一種基於url請求時序的惡意代碼檢測方法和系統的製作方法

2023-09-24 01:39:30

專利名稱：一種基於url請求時序的惡意代碼檢測方法和系統的製作方法
技術領域：
本發明涉及計算機網絡安全技術領域，尤其涉及基於URL請求時序的惡意代碼檢測方法和系統。
背景技術：
隨著網際網路的快速普及，惡意代碼的傳播方式目前主要以通過網絡傳播為主，惡意代碼的主要功能也由破壞、感染用戶系統逐步發展到以獲得用戶系統數據信息，利用用 戶系統資源進行新的擴散、攻擊為主。目前惡意代碼的檢測方式基於特徵碼匹配、啟發式檢測主要基於文件的檢測，根據文件的基本屬性和環境對文件進行檢測判定。惡意代碼的傳播、非法獲得用戶數據以及利用用戶系統資源主要在網絡中進行，而其中URL在其每個環節都起到關鍵的作用。在基於傳統的惡意代碼檢測方式的基礎上，URL分類和URL過濾技術等基於對URL的檢測來阻斷惡意代碼的傳播、回傳也開始成為在網絡中對惡意代碼的主 流檢測方法。目前針對惡意代碼的特徵碼匹配方式，需要不斷升級病毒特徵庫來對抗惡意代碼的不斷更新，對於惡意代碼使用加密保護殼，在特徵碼匹配需對惡意代碼進行脫殼處理。這些因素導致目前特徵庫不斷膨脹。而目前URL分類和過濾技術，還是單一 URL規則對應單一威脅事件的模式，而且惡意代碼利用的URL中存在可信網站則很難判定。我們通過研究分析惡意代碼在對抗反病毒軟體，對自身做了升級更新而使得反病毒軟體原有特徵碼失效，而在傳播、信息回傳以及利用用戶資源等利用了可信網站的URL，這時反病毒軟體和URL過濾的技術對這類惡意代碼難以檢測。

發明內容
為了解決上述問題，本發明提供了一種基於URL請求時序的惡意代碼的檢測方法，該方法有效地提高了對同族惡意代碼的檢出率和準確率。本發明提供了一種基於URL請求時序的惡意代碼的檢測方法，該方法包括步驟
A、依照網絡數據包的捕獲時序對其做解析，提取客戶端請求的URL和對應數據包時
間。另外根據本發明應用場景的不同還可以記錄客戶端IP等。B、URL與特徵資料庫匹配，記錄匹配成功的URL、時間和對應模型入緩存。C、後續包中的URL與緩存中的模型匹配。D、當模型中的所有特徵都匹配成功則成功檢出，輸出相應結果。所述步驟A中進一步需要對提取的URL做預處理，在數據包中提取域名和請求數據組成完整 URL (參看RFC1738 標準 http://www. ietf. org/rfc/rfcl738. txt),在本發明中只需要「http://〈h0St>:〈p0rt>/〈path>」這種格式，也就是只提取URL中「？」字符之前的域名和路徑部分，對查詢域的內容剔除。進一步提取的URL會同時進入B和C步驟，在進行C步驟之前會先判斷緩存是否為空，如果為空則A步驟提取的URL不進行C步驟的後續處理。
所述步驟B中進一步包括特徵資料庫的建立，特徵資料庫的建立依賴模型資料庫的建立。特徵資料庫的內容為模型資料庫中每個模型的第一條特徵和對應的模型編號。模型資料庫中的模型具體包括基於URL請求時間順序的序號、URL特徵、間隔時間。進一步的模型資料庫中的URL序號如果有相同的情況則表示滿足其中一個特徵即可。間隔時間為在一條URL的請求時間，與下一條URL請求時間的平均時間差的基礎上再擴大一定時間範圍，如在其基礎上在增加1000MS，這種時間上限。設置間隔時間的目的是為了更加準確的判斷URL請求時序。
在本發明的實際應用中也可以直接只採用模型資料庫來做之後的匹配，在這裡為了更好的理解本發明，單獨在模型資料庫的基礎上建立特徵資料庫。進一步當匹配成功後則記錄相應URL、時間和模型入緩存，其中模型中對已匹配成功的特徵需做已匹配成功的標記。若匹配失敗則到步驟A進行後續一個數據包的解析。所述步驟C中當緩存中存在URL、對應時間和模型等數據，不為空的時候，步驟A輸出的URL與緩存中的模型進行匹配。進一步地判斷模型中未匹配的特徵，即未做已匹配成功標記的特徵，取其中第一個特徵做匹配。若匹配成功則記錄相應URL、時間和模型並更新緩存，其中模型中對已匹配成功的特徵需做已匹配成功的標記。若匹配失敗則取該模型中已標記匹配成功的最後一個特徵對應匹配成功的URL的時間(如Sm[t])，和其間隔時間(如T1)，繼而用本次匹配失敗的URL對應的時間(如Sn[t])與其匹配成功的URL的時間做時間差計算，即:「Sn[t]_ Sm[t]，，。若「Sn[t]_ Sm[t]〈Tl」，則在時間範圍內，不對緩存中的數據做處理，該步驟結束，轉到步驟A進行下一個數據包的解析。若「Sn[t]_ Sm[t]>Tl」，貝U已超出時間範圍，需要對緩存中相應的模型記錄清除，該步驟結束，轉到步驟A。本發明還提供了一種基於URL請求時序的惡意代碼檢測系統，包括
解析單元，用於按照捕獲時序對網絡數據包進行解析，提取請求的URL和對應數據包時間；
檢測單元，用於判斷所述URL與模型資料庫中模型的第一條特徵是否匹配，如果匹配成功則將所述URL、對應數據包時間和所述模型記錄到緩存中，標記所述模型中匹配成功的特徵；所述模型資料庫是通過捕獲惡意代碼產生的網絡數據包進行解析，提取數據包中URL的請求時間順序的序號、URL特徵、間隔時間，所述時間間隔是指相鄰兩個URL請求時間的平均時間差擴大預設範圍得到的時間值；否則按照捕獲時序繼續解析下一個網絡數據包提取請求的URL ；
如果所述緩存不為空，則按照時序將解析所述下一個網絡數據包提取請求的URL與所述模型中時間順序序號在先的未標記匹配成功的特徵進行匹配，如果匹配成功則標記模型中的所述特徵並將所述URL、對應數據包時間和所述模型更新記錄到緩存中；否則按照捕獲時序繼續解析下一個網絡數據包提取請求的URL ；
輸出單元，用於判斷如果所述模型中的URL特徵全部標記成功，則判斷存在惡意代碼威脅。所述解析單元具體還用於記錄提出請求的客戶端IP。所述系統提取請求的URL中「？」字符之前的域名和路徑部分。所述檢測單元具體還用於判斷所述URL與特徵資料庫中的特徵是否匹配，所述特徵資料庫的內容為模型資料庫中每個模型的第一條特徵和對應的模型編號；如果匹配成功則將所述URL、對應數據包時間和所述模型編號對應的模型資料庫中的模型記錄到緩存中；所述模型資料庫是通過捕獲惡意代碼產生的網絡數據包進行解析，提取數據包中URL的請求時間順序的序號、URL特徵、間隔時間，所述時間間隔是指相鄰兩個URL請求時間的平均時間差擴大預設範圍得到的時間值。所述檢測單元具體還用於判斷如果所述緩存不為空，則按照時序將解析所述下一個網絡數據包提取請求的URL與所述模型中時間順序序號在先的未標記匹配成功的特徵進行匹配，如果匹配不成功，則判斷所述匹配不成功的URL對應的數據包時間與所述模型中標記匹配成功的最後一個序號的URL特徵的請求時間的差值是否小於所述模型中標記匹配成功的最後一個序號的URL特徵的時間間隔，如果是則按照捕獲時序繼續解析下一個網絡數據包提取請求的URL ;否則，清除所述緩存中的所述模 型，按照捕獲時序繼續解析下一個網絡數據包提取請求的URL。本發明的有益效果是
同族惡意代碼在傳播、信息回傳和利用用戶資源等攻擊過程中的URL請求具有時間順序，進一步地惡意代碼的傳播是指惡意代碼請求URL，在未經用戶允許的情況下下載其他惡意代碼或風險程序、未知程序等。惡意代碼信息回傳，是指惡意代碼在用戶系統中非法獲取用戶系統相關信息、隱私數據、文件資料等通過URL回傳至惡意代碼伺服器。惡意代碼利用用戶資源，是指惡意代碼利用用戶主機進行如廣告、軟體推廣；虛假信息發布；新的攻擊等。惡意代碼這些攻擊手段都會通過多個URL來實現，在惡意代碼本體進行更新升級的時候URL時序確少有變化。所以同族惡意代碼的URL請求具有時間順序是其一個重要共性。本發明針對同族惡意代碼在傳播、信息回傳和利用用戶資源等攻擊過程中的URL請求具有時間順序這一特徵，通過預先建立惡意代碼URL時序模型資料庫，進一步通過對網絡數據包進行捕獲提取URL進行模型匹配，對滿足URL請求時序的則確定存在惡意代碼攻擊行為。本發明彌補了傳統基於文件檢測的局限性，利用URL請求之間具有時間順序這一特性提高了惡意代碼檢測的準確率，對於URL本身是可信網站，其場景如惡意代碼檢測網絡環境、推廣軟體或廣告等，對於這種情況本發明也能很好的檢測，由於本發明無論URL本身是否具有威脅，只要滿足URL請求時序即存在威脅。


為了更清楚地說明本發明或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖I為本發明基於URL請求時序的惡意代碼檢測方法流程 圖2為本發明URL與特徵資料庫匹配的流程 圖3為本發明URL與緩存中模型匹配的流程 圖4為本發明基於URL請求時序的惡意代碼檢測系統示意圖。
具體實施例方式為了使本技術領域的人員更好地理解本發明實施例中的技術方案，並使本發明的上述目的、特徵和優點能夠更加明顯易懂，下面結合附圖和具體實施例對本發明的技術方案進行更詳細的說明。本發明提出了一種基於URL請求時序的惡意代碼檢測方法，如圖I所示，包括步驟
步驟S101、依照網絡數據包的捕獲時序對其做解析，提取客戶端請求的URL和對應數據包時間。另外根據本發明應用場景的不同還可以記錄客戶端IP等。進一步需要對提取的URL做預處理，在數據包中提取域名和請求數據組成完整URL (參看RFC1738標準http://www. ietf. org/rfc/rfcl738. txt),在本發明中只需要「http://〈host>:〈port>/〈path>」這種格式，也就是只提取URL中「？」字符之前的域名和路徑部分，對查詢域的內容剔除。表I為步驟SlOl提取的所有待檢測URL和數據包時間，每次執行步驟SlOl只解析一個數據包。如表I所示,另外在本發明中使用了 「example, com」域名來做示例(參看RFC2606標準 http://tools. ietf. org/rfc/rfc2606. txt)。 可. : RmE—"
I-0.S64075.a.exaiiipIe.com^S,fIjOsl1Asp^
2*1.605088^x.esample.com.
3-.1.709422-b.example.coiiv
4<.1.904381..a.eKample.com^.-PosiAsp-
5.2 J94J63.c. esa mple, coiivcliamiel/'oiiSale. lit ra-
6-J.730I7T.v.exainple.com*
7.3. S S 4 S16'.2. ex,ample. com. ■
8..4.109969-d. ex a m pie. cmwgo -Th
9- JOSSOi^a. ex ample, com*f3 /i mages .fIogo.gi f-
10.S.OSIlSi^a .exam pie, com-lioiiie/f s ^asej s-表I步驟SlOl提取的待檢測URL與數據包時間
步驟S102、URL與特徵資料庫匹配，記錄匹配成功的URL、時間和對應模型入緩存。進一步包括特徵資料庫的建立，特徵資料庫的建立依賴模型資料庫的建立。特徵資料庫的內容為模型資料庫中每個模型的第一條特徵和對應的模型序號，如表2中第一條URL特徵為「a. example, com/3/Post. Asp」。模型資料庫中的模型具體包括基於URL請求時間順序的序號、URL特徵、間隔時間。
權利要求
1.一種基於URL請求時序的惡意代碼檢測方法，其特徵在於，包括 步驟a、按照捕獲時序對網絡數據包進行解析，提取請求的URL和對應數據包時間； 步驟b、判斷所述URL與模型資料庫中模型的第一條特徵是否匹配，如果匹配成功則將所述URL、對應數據包時間和所述模型記錄到緩存中，標記所述模型中匹配成功的特徵；所述模型資料庫是通過捕獲惡意代碼產生的網絡數據包進行解析，提取數據包中URL的請求時間順序的序號、URL特徵、間隔時間，所述時間間隔是指相鄰兩個URL請求時間的平均時間差擴大預設範圍得到的時間值；否則回到步驟a按照捕獲時序繼續解析下一個網絡數據包提取請求的URL ； 步驟C、如果所述緩存不為空，則按照時序將解析所述下一個網絡數據包提取請求的URL與所述模型中時間順序序號在先的未標記匹配成功的特徵進行匹配，如果匹配成功則標記模型中的所述特徵並將所述URL、對應數據包時間和所述模型更新記錄到緩存中；否則回到步驟a按照捕獲時序繼續解析下一個網絡數據包提取請求的URL ； 步驟d、如果所述模型中的URL特徵全部標記成功，則判斷存在惡意代碼威脅。
2.如權利要求I所述的基於URL請求時序的惡意代碼檢測方法，其特徵在於，步驟a還包括記錄提出請求的客戶端IP。
3.如權利要求I所述的基於URL請求時序的惡意代碼檢測方法，其特徵在於，提取請求的URL中「？」字符之前的域名和路徑部分。
4.如權利要求I所述的基於URL請求時序的惡意代碼檢測方法，其特徵在於，步驟b中判斷所述URL與模型資料庫中模型的第一條特徵是否匹配之強還包括 判斷所述URL與特徵資料庫中的特徵是否匹配，所述特徵資料庫的內容為模型資料庫中每個模型的第一條特徵和對應的模型編號； 如果匹配成功則將所述URL、對應數據包時間和所述模型編號對應的模型資料庫中的模型記錄到緩存中；所述模型資料庫是通過捕獲惡意代碼產生的網絡數據包進行解析，提取數據包中URL的請求時間順序的序號、URL特徵、間隔時間，所述時間間隔是指相鄰兩個URL請求時間的平均時間差擴大預設範圍得到的時間值。
5.如權利要求I所述的基於URL請求時序的惡意代碼檢測方法，其特徵在於，步驟c還包括 如果所述緩存不為空，則按照時序將解析所述下一個網絡數據包提取請求的URL與所述模型中時間順序序號在先的未標記匹配成功的特徵進行匹配，如果匹配不成功，則判斷所述匹配不成功的URL對應的數據包時間與所述模型中標記匹配成功的最後一個序號的URL特徵的請求時間的差值是否小於所述模型中標記匹配成功的最後一個序號的URL特徵的時間間隔，如果是則回到步驟a按照捕獲時序繼續解析下一個網絡數據包提取請求的URL ;否則，清除所述緩存中的所述模型，回到步驟a按照捕獲時序繼續解析下一個網絡數據包提取請求的URL。
6.一種基於URL請求時序的惡意代碼檢測系統，其特徵在於，包括 解析單元，用於按照捕獲時序對網絡數據包進行解析，提取請求的URL和對應數據包時間； 檢測單元，用於判斷所述URL與模型資料庫中模型的第一條特徵是否匹配，如果匹配成功則將所述URL、對應數據包時間和所述模型記錄到緩存中，標記所述模型中匹配成功的特徵；所述模型資料庫是通過捕獲惡意代碼產生的網絡數據包進行解析，提取數據包中URL的請求時間順序的序號、URL特徵、間隔時間，所述時間間隔是指相鄰兩個URL請求時間的平均時間差擴大預設範圍得到的時間值；否則按照捕獲時序繼續解析下一個網絡數據包提取請求的URL ； 如果所述緩存不為空，則按照時序將解析所述下一個網絡數據包提取請求的URL與所述模型中時間順序序號在先的未標記匹配成功的特徵進行匹配，如果匹配成功則標記模型中的所述特徵並將所述URL、對應數據包時間和所述模型更新記錄到緩存中；否則按照捕獲時序繼續解析下一個網絡數據包提取請求的URL ； 輸出單元，用於判斷如果所述模型中的URL特徵全部標記成功，則判斷存在惡意代碼威脅。
7.如權利要求6所述的基於URL請求時序的惡意代碼檢測系統，其特徵在於，解析單元具體還用於記錄提出請求的客戶端IP。
8.如權利要求6所述的基於URL請求時序的惡意代碼檢測系統，其特徵在於，提取請求的URL中「？」字符之前的域名和路徑部分。
9.如權利要求6所述的基於URL請求時序的惡意代碼檢測系統，其特徵在於，所述檢測單元具體還用於判斷所述URL與特徵資料庫中的特徵是否匹配，所述特徵資料庫的內容為模型資料庫中每個模型的第一條特徵和對應的模型編號； 如果匹配成功則將所述URL、對應數據包時間和所述模型編號對應的模型資料庫中的模型記錄到緩存中；所述模型資料庫是通過捕獲惡意代碼產生的網絡數據包進行解析，提取數據包中URL的請求時間順序的序號、URL特徵、間隔時間，所述時間間隔是指相鄰兩個URL請求時間的平均時間差擴大預設範圍得到的時間值。
10.如權利要求6所述的基於URL請求時序的惡意代碼檢測系統，其特徵在於，所述檢測單元具體還用於判斷如果所述緩存不為空，則按照時序將解析所述下一個網絡數據包提取請求的URL與所述模型中時間順序序號在先的未標記匹配成功的特徵進行匹配，如果匹配不成功，則判斷所述匹配不成功的URL對應的數據包時間與所述模型中標記匹配成功的最後一個序號的URL特徵的請求時間的差值是否小於所述模型中標記匹配成功的最後一個序號的URL特徵的時間間隔，如果是則按照捕獲時序繼續解析下一個網絡數據包提取請求的URL ;否則，清除所述緩存中的所述模型，按照捕獲時序繼續解析下一個網絡數據包提取請求的URL。
全文摘要
本發明公開了一種基於URL請求時序的惡意代碼檢測方法和系統。所述方法包括依照網絡數據包的捕獲時序對其做解析，提取客戶端請求的URL和對應數據包時間。另外根據本發明應用場景的不同還可以記錄客戶端IP等；URL與特徵資料庫匹配，記錄匹配成功的URL、時間和對應模型入緩存；後續包中的URL與緩存中的模型匹配；當模型中的所有特徵都匹配成功則成功檢出，輸出相應結果。本發明還提供了一種基於URL請求時序的惡意代碼檢測系統。本發明的方法和系統有效地提高了對同族惡意代碼的檢出率和準確率。
文檔編號H04L12/26GK102801698SQ20111043104
公開日2012年11月28日 申請日期2011年12月20日 優先權日2011年12月20日
發明者胡星儒, 李柏松 申請人:北京安天電子設備有限公司