程序 發(fā)布 檢測 方法 裝置 以及 介質 | ||
1.一種惡意程序發(fā)布檢測方法,其特征在于,包括:
采集用于發(fā)起文件下載的HTTP請求消息,從所述HTTP請求消息中提取摘要信息;
從摘要信息中提取識別信息,將所述識別信息分別與惡意和安全網站識別庫中預設的惡意網站識別信息和可信網站識別信息進行匹配,
如果所述摘要信息與所述惡意和安全網站識別庫中預設的惡意網站識別信息或可信網站識別信息匹配成功,則確定所述摘要信息為對于惡意網站或對于可信網站的摘要信息,并將此摘要信息按照預設比例作為訓練樣本和測試樣本對決策分類器進行訓練;
如果所述摘要信息與所述惡意和安全網站識別庫中預設的惡意網站識別信息和可信網站識別信息沒有匹配成功,則獲得與所述摘要信息相關聯的用于識別可疑惡意網站的特征信息,將所述摘要信息和所述特征信息輸入到所述決策分類器進行分類處理,確定所述摘要信息為對于可疑惡意網站的摘要信息或對于可信網站的摘要信息;
如果確定所述摘要信息為對于可疑惡意網站的摘要信息,則基于與此摘要信息對應的HTTP請求消息生成對于此可疑惡意網站的可疑惡意資源的下載連接信息;
將多個所述可疑惡意資源的下載連接信息進行關聯處理,進行惡意程序分發(fā)特征分析、獲得可疑惡意下載候選連接,生成可疑惡意資源的下載連接網絡節(jié)點圖,通過對包含惡意主機的網絡節(jié)點圖的疊加,得到惡意程序發(fā)布網絡的信息和網絡基礎架構,確定可疑惡意資源的網絡發(fā)布信息;
其中,所述識別信息包括:域名、URL、IP地址,所述下載連接網絡節(jié)點圖中的節(jié)點包括:IP地址、域名、URL路徑、文件名和下載文件。
2.如權利要求1所述的方法,其特征在于,所述從所述HTTP請求消息中提取摘要信息包括:
基于預設的提取規(guī)則從所述HTTP請求中提取摘要信息;
其中,所述摘要信息包括域名、URL、源IP地址、目的IP地址、端口號、URI、用戶代理頭字段中的至少一個以及下載文件前K個字節(jié)內容的哈希值,K為配置參數。
3.如權利要求1所述的方法,其特征在于,所述獲得與所述摘要信息相關聯的用于識別可疑惡意網站的特征信息包括:
獲得與所述摘要信息中的同一個URI相關聯的文件下載記錄;
如果確定與所述文件下載記錄對應的不同下載文件的數量大于預設的文件數量閾值,則將所述文件下載記錄作為關于文件變異的特征信息。
4.如權利要求1所述的方法,其特征在于,所述獲得與所述摘要信息相關聯的用于識別可疑惡意網站的特征信息包括:
獲取與所述摘要信息中的IP地址相同但域名不同的文件下載記錄;
利用聚類的方法發(fā)現內容發(fā)布網絡,統計與此下載記錄相對應的可疑內容發(fā)布網絡的特征信息,其中,所述可疑內容發(fā)布網絡的特征信息包括:頂級域名數量、URI路徑數量、文件數量、文件類型。
5.如權利要求1所述的方法,其特征在于,所述獲得與所述摘要信息相關聯的用于識別可疑惡意網站的特征信息包括:
查詢歷史下載記錄,如果確定所述摘要信息中的域名、IP地址和下載可執(zhí)行文件僅與一個URI相對應,并且該URI只包括一個HTML網頁,則確定此摘要信息為與其對應的可疑惡意資源通過專用主機下載的特征信息。
6.如權利要求1所述的方法,其特征在于,所述獲得與所述摘要信息相關聯的用于識別可疑惡意網站的特征信息包括:
獲取與所述摘要信息中的目的IP地址和用戶代理,查找與同一IP地址聯系了一次以上且使用了不同的用戶代理的記錄,并統計用戶代理相關的可執(zhí)行文件下載的數量,作為關于漏洞利用的特征信息。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京立思辰新技術有限公司;杭州谷逸網絡科技有限公司,未經北京立思辰新技術有限公司;杭州谷逸網絡科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810322481.6/1.html,轉載請聲明來源鉆瓜專利網。





