专利名称:基于url与本地文件关联的可疑url检测方法和装置的制作方法
技术领域:
本发明涉及计算机网络安全技术领域,尤其涉及通过将URL (Uniform /Universal Resource Locator的缩写,统一资源定位符)与本地正在下载的文件进行关联,然后对其启发式检测的方法和装置。
背景技术:
随着互联网的大面积普及,利用网络传播恶意代码逐渐成为最主要的传播恶意代码的方式。现今主流的恶意代码启发式检测方法主要基于文件的检测,根据文件的基本属性和环境等对文件进行判定。现今恶意代码的启发式检测方法忽略了恶意代码传播源头,即网络。利用网络传 播的恶意代码大多基于URL下载的,如果能把这个传播源头堵住,就会大大降低感染恶意代码的风险。
发明内容
针对以上不足,本发明要解决的技术问题是提供一种基于URL与本地文件关联的可疑URL检测方法和装置,该方法和系统能将可疑文件甄别出来,而且能够提供下载该可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。本发明提供了一种基于URL与本地文件关联的可疑URL检测方法,包括以下步骤
获取系统访问的URL ;
判断获取的URL是否进行文件下载;
如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。首先可以截获系统访问的URL,获取到该URL链接所有的数据包,只需要几个数据包种的数据,即获取到该URL所指向的文件的一部分数据。通过监控本地文件创建,可以动态截获到系统中所有进程创建文件的操作,这样就可以在创建文件时获取一部分文件数据,和上述URL数据包所获得的数据进行对比,如果相同,即可将该URL与当前正在创建的本地文件关联起来,也就是将该URL与下载到系统的文件关联起来。然后获取下载到系统的文件的基本信息和环境信息,对下载到系统的文件进行启发式检测,判断下载到系统的文件是否可疑。进一步的,如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
如果所述URL下载到系统的文件不是用户需要的文件,用户可以判定所述URL为恶意URL。进一步的,如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。本发明还提供了一种基于URL与本地文件关联的可疑URL检测装置,包括
获取模块,用于获取系统访问的URL,判断获取的URL是否进行文件下载;
关联模块,用于如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
检测模块,用于对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文 件。进一步的,还包括用户模块,用于如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。进一步的,还包括过滤模块,用于如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。本发明的有益效果是
本发明将传统的启发式检测和URL关联一起,每个恶意代码都能查到下载它的URL,不仅能将可疑文件甄别出来,而且能够提供下载这个可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。将可疑文件的URL加入到URL过滤引擎中,可以阻止恶意代码进一步传播。
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I为本发明基于URL与本地文件关联的可疑URL检测方法流程 图2为本发明基于URL与本地文件关联的可疑URL检测装置框图。
具体实施例方式为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。首先介绍本发明基于URL与本地文件关联的可疑URL检测方法,具体步骤如图I所示,包括步骤
S101、获取系统访问网络的URL。可以使用抓包工具,例如pcap或自行编写程序捕捉网络数据包,提取URL。S102、判断获取的URL是否进行文件下载。根据URL判断下载的是网页还是文件,多数网页的后缀为常用的网页后缀,例如html、htm、php等。若为网页,将返回SlOl继续获取URL。若所述URL下载文件,则进行S103。S103、将URL与下载到系统的文件相关联。由于可以截获URL,我们可以获取到这个链接所有的数据包,只需要几个数据包的数据,就可以获取到该URL所指向的文件的一部分数据。通过监控本地文件创建,可以动态截获到系统中所有进程创建文件的操作,这样就可以在创建文件时获取一部分文件数据,和上述URL数据包所获得的数据进行对比,如果相同,即可将该URL与当前正在创建的本地文件关联起来,也就是将该URL与下载到系统的文件关联起来。S104、可疑文件判定。
获取下载到系统的文件的基本信息和环境信息;
对下载到系统的文件进行启发式检测。例如,下载的文件是否是PE文件,大多数危险代码都是PE文件,还有下载的文件存放目录,如果存放在系统敏感目录也是非常危险的。综合上述信息对该下载到系统的文件进行判定,如果文件不是可疑文件,返回SlOl继续获取URL。否则进行步骤S105。S105、报警提示用户,等待用户确认,若用户信任URL,则返回SlOl继续获取URL。否则进行步骤S106。S106、如果用户确认所述URL为恶意URL,将URL加入类似URLFilter的过滤器,阻止URL继续下载危险恶意代码。本发明还提供了一种基于URL与本地文件关联的可疑URL检测装置,如图2所示,包括
获取模块201,用于获取系统访问的URL,判断获取的URL是否进行文件下载;
关联模块202,用于如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
检测模块203,用于对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件。还包括用户模块204,用于如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。还包括过滤模块205,用于如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
权利要求
1.一种基于URL与本地文件关联的可疑URL检测方法,其特征在于,包括以下步骤 获取系统访问的URL ; 判断获取的URL是否进行文件下载; 如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联; 对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。
2.如权利要求I所述的基于URL与本地文件关联的可疑URL检测方法,其特征在于,根据判断结果对所述URL做进一步处理包括如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
3.如权利要求2所述的基于URL与本地文件关联的可疑URL检测方法,其特征在于,还包括如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。
4.一种基于URL与本地文件关联的可疑URL检测装置,其特征在于,包括 获取模块,用于获取系统访问的URL,判断获取的URL是否进行文件下载; 关联模块,用于如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联; 检测模块,用于对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件。
5.如权利要求4所述的基于URL与本地文件关联的可疑URL检测装置,其特征在于,还包括用户模块,用于如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
6.如权利要求5所述的基于URL与本地文件关联的可疑URL检测装置,其特征在于,还包括过滤模块,用于如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。
全文摘要
本发明公开了一种基于URL与本地文件关联的可疑URL检测方法,包括获取系统访问的URL;判断获取的URL是否进行文件下载;如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。本发明还公开了一种基于URL与本地文件关联的可疑URL检测装置。本发明将传统的启发式检测和URL关联一起,每个恶意代码都能查到下载它的URL,不仅能将可疑文件甄别出来,而且能够提供下载这个可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。
文档编号H04L29/06GK102843270SQ20111025745
公开日2012年12月26日 申请日期2011年9月2日 优先权日2011年9月2日
发明者肖新光, 李石磊, 沈长伟, 童志明 申请人:哈尔滨安天科技股份有限公司