公开/公告号CN102843270A
专利类型发明专利
公开/公告日2012-12-26
原文格式PDF
申请/专利权人 哈尔滨安天科技股份有限公司;
申请/专利号CN201110257457.7
申请日2011-09-02
分类号H04L12/26(20060101);H04L29/06(20060101);G06F17/30(20060101);
代理机构
代理人
地址 150090 黑龙江省哈尔滨市开发区南岗集中区红旗大街162号506室
入库时间 2023-12-18 07:51:02
法律状态公告日
法律状态信息
法律状态
2019-09-20
专利权质押合同登记的生效 IPC(主分类):H04L12/26 登记号:Y2019230000002 登记生效日:20190828 出质人:哈尔滨安天科技集团股份有限公司 质权人:龙江银行股份有限公司哈尔滨利民支行 发明名称:基于URL与本地文件关联的可疑URL检测方法和装置 授权公告日:20160127 申请日:20110902
专利权质押合同登记的生效、变更及注销
2019-07-19
专利权人的姓名或者名称、地址的变更 IPC(主分类):H04L12/26 变更前: 变更后: 申请日:20110902
专利权人的姓名或者名称、地址的变更
2019-07-09
专利权质押合同登记的注销 IPC(主分类):H04L12/26 授权公告日:20160127 登记号:2017110000004 出质人:哈尔滨安天科技股份有限公司 质权人:龙江银行股份有限公司哈尔滨利民支行 解除日:20190614 申请日:20110902
专利权质押合同登记的生效、变更及注销
2017-07-14
专利权质押合同登记的生效 IPC(主分类):H04L12/26 登记号:2017110000004 登记生效日:20170621 出质人:哈尔滨安天科技股份有限公司 质权人:龙江银行股份有限公司哈尔滨利民支行 发明名称:基于URL与本地文件关联的可疑URL检测方法和装置 授权公告日:20160127 申请日:20110902
专利权质押合同登记的生效、变更及注销
2016-01-27
授权
授权
2013-02-13
实质审查的生效 IPC(主分类):H04L12/26 申请日:20110902
实质审查的生效
2012-12-26
公开
公开
查看全部
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及通过将URL(Uniform / Universal Resource Locator 的缩写, 统一资源定位符)与本地正在下载的文件进行关联,然后对其启发式检测的方法和装置。
背景技术
随着互联网的大面积普及,利用网络传播恶意代码逐渐成为最主要的传播恶意代码的方式。现今主流的恶意代码启发式检测方法主要基于文件的检测,根据文件的基本属性和环境等对文件进行判定。
现今恶意代码的启发式检测方法忽略了恶意代码传播源头,即网络。利用网络传播的恶意代码大多基于URL下载的,如果能把这个传播源头堵住,就会大大降低感染恶意代码的风险。
发明内容
针对以上不足,本发明要解决的技术问题是提供一种基于URL与本地文件关联的可疑URL检测方法和装置,该方法和系统能将可疑文件甄别出来,而且能够提供下载该可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。
本发明提供了一种基于URL与本地文件关联的可疑URL检测方法,包括以下步骤:
获取系统访问的URL;
判断获取的URL是否进行文件下载;
如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。
首先可以截获系统访问的URL,获取到该URL链接所有的数据包,只需要几个数据包种的数据,即获取到该URL所指向的文件的一部分数据。
通过监控本地文件创建,可以动态截获到系统中所有进程创建文件的操作,这样就可以在创建文件时获取一部分文件数据,和上述URL数据包所获得的数据进行对比,如果相同,即可将该URL与当前正在创建的本地文件关联起来,也就是将该URL与下载到系统的文件关联起来。
然后获取下载到系统的文件的基本信息和环境信息,对下载到系统的文件进行启发式检测,判断下载到系统的文件是否可疑。
进一步的,如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
如果所述URL下载到系统的文件不是用户需要的文件,用户可以判定所述URL为恶意URL。
进一步的,如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。
本发明还提供了一种基于URL与本地文件关联的可疑URL检测装置,包括:
获取模块,用于获取系统访问的URL,判断获取的URL是否进行文件下载;
关联模块,用于如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
检测模块,用于对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件。
进一步的,还包括用户模块,用于如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
进一步的,还包括过滤模块,用于如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。
本发明的有益效果是:
本发明将传统的启发式检测和URL关联一起,每个恶意代码都能查到下载它的URL,不仅能将可疑文件甄别出来,而且能够提供下载这个可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。将可疑文件的URL加入到URL过滤引擎中,可以阻止恶意代码进一步传播。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于URL与本地文件关联的可疑URL检测方法流程图;
图2为本发明基于URL与本地文件关联的可疑URL检测装置框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
首先介绍本发明基于URL与本地文件关联的可疑URL检测方法,具体步骤如图1所示,包括步骤:
S101、获取系统访问网络的URL。
可以使用抓包工具,例如pcap或自行编写程序捕捉网络数据包,提取URL。
S102、判断获取的URL是否进行文件下载。
根据URL判断下载的是网页还是文件,多数网页的后缀为常用的网页后缀,例如:html、htm、php等。若为网页,将返回S101继续获取URL。若所述URL下载文件,则进行S103。
S103、将URL与下载到系统的文件相关联。
由于可以截获URL,我们可以获取到这个链接所有的数据包,只需要几个数据包的数据,就可以获取到该URL所指向的文件的一部分数据。
通过监控本地文件创建,可以动态截获到系统中所有进程创建文件的操作,这样就可以在创建文件时获取一部分文件数据,和上述URL数据包所获得的数据进行对比,如果相同,即可将该URL与当前正在创建的本地文件关联起来,也就是将该URL与下载到系统的文件关联起来。
S104、可疑文件判定。
获取下载到系统的文件的基本信息和环境信息;
对下载到系统的文件进行启发式检测。例如,下载的文件是否是PE文件,大多数危险代码都是PE文件,还有下载的文件存放目录,如果存放在系统敏感目录也是非常危险的。
综合上述信息对该下载到系统的文件进行判定,如果文件不是可疑文件,返回S101继续获取URL。否则进行步骤S105。
S105、报警提示用户,等待用户确认,若用户信任URL,则返回S101继续获取URL。否则进行步骤S106。
S106、如果用户确认所述URL为恶意URL,将URL加入类似URLFilter的过滤器,阻止URL继续下载危险恶意代码。
本发明还提供了一种基于URL与本地文件关联的可疑URL检测装置,如图2所示,包括:
获取模块201,用于获取系统访问的URL,判断获取的URL是否进行文件下载;
关联模块202,用于如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
检测模块203,用于对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件。
还包括用户模块204,用于如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
还包括过滤模块205,用于如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
机译: 基于3D URL的基于URL的信息共享装置和方法,涉及造船海上工厂的3D显示
机译: 基于多机器学习和实现相同方法的装置预测恶性URL的URL方法
机译: 基于1Q24地区单核苷多态性,NEURL基因或CUX2基因的心律失常检测方法