專利名稱:基于url與本地文件關(guān)聯(lián)的可疑url檢測方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及通過將URL (Uniform /Universal Resource Locator的縮寫���,統(tǒng)一資源定位符)與本地正在下載的文件進(jìn)行關(guān)聯(lián)���,然后對其啟發(fā)式檢測的方法和裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)的大面積普及���,利用網(wǎng)絡(luò)傳播惡意代碼逐漸成為最主要的傳播惡意代碼的方式?��,F(xiàn)今主流的惡意代碼啟發(fā)式檢測方法主要基于文件的檢測,根據(jù)文件的基本屬性和環(huán)境等對文件進(jìn)行判定?,F(xiàn)今惡意代碼的啟發(fā)式檢測方法忽略了惡意代碼傳播源頭,即網(wǎng)絡(luò)��。利用網(wǎng)絡(luò)傳 播的惡意代碼大多基于URL下載的�,如果能把這個傳播源頭堵住,就會大大降低感染惡意代碼的風(fēng)險�����。
發(fā)明內(nèi)容
針對以上不足,本發(fā)明要解決的技術(shù)問題是提供一種基于URL與本地文件關(guān)聯(lián)的可疑URL檢測方法和裝置��,該方法和系統(tǒng)能將可疑文件甄別出來�����,而且能夠提供下載該可疑文件的URL��,對進(jìn)一步分析和阻止惡意代碼傳播提供有力條件����。本發(fā)明提供了一種基于URL與本地文件關(guān)聯(lián)的可疑URL檢測方法,包括以下步驟
獲取系統(tǒng)訪問的URL ���;
判斷獲取的URL是否進(jìn)行文件下載�;
如果獲取的URL進(jìn)行文件下載��,則通過截獲URL數(shù)據(jù)包��,用部分?jǐn)?shù)據(jù)包中的數(shù)據(jù)與下載到系統(tǒng)的文件數(shù)據(jù)進(jìn)行對比�����,如果對比結(jié)果相同則將所述URL與下載到系統(tǒng)的文件相關(guān)聯(lián)����;
對下載到系統(tǒng)的文件進(jìn)行檢測判斷下載到系統(tǒng)的文件是否是可疑文件,根據(jù)判斷結(jié)果對所述URL做進(jìn)一步處理�。首先可以截獲系統(tǒng)訪問的URL,獲取到該URL鏈接所有的數(shù)據(jù)包�����,只需要幾個數(shù)據(jù)包種的數(shù)據(jù)��,即獲取到該URL所指向的文件的一部分?jǐn)?shù)據(jù)��。通過監(jiān)控本地文件創(chuàng)建�,可以動態(tài)截獲到系統(tǒng)中所有進(jìn)程創(chuàng)建文件的操作,這樣就可以在創(chuàng)建文件時獲取一部分文件數(shù)據(jù)�����,和上述URL數(shù)據(jù)包所獲得的數(shù)據(jù)進(jìn)行對比����,如果相同,即可將該URL與當(dāng)前正在創(chuàng)建的本地文件關(guān)聯(lián)起來���,也就是將該URL與下載到系統(tǒng)的文件關(guān)聯(lián)起來�����。然后獲取下載到系統(tǒng)的文件的基本信息和環(huán)境信息��,對下載到系統(tǒng)的文件進(jìn)行啟發(fā)式檢測���,判斷下載到系統(tǒng)的文件是否可疑���。進(jìn)一步的,如果下載到系統(tǒng)的文件是可疑文件����,將與可疑文件相關(guān)聯(lián)的URL報警提示給用戶,等待用戶確認(rèn)���。
如果所述URL下載到系統(tǒng)的文件不是用戶需要的文件���,用戶可以判定所述URL為惡意URL。進(jìn)一步的��,如果用戶確認(rèn)與可疑文件相關(guān)聯(lián)的URL為惡意URL����,則報警并將所述URL加入到引擎過濾器�。本發(fā)明還提供了一種基于URL與本地文件關(guān)聯(lián)的可疑URL檢測裝置�����,包括
獲取模塊����,用于獲取系統(tǒng)訪問的URL���,判斷獲取的URL是否進(jìn)行文件下載�;
關(guān)聯(lián)模塊��,用于如果獲取的URL進(jìn)行文件下載��,則通過截獲URL數(shù)據(jù)包���,用部分?jǐn)?shù)據(jù)包中的數(shù)據(jù)與下載到系統(tǒng)的文件數(shù)據(jù)進(jìn)行對比�����,如果對比結(jié)果相同則將所述URL與下載到系統(tǒng)的文件相關(guān)聯(lián)�;
檢測模塊,用于對下載到系統(tǒng)的文件進(jìn)行檢測判斷下載到系統(tǒng)的文件是否是可疑文 件���。進(jìn)一步的���,還包括用戶模塊,用于如果下載到系統(tǒng)的文件是可疑文件��,將與可疑文件相關(guān)聯(lián)的URL報警提示給用戶���,等待用戶確認(rèn)��。進(jìn)一步的����,還包括過濾模塊����,用于如果用戶確認(rèn)與可疑文件相關(guān)聯(lián)的URL為惡意URL,則報警并將所述URL加入到引擎過濾器。本發(fā)明的有益效果是
本發(fā)明將傳統(tǒng)的啟發(fā)式檢測和URL關(guān)聯(lián)一起�����,每個惡意代碼都能查到下載它的URL���,不僅能將可疑文件甄別出來����,而且能夠提供下載這個可疑文件的URL,對進(jìn)一步分析和阻止惡意代碼傳播提供有力條件�。將可疑文件的URL加入到URL過濾引擎中,可以阻止惡意代碼進(jìn)一步傳播��。
為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例���,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下�,還可以根據(jù)這些附圖獲得其他的附圖�����。圖I為本發(fā)明基于URL與本地文件關(guān)聯(lián)的可疑URL檢測方法流程 圖2為本發(fā)明基于URL與本地文件關(guān)聯(lián)的可疑URL檢測裝置框圖�。
具體實(shí)施例方式為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂��,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明����。首先介紹本發(fā)明基于URL與本地文件關(guān)聯(lián)的可疑URL檢測方法,具體步驟如圖I所示�,包括步驟
S101、獲取系統(tǒng)訪問網(wǎng)絡(luò)的URL�����?�?梢允褂米グぞ?���,例如pcap或自行編寫程序捕捉網(wǎng)絡(luò)數(shù)據(jù)包,提取URL���。S102����、判斷獲取的URL是否進(jìn)行文件下載���。根據(jù)URL判斷下載的是網(wǎng)頁還是文件��,多數(shù)網(wǎng)頁的后綴為常用的網(wǎng)頁后綴����,例如html、htm����、php等。若為網(wǎng)頁�,將返回SlOl繼續(xù)獲取URL。若所述URL下載文件�����,則進(jìn)行S103��。S103�、將URL與下載到系統(tǒng)的文件相關(guān)聯(lián)���。由于可以截獲URL��,我們可以獲取到這個鏈接所有的數(shù)據(jù)包����,只需要幾個數(shù)據(jù)包的數(shù)據(jù),就可以獲取到該URL所指向的文件的一部分?jǐn)?shù)據(jù)�����。通過監(jiān)控本地文件創(chuàng)建�,可以動態(tài)截獲到系統(tǒng)中所有進(jìn)程創(chuàng)建文件的操作,這樣就可以在創(chuàng)建文件時獲取一部分文件數(shù)據(jù)����,和上述URL數(shù)據(jù)包所獲得的數(shù)據(jù)進(jìn)行對比,如果相同����,即可將該URL與當(dāng)前正在創(chuàng)建的本地文件關(guān)聯(lián)起來,也就是將該URL與下載到系統(tǒng)的文件關(guān)聯(lián)起來���。S104�、可疑文件判定����。
獲取下載到系統(tǒng)的文件的基本信息和環(huán)境信息;
對下載到系統(tǒng)的文件進(jìn)行啟發(fā)式檢測���。例如�,下載的文件是否是PE文件,大多數(shù)危險代碼都是PE文件�����,還有下載的文件存放目錄���,如果存放在系統(tǒng)敏感目錄也是非常危險的�。綜合上述信息對該下載到系統(tǒng)的文件進(jìn)行判定�,如果文件不是可疑文件,返回SlOl繼續(xù)獲取URL�。否則進(jìn)行步驟S105。S105�����、報警提示用戶����,等待用戶確認(rèn)�����,若用戶信任URL,則返回SlOl繼續(xù)獲取URL�����。否則進(jìn)行步驟S106���。S106�、如果用戶確認(rèn)所述URL為惡意URL���,將URL加入類似URLFilter的過濾器�,阻止URL繼續(xù)下載危險惡意代碼����。本發(fā)明還提供了一種基于URL與本地文件關(guān)聯(lián)的可疑URL檢測裝置,如圖2所示�,包括
獲取模塊201,用于獲取系統(tǒng)訪問的URL����,判斷獲取的URL是否進(jìn)行文件下載;
關(guān)聯(lián)模塊202�,用于如果獲取的URL進(jìn)行文件下載,則通過截獲URL數(shù)據(jù)包�,用部分?jǐn)?shù)據(jù)包中的數(shù)據(jù)與下載到系統(tǒng)的文件數(shù)據(jù)進(jìn)行對比��,如果對比結(jié)果相同則將所述URL與下載到系統(tǒng)的文件相關(guān)聯(lián)����;
檢測模塊203���,用于對下載到系統(tǒng)的文件進(jìn)行檢測判斷下載到系統(tǒng)的文件是否是可疑文件�����。還包括用戶模塊204�,用于如果下載到系統(tǒng)的文件是可疑文件���,將與可疑文件相關(guān)聯(lián)的URL報警提示給用戶����,等待用戶確認(rèn)��。還包括過濾模塊205����,用于如果用戶確認(rèn)與可疑文件相關(guān)聯(lián)的URL為惡意URL���,則報警并將所述URL加入到引擎過濾器�。雖然通過實(shí)施例描繪了本發(fā)明,本領(lǐng)域普通技術(shù)人員知道����,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神����。
權(quán)利要求
1.一種基于URL與本地文件關(guān)聯(lián)的可疑URL檢測方法,其特征在于��,包括以下步驟 獲取系統(tǒng)訪問的URL ����; 判斷獲取的URL是否進(jìn)行文件下載; 如果獲取的URL進(jìn)行文件下載����,則通過截獲URL數(shù)據(jù)包,用部分?jǐn)?shù)據(jù)包中的數(shù)據(jù)與下載到系統(tǒng)的文件數(shù)據(jù)進(jìn)行對比����,如果對比結(jié)果相同則將所述URL與下載到系統(tǒng)的文件相關(guān)聯(lián); 對下載到系統(tǒng)的文件進(jìn)行檢測判斷下載到系統(tǒng)的文件是否是可疑文件,根據(jù)判斷結(jié)果對所述URL做進(jìn)一步處理�。
2.如權(quán)利要求I所述的基于URL與本地文件關(guān)聯(lián)的可疑URL檢測方法,其特征在于�����,根據(jù)判斷結(jié)果對所述URL做進(jìn)一步處理包括如果下載到系統(tǒng)的文件是可疑文件��,將與可疑文件相關(guān)聯(lián)的URL報警提示給用戶�����,等待用戶確認(rèn)��。
3.如權(quán)利要求2所述的基于URL與本地文件關(guān)聯(lián)的可疑URL檢測方法�,其特征在于,還包括如果用戶確認(rèn)與可疑文件相關(guān)聯(lián)的URL為惡意URL�����,則報警并將所述URL加入到引擎過濾器�����。
4.一種基于URL與本地文件關(guān)聯(lián)的可疑URL檢測裝置���,其特征在于��,包括 獲取模塊����,用于獲取系統(tǒng)訪問的URL�����,判斷獲取的URL是否進(jìn)行文件下載��; 關(guān)聯(lián)模塊�����,用于如果獲取的URL進(jìn)行文件下載��,則通過截獲URL數(shù)據(jù)包�,用部分?jǐn)?shù)據(jù)包中的數(shù)據(jù)與下載到系統(tǒng)的文件數(shù)據(jù)進(jìn)行對比,如果對比結(jié)果相同則將所述URL與下載到系統(tǒng)的文件相關(guān)聯(lián)����; 檢測模塊,用于對下載到系統(tǒng)的文件進(jìn)行檢測判斷下載到系統(tǒng)的文件是否是可疑文件�����。
5.如權(quán)利要求4所述的基于URL與本地文件關(guān)聯(lián)的可疑URL檢測裝置,其特征在于�����,還包括用戶模塊���,用于如果下載到系統(tǒng)的文件是可疑文件����,將與可疑文件相關(guān)聯(lián)的URL報警提示給用戶����,等待用戶確認(rèn)。
6.如權(quán)利要求5所述的基于URL與本地文件關(guān)聯(lián)的可疑URL檢測裝置����,其特征在于,還包括過濾模塊��,用于如果用戶確認(rèn)與可疑文件相關(guān)聯(lián)的URL為惡意URL�,則報警并將所述URL加入到引擎過濾器。
全文摘要
本發(fā)明公開了一種基于URL與本地文件關(guān)聯(lián)的可疑URL檢測方法��,包括獲取系統(tǒng)訪問的URL;判斷獲取的URL是否進(jìn)行文件下載�����;如果獲取的URL進(jìn)行文件下載����,則通過截獲URL數(shù)據(jù)包��,用部分?jǐn)?shù)據(jù)包中的數(shù)據(jù)與下載到系統(tǒng)的文件數(shù)據(jù)進(jìn)行對比��,如果對比結(jié)果相同則將所述URL與下載到系統(tǒng)的文件相關(guān)聯(lián)��;對下載到系統(tǒng)的文件進(jìn)行檢測判斷下載到系統(tǒng)的文件是否是可疑文件�����,根據(jù)判斷結(jié)果對所述URL做進(jìn)一步處理�����。本發(fā)明還公開了一種基于URL與本地文件關(guān)聯(lián)的可疑URL檢測裝置���。本發(fā)明將傳統(tǒng)的啟發(fā)式檢測和URL關(guān)聯(lián)一起��,每個惡意代碼都能查到下載它的URL�����,不僅能將可疑文件甄別出來�,而且能夠提供下載這個可疑文件的URL,對進(jìn)一步分析和阻止惡意代碼傳播提供有力條件�����。
文檔編號H04L29/06GK102843270SQ20111025745
公開日2012年12月26日 申請日期2011年9月2日 優(yōu)先權(quán)日2011年9月2日
發(fā)明者肖新光, 李石磊, 沈長偉, 童志明 申請人:哈爾濱安天科技股份有限公司