1.一种基于HTTP内容一致性的恶意网络行为发现方法,其特征在于,包括以下步骤:
1)对HTTP报文进行解析;
2)比较HTTP报文头所声明的类型和HTTP报文的实际载荷类型的一致性;
3)若步骤2)比较的结果为不一致,则根据具体报文头和实际载荷类型对不一致行为进行可疑程度判断;
4)对可疑程度大于设定的阈值的不一致行为进行记录;
5)对记录的可疑的不一致行为进行扫描和分析,从而发现恶意行为。
2.如权利要求1所述的方法,其特征在于:步骤1)解析HTTP报文头部,记录报文头的URL、Content-Type字段。
3.如权利要求1所述的方法,其特征在于:步骤2)提取对应的HTTP报文的载荷,利用文件头标识信息对载荷实际类型进行确认。
4.如权利要求1所述的方法,其特征在于:步骤2)从Content-type头部字段提取文件类型声明,或者从URI中的文件扩展名提取文件类型声明,然后与载荷实际类型进行一致性比较。
5.如权利要求1所述的方法,其特征在于:步骤3)对于所声明的类型与载荷实际类型不一致的情况,参考可疑程度判断表来判断该不一致行为是否可疑。
6.如权利要求1所述的方法,其特征在于:步骤4)记录的内容包括:HTTP请求的载荷内容,源IP及端口号,目的IP及端口号,HTTP请求方法URL地址,服务器和客户端标识信息。
7.如权利要求1所述的方法,其特征在于,步骤4)对可疑程度为中、高的不一致行为进行记录。
8.如权利要求7所述的方法,其特征在于:步骤5)利用杀毒软件对记录后的可疑程度为中、高的样本进行扫描,对于两个以上杀毒软件告警的样本标记为恶意。
9.如权利要求8所述的方法,其特征在于:步骤5)对于可疑程度为中、高但杀毒软件未报警的样本进行手动分析,结合可疑程度发现未知的恶意行为。
10.如权利要求8或9所述的方法,其特征在于,步骤5)利用杀毒软件对记录后的样本进行扫描包括离线、在线、离线和在线相结合三种方式:
a)离线方式:在本地部署多个杀毒引擎的检测环境,对样本进行扫描;
b)在线方式:将样本通过网络的方式上传至在线恶意软件检测平台进行样本扫描;
c)离线和在线相结合的方式:是离线方式和在线方式联合部署,对可疑样本进行扫描的方式。