本發明實施例公開了一種惡意程序發布檢測方法、裝置以及介質，其中的方法包括：從用于發起文件下載的HTTP請求消息中提取摘要信息，將摘要信息與惡意和安全網站識別庫中的識別信息進行匹配，如果匹配不成功，則使用決策分類器對摘要信息進行分類處理，如果確定摘要信息為對于可疑惡意網站的摘要信息，則生成對于此可疑惡意網站的可疑惡意資源的下載連接信息，將多個可疑惡意資源的下載連接信息進行關聯，確定可疑惡意資源的網絡發布信息。本發明的方法、裝置以及介質，通過網絡節點圖可以更好地描述惡意程序發布網絡的活動，關注惡意程序分發網絡的機理和網絡基礎架構的屬性，能夠檢測到以前沒有出現過的惡意網絡活動，進而增加惡意程序的檢出率，提高網絡安全。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種惡意程序發布檢測方法、裝置以及介質。

背景技術

目前，一般的惡意程序下載攻擊過程可以分為三個階段，在第一階段，即漏洞利用階段，攻擊者的目標是在受害者的主機上運行一小段代碼，為此，攻擊者首先準備一個帶有下載漏洞利用驅動代碼的網站。當受害者訪問惡意頁面時，瀏覽器將獲取并執行驅動代碼。當攻擊成功時，它強制瀏覽器執行注入的殼代碼(shellcode)。在隨后的第二階段，即安裝階段，殼代碼(shellcode)下載實際的惡意軟件二進制文件并啟動它。一旦惡意軟件程序運行，在第三階段，即控制階段，它展現其惡意活動，通常，惡意軟件連接回遠程命令和控制(CC)服務器。攻擊者使用此連接發出命令，將新的可執行文件“丟棄”到受感染的主機上，以增強惡意軟件的功能，并收到被盜的數據。

目前，大多數保護用戶免受惡意軟件攻擊的技術集中在第一和第三階段。大量工作針對初始漏洞利用階段，嘗試檢測包含驅動器下載漏洞的頁面，并防止瀏覽器首先訪問惡意頁面。例如，蜜罐客戶端(honeyclient)抓取網頁以快速查找具有漏洞利用代碼的頁面，并將這些發現轉化為域和URL黑名單。攻擊者通過惡意域名快速改變，使黑名單永久失效。此外，攻擊者已經開始大力識別蜜罐客戶端(honeyclient)的指紋(由操作系統、設備類型和主機名等識別客戶端的特征)，并混淆其代碼以規避檢測。由于在安裝階段，殼代碼(shellcode)通常會發出從遠程服務器獲取程序的HTTP請求，然后在本地安裝并執行惡意軟件，這可以通過簡單地調用用戶瀏覽器中的可用功能來完成此請求。從網絡的角度來看，這種連接幾乎不可疑，和不同的下載良性程序的合法請求基本一致。因此，需要一種新的惡意程序發布檢測技術。

發明內容

有鑒于此，本發明要解決的一個技術問題是提供一種惡意程序發布檢測方法、裝置以及介質。

根據本發明的一個方面，提供一種惡意程序發布檢測方法，包括：采集用于發起文件下載的HTTP請求消息，從所述HTTP請求消息中提取摘要信息；將所述摘要信息與惡意和安全網站識別庫中的識別信息進行匹配；如果所述摘要信息與所述惡意和安全網站識別庫中的特征信息匹配成功，則確定所述摘要信息為對于惡意網站或對于可信網站的摘要信息，并將摘要信息按照預設比例分別作為訓練樣本和測試樣本對所述決策分類器進行訓練；如果匹配不成功，則使用已經訓練好的決策分類器對所述摘要信息進行分類處理，確定所述摘要信息為對于可疑惡意網站的摘要信息或對于可信網站的摘要信息；如果確定所述摘要信息為對于可疑惡意網站的摘要信息，則基于與此摘要信息對應的HTTP請求消息生成對于此可疑惡意網站的可疑惡意資源的下載連接信息；將多個所述可疑惡意資源的下載連接信息進行關聯處理，確定可疑惡意資源的網絡發布信息。

可選地，從摘要信息中提取識別信息，將所述識別信息分別與所述安全網站識別庫中預設的惡意網站識別信息和可信網站識別信息進行匹配；如果所述識別信息與所述惡意網站識別信息或所述可信網站識別信息匹配成功，則確定所述摘要信息為對于惡意網站或對于可信網站的摘要信息；其中，所述識別信息包括：域名、URL、IP地址。