恶意特征数据库的建立方法、恶意对象检测方法及其装置制造方法

恶意特征数据库的建立方法、恶意对象检测方法及其装置制造方法
【专利摘要】本发明提供了一种恶意特征数据库的建立方法、恶意对象检测方法及其装置，其中建立方法包括：S1、获取恶意对象样本；S2、从样本中的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表；S3、利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象。通过本发明能够扩大恶意对象检测的覆盖面，对新出现的恶意对象做出及时地反应。
【专利说明】恶意特征数据库的建立方法、恶意对象检测方法及其装置
【【技术领域】】
[0001]本发明涉及计算机【技术领域】，特别涉及一种恶意特征数据库的建立方法、恶意对象检测方法及其装置。
【【背景技术】】
[0002]随着网络技术的广泛应用和黑客潜在可得利益的迅速膨胀，对于网络中用户随时提交的新的网页和软件包都需要安全性验证。当今的安全解决方案需要深层的面向应用的扫描和过滤功能。为保障在面对所有威胁的同时能够集中资源轻松保持业务步伐，需要建立有效的恶意特征数据库并经常更新。具有全面覆盖安全威胁，同时满足性能需求的恶意特征数据库建立方案，是实现网络安全的重点。
[0003]现有技术通常是通过网络抓取系统收集各种网站和软件，并分别对其是否为挂马网站、是否为钓鱼网站、是否包含黑链、是否为恶意软件、是否为作弊器、是否具有恶意行为进行逐一分析，每一块都有专门的工具或软件进行检测，当检测出来以后报告给客户。也就是说，现有技术通常建立具有某种特征的恶意软件或恶意网站的数据库，例如现在常用的病毒数据库，这种方式具备以下缺点:
[0004]其一、覆盖面很小，仅能够识别出病毒数据库中列出的恶意软件或恶意网站。
[0005]其二、缺乏有效的更新机制，对于新出现的恶意软件或恶意网站则无法做出及时地反应。
【
【发明内容】
】
[0006]有鉴于此， 本发明提供了一种恶意特征数据库的建立方法、恶意对象检测方法及其装置，以便于扩大恶意对象检测的覆盖面，对新出现的恶意对象做出及时地反应。
[0007]具体技术方案如下:
[0008]一种恶意特征数据库的建立方法，该建立方法包括:
[0009]S1、获取恶意对象样本；
[0010]S2、从样本中的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表；
[0011]S3、利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象。
[0012]根据本发明一优选实施例，在所述步骤S3之后还包括:
[0013]S4、从步骤S3确定出的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。
[0014]根据本发明一优选实施例，所述恶意特征包括:挂马源、域名信息、注册信息、链接关系信息、网络内容提供商ICP信息或者关键词索引。
[0015]根据本发明一优选实施例，所述利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象具体包括:[0016]判断搜索数据库中的对象包含的超链接是否为恶意特征数据库的黑名单列表中的对象，如果是，则确定搜索数据库中的该对象为恶意对象；或者，
[0017]将搜索数据库中的对象与恶意特征数据库的黑名单列表中的对象进行相似度计算，如果相似度超过预设的相似度阈值，则确定搜索数据库中的该对象为恶意对象；或者，
[0018]将搜索数据库中的对象与恶意特征数据库的恶意特征列表中的恶意特征进行匹配，如果满足匹配条件，则确定搜索数据库中的该对象为恶意对象；或者，
[0019]判断搜索数据库中的对象是否是恶意特征数据库的黑名单列表中恶意对象所引用的对象，如果是，则确定搜索数据库中的该对象为恶意对象。
[0020]根据本发明一优选实施例，该建立方法还包括:
[0021]定时对恶意特征数据库中的黑名单列表中的恶意对象和恶意特征列表中的恶意特征进行有效性验证，保留验证有效的恶意对象和恶意特征，删除验证无效的恶意对象和恶意特征。
[0022]根据本发明一优选实施例，所述有效性验证具体包括:
[0023]向所述黑名单列表中的对象发出请求，根据响应结果确定该对象是否失效，在所述黑名单列表中保留仍然有效的恶意对象，将失效的恶意对象从所述黑名单列表中删除；
[0024]对于仍然有效的恶意对象进一步进行恶意对象检测，如果检测结果仍为恶意，则在所述恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征；如果检测结果为非恶意，则将该恶意对象以及该恶意对象对应的恶意特征分别从所述黑名单列表和恶意特征列表中删除。
[0025]根据本发明一优选实施例，在所述恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征具体包括:判断所述仍然有效的恶意对象的恶意特征是否发生变更，如果是，则更新恶意特征列表中所述仍然有效的恶意对象对应的恶意特征；否则保留所述仍然有效的恶意对象对应的恶意特征。
[0026]一种恶意对象检测方法，该检测方法包括:
[0027]Al、判断待检测对象是否包含在恶意特征数据库的黑名单列表中，如果是，确定所述待检测对象为恶意对象，结束对所述待检测对象的检测；否则，执行步骤A2 ；
[0028]A2、将所述待检测对象在恶意特征数据库的恶意特征列表中进行匹配，如果满足匹配条件，则确定所述待检测对象为恶意对象；否则，确定所述待检测对象为非恶意对象；
[0029]其中所述恶意特征数据库是采用上述建立方法得到的。
[0030]根据本发明一优选实施例，在所述步骤A2中如果确定所述待检测对象为恶意对象，则进一步从恶意对象中提取恶意特征，分别将该恶意对象以及对应的恶意特征加入所述恶意特征数据库的黑名单列表和恶意特征列表。
[0031]一种恶意特征数据库的建立装置，该建立装置包括:
[0032]样本获取单元，用于获取恶意对象样本，将恶意对象样本中的各恶意对象分别提供给特征提取单元；
[0033]特征提取单元，用于从恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表；
[0034]反挖掘单元，用于利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象。[0035]所述反挖掘单元，还用于将确定出的恶意对象分别提供给所述特征提取单元；
[0036]所述特征提取单元从所述反挖掘单元提供的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。
[0037]根据本发明一优选实施例，所述恶意特征包括:挂马源、域名信息、注册信息、链接关系信息、网络内容提供商ICP信息或者关键词索引。
[0038]根据本发明一优选实施例，所述反挖掘单元在利用恶意特征数据库对搜索数据库中的对象进行匹配时，具体执行:
[0039]判断搜索数据库中的对象包含的超链接是否为恶意特征数据库的黑名单列表中的对象，如果是，则确定搜索数据库中的该对象为恶意对象；或者，
[0040]将搜索数据库中的对象与恶意特征数据库的黑名单列表中的对象进行相似度计算，如果相似度超过预设的相似度阈值，则确定搜索数据库中的该对象为恶意对象；或者，
[0041]将搜索数据库中的对象与恶意特征数据库的恶意特征列表中的恶意特征进行匹配，如果满足匹配条件，则确定搜索数据库中的该对象为恶意对象；或者，
[0042]判断搜索数据库中的对象是否是恶意特征数据库的黑名单列表中恶意对象所引用的对象，如果是，则确定搜索数据库中的该对象为恶意对象。
[0043]根据本发明一优选实施例，该建立装置还包括:
[0044]有效性验证单元，用于定时对恶意特征数据库中的黑名单列表中的恶意对象和恶意特征列表中的恶意特征进行有效性验证，保留验证有效的恶意对象和恶意特征，删除验证无效的恶意对象和恶意特征。
[0045]根据本发明一优选实施例，所述有效性验证单元在进行有效性验证时，具体执行:
[0046]向所述黑名单列表中的对象发出请求，根据响应结果确定该对象是否失效，在所述黑名单列表中保留仍然有效的恶意对象，将失效的恶意对象从所述黑名单列表中删除；
[0047]对于仍然有效的恶意对象进一步进行恶意对象检测，如果检测结果仍为恶意，则在所述恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征；如果检测结果为非恶意，则将该恶意对象以及该恶意对象对应的恶意特征分别从所述黑名单列表和恶意特征列表中删除。
[0048]根据本发明一优选实施例，所述有效性验证单元在恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征时，具体执行:判断所述仍然有效的恶意对象的恶意特征是否发生变更，如果是，则更新恶意特征列表中所述仍然有效的恶意对象对应的恶意特征；否则保留所述仍然有效的恶意对象对应的恶意特征。
[0049]一种恶意对象检测装置，该检测装置包括:
[0050]对象判断单元，用于判断待检测对象是否包含在恶意特征数据库的黑名单列表中，如果是，确定所述待检测对象为恶意对象，否则触发特征匹配单元；
[0051]特征匹配单元，用于将所述待检测对象在恶意特征数据库的恶意特征列表中进行匹配，如果满足匹配条件，则确定所述待检测对象为恶意对象；否则，确定所述待检测对象为非恶意对象；
[0052]其中所述恶意特征数据库是由上述建立装置得到的。
[0053]根据本发明一优选实施例，该装置还包括:特征提取单元，用于在所述特征匹配单元确定所述待检测对象为恶意对象时，从恶意对象中提取恶意特征，分别将该恶意对象以及对应的恶意特征加入所述恶意特征数据库的黑名单列表和恶意特征列表。
[0054]由以上技术方案可以看出，本发明基于恶意对象样本抽取恶意特征后建立初步的恶意特征数据库，再通过利用搜索数据库对恶意特征数据库进行反挖掘的方式形成一个迭代，逐步丰富恶意特征数据库。这种方式并不限制单一特征的恶意对象，能够包容各种恶意特征，显然扩大了恶意对象检测的覆盖面，并且这种迭代更新的方式能够便于对新出现的恶意软件或恶意网站做出及时地反应。
【【专利附图】

【附图说明】】
[0055]图1为本发明实施例一提供的恶意特征数据库的建立方法的主要流程图；
[0056]图2为本发明实施例二提供的利用恶意特征数据库的恶意对象检测过程流程图；
[0057]图3为本发明实施例三提供的恶意特征数据库的建立装置结构图；
[0058]图4为本发明实施例四提供的恶意对象检测装置结构图。
【【具体实施方式】】
[0059]为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。
[0060]实施例一、
[0061]图1为本发明实施例一提供的恶意特征数据库的建立方法的主要流程图，该方法的主要思想是，首先利用现有的恶意对象检测技术对小规模的对象进行检测，将检测出的恶意对象作为样本，利用样本建立恶意特征数据库；然后再利用恶意特征数据库对大规模的对象进行反挖掘，从而确定出恶意对象反馈至恶意特征数据库，从而完成恶意特征数据库的建立过程。需要说明的是，本发明各实施例中涉及的对象包括但不限于网页、软件、链接等，相应地，恶意对象包括但不限于恶意网页、恶意软件、恶意链接等。如图1所示，该方法可以主要包括以下步骤:
[0062]步骤101:犾取恶意对象样本。
[0063]本步骤中恶意对象样本的获取可以采用现有的恶意对象检测技术对小规模的网站或软件等对象进行检测，即调用现有的检测模块进行检测，这些检测模块可以是一个以上独立的检测模块，每个检测模块可以采用不同的检测方式或检测条件，并发明并不限于恶意对象样本的确定方式。
[0064]步骤102:从样本中的恶意对象中提取恶意特征，分别将恶意对象及其恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。
[0065]本发明实施例建立的恶意特征数据库包含两个部分:黑名单列表和恶意特征列表，其中黑名单列表中包含恶意对象的信息，恶意特征列表中包含恶意对象对应的恶意特征的信息。
[0066]对于确定出的恶意对象，诸如`挂马网站、黑链、色情网站、恶意软件、作弊器等等，将这些恶意对象加入黑名单列表，例如将恶意网站的url、恶意软件的名称等加入黑名单列表。
[0067]在对恶意对象提取恶意特征时，可以提取但不限于以下特征:挂马源、域名信息、注册信息、链接关系信息、网络内容提供商(ICP)信息或者关键词索引。其中，挂马源是指网页挂马链中，最终发起攻击的页面；域名信息是指域名的ip地址信息；注册信息包括注册邮箱、注册公司、联系电话、QQ、MSN等；链接关系信息是指如反链等反映网页之间链接关系的信息。关键词索引是指如果一个关键词得到的前N个搜索结果中包含该恶意对象，则该关键词就可以作为该恶意对象的关键词索引。
[0068]除此之外，主机(Host)、域名、ip地址、国家、whois信息可以为附加特征，用于后续统计恶意站点的域名、ip地址、地域分布情况。
[0069]步骤103:利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象。
[0070]步骤104:从恶意对象中提取恶意特征，分别将恶意对象及其恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。
[0071]本步骤实际上是利用恶意特征数据库在搜索数据库进行反挖掘的过程，将匹配得到的对象确定为恶意对象，再利用以此确定出的恶意对象以及从中提取出的恶意特征来更新恶意特征数据库。
[0072]在本发明实施例中涉及到的搜索数据库实际上是一个包含大规模网站、软件等对象信息的数据库，用户可以随时提交自己网站的超链接、上传开发的软件等至搜索数据库，也可以通过爬虫抓取网页或者搜索引擎通过关键字查询到的网页等存至搜索数据库，等
坐寸ο
[0073]搜索数据库反挖掘过程的加入，使本发明提出的恶意特征数据库建立方法形成了一个迭代，搜索数据库可以利用恶意特征数据库进一步挖掘，而挖掘到的恶意对象又被加入到恶意特征数据库，对新出现的恶意对象能够迅速更新在恶意特征数据库中。
[0074]下面对上述反挖掘的方式即利用恶意特征数据库对搜索数据库中各对象进行匹配的过程进行描述，可以采用但不限于以下方式:
[0075]方式一、反向挖掘。即判断搜索数据库中的对象包含的超链接是否为恶意特征数据库的黑名单列表中的对象，如果是，则确定搜索数据库中的该对象为恶意对象。例如，搜索数据库中的网页urll包含的超链接为恶意特征数据库的黑名单列表中的网页url2，则认为urll为恶意对象。
[0076]方式二、相似性挖掘。由于在批量挂马网站中，很多挂马网页页面内容基本一致，因此，将搜索数据库中的对象与恶意特征数据库的黑名单列表中的对象进行相似度计算，如果相似度超过预设的相似度阈值，则认为搜索数据库中的该对象为恶意对象，或者认为其为可疑对象，可以结合其他检测方式进行进一步检测来确定是否为恶意对象。例如，搜索数据库中的网页urll与恶意特征数据库的黑名单列表中的网页url2之间的相似度超过预设的相似度阈值，则认为urll为恶意对象。
[0077]方式三、特征挖掘。将搜索数据库中的对象与恶意特征数据库的恶意特征列表中的恶意特征匹配，如果满足匹配条件，则认为搜索数据库中的该对象为恶意对象。
[0078]例如，挂马者为了增大用户影响面，希望更多的受害者能够中马，往往会选择最近的热门关键词网站异或是用户访问频度较高的网站，挖掘同样内容或关键词的疑似网页，因此可以将搜索数据库中的网页urll与恶意特征列表中的关键词进行匹配，如果满足关键词数量的匹配要求，则认为该urll为恶意对象。[0079]再例如，目前恶意网站大多采用动态域名和免费域名的方式，在同一个服务器上假设多个站点，如果其中一个站点为恶意对象，则其他站点很大可能也是恶意对象，因此，可以将搜索数据库中的网页urll与恶意特征列表中的IP地址信息进行匹配，如果属于同一 IP地址,则认为该urll为恶意对象。
[0080]再例如，具有相同域名的站点，如果其中一个站点为恶意对象，则其他站点也可能为恶意对象，因此可以将搜索数据库中的网页urll与恶意特征列表中的域名信息进行匹配，如果具有相同域名，则认为该urll为恶意对象。
[0081]再例如，具有相同注册信息的站点，如果其中一个站点为恶意对象，则其他站点也可能为恶意对象，因此可以将搜索数据库中的网页urll与恶意特征列表中的注册信息进行匹配，如果具有相同注册信息，则认为该urll为恶意对象。
[0082]再例如，相同ICP的站点，如果其中一个站点为恶意对象，则属于同一 ICP的其他站点也可能为恶意对象，因此可以将搜索数据库中的网页urll与恶意特征列表中的ICP信息进行匹配，如果具有相同ICP信息，则认为该urll为恶意对象。
[0083]方式四、链接引用关系挖掘。判断搜索数据库中的对象是否是恶意特征数据库的黑名单列表中恶意对象所引用的对象，如果是，则认为搜索数据库中的该对象为恶意对象。
[0084]由于恶意特征数据库的存储空间有限，网络中恶意对象又是动态变化的，例如网络攻击者利用一台服务器进行攻击被发现后，很可能关闭该服务器，其对应的所有URL就无法访问了。因此，优选地，本发明实施例中可以进一步通过定时的有效性验证来对恶意特征数据库进行维护。即定时对恶意特征数据库的黑名单列表中的恶意对象和恶意特征列表中的恶意特征进行有效性验证，如果验证有效，则保留，如果验证无效，则将无效的恶意对象和恶意特征从恶意特征数据库中删除。
[0085]具体地，可以预先设置一个验证周期，例如24小时，该验证周期可以根据具体需求进行设置和变更。当验证周期到达时，向恶意特征数据库的黑名单列表中的恶意对象进行访问以验证该恶意对象是否失效，例如，可以向黑名单列表中的URL发出请求，或者，向黑名单列表中恶意软件对应的服务器发出请求，根据响应结果确定是否失效，如果仍然有效，则在黑名单列表中予以保留；如果失效，则将该恶意对象从黑名单列表中删除。
[0086]如果在上述过程中验证恶意对象仍然有效可以进一步对该恶意对象进行检测，该检测方式可以如步骤101中所述采用现有技术中的检测方式，如果检测结果仍然为恶意，则保留该恶意对象对应的恶意特征，如果检测结果为非恶意，则将该恶意对象及其对应的恶意特征分别从恶意对象和恶意特征列表中删除。其中，在保留恶意对象对应的恶意特征之前，可以首先判断该恶意对象的恶意特征是否发生变更，如果发生变更，则更新恶意特征列表中该恶意对象对应的恶意特征；否则直接保留该恶意对象对应的恶意特征。
[0087]在本实施例中对于从恶意特征数据库中删除的恶意对象及其恶意特征，可以记录在历史恶意库中，记录的内容除了删除的恶意对象及其恶意特征之外，还可以包括但不限于:删除时间、删除原因等，以备误删或者将来查阅。
[0088]在采用实施例一所示方法建立了恶意特征数据库之后，就可以利用恶意特征数据库进行恶意对象的检测，该检测可以是实时的检测方式。下面通过实施例二对利用恶意特征数据库的恶意对象检测过程进行描述。
[0089]实施例二、[0090]图2为本发明实施例二提供的利用恶意特征数据库的恶意对象检测过程流程图，如图2所示，该过程可以包括以下步骤:
[0091]步骤201:判断待检测对象是否包含在恶意特征数据库的黑名单列表中，如果是，则确定该待检测对象为恶意对象，结束对该待检测对象的检测；否则，执行步骤202。
[0092]如果待检测对象就是恶意特征数据库的黑名单列表中的恶意对象，则显然可以直接确定待检测对象为恶意对象；如果不能够直接确定，则进一步通过以下步骤进行恶意特征匹配的方式检测其是否为恶意对象。
[0093]在本实施例中，一旦确定待检测对象为恶意对象，则可以拒绝该恶意对象的执行，防止其对主机造成破坏，还可以发出告警等。
[0094]步骤202:将该待检测对象在恶意特征数据库的恶意特征列表中进行匹配。
[0095]步骤203:判断是否满足匹配条件，如果是，则执行步骤204 ;否则，确定该待检测对象为非恶意对象，结束对该待检测对象的检测。
[0096]在匹配时，如果待检测对象匹配上恶意特征列表中的一个或者多个恶意特征，则可以认为该待检测对象为恶意对象。
[0097]步骤204:确定该待检测对象为恶意对象，可以进一步执行步骤205。
[0098]步骤205:从恶意对象中提取恶意特征，分别将恶意对象及其恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。
[0099]通过该检测方式检测得到的恶意对象，可以用于反馈给恶意特征数据库，本步骤的执行与实施例一中的步骤102相同，在此不再赘述。
[0100]以上是对本发明所提供的方法进行的详细描述，下面结合实施例三和实施例四对本发明提供的装置进行详细描述。
[0101]实施例三、
[0102]图3为本发明实施例三提供的恶意特征数据库的建立装置结构图，如图3所示，该装置可以包括:样本获取单元301、特征提取单元302、特征提取单元302和反挖掘单元303。
[0103]样本获取单元301，用于获取恶意对象样本，将恶意对象样本中的各恶意对象分别提供给特征提取单元302。
[0104]其中恶意对象样本的获取可以采用现有的恶意对象检测技术对小规模的网站或软件等对象进行检测，即调用现有的检测模块进行检测，这些检测模块可以是一个以上独立的检测模块，每个检测模块可以采用不同的检测方式或检测条件，并发明并不限于恶意对象样本的确定方式。
[0105]特征提取单元302，用于从恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。
[0106]对于确定出的恶意对象，诸如挂马网站、黑链、色情网站、恶意软件、作弊器等等，将这些恶意对象加入黑名单列表，例如将恶意网站的url、恶意软件的名称等加入黑名单列表。
[0107]在对恶意对象提取恶意特征时，可以提取但不限于以下特征:挂马源、域名信息、注册信息、链接关系信息、网络内容提供商(ICP)信息或者关键词索引。
[0108]反挖掘单元303，用于利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象。
[0109]反挖掘单元303还用于将确定出的恶意对象分别提供给特征提取单元302。
[0110]特征提取单元302从所述反挖掘单元提供的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。
[0111]具体地，反挖掘单元303在利用恶意特征数据库对搜索数据库中的对象进行匹配时，具体可以但不限于以下方式:
[0112]方式一、反向挖掘:判断搜索数据库中的对象包含的超链接是否为恶意特征数据库的黑名单列表中的对象，如果是，则确定搜索数据库中的该对象为恶意对象。
[0113]方式二、相似性挖掘:将搜索数据库中的对象与恶意特征数据库的黑名单列表中的对象进行相似度计算，如果相似度超过预设的相似度阈值，则确定搜索数据库中的该对象为恶意对象。
[0114]方式三、特征挖掘:将搜索数据库中的对象与恶意特征数据库的恶意特征列表中的恶意特征进行匹配，如果满足匹配条件，则确定搜索数据库中的该对象为恶意对象。
[0115]其中特征挖掘的方式可以采用但不限于以下方式中的至少一个:
[0116]I)将搜索数据库中的对象与恶意特征列表中的关键词进行匹配，如果满足关键词数量的匹配要求，则认为搜索数据库中的对象为恶意对象。
[0117]2)将搜索数据库中的对象与恶意特征列表中的IP地址信息进行匹配，如果属于同一 IP地址，则认为该对象为恶意对象。
[0118]3)将搜索数据库中的对象与恶意特征列表中的域名信息进行匹配，如果具有相同域名，则认为该对象为恶意对象。
[0119]4)将搜索数据库中的对象与恶意特征列表中的注册信息进行匹配，如果具有相同注册信息，则认为该对象为恶意对象。
[0120]5)将搜索数据库中的对象与恶意特征列表中的ICP信息进行匹配，如果具有相同ICP信息，则认为该对象为恶意对象。
[0121]方式四、链接引用关系挖掘:判断搜索数据库中的对象是否是恶意特征数据库的黑名单列表中恶意对象所引用的对象，如果是，则确定搜索数据库中的该对象为恶意对象。
[0122]由于恶意特征数据库的存储空间有限，网络中恶意对象又是动态变化的，例如网络攻击者利用一台服务器进行攻击被发现后，很可能关闭该服务器，其对应的所有URL就无法访问了。因此，优选地，该建立装置还包括:有效性验证单元304，用于定时对恶意特征数据库中的黑名单列表中的恶意对象和恶意特征列表中的恶意特征进行有效性验证，保留验证有效的恶意对象和恶意特征，删除验证无效的恶意对象和恶意特征。
[0123]其中有效性验证单元304在进行有效性验证时，具体执行:向黑名单列表中的对象发出请求，根据响应结果确定该对象是否失效，在黑名单列表中保留仍然有效的恶意对象，将失效的恶意对象从黑名单列表中删除；对于仍然有效的恶意对象进一步进行恶意对象检测，如果检测结果仍为恶意，则在恶意特征列表中保留仍然有效的恶意对象对应的恶意特征；如果检测结果为非恶意，则将该恶意对象以及该恶意对象对应的恶意特征分别从黑名单列表和恶意特征列表中删除。
[0124]其中，在进行恶意对象检测时，有效性验证单元304可以通过调用已有的检测模块对仍然有效的恶意对象进行恶意对象检测，并获取检测结果，此处已有的检测模块可以是一个以上独立的检测模块，每个检测模块可以采用不同的检测方式或检测条件，并发明并不限于此处恶意对象检测的具体方式。
[0125]优选地,有效性验证单元304在恶意特征列表中保留仍然有效的恶意对象对应的恶意特征时，具体执行:判断仍然有效的恶意对象的恶意特征是否发生变更，如果是，则更新恶意特征列表中仍然有效的恶意对象对应的恶意特征；否则保留仍然有效的恶意对象对应的恶意特征。
[0126]在本实施例中对于从恶意特征数据库中删除的恶意对象及其恶意特征，可以记录在历史恶意库中，记录的内容除了删除的恶意对象及其恶意特征之外，还可以包括但不限于:删除时间、删除原因等，以备误删或者将来查阅。
[0127]实施例四、
[0128]图4为本发明实施例四提供的恶意对象检测装置的结构图，该恶意对象检测装置所采用的恶意特征数据库是由实施例三所提供的建立装置得到的，如图4所示，该检测装置包括:对象判断单元401和特征匹配单元402。
[0129]对象判断单元401，用于判断待检测对象是否包含在恶意特征数据库的黑名单列表中，如果是，确定待检测对象为恶意对象，否则触发特征匹配单元402。
[0130]特征匹配单元402，用于将待检测对象在恶意特征数据库的恶意特征列表中进行匹配，如果满足匹配条件，则确定待检测对象为恶意对象；否则，确定待检测对象为非恶意对象。
[0131]更进一步地，该装置还包括:特征提取单元403，用于在特征匹配单元402确定待检测对象为恶意对象时，从恶意对象中提取恶意特征，分别将该恶意对象以及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。也就是说，检测出来的恶意对象还可以用于反馈给恶意特征数据库，对新出现的恶意对象能够迅速更新在恶意特征数据库中。
[0132]在该检测装置中还可以包括用于设定主机安全策略、接收或发送安全报告的控制单元(图中未示出)，例如在本实施例中，一旦确定待检测对象为恶意对象，则可以拒绝该恶意对象的执行，防止其对主机造成破坏，还可以发出告警等。
[0133]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【权利要求】
1.一种恶意特征数据库的建立方法，其特征在于，该建立方法包括: S1、犾取恶意对象样本； S2、从样本中的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表； S3、利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象。
2.根据权利要求1所述的建立方法，其特征在于，在所述步骤S3之后还包括: S4、从步骤S3确定出的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。
3.根据权利要求1所述的建立方法，其特征在于，所述恶意特征包括:挂马源、域名信息、注册信息、链接关系信息、网络内容提供商ICP信息或者关键词索引。
4.根据权利要求1所述的建立方法，其特征在于，所述利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象具体包括: 判断搜索数据库中的对象包含的超链接是否为恶意特征数据库的黑名单列表中的对象，如果是，则确定搜索数据库中的该对象为恶意对象；或者， 将搜索数据库中的对象与恶意特征数据库的黑名单列表中的对象进行相似度计算，如果相似度超过预设的相似度阈值，则确定搜索数据库中的该对象为恶意对象；或者， 将搜索数据库中的对象与恶意特征数据库的恶意特征列表中的恶意特征进行匹配，如果满足匹配条件，则确定搜索数据库中的该对象为恶意对象；或者， 判断搜索数据库中的对象是否是恶意特征数据库的黑名单列表中恶意对象所引用的对象，如果是，则确定搜索数据库中的该对象为恶意对象。
5.根据权利要求1所述的建立方法，其特征在于，该建立方法还包括: 定时对恶意特征数据库中的黑名单列表中的恶意对象和恶意特征列表中的恶意特征进行有效性验证，保留验证有效的恶意对象和恶意特征，删除验证无效的恶意对象和恶意特征。
6.根据权利要求5所述的建立方法，其特征在于，所述有效性验证具体包括: 向所述黑名单列表中的对象发出请求，根据响应结果确定该对象是否失效，在所述黑名单列表中保留仍然有效的恶意对象，将失效的恶意对象从所述黑名单列表中删除； 对于仍然有效的恶意对象进一步进行恶意对象检测，如果检测结果仍为恶意，则在所述恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征；如果检测结果为非恶意，则将该恶意对象以及该恶意对象对应的恶意特征分别从所述黑名单列表和恶意特征列表中删除。
7.根据权利要求6所述的建立方法，其特征在于，在所述恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征具体包括:判断所述仍然有效的恶意对象的恶意特征是否发生变更，如果是，则更新恶意特征列表中所述仍然有效的恶意对象对应的恶意特征；否则保留所述仍然有效的恶意对象对应的恶意特征。
8.—种恶意对象检测方法，其特征在于，该检测方法包括: Al、判断待检测对象是否包含在恶意特征数据库的黑名单列表中，如果是，确定所述待检测对象为恶意对象，结束对所述待检测对象的检测；否则，执行步骤A2 ；A2、将所述待检测对象在恶意特征数据库的恶意特征列表中进行匹配，如果满足匹配条件，则确定所述待检测对象为恶意对象；否则，确定所述待检测对象为非恶意对象； 其中所述恶意特征数据库是采用如权利要求1至7任一权项所述建立方法得到的。
9.根据权利要求8所述的检测方法，其特征在于，在所述步骤A2中如果确定所述待检测对象为恶意对象，则进一步从恶意对象中提取恶意特征，分别将该恶意对象以及对应的恶意特征加入所述恶意特征数据库的黑名单列表和恶意特征列表。
10.一种恶意特征数据库的建立装置，其特征在于，该建立装置包括: 样本获取单元，用于获取恶意对象样本； 特征提取单元，用于从样本中的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表； 反挖掘单元，用于利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象。
11.根据权利要求10所述的建立装置，其特征在于，所述反挖掘单元，还用于将确定出的恶意对象分别提供给所述特征提取单元； 所述特征提取单元从所述反挖掘单元提供的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。
12.根据权利要求10所述的建立装置，其特征在于，所述恶意特征包括:挂马源、域名信息、注册信息、链接关系信息、网络内容提供商ICP信息或者关键词索引。
13.根据权利要求10所述的建立装置，其特征在于，所述反挖掘单元在利用恶意特征数据库对搜索数据库中的对象进行匹配时，具体执行: 判断搜索数据库中的对象包含的超链接是否为恶意特征数据库的黑名单列表中的对象，如果是，则确定搜索数据库中的该对象为恶意对象；或者， 将搜索数据库中的对象与恶意特征数据库的黑名单列表中的对象进行相似度计算，如果相似度超过预设的相似度阈值，则确定搜索数据库中的该对象为恶意对象；或者， 将搜索数据库中的对象与恶意特征数据库的恶意特征列表中的恶意特征进行匹配，如果满足匹配条件，则确定搜索数据库中的该对象为恶意对象；或者， 判断搜索数据库中的对象是否是恶意特征数据库的黑名单列表中恶意对象所引用的对象，如果是，则确定搜索数据库中的该对象为恶意对象。
14.根据权利要求10所述的建立装置，其特征在于，该建立装置还包括: 有效性验证单元，用于定时对恶意特征数据库中的黑名单列表中的恶意对象和恶意特征列表中的恶意特征进行有效性验证，保留验证有效的恶意对象和恶意特征，删除验证无效的恶意对象和恶意特征。
15.根据权利要求14所述的建立装置，其特征在于，所述有效性验证单元在进行有效性验证时， 具体执行: 向所述黑名单列表中的对象发出请求，根据响应结果确定该对象是否失效，在所述黑名单列表中保留仍然有效的恶意对象，将失效的恶意对象从所述黑名单列表中删除； 对于仍然有效的恶意对象进一步进行恶意对象检测，如果检测结果仍为恶意，则在所述恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征；如果检测结果为非恶意，则将该恶意对象以及该恶意对象对应的恶意特征分别从所述黑名单列表和恶意特征列表中删除。
16.根据权利要求15所述的建立装置，其特征在于，所述有效性验证单元在恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征时，具体执行:判断所述仍然有效的恶意对象的恶意特征是否发生变更，如果是，则更新恶意特征列表中所述仍然有效的恶意对象对应的恶意特征；否则保留所述仍然有效的恶意对象对应的恶意特征。
17.一种恶意对象检测装置，其特征在于，该检测装置包括: 对象判断单元，用于判断待检测对象是否包含在恶意特征数据库的黑名单列表中，如果是，确定所述待检测对象为恶意对象，否则触发特征匹配单元； 特征匹配单元，用于将所述待检测对象在恶意特征数据库的恶意特征列表中进行匹配，如果满足匹配条件，则确定所述待检测对象为恶意对象；否则，确定所述待检测对象为非恶意对象； 其中所述恶意特征数据库是由如权利要求10至16任一权项所述建立装置得到的。
18.根据权利要求17所述的检测装置，其特征在于，该装置还包括:特征提取单元，用于在所述特征匹配单元确定所述待检测对象为恶意对象时，从恶意对象中提取恶意特征，分别将该恶意对象以及对应的恶意特征加入所述恶意特征数据库的黑名单列表和恶意特征列表。
【文档编号】G06F21/50GK103632084SQ201210297350
【公开日】2014年3月12日 申请日期:2012年8月20日 优先权日:2012年8月20日
【发明者】周向荣 申请人:百度在线网络技术（北京）有限公司