一种Internet恶意代码的发现和追踪方法

专利名称：一种Internet恶意代码的发现和追踪方法
一种Internet恶意代码的发现和鹏方法S^领域本发明属^i十穀几防病毒技术领域。
背景狱随着互联网的1 ^展，Internet恶意代码M^多，而且危害^^越严重。当前， 反病毒方法大多局限于防御，即防止恶意代码对本地计tm系统的渗透、攻击和破坏。由于Internet 中隐 大量的恶意代码，如何主动地发现这^意代码，如何il5宗恶意代码的源头是一个必须 要解决的问题。
发明内容I本发明目的是，舰主动发现前娃识另娜些隐藏在Internet中的恶意代码，并根 据恶意代码的拓扑分布图进^mt踪，以此定位恶意代码的源头，并iff古此恶意代码的影响范围。 一、本发明涉及的与互联网有关的一^8* ::
(1) Internet恶意代码本专利中的Internet恶意代码是指隐藏在Internet中的计#^几病毒和 恶意软件，当用户在不知情的情况下访问了含有Internet恶意代码的网站时，计S^几病毒或者恶意 软件就会发作。
在《中华人民共和国计嶽几信息系统娃做絲ij》第二十八条中明确定义"计^t几病毒， 是t識制或者在计穀/lf呈序中插入的破坏计穀几功能或者破坏数据，影响计^^顿并且倉辦自
我复制的一组计^ia指令或者禾M^(戈码"。微软公司定义计^^几病毒为"m设计的一种软件程
序，它旨在干扰计嶽几操作，记录、飘^ 除 ，或者自行传播到其他计對几和齡Internet, 中国互联网协会定义恶意软件是指 明确^用户或未经用户许可的情况下，在用户计算
机或其他终端上安装运行，侵3師户合法权益的软件，但已被我国现有法衛封见规定的计^m病
毒除外。
(2) Internet文件(以下简称为文件)Internet中各类信息的载体，包括网页文件(如html)、 可执行文件(如exe)、文档文件(如doc)和多媒体文件(如mp3、 rmvb)等。Internet文件与传 统文件的不同在于，旨Internet文件都和一个Internet i魁止相对应，即都有一个唯一的uri ，并可 以舰url定位到所对应的Internet文件。
(3) 间接关联 一个文件7中包含其它文件{/"/2"'","}的链接，当用户访问文件Z时， (/"/2，…，/J只是以链接的形式存在于用户的系统中，只有当用户选择了其中的文件乂
(y;eW,/2，…，/j)的链接后，乂才下载歪,户的系统中。因此，定义/到乂之间的关联为间
接关联，且,和乂所对应的uri也称为间接关联。例如，浏览新闻网站，用户看至啲是各种新闻的 标题，,标题都对应着一4^l接，这，接定位到Internet中包含新闻内容的文件，只有当用户 点击了其中一个新闻标题后，这个新闻标题的链接所对应的文件才下载至,户的系统中，用户就
可以浏览新闻的内容了。
(4) 直接关联: 一个文件/中包含其它文件(/i,/2,...,/ }的链接，如果当用户访问文件/时，
乂 (/;e(y;,/2，…,yj)在没有得至,户认可盼瞎况下就自动地下载至,户的系统中，那么称/
到/是直接关联的，且/和/所对应的url也称为直接关联的。例如，当用户浏览某一网页时，
计穀几病毒文fj^自动地下载到用户的计對几中，夷p么这个网页和下载的计嶽几病毒文件就超 接关联。
(5) 根据url所定位的文件的可疑度，将url的优先级分成3个等级高、中、低。 高优先级的url所对应的文件包含未知的恶意代码，且当前还没有针对该恶意代码的解决方案。中 优先级的url所对应的文件包含已知的恶意代码，且当前己经有针对该恶意代码的解决方案。低优 先级的url所对应的文件为未发现恶意代码的文件或者未进行检测的文件。舰设置优先级,使得对 恶意url进衍罙度优先搜索,对普通uri进行广度优先皿,以jth^短恶意代码的发现时间。
(6) 拓扑信息是J射己录url之间关l^系(包括直接关联关系和间接关M系)的信息， 它反映了url间的逻辑拓扑关系。
二、 Internet恶意代码的发,法
本发明 的Internet恶意代码的发现方法，包括如下步骤
第一、将可疑的111"1添加到恶意代码搜索队列丄={11111,1^2,...,加1 }中的低优先级子队列中， url,(B"w)e丄是用于发现恶意代码的原始点。Z为多优先级队列，包括高、中、低三个优先
级子队列，分别为Zv4,A。从丄中取翻时先从A中取，如果^为空则从4中 ^,如果A 也为空则从丄,中取繊，子队列内部则按照5feA先出的原则取i^;
第二 i^U:步生成的恶意代码搜索队列丄中取出优先级最高的url,，l S ""，传递纟紐激莫块;
第三、超赚块中，向上步传舰来的url,錢HEAD请求，根据B向应信息内容中的属性 Status-Code、 Content-type、 Last-modified和Content-length等进行过滤，删l^满;SJi滤规则的urli ， 以提高恶意代码的发现效率并斷氐网络摘；
第四、将上步不满题滤规则的url,传递给下謝莫块，下謝對刺顿GET请求将url,所对应 的文件乂下载至体地，并将文件乂传递给恶意代码扫描引擎，同时提取文件乂中的url,;
第五、根据上步所提取的文件/中的url，包括直接关联的和间接关联的url，得到集合 丄,={url),U《,...，urin，然后将集合丄,中的url添加至咧表丄的低优先级子队列A中，并将关联 信息存储到拓扑信息M库中；
第六、禾佣现有的反病毒引擎对第四步下载的文件/进行检测；当发现恶意代码，分析恶意 代码的结构，计算文件乂的MD5和SHA-1校验和，将恶意代蹄言息存入恶意代码,库中，并
将集合4={1^，1 "1,2,...，^1;"}从￡/中删除，然后将丄,添加到丄的中优先级子队列丄 中。
高丄,的优先级，对丄,进W罙度优先搜索。当没有检测到恶意代码，贝i將url,传递给蜜罐系!舰行 检测；
第七、蜜罐系统根据浏览url,和运行文件/过程中的行为，判断是否含有恶意代码；当检测 到恶意行为，贝lj根据恶意行为分析恶意代码的结构，计算文件乂的MD5和SHA-1校验和，将恶 意代码信息存入恶意代码翻库中，并将集合A^url!,u^，…,urin从丄,中删除，然后将丄,添 加到丄的高优先级子队列^中。并腿出未知恶意代码的警报，对恶意代码进行紧急响应；并返 回第一步，进份盾环操作；
发出警报是指向国家计嶽几病毒应急处理中心上,知恶意代码；紧急响应是指病毒分析员 根据计^^几病毒紧急响应禾ii^对恶意代码进fi^细分析并及,出解决方案的过禾呈。
以±^三步中戶腿的过滤规则是
根据Status-Code属'Murl的当前状态进《斑滤；根据Content-type属舰url所对应的文件 的类型进行过滤根据Last-modified属',url的最后修改时间进纟f3l滤和根据Content-length属 舰url所对应文件的长度謝斑滤。
三、Internet恶意代码的i^^
本发明 的Internet恶意代码的iUg方法，具体步骤如下 第一、粒关 系图^=(丌,￡)
其中，r是有限个顶点v的集合，每个顶点表示，发现方法中所述的拓扑信息数据库中的 一个url;五是r中顶点对(v,，".)的有限集，顶点对(v,A)我们称之为边，每条边{樣一对 url间的关K^系，因为url间的关联^m是有方向的，所以边也是有方向的；
ffiiit历拓扑信息i^库，将所有的url加入至瞧合r中，将所有的直接关^^加入歪瞧合 A中，将所有的间接关 ^力口入到集合￡,中，￡ = ^U￡,，集合r和&就组成了直接关麟 系图C^ =(F，￡d)，集合卩和￡,就纟賊了间接关 系图0,，集合r和五就组成了关联 关系图G;
第二、提取恶意代码的线索
jfcbl禾翻到K、 f、 ^'、 ￡,、《、《六賴合；其中K是与v,有关^^的顶点集合，^ 是与v,有直接关,系的顶点集合，1>7是与"有间接关 系的顶点集合；五,是^中各顶点之间 所，的边的集合，《是^中各顶点之间所存在的边的集合，f,'是fT中各顶点之间所存在的边 的集合；集合K、 C、 K'、《、￡,、五;初始时为空集；
首先找到包含恶意代码的文件/所对应的url,在集合r中对应的顶点v,，并将"依据不同的
关联关系加入到集合K、 ^、 K'中，然^1历直接关 系图<^，将所有倉辦直接关联到url,的 顶点加入集合"，将直接关联到url,的边加入集合《，再次遍历直接关^^图C^，将所有能 够直接关联到集合C中的顶点，且不包含于I^的顶点"(即("g C)D(v, e r))添加到c中， 将新添加的顶点与集合^中的顶点之间的边 (即(^g五,勺n(^eA))添加到《中；循环遍 历直接关联关系图C^，直到集合^和《中的元素不再增加为止，便得到url,的直接关,系图 《气^《)；以同样的方法，可以得到url,的间接关S^系图G,' =07,五,')；直接关 系图《 和间接关^t系图《为恶意代码的ii^M共了线索； 第三、定位恶意代码的源头
遍历直接关麟系图Gf中的所有顶点，如果避幅Gf中的环，就将!賊环的各个顶点抽象 成一个顶点，直到直接关^系图G,中的出度为0的顶点不再增加为止，这些出度为零的顶点所 代表的url就是恶意代码的源头。
四、评估恶意代码的影响范围
本发明戶皿恶意代码的影响范围的刑古包括
直接关 系图中的顶点所^f，的url是受恶意代码影响Sm接的url ，只要访问这些url 就肯定要遭受恶意代码的攻击。他们受到Internet恶意代码的影响度为"0";
当直接关K^图Gf和间接关联^^图G,'中的顶点有相同的，将间接关i^图G,'中所有 与这些相同的顶点相胆不属于直接关麟系图Gf的点和边添力倒直接关K^图Gf中形成新 的关联关系图G1，这些新添加的顶点所代表的url存在遭受恶意代码攻击的可能，但不会直git 至吸击，他们与受到Internet恶意代码攻剖娃一个间接关联，他们受到Inteinet恶意代码的影响 度为"1";
当间接关 系图《和关联关系图G1中有相同的顶点，将间接关联关系图G,'中所有与这些 相同的顶点相连且不属于关联关系图G1的点和边添加到关联关系图G1中形成新的关联关系图 G2，新添加的顶点所代表的url^f受恶意代码攻击的可能性要低于图G沖的顶点，它们受到 Internet恶意代码的影响度为"2";
采用同样的方法可以得到关 系图<^,....，0" (&cG2cG3…c:G")，访问S^^m 图的顶点时都有受到恶意代码攻击的可能性，但访问新增加的顶点时受到恶意代码攻击的可能性 相应减低，受到Internet恶意代码的影响度依次升高。
本发明的优点和积极郷
1. 及时发现Internet中的恶意代码。
2. iti認意代码的源头。
3. 确定恶意代码的扩散范围。
4.评估正常网页受恶意代码的影响度。


图1 ，意代码的发现i^^呈图。
图2是恶意代码的iigtmf呈图。
图3是根据拓扑信息库粒的关麟系图，图中圆圈标url，纖标url间的关麟系，虚 线箭头标间接关联，实线箭头标直接关联。
图4 ，意代码的关 系图，图中灰色的节点细戎了 Intern改恶意代码的直接关^系图。
具鹏1&^;
实施例l: Internet恶意代码的发现
http://www.ahzi,m (请不要访问该网站，否则会受至lj恶意代码的攻击)是一M有Internet 恶意代码的网站，当用户访问这个网站时会受到恶意代码的攻击。利用本方法能够主动的发现该
网站所包含的恶意代码，具体处理流程如下
1. 将http:〃www.ah^jsp.com添加到Internet恶意代码的搜索队列中。
2. 从Internet恶意代码搜索队列中取出http://www.ah23'sp.com传3H^aM^块。
3. 向http:〃www.ah^sp.com HEAD i青求，《导到Status^Code: 200、 Content-type: text/html、 Content國length:2705,不满龃激见则，将其传微下载模块。
4. 向http://www.ah2jsp.com腿GET请求，得到其所对应的文ft^f专递给恶意代码扫描弓|
擎进行检测，同时提取文件中包含的url，得到url列表
攀 http://qqhaomm.cn
參 http://www.ah^jsp.com/gbook/index.asp
參 http://www.ah^sp.com/product.asp bigclassname=%B4%BF%BE%BB%CB%AE%C9 %E8%B1%B8
參 http:〃www.ah^sp.com/productasp bigclassnan^/0B90/oCF%D7%D3%BB%FA
參 http://www.ah^sp.com/product.asp bigclassname=%B9%FB%B6%B3%Bl%AD
參 http:〃www.ahg'sp.com/product.asp bigclassname=%B90/0FB%B6%B30/0BB0/oFA
參 http://www.ah^sp.com/product.asp bigclassname=^/0CA%B3%C6%B7%CF%B5%Cl% DO
肇 htQ)://www.ah^jsp.com/shownews.asp id=46
參 ht^)://www.ah^sp.com/shownews.asp id=47
參 http:〃www.ah^jsp.com/shownews.asp id=48
參 http://www.ah^jsp.com/shownews.asp id=49
攀 http:〃www.ahg'sp.com/zhujia.css
http://www.macromedia com/go/getflashplayer 參 http://yyhaomm.cn
将提取出的url添加到Internet恶意代码體对列中。拓扑信息 库如下表:
http://qqhaomm.cn http://ww，ahzjsp.com/ 1 script
http://www.ahzjsp.com/ origin 0 origin
http://www.ahzjsp■ com/gbook/index,asp http://www■ ahzjsp.com/ 0 a
http://www■ ahzjsp■ com/product■ asp bigclassnarne-%B4%BF%BE%BB%CB%AE%C9%E8%B1 %B8 http:Oww,ahzjsp■ com亍 0 a
http:/^rtW,ahzisp.com〖product.asp bigdas5name=。/。B9。/oCF%D7%D3%B8%FA http://www,ahzjsp.com/ 0 a
http://www.ahzjsp,com/produrt.asp bigclassname=%B9%FB%B6。/。B3%Bl%AD http://www.ahzjsp.com/ 0 a
http: //www.ahzjsp.com/product,asp bigdassname=%B9%FB%B6%B3%B8%FA http://www.ahzjsp■ com/ 0 a
http:,/www.ahzjsp,com/procb:t.asp bigdassname-%CA%B3%C6%B7%CF%B5%Cl%D0 http://www.ah2jsp.com/ 0 a
http://ww,ahzjsp,com/shownews,asp id=*l6 http://www.ahzjsp.com/ 0 a
http:〃www,ahzjsp,com/shown洲s■ asp id=47 http:w.ahzjsp■ com/ 0 a
http://www■ ahzjsp.com,shownews■ asp id=48 http:;/www.ah2jsp.com/ 0 a
http://wvw.ah2jsp.c。m/sh。wnews.asp id-49 http://ww.ah2jsp.com/ 0 a
http:〃vww,ahzjsp.com/zhujia.css http://www,ahzjsp.com/ 0 link
http://www.macromedia■ com/go/getflashplayer http://簡w.ahzjsp■ com/ 0 embed
http: //yyhaomm ■ cn http: "www. ahz jsp. com/ 1 scrig^
第一列为提取出的url,第二列为url的关謝言息，第三列为关^M， l为直接关联，O为间 接关联，第四列为关联的fe^t息，t^t息，来判断关联类型的。 6.根据Internet恶意代码體队列中的url信息，继续进行发现，最對导至U拓扑信息娜库 如下表http他mO 15, cn/flink. htmlhttp: //yyhaomm.cn1ifr抓6
http//jzmO 15,卬/ilink, html http: /〖yyh3omm.cn1
http//jzmO 15. cn/sina, htm http: //user 1, hxg008. cn/a2/f .htm1script
http//jzmO 15. cn/swf object. jshttp: //jzmOlS.cn/flink.html1script
http//qqhaomm' cn http: //www,ahzjsp,com/1script
http//user 1 hxg008.cn/32/fx, htm http: //userl .hxg008,cn/a2/fxx.htm1script
http//user 1. hxgOOS cn/a2/f xx, htm http: //www ■ hxg006. cn/b2 ， htm1
http//user 1, hxg008, cn/s2/ss, html http: //user 1. hxg008. cn/a2/f xx ■ htm1script
http//www ahs jsp com/ origin0origin
http■ ahz jsp com/gbook/index, ssphttp: //www,ahzjsp.com/0
http//w, ■ ahzjsp. com/product. asp bigclassn5 http: //www.ahzjsp.com/03
http//w需.ahzjsp. com/product ■ asp bigclassns http: //w,， ahzjsp.com/03
http//www,ahzjsp.com/product， asp bigcl股r^ http:j/,w,ahzjsp,com/03
http//www. ahzjsp. com/product. asp bigda5sn￡ http: /ahzjsp.com/03
http//www. ahzjsp. com/product asp bigclassn5 http: //www,ahzjsp.com/0
http//www, 3hzjsp ■ com/shownews. 3sp7id=46 http: //www, ahsjsp, corn/0
http//www, ahzjsp. com/shown洲s. asp id=47 http: j/,w,ahzjsp,com/03
http//w,. ahzjsp. com/shownews ，asp id=48 http: j/www, ahzjsp.com/03
http//w額.ahzjsp. com/shownews ■ asp id=49 http: //w刚，ahzjsp.com/0
http//,w. ahzjsp. com/zhu jia. ess http: //w簡，ahsjsp.com/0link
http//www, hxg006. cn/b2, htm http: j/yyhaomm,cn1
http//,w. macromedia. com/go/getflashplayer http: //w,. ahzjsp.com/0embed
http//w,. zmj jjyy, cn/new/a2. ess http: //user 1. hxg008 ■ cn/32/ss, html1script
http//yyh30睡.cn http://簡w.ahzjspxom/1script
7.恶意代^M弓l對n蜜4l^纟l^:现http://www.zmiijyy.cn/new/a2.css为恶意代码。
实施例2: Internet恶意代码的鹏
1.建立关l^图
根据Internet恶意代码发现步骤后得到的拓扑信息M库粒关联关系图 粉石扑信息i^库中的uri抽象成一个点，針节点定义一个编号，如下表:匿http//jzm015.cn/flink,htmlhttp://yyh3omm.cn1
3http//jsm015,cn/ilink,htmlhttp://yyh3omm.cn1ifr抓s
4http他mO 15 ■ cn/sina, htmhttp: //user 1. hxg008.cn/a2/fxx. htm1script
5http他mO 15. cn/swf object. jshttp://jzm015.cn/flink,html1script
6http//qqhaomm.cnhttp: //冊w. ahz jsp ■ com/1script
7http//user 1. hxg008. cn/32/f >:' htmhttp: //user 1' hxg008 ■ cn/a2/fxx, htm1script
8http//user 1. hxg008. cn/32/f , htmhttp: //w簡.hxg006. cn/b2. htm1
9http//user 1. hxg008. cn/s2/ss. htmlhttp: //user 1. hxg008 ■ cn/a2/to htm1script
10http//www, ahzjsp.com/origin0origin
11http//w簡■ ahz jsp. com/gbook/index ■邻http: //w,. ahsjsp. com/03
12http//w,.ahzjsp,com/product.asp bigdassn5http: //需w, ahz jsp, com/0
13http//■w. ahz]sp ■ com/product, asp bigclassnEhttp: //需w ahzjsp, com/0
14http//w,.ahzjsp.com(prodLid:,asp bigclassn5http: / /www. ahz jsp. com/03
15http//■w. ahsjsp. com/product. asp bjgdassn5http: //, w, ahz jsp ■ com/0
16http//,w. ahzjsp. com/product. asp bigclassnehttp: //w, ahzjsp ■ com/0
17http//www.ah2jsp.com/shownews,asp idM6http: //w刚.ahzjsp, com/03
18http//www ■ ahzjsp ■ com/shownews. asp id=47http: //w剛,ahs jsp, com/0
19http//剛w. ahzjsp. com/showne . asp id=48http: //,w, ahz jsp ■ com/03
20http//剛w, shzjsp. com/shownews. asp7id-49http: //www. ahzjsp .com/0
21http//剛w ■ ahs jsp. com/zhujia. esshttp: //,w. ahs jsp com/0link
22http//www ■ hxg006 ■ cn/b2 ■ htmhttp://yyh3omm.cn1iframe
23http〃,w. macromedia. com/go/getHashplayer http: //w,. ahzjsp ■ com/0embed
1http//www. zm j jjyy. cn/new/a2. esshttp://userl.hxg008,cn/a2/ss.html1script
24http//yyhaomm,cnhttp: //www. ahs jsp. com/1script
关系图见图3、图4，
图中灰色的节点会贼了 Internet恶意代码的直接关联^^、图。由此可以发现恶意代码的源头为 节点l。
实施例3:恶意代码影响范围的i啊古
当用户访问了 Internet恶意代码的直接关^系图中的节点后会穀隨意代码的直接攻击，所 以上图中的灰色节点都是危险的。访问那些与灰色节点有间接关联的网站也有受到恶意代码攻击 的可能性的，但不会，喧接攻击。这些灰色节点受恶意代码的影响度为O。
权利要求
1、一种Internet恶意代码的发现方法，其特征在于该方法包括如下步骤第一、将可疑的url添加到恶意代码搜索队列L＝{url1，url2，…，urln}中的低优先级子队列中，urli(1≤i≤n)∈L是用于发现恶意代码的原始点；L为多优先级队列，包括高、中、低三个优先级子队列，分别为Lh，Ln，Ll；从L中取数据时先从Lh中取，当Lh为空则从Ln中取数据，当Ln也为空则从Ll中取数据，子队列内部则按照先入先出的原则取数据；第二、从上步生成的恶意代码搜索队列L中取出urli，1≤i≤n，传递给过滤模块；第三、在过滤模块中，向上步传递过来的urli发送HEAD请求，根据响应信息内容中的属性Status-Code、Content-type、Last-modified和Content-length进行过滤，删除满足过滤规则的url，以提高恶意代码的发现效率并降低网络开销；第四、将上步不满足过滤规则的urli传递给下载模块，下载模块使用GET请求将urli所对应的文件fi下载到本地，并将文件fi传递给恶意代码扫描引擎，同时解析文件fi并从中提取url信息；第五、根据上步所提取的文件fi中的url，包括直接关联的和间接关联的url，得到集合<maths id="math0001" num="0001" ><math><![CDATA[ <mrow><msub> <mi>L</mi> <mi>i</mi></msub><mo>=</mo><mrow> <mo>{</mo> <msubsup><mi>url</mi><mi>i</mi><mn>1</mn> </msubsup> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mn>2</mn> </msubsup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mi>m</mi> </msubsup> <mo>}</mo></mrow><mo>,</mo> </mrow>]]></math> id="icf0001" file="A2008101512570002C1.tif" wi="41" he="4" top= "140" left = "22" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>然后将集合Li中的url添加到列表L的低优先级子队列Ll中，并将关联信息存储到拓扑信息数据库中；第六、利用现有的反病毒引擎对第四步下载的文件fi进行检测；当发现恶意代码，分析恶意代码的结构，计算文件fi的MD5和SHA-1校验和，将恶意代码信息存入恶意代码数据库中，并将集合<maths id="math0002" num="0002" ><math><![CDATA[ <mrow><msub> <mi>L</mi> <mi>i</mi></msub><mo>=</mo><mrow> <mo>{</mo> <msubsup><mi>url</mi><mi>i</mi><mn>1</mn> </msubsup> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mn>2</mn> </msubsup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mi>m</mi> </msubsup> <mo>}</mo></mrow> </mrow>]]></math> id="icf0002" file="A2008101512570002C2.tif" wi="39" he="4" top= "171" left = "34" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>从Ll中删除，然后将Li添加到L的中优先级子队列Ln中。通过提高Li的优先级，对Li进行深度优先搜索；当没有检测到恶意代码，则将urli传递给蜜罐系统进行检测；第七、蜜罐系统根据浏览urli和运行文件fi过程中的行为，判断是否含有恶意代码；当检测到恶意行为，则根据恶意行为分析恶意代码的结构，计算文件fi的MD5和SHA-1校验和，将恶意代码信息存入恶意代码数据库中，并将集合<maths id="math0003" num="0003" ><math><![CDATA[ <mrow><msub> <mi>L</mi> <mi>i</mi></msub><mo>=</mo><mrow> <mo>{</mo> <msubsup><mi>url</mi><mi>i</mi><mn>1</mn> </msubsup> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mn>2</mn> </msubsup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mi>m</mi> </msubsup> <mo>}</mo></mrow> </mrow>]]></math> id="icf0003" file="A2008101512570002C3.tif" wi="39" he="4" top= "209" left = "101" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>从Ll中删除，然后将Li添加到L的高优先级子队列Lh中，并且发出未知恶意代码的警报，对恶意代码进行紧急响应；并返回第一步，进行循环操作；发出警报是指向国家计算机病毒应急处理中心上报未知恶意代码；紧急响应是指病毒分析员根据紧急响应步骤对恶意代码进行分析并提出解决方案的过程。
2、 根据权利要求1戶腿的发现方法，辦征在于第三步中戶腿的过滤规贝提根据Status-Code嵐性对url的当前状态进《Til滤；根据Content-type嵐性对url所对应的文件 的类型进行过滤；根据Last-modified廣性对url的最后修改时间进fi^滤和根据Content-length属舰url所对应文件的长度进行过滤。
3、 一种Internet恶意代码的超f^法，，征在于该方法的具体步骤如下 第一、^关^^图G气F,五)其中，F是有限个顶点v的集合，齡顶点^^权利要求1中臓的拓扑信息,库中的一 个url; 5是F中顶点对(v,，")的有限集，顶点对(v,.,")謝门称之为边，每条边f^""对url 间的关 系，因为url间的关i^是有方向的，所以边也是有方向的；ffi3i^历拓扑信息i^库，将所有的uri加入到集合r中，将所有的直接关麟系加入到集合 A中，将所有的间接关^^加入到集合五,中，￡ = ^U《，集合r和A就纟贼了直接关联关 系图& 集合r和g就纟U戎了间接关i^系图G, ，集合r和五就组成了关联关系图G ;第二提取恶意代码的线索鹏娜化、C、 K'、五,、五,、五;六賴合；其中"是与v,有关联絲的顶点集合，e是与"有直接关 系的顶点集合，p;'是与"有间接关i^系的顶点集合；g是^中各顶点之间 所存在的边的集合，五f是c中各顶点之间所存在的边的集合，g是K中各顶点之间所，的边的集合；集合^、 6 K'、 ￡,、 ￡,、五;初始时为空集；首先找到包含恶意代码的文件乂所对应的url,在集合r中对应的顶点v,，并将v,依据不同的 关^^加入到集合K、 ^、 K'中，然后遍历直接关^^图(^，将所有眘,直接关联到url,的 顶点加入集合"，将直接关联到url,的边加入集合《，再次遍历直接关 系图<^，将所有能 够直接关联到集合^中的顶点，且不包含于^的顶点"添加到^中，即("g^)门("e JO将新添加的顶点与集合^中的顶点之间的边^添加到《中，即h g《)n(e, e a);循环舰图Gd，直到集合C和《中的元素不再增加为止，便得到url,的直接关麟系图G;SC五,"；以 同样的方法，可以得到url,的间接关^系图G,'直接关联关系图G,和间接关^^ 图G,'为恶意代码的il^if共了线索； 第三、定位恶意代码的源头遍历直接关麟系图Gf中的所有顶点，当遇到图Gf中的环，就将舰环的於顶点抽象成 一个顶点，直到直接关麟系图《中的出度働0的顶点不再增加为止，这些出度为零的顶点所 代表的url就是恶意代码的源头。
4、 根据权利要求3臓的鹏方法，期寺征在于恶意代码的影响范围的i糊包括 直接关 系图<^中的顶点所f^的url是受恶意代码影响:St接的uri ，只要访问,url就肯定要遭受恶意代码的攻击。他们受到Internet恶意代码的影响度为0;当直接关M系图(^和间接关^系图G;中的顶点有相同的，将间接关^系图G,'中所有 与这些相同的顶点相皿不属于直接关^系图Gf的点和边添加到直接关^系图Gf中形成新 的关联关系图G1，这些新添加的顶点所代表的url^I受恶意代码攻击的可能，但不会直接遭 到攻击，他们与Internet恶意代码相距一个间接关联，他们穀U Internet恶意代码的影响度为1;当间接关^系图G,'和关联关系图G1中有相同的顶点，将间接关^系图G;中所有与这些 相同的顶点相连且不属于关联关系图G1的点和边添加到关联关系图G1中形成新的关联关系图 G2，新添加的顶点所代表的url存在遭受恶意代码攻击的可能性要低于图&中的顶点，它们与 Internet恶意代码相距两个间接关联，受到Internet恶意代码的影响度为2;采用同样的方法可以得到关 ^图(53,...,(^ (G'cG2cG3…czG")，访问这^ 系 图的顶点时皿受到恶意代码攻击的可能性，但访问新增加的顶点时受到恶意代码攻击的可能性 相应减低，受到Internet恶意代码的影响度依次升高。
全文摘要
一种Internet恶意代码的发现和追踪方法。本发明主动地去发现隐藏在Internet中的恶意代码，并根据恶意代码在Internet中的拓扑分布信息进行追踪，定位恶意代码的源头，评估此恶意代码的影响。本方法首先对用户提交的可疑网页进行解析，提取文件中的链接信息进行广度优先搜索。对搜索过程中发现的文件进行多反病毒引擎的交叉检测来发现已知的恶意代码和蜜罐检测来发现未知的恶意代码。如果发现恶意代码则通过提升优先级进行深度优先的追踪。建立恶意代码的Internet拓扑图，定位恶意代码的源头，评估对正常网页的影响度。
文档编号G06F21/00GK101350822SQ20081015125
公开日2009年1月21日 申请日期2008年9月8日 优先权日2008年9月8日
发明者志 王, 贾春福 申请人:南开大学