恶意服务器检测方法及装置与流程

本申请涉及网络安全防护技术领域，特别涉及一种恶意服务器检测方法及恶意服务器检测装置。

背景技术：

随着互联网技术的发展，网络科技已深入日常生活，并且与日常生活息息相关，带来了极大的便利。但与此同时，也带来了新的问题。用户在连接网络后，很容易被黑客入侵，进而造成个人身份信息及财务信息被切取。现有技术中，为避免用户在上网过程中被恶意攻击，主要从被动防护的角度出发，对用户进行保护。例如，路由器的安全防护措施、计算机的安全防火墙、计算机上安装的安全防护软件等。这样的安全防护手段适用于个人用户，能够为个人用户提供被动的安全防护。但无法检测发起恶意攻击行为的恶意服务器，不利于公安机关主动打击恶意攻击行为。

申请内容

本申请提供了一种恶意服务器检测方法及装置，用于解决现有技术中的被动防护手段无法检测发起恶意攻击行为的恶意服务器，不利于公安机关主动打击恶意攻击行为。

为了解决上述技术问题，本申请的实施例采用了如下技术方案：

一种恶意服务器检测方法，包括：

基于IP地址分析其安全属性信息；

当所述安全属性信息包含第一恶意信息且所述IP地址对应的主机为个人Http文件服务器时，检测所述主机上提供的下载文件是否包含第二恶意信息；

如果是，则确定所述主机为恶意服务器。

在一些实施例中，所述安全属性信息包括统一资源定位符文件；所述基于IP地址分析其安全属性信息，包括：

通过杀毒引擎检测所述统一资源定位符文件是否包括所述第一恶意信息。

在一些实施例中，所述安全属性信息包括统一资源定位符文件；所述基于IP地址分析其安全属性信息，包括：

在沙箱中运行恶意程序，并检测所述恶意程序运行过程中是否与外部主机通信并从所述外部主机获取所述统一资源定位符文件；

如果是，则确定所述安全属性信息包含第一恶意信息。

在一些实施例中，所述安全属性信息包括数据中心服务器的历史记录信息、动态IP、代理IP及虚拟专用网络服务器的历史记录信息中的一种或多种，所述基于IP地址分析其安全属性信息，包括：

通过分析模型分析所述安全属性信息是否包含所述第一恶意信息；其中，所述分析模型通过对建立的模型架构进行训练形成。

在一些实施例中，所述基于IP地址分析其安全属性信息，还包括：

在所述安全属性信息包含第一恶意信息时，向所述IP地址对应的所述主机发送访问请求，并接收所述主机的反馈信息；

检测所述反馈信息是否包括个人Http文件服务器版本号，如果是，则确定所述主机为所述个人Http文件服务器。

在一些实施例中，所述检测所述主机上提供的下载文件是否包含第二恶意信息，包括：

通过多个杀毒引擎对所述主机上提供的下载文件进行扫描；

在检测到所述第二恶意信息的杀毒引擎的数量符合第一阈值的情况下，确定所述主机为恶意服务器。

在一些实施例中，所述检测所述主机上提供的下载文件是否包含第二恶意信息，包括：

通过多个杀毒引擎对所述主机上提供的下载文件进行扫描；

在至少一个杀毒引擎检测到的所述第二恶意信息的数量符合第二阈值的情况下，确定所述主机为恶意服务器。

一种恶意服务器检测装置，包括：

分析模块，用于基于IP地址分析其安全属性信息；

检测模块，用于当所述安全属性信息包含第一恶意信息且所述IP地址对应的主机为个人Http文件服务器时，检测所述主机上提供的下载文件是否包含第二恶意信息；

确定模块，用于在所述主机提供的下载文件包含第二恶意信息时，确定所述主机为恶意服务器。

在一些实施例中，所述安全属性信息包括统一资源定位符文件；所述分析模块具体用于：

通过杀毒引擎检测所述统一资源定位符文件是否包括所述第一恶意信息。

在一些实施例中，所述安全属性信息包括统一资源定位符文件；所述分析模块具体用于：

在沙箱中运行恶意程序，并检测所述恶意程序运行过程中是否与外部主机通信并从所述外部主机获取所述统一资源定位符文件；

如果是，则确定所述安全属性信息包含第一恶意信息。

本申请实施例的有益效果在于：

本申请实施例的恶意服务器检测方法，基于安全属性信息分析IP地址对应的主机是否可疑，并判断该主机是否为个人Http文件服务器，对可疑的个人Http文件服务器所提供的下载文件进行检测，进而判断该个人Http文件服务器是否为恶意服务器，为恶意服务器的检测提供了一种主动的、过程简单且行之有效的检测方法，该检测方法的检测结果较为准确。

附图说明

图1为本申请实施例的恶意服务器检测方法的流程图

图2为本申请实施例的恶意服务器检测方法中基于IP地址分析其安全属性信息步骤的流程图；

图3为本申请实施例的恶意服务器检测方法中检测主机上提供的下载文件是否包含第二恶意信息的一种实施方式的流程图；

图4为本申请实施例的恶意服务器检测方法中检测主机上提供的下载文件是否包含第二恶意信息的另一种实施方式的流程图；

图5为本申请实施例的恶意服务器检测装置的结构框图。

附图标记说明：

10-分析模块；20-检测模块；30-确定模块。

具体实施方式

此处参考附图描述本申请的各种方案以及特征。

应理解的是，可以对此处申请的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。

包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例，并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。

通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本申请的这些和其它特性将会变得显而易见。

还应当理解，尽管已经参照一些具体实例对本申请进行了描述，但本领域技术人员能够确定地实现本申请的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。

当结合附图时，鉴于以下详细说明，本申请的上述和其他方面、特征和优势将变得更为显而易见。

此后参照附图描述本申请的具体实施例；然而，应当理解，所申请的实施例仅仅是本申请的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此，本文所申请的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。

本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本申请的相同或不同实施例中的一个或多个。

图1为本申请实施例的恶意服务器检测方法的流程图，参见图1所示，本申请实施例的恶意服务器检测方法包括如下步骤：

S100，基于IP地址分析其安全属性信息。

其中，IP地址是指互联网协议地址，该安全属性信息包括能够表征IP地址的安全属性的信息。获取到IP地址或者IP地址的列表后，可从例如预置的安全属性信息库中查找与该IP地址相关的安全属性信息。该安全属性信息库包括与IP地址相对应的安全属性信息，该安全属性信息可为基于大数据收集的信息，也可为国家的网络信息安全部门公布的信息，还可为企业或者组织发布的与IP地址相关的安全属性信息。获取到安全属性信息后对其进行分析，以判断该IP地址是否可疑，也即该IP地址对应的主机是否为疑似恶意服务器。

S200，当所述安全属性信息包含第一恶意信息且所述IP地址对应的主机为个人Http文件服务器时，检测所述主机上提供的下载文件是否包含第二恶意信息。

其中，该第一恶意信息包括表征该IP地址是否可疑的信息，该第一恶意信息可为例如病毒、木马、恶意插件、广告、恶意攻击行为的历史记录等。当该安全属性信息包含第一恶意信息时，则表明该IP地址对应的主机可疑，有可能是恶意服务器。当该安全属性信息不包含第一恶意信息时，则表明该IP地址对应主机是安全的。与此同时，还需确定该IP地址对应的主机是否为个人Http文件服务器，也即个人超文本传输协议文件服务器。个人Http文件服务器用于进行文件共享的服务器，该类型的服务器因搭建方便、使用方便而被广泛用于进行恶意网络攻击。

该第二恶意信息为表征该主机是恶意服务器的信息，该第二恶意信息可为例如病毒、木马、恶意插件、恶意攻击行为的历史记录等。该恶意服务器可为黑客搭建的用于进行恶意网络攻击的服务器，或者被病毒、木马等感染的不安全的服务器。当所述安全属性信息包含第一恶意信息且所述IP地址对应的主机为个人Http文件服务器时，则表明该IP地址对应的主机为恶意服务器的概率较高，需要进一步检测主机上提供的下载文件是否包含第二恶意信息。如可下载主机上提供的下载文件，并检测下载文件中是否包含第二恶意信息。

S300，如果所述主机上提供的下载文件包含第二恶意信息，则确定所述主机为恶意服务器。

由于个人Http文件服务器主要用于进行文件共享，如果所提供的下载文件包含第二恶意信息，则这些第二恶意信息有可能在用户访问该主机时被用户获取，进而被黑客等不法分子利用，对用户发起恶意网络攻击。所以，如果主机上提供的下载文件包含第二恶意信息，就可以确定该主机为恶意服务器，将该IP地址列入黑名单、发起报警或通过其他方式提醒用户或执法部门。如果主机上提供的下载文件不包含第二恶意信息，则可以确定该主机所提供的下载文件均为安全文件，该主机不是恶意服务器。

本申请实施例的恶意服务器检测方法，基于安全属性信息分析IP地址对应的主机是否可疑，并判断该主机是否为个人Http文件服务器，对可疑的个人Http文件服务器所提供的下载文件进行检测，进而判断该个人Http文件服务器是否为恶意服务器，为恶意服务器的检测提供了一种主动的、过程简单且行之有效的检测方法，且该检测方法的检测结果较为准确。

在一些实施例中，所述安全属性信息包括统一资源定位符文件；所述基于IP地址分析其安全属性信息，包括：

通过杀毒引擎检测所述统一资源定位符文件是否包括所述第一恶意信息。

其中，统一资源定位符(Uniform Resource Locator，URL)文件是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示的文件，是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL文件，它包含的信息指出文件的位置以及浏览器应该怎么处理它。如果URL文件中包含第一恶意信息，则该IP地址对应的主机为恶意服务器的可能性较高。由于主机上所提供的下载文件的数量较多，且IP地址的数量巨大，逐个筛选IP地址对应的主机所提供的下载文件处理量较大，基于对安全属性信息的分析对IP地址对应的主机是否可疑进行初步判断，可以削减需要检测的主机数量，能够降低处理量，提高检测效率。在具体实施过程中，可通过杀毒引擎检测获取到的统一资源定位符文件，以确定这些统一资源定位符文件是否包括第一恶意信息，进而确定IP地址对应的主机是否可疑。

配合图2所示，在一些实施例中，所述安全属性信息包括统一资源定位符文件；所述基于IP地址分析其安全属性信息，包括：

S121，在沙箱中运行恶意程序，并检测所述恶意程序运行过程中是否与外部主机通信并从所述外部主机获取所述统一资源定位符文件；

S122，如果是，则确定所述安全属性信息包含第一恶意信息。

其中，统一资源定位符文件有可能本身并不包含病毒、木马或恶意插件等能够直接用于进行恶意网络攻击的数据，但该统一资源定位符文件内所包含的信息有可能被用作配合恶意程序进行恶意网络攻击。该恶意程序可为定期捕获的恶意插件、病毒、木马等恶意程序。这类恶意程序在运行时，需要从特定主机获取对应的统一资源定位符文件，以辅助其进行恶意网络攻击。

沙箱是一个虚拟系统程序，允许用户在虚拟环境中运行浏览器或其他程序，运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境，可以用来测试不受信任的应用程序或上网行为。在沙箱中运行该恶意程序，能够模拟检测恶意程序的实际运行过程，恶意程序所获取的文件都会作为临时文件，能够被删除掉，不会对用户的电子设备造成危害。

通过模拟恶意程序的运行过程，能够检测恶意程序是否从外部主机上获取统一资源定位符文件，如果该恶意程序与外部主机通信，并从该外部主机上获取统一资源定位符文件，则可以确定该安全属性信息包含第一恶意信息，该外部主机对应的IP地址可疑。在具体实施过程中，可以定期获取新的恶意程序，例如可与杀毒引擎服务商合作，定期获取杀毒引擎检测到的新的恶意程序，亦或者获取网络信息安全部门公布的新的恶意程序等。

在一些实施例中，所述安全属性信息包括数据中心服务器的历史记录信息、动态IP、代理IP及虚拟专用网络服务器的历史记录信息中的一种或多种，所述基于IP地址分析其安全属性信息，包括：

通过分析模型分析所述安全属性信息是否包含所述第一恶意信息；其中，所述分析模型通过对建立的模型架构进行训练形成。

其中，该安全属性信息可包括数据中心服务器的历史记录信息、动态IP、代理IP及虚拟专用网络服务器的历史记录信息中的一种或多种。以数据中心服务器的历史记录信息为例，其通常记录着该数据中心服务器的被访问记录、访问其他设备的记录、与其他设备的信息发送和接收记录等，如数据中心服务器在短时间内高频次的连续向同一台设备发送访问请求，则可能属于恶意攻击行为，还如数据中心服务器同时向大量的设备发送同一信息，则可能属于发送广告的行为。黑客为规避追踪，掩盖其真实的IP地址，还有可能利用动态IP或代理IP来对外发起网络攻击，如在短时间内大量的具有动态IP的设备对同一台设备发起访问请求，则可能属于恶意攻击行为。在具体实施过程中，可利用分析模型分析这些安全属性信息，该分析模型是通过对建立的模型架构进行训练形成，该训练过程可包括：准备训练数据集，该训练数据集包括安全属性信息数据集及对应的分析结果数据集；以安全属性信息数据集作为输入数据，以分析结果数据集作为输出数据训练该模型架构。在具体训练过程中，可适时调整不同信息的权重，如当该安全属性信息包括数据中心服务器的历史记录信息时，可给予一个评分a，如果该数据中心服务器的历史记录信息中包含在短时间内高频次的连续向同一台设备发送访问请求的记录，可给予一个评分b，如果该数据中心服务器的历史记录信息中还包含向大量的设备发送同一信息时，可给予一个评分c，最后再基于评分a、b、c计算其综合评分，当综合评分大于预设阈值时，则确定该安全属性信息包含第一恶意信息。训练过程中可通过不断调整评分项、具体评分值及预设阈值，使模型架构的输出结果无限接近分析结果数据集。当该模型架构的输出结果的准确率达到预设标准时，则该模型架构训练完成。

在一个实施例中，所述基于IP地址分析其安全属性信息，还包括：

在所述安全属性信息包含第一恶意信息时，向所述IP地址对应的所述主机发送访问请求，并接收所述主机的反馈信息；

检测所述反馈信息是否包括个人Http文件服务器版本号，如果是，则确定所述主机为所述个人Http文件服务器。

如前所述，个人Http文件服务器是为个人用户所设计的Http文件服务器，用于共享文件，以便其他用户访问获取这些共享文件。个人Http文件服务器因其架设方便、操作简单而广受用户青睐，与此同时，也广泛的被黑客利用进行恶意网络攻击、病毒传播、木马传播、广告发送等。恶意服务器中个人Http文件服务器占有极高的比重。在确定IP地址的安全属性信息包含第一恶意信息时，则说明该IP地址可疑，可进一步的判断该IP地址对应的主机是否为个人Http文件服务器。具体的，可基于IP地址向对应的主机发送访问请求，并接收主机反馈的反馈信息，如果该反馈信息中包括个人Http文件服务器版本号，则该主机为个人Http文件服务器，如果该反馈信息中不包含个人Http文件服务器版本号，则确定该主机为其他类型设备，不是个人Http文件服务器。

配合图3所示，在一些实施例中，所述检测所述主机上提供的下载文件是否包含第二恶意信息，包括：

S211，通过多个杀毒引擎对所述主机上提供的下载文件进行扫描；

S212，在检测到所述第二恶意信息的杀毒引擎的数量符合第一阈值的情况下，确定所述主机为恶意服务器。

在确定IP地址对应的主机可疑且该主机为个人Http文件服务器时，可检测该主机上所提供的下载文件是否包括第二恶意信息，以进一步确认该可疑的主机是否为恶意服务器。在具体实施过程中，可下载主机上所提供的下载文件，并通过多个杀毒引擎这些下载文件进行检测，以确定其中是否包含病毒、木马、恶意插件、恶意攻击行为的历史记录等。杀毒引擎是用于检测和发现病毒的程序，杀毒引擎配备有对应的病毒库，通过将病毒库中的标本与被检程序及文件进行对照，以确定这些文本及程序是不是病毒、木马、恶意插件及恶意攻击行为的历史记录。通过多个杀毒引擎检测主机上所提供的下载文件，能够避免单一杀毒引擎的病毒库中标本更新不及时的问题。例如，可同时通过用户的自备杀毒引擎及市售的如大蜘蛛、卡帕斯基、金山、瑞星、奇虎360等多种杀毒引擎对下载文件进行检测，以确定其中是否包含病毒、木马及恶意插件。当多个杀毒引擎中检测到第二恶意信息的杀毒引擎的数量符合第一阈值的情况下，确定该主机为恶意服务器，以提高检测的准确性。例如，当使用10中杀毒引擎进行检测时，如果有4种以上检测到病毒、木马或恶意插件等，则确定下载文件中包含第二恶意信息。

配合图4所示，在一些实施例中，所述检测所述主机上提供的下载文件是否包含第二恶意信息，包括：

S221，通过多个杀毒引擎对所述主机上提供的下载文件进行扫描；

S222，在至少一个杀毒引擎检测到的所述第二恶意信息的数量符合第二阈值的情况下，确定所述主机为恶意服务器。

由于恶意服务器是专用于进行恶意网络攻击、传播病毒及木马等，所以恶意服务器上通常具有多种病毒、木马及恶意插件等。在具体实施过程中，可通过多个杀毒引擎对主机上提供的下载文件进行扫描，如果其中至少一个杀毒引擎检测到的病毒、木马及恶意插件的数量较多时，则可以确定该主机为恶意服务器。例如，可同时通过用户的自备杀毒引擎及市售的如大蜘蛛、卡帕斯基、金山、瑞星、奇虎360等多种杀毒引擎对下载文件进行检测，当其中一个或多个杀毒引擎检测到下载文件包含5种以上病毒时，则可确定该主机为恶意服务器，是用于进行恶意网络攻击，或用于传播木马、病毒、恶意插件及广告等。

图5为本申请实施例的恶意服务器检测装置的结构框图，参见图4所示，本申请实施例的恶意服务器检测装置，其包括：

分析模块10，用于基于IP地址分析其安全属性信息；

检测模块20，用于当所述安全属性信息包含第一恶意信息且所述IP地址对应的主机为个人Http文件服务器时，检测所述主机上提供的下载文件是否包含第二恶意信息；

确定模块30，用于在所述主机提供的下载文件包含第二恶意信息时，确定所述主机为恶意服务器。

在一些实施例中，所述安全属性信息包括统一资源定位符文件；所述分析模块10具体用于：

通过杀毒引擎检测所述统一资源定位符文件是否包括所述第一恶意信息。

在一些实施例中，所述安全属性信息包括统一资源定位符文件；所述分析模块10具体用于：

在沙箱中运行恶意程序，并检测所述恶意程序运行过程中是否与外部主机通信并从所述外部主机获取所述统一资源定位符文件；

如果是，则确定所述安全属性信息包含第一恶意信息。

在一些实施例中，所述安全属性信息包括数据中心服务器的历史记录信息、动态IP、代理IP及虚拟专用网络服务器的历史记录信息中的一种或多种，所述分析模块10具体用于：

通过分析模型分析所述安全属性信息是否包含所述第一恶意信息；其中，所述分析模型通过对建立的模型架构进行训练形成。

在一些实施例中，所述分析模块10还用于：

在所述安全属性信息包含第一恶意信息时，向所述IP地址对应的所述主机发送访问请求，并接收所述主机的反馈信息；

检测所述反馈信息是否包括个人Http文件服务器版本号，如果是，则确定所述主机为所述个人Http文件服务器。

在一些实施例中，所述检测模块20具体用于：

通过多个杀毒引擎对所述主机上提供的下载文件进行扫描；

在检测到所述第二恶意信息的杀毒引擎的数量符合第一阈值的情况下，确定所述主机为恶意服务器。

在一些实施例中，所述检测模块20具体用于：

通过多个杀毒引擎对所述主机上提供的下载文件进行扫描；

在至少一个杀毒引擎检测到的所述第二恶意信息的数量符合第二阈值的情况下，确定所述主机为恶意服务器。

以上实施例仅为本申请的示例性实施例，不用于限制本申请，本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内，对本申请做出各种修改或等同替换，这种修改或等同替换也应视为落在本申请的保护范围内。