一種未知惡意代碼的預警方法、設備和系統的製作方法
2023-08-11 09:29:46
專利名稱::一種未知惡意代碼的預警方法、設備和系統的製作方法
技術領域:
:本發明實施例涉及網絡安全技術,特別是涉及一種未知惡意代碼的預警方法、設備和系統。
背景技術:
:隨著網際網路的廣泛應用,對網絡安全的需求變得越來越大。在所有的攻擊手段中,對漏洞的利用也越來越頻繁。過去安全漏洞被利用一般需要幾個月時間。最近,發現與利用之間的時間間隔已經減少到了數天。漏洞一旦被發現後在很短的時間內就會被惡意利用,對於這種攻擊,廠商大多很久才能夠得到惡意代碼的樣本,發行相應的補丁也就更慢,所以這種攻擊往往能夠造成巨大的破壞。MSBlast(MS風暴)在漏洞被發現不到25天就進行了襲擊,Nachi(MS風暴變種)一周後就發動了襲擊。如果能夠及早發現惡意代碼,就可以及時預防,進而減少惡意代碼造成的損失。現有技術中,網絡設備無法對可疑代碼進行上報,當惡意代碼攻擊發生以後,廠商需要很久才能獲取惡意代碼樣本。病毒軟體雖然可以對已經下載到電腦上的文件進行分析並上報給監控中心,但是如果處理不當,仍然會受到已經下載的惡意代碼的攻擊,並且給用戶的電腦帶來了很大的負擔,另外由於需要安裝,給用戶帶來了很多麻煩,所以一些用戶會拒絕在網絡設備上安裝殺毒軟體,成為了惡意代碼傳播的溫床。
發明內容本發明實施例提供了一種未知惡意代碼的預警方法、設備和系統。可以在第一時間主動上報大量可疑代碼的源地址,為縮短解決病毒威脅的時間奠定了基礎;並且無需在客戶端安裝軟體,避免安裝過程的麻煩。本發明實施例提供的一種未知惡意代碼的預警方法,包括對數據包進行特徵檢測;通過檢測結果判斷所述數據包是否包含可疑代碼;如果包含,記錄所述可疑代碼的源地址;向監控設備發送包含所述源地址的預警信息。本發明實施例提供的一種網絡設備,包括第一檢測模塊,用於對數據包進行特徵檢測;第一判斷模塊,用於通過第一檢測模塊的檢測結果判斷所述數據包是否包含可疑代碼;第一記錄模塊,用於在第一判斷模塊判斷為包含的情況下,記錄所述可疑代碼的源地址;第一發送模塊,用於向監控設備發送包含所述源地址的預警信息。本發明實施例提供的一種未知惡意代碼的預警系統,包括網絡設備和監控設備,其中監控設備用於接收預警信息;解析所述預警信息中的源地址;下載所述源地址對應的可疑代碼;判斷所述可疑代碼是否惡意;在判斷為具有惡意時,發送報警信息。本發明實施例提供的一種未知惡意代碼的預警方法、設備和系統。可以在第一時間主動上報大量可疑代碼的源地址,從而使得廠商在惡意代碼出現後快速獲得樣本源地址,並且確保了預警信息來源的全面性,為縮短解決病毒威脅的時間奠定了基礎;並且無需在客戶端安裝軟體,避免安裝過程的麻煩。為了更清楚地說明本發明實施例中的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。圖1為本發明未知惡意代碼的預警方法實施例示意圖;圖2為本發明未知惡意代碼的預警方法實施例示意圖;圖3為本發明網絡設備實施例示意圖;圖4為本發明未知惡意代碼的預警系統實施例示意圖。具體實施例方式下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保護的範圍。本發明實施例提供了一種結構化信息價值評估方法和設備,下面對本發明實施例的技術方案做進一步的詳細描述。圖1為本發明未知惡意代碼的預警方法實施例示意圖。本實施例包括步驟105,對數據包進行特徵檢測;步驟IIO,通過檢測結果判斷所述數據包是否包含可疑代碼;步驟128,如果包含,記錄所述可疑代碼的源地址;步驟130,向監控設備發送包含所述源地址的預警信息。本發明實施例的執行主體為網絡設備。通過將數據包中可疑代碼的源地址發送給監控設備,及時地對可疑代碼進行了預警。本實施例首先對數據包進行特徵檢測,比如可以通過檢測數據包中是否包含所述可疑代碼的名稱、檢測數據流中是否包含所述可疑代碼的文件頭、或者兩者結合的方法進行檢測。具體的,只通過檢測數據包中是否包含所述可疑代碼的名稱時,例如,當檢測到數據包中包含類似get*,exe的字符串時,說明正在傳輸一個可執行文件,那麼這個*.exe就是可疑代碼,因為這個可執行文件有可能會洩露終端用戶的信息、對終端的系統造成破環、甚至被攻擊者控制,其中*代表任意長字符串。或者當數據包中包含類似get*.dll、get*.ocx的字符串時,也說明正在傳輸一個可執行文件,也有可能是一段惡意代碼,有可能會洩露終端用戶的信息、對終端的系統造成破環、甚至被攻擊者控制,同樣需要上報。只通過檢測數據流中是否包含所述可疑代碼的文件頭時,例如,當檢測到數據包中包含PE(PortableExcutable,可移植可執行)文件頭特徵碼"MZ"(ASCII(AmericanStandardCodeforInformationInterchange,美國信息交換標準代碼)碼表示)時,這個PE文件可能在執行時洩露終端用戶的信息、對終端的系統造成破環、甚至被攻擊者控制,所以這個PE文件也是可疑代碼。通過兩者結合的方法進行檢測時,當檢測到get*,jpg之後,如果繼續檢測到相應數據中包含PE文件頭特徵碼"MZ"(ASCII(AmericanStandardCodeforlnformationInterchange,美國信息交換標準代碼)碼表示),這個PE文件就是可疑代碼,因為用戶嘗試的是下載一副圖片,但是返回的是一個可執行文件,這個欺騙行為,說明這個PE文件非常可能是一段惡意代碼。當檢測到可疑代碼以後,查找可疑代碼的來源,具體的,如果是通過檢測數據流中是否包含所述可疑代碼的名稱來確定可疑代碼的,那麼源地址一般是會在get後面的URL中出現,如果是通過檢測數據流中是否包含所述可疑代碼的文件頭來確定可疑代碼的,那麼可以通過數據包中的信息查找到數據包的源地址,如果是使用兩者相結合的方式來確定可疑代碼的,源地址一般也會在get後面的URL中出現。記錄下可疑代碼的源地址以後,再通過預警信息,將上述源地址發送給監控設備。在預警之後,網絡設備還可以接收所述監控設備發送的報警信息。本發明實施例提供的一種未知惡意代碼的預警方法。可以在第一時間主動上報大量可疑代碼的源地址,從而使得廠商在惡意代碼出現後快速獲得樣本源地址,並且確保了預警信息來源的全面性,為縮短解決病毒威脅的時間奠定了基礎;並且無需在客戶端安裝軟體,避免安裝過程的麻煩。圖2為本發明未知惡意代碼的預警方法實施例示意圖。本實施例包括步驟105,對數據包進行特徵檢測;步驟IIO,通過檢測結果判斷所述數據包是否包含可疑代碼;步驟128,如果包含,記錄所述可疑代碼的源地址;步驟130,向監控設備發送包含所述源地址的預警信息。步驟204,接收所述監控設備發送的報警信息,所述報警信息包含所述可疑代碼的惡意性、或所述可疑代碼的惡意性以及殭屍網絡拓撲信息。本發明實施例與上一實施例的區別在於,網絡設備發送預警信息之後,接收監控設備發送的報警信息。報警信息中包含預警的可疑代碼的惡意性、或者預警的可疑代碼的惡意性以及殭屍網絡拓撲信息。監控設備可以通過特徵檢測的方法、沙箱測試的方法或者二者相結合的方法判斷可疑代碼的惡意性。如果監控設備使用特徵檢測的方法計算惡意可能性,則監控設備利用更為詳細的惡意代碼特徵資源庫,與可疑代碼進行比較,如果可疑代碼與惡意代碼特徵資源庫中的特徵匹配,根據其匹配的程度計算可疑代碼發動攻擊的概率,並判斷是否有可能發生攻擊行為,即惡意可能性。比如,如果特徵庫中包含一段可疑代碼特徵,被認定為具有80%發動攻擊的概率,可疑代碼與這段可疑代碼特徵是一樣的,則可以認定可疑代碼也具有80%發動攻擊的概率,如果這一概率超過報警閥值,則可疑代碼具有惡意可能性。如果監控設備使用沙箱的方法計算惡意可能性,監控設備自動將上述可疑代碼在沙箱中運行,並記錄執行的結果和運行情況,監控設備根據這一記錄計算它的惡意可能性。上述沙箱是一種專業虛擬環境,在其中運行的程序在修改註冊表或者文件時會被重定向至沙箱內部,這樣,如果程序具有惡意,也不對沙箱外部造成影響。即使在沙箱內部執行了攻擊行為,只需重啟沙箱即可消除攻擊行為的影響。比如監控設備檢測到可疑代碼的運行過程中觸發了一個惡意事件,而這一事件的發動攻擊的概率是40%,則這一可疑代碼的惡意可能性也是40%,如果這一概率超過報警閥值,則可疑代碼具有惡意可能性。如果判斷為惡意代碼,監控設備可以提取所述惡意代碼中的殭屍網絡拓撲結構信息,生成包含所述拓撲結構信息的報警信息;監控設備發送所述包含所述拓撲結構信息的報警信息。上述惡意代碼中的殭屍網絡拓撲結構信息,包括殭屍主機以及控制主機的IP位址、埠、或URL。監控設備發送包含所述拓撲結構信息的報警信息之後,網絡設備接收所述監控設備發送的報警信息,所述報警信息包含所述可疑代碼的惡意性、或所述可疑代碼的惡意性以及上述殭屍網絡拓撲信息。本發明實施例還可以包含以下步驟步驟216,根據所述可疑代碼的惡意性,攔截具有惡意的可疑代碼;或步驟225,根據所述可疑代碼的惡意性以及殭屍網絡拓撲信息,攔截具有惡意的可疑代碼以及所述殭屍網絡拓撲信息對應的殭屍網絡中的數據包。網絡設備在收到報警信息之後對相應的可疑代碼進行攔截,對殭屍網絡中的數據包進行攔截。本發明實施例提供的一種未知惡意代碼的預警方法。可以在第一時間主動上報大量可疑代碼的源地址,並且確保了預警信息來源的全面性,為縮短解決病毒威脅的時間奠定了基礎;同時避免了安裝客戶端軟體的麻煩。另外,通過網絡設備發送可疑代碼的源地址,減少了直接發送可疑代碼用戶帶寬的佔用量;通過監控設備分析可疑代碼,並向網絡設備發送報警,使得網絡設備對惡意可疑代碼進行攔截;通過提取殭屍網絡拓撲結構信息,並向網絡設備發送殭屍網絡的報警,使得網絡設備對殭屍網絡中的數據包進行攔截,減少了主機收到攻擊的可能性。圖3為本發明網絡設備實施例示意圖。本實施例包括第一檢測模塊301,用於對數據包進行特徵檢測;第一判斷模塊312,用於通過第一檢測模塊的檢測結果判斷所述數據包是否包含可疑代碼;第一記錄模塊325,用於在第一判斷模塊判斷為包含的情況下,記錄所述可疑代碼的源地址;第一發送模塊336,用於向監控設備發送包含所述源地址的預警信息。本實施例第一檢測模塊首先對數據包進行特徵檢測,比如可以通過檢測數據包中是否包含所述可疑代碼的名稱、檢測數據流中是否包含所述可疑代碼的文件頭、或者兩者結合的方法進行檢測。第一判斷模塊根據第一檢測模塊的檢測結果判斷是否包含可疑代碼。如果包含,第一記錄模塊記錄下可疑代碼的來源,並通過第一發送模塊向監控設備預警。在預警之後,網絡設備還可以接收所述監控設備發送的報警信息。本實施例第一檢測模塊還可以包括以下子模塊第一檢測子模塊302,用於檢測數據流中是否包含所述可疑代碼的名稱;和/或第二檢測子模塊303,用於檢測數據流中是否包含所述可疑代碼的文件頭。本實施例還可以包括以下模塊第一接收模塊345,用於接收所述監控設備發送的報警信息,所述報警信息包含所述可疑代碼的惡意性、或所述可疑代碼的惡意性以及殭屍網絡拓撲信息。本實施例還可以包括以下模塊第一攔截模塊352,用於根據所述可疑代碼的惡意性,攔截具有惡意的可疑代碼;或第二攔截模塊367,用於根據所述可疑代碼的惡意性以及殭屍網絡拓撲信息,攔截具有惡意的可疑代碼以及所述殭屍網絡拓撲信息對應的殭屍網絡中的數據包。本發明實施例提供的網絡設備。可以在第一時間主動上報大量可疑代碼的源地址,並且確保了預警信息來源的全面性,為縮短解決病毒威脅的時間奠定了基礎;並且無需在客戶端安裝軟體,避免安裝過程的麻煩。還通過第一接收模塊接收監控設備發送的報警信息,對惡意可疑代碼進行攔截或者對殭屍網絡中的數據包進行攔截,減少了主機收到攻擊的可能性。圖4為本發明未知惡意代碼的預警系統實施例示意圖。本實施例包括如圖3所示的網絡設備401和監控設備412,上述監控設備用於接收預警信息;解析所述預警信息中的源地址;下載所述源地址對應的可疑代碼;判斷所述可疑代碼是否惡意;在判斷為具有惡意時,發送報警信息。本發明實施例提供的一種未知惡意代碼的預警系統。可以在第一時間搜集大量可疑代碼的源地址,並且確保了預警信息來源的全面性,為縮短解決病毒威脅的時間奠定了基礎;並且無需在客戶端安裝軟體,避免安裝過程的麻煩。。通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到本發明可以通過硬體實現,也可以藉助軟體加必要的通用硬體平臺的方式來實現。基於這樣的理解,本發明的技術方案可以以軟體產品的形式體現出來,該軟體產品可以存儲在一個非易失性存儲介質(可以是CD-ROM,U盤,移動硬碟等)中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,伺服器,或者網絡設備等)執行本發明各個實施例上述的方法。本領域技術人員可以理解附圖只是一個優選實施例的示意圖,附圖中的模塊或流程並不一定是實施本發明所必須的。本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分布於實施例的裝置中,也可以進行相應變化位於不同於本實施例的一個或多個裝置中。上述實施例的模塊可以合併為一個模塊,也可以進一步拆分成多個子模塊。上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。以上公開的僅為本發明的幾個具體實施例,但是,本發明並非局限於此,任何本領域的技術人員能思之的變化都應落入本發明的保護範圍。權利要求一種未知惡意代碼的預警方法,其特徵在於,包括對數據包進行特徵檢測;通過檢測結果判斷所述數據包是否包含可疑代碼;如果包含,記錄所述可疑代碼的源地址;向監控設備發送包含所述源地址的預警信息。2.如權利要求1所述的方法,其特徵在於,所述對數據包進行特徵檢測包括以下至少一項檢測數據流中是否包含所述可疑代碼的名稱;檢測數據流中是否包含所述可疑代碼的文件頭。3.如權利要求1或2所述的方法,其特徵在於,還包括接收所述監控設備發送的報警信息,所述報警信息包含所述可疑代碼的惡意性、或所述可疑代碼的惡意性以及殭屍網絡拓撲信息。4.如權利要求3所述的方法,其特徵在於,還包括根據所述可疑代碼的惡意性,攔截具有惡意的可疑代碼;或根據所述可疑代碼的惡意性以及殭屍網絡拓撲信息,攔截具有惡意的可疑代碼以及所述殭屍網絡拓撲信息對應的殭屍網絡中的數據包。5.—種網絡設備,其特徵在於,包括第一檢測模塊,用於對數據包進行特徵檢測;第一判斷模塊,用於通過第一檢測模塊的檢測結果判斷所述數據包是否包含可疑代碼;第一記錄模塊,用於在第一判斷模塊判斷為包含的情況下,記錄所述可疑代碼的源地址;第一發送模塊,用於向監控設備發送包含所述源地址的預警信息。6.如權利要求5所述的網絡設備,其特徵在於,第一檢測模塊包括第一檢測子模塊,用於檢測數據流中是否包含所述可疑代碼的名稱;和/或第二檢測子模塊,用於檢測數據流中是否包含所述可疑代碼的文件頭。7.如權利要求5所述的網絡設備,其特徵在於,還包括第一接收模塊,用於接收所述監控設備發送的報警信息,所述報警信息包含所述可疑代碼的惡意性、或所述可疑代碼的惡意性以及殭屍網絡拓撲信息。8.如權利要求5所述的網絡設備,其特徵在於,還包括第一攔截模塊,用於根據所述可疑代碼的惡意性,攔截具有惡意的可疑代碼;或第二攔截模塊,用於根據所述可疑代碼的惡意性以及殭屍網絡拓撲信息,攔截具有惡意的可疑代碼以及所述殭屍網絡拓撲信息對應的殭屍網絡中的數據包。9.一種未知惡意代碼的預警系統,其特徵在於,包括如權利要求5-8所述的網絡設備;監控設備,用於接收預警信息;解析所述預警信息中的源地址;下載所述源地址對應的可疑代碼;判斷所述可疑代碼是否惡意;在判斷為具有惡意時,發送報警信息。全文摘要本發明實施例涉及了一種未知惡意代碼的預警方法、設備和系統。本發明實施例涉及的方法和設備包括對數據包進行特徵檢測;通過檢測結果判斷所述數據包是否包含可疑代碼;如果包含,記錄所述可疑代碼的源地址;向監控設備發送包含所述源地址的預警信息。本發明實施例可以在第一時間主動上報大量可疑代碼的源地址,為縮短解決病毒威脅的時間奠定了基礎;並且無需在客戶端安裝軟體,避免安裝過程的麻煩。文檔編號H04L12/24GK101714931SQ20091024717公開日2010年5月26日申請日期2009年11月26日優先權日2009年11月26日發明者蔣武申請人:成都市華為賽門鐵克科技有限公司