[发明专利]一种基于URL请求时序的恶意代码检测方法和系统

权利要求书

1.一种基于URL请求时序的恶意代码检测方法，其特征在于，包括：

步骤a、按照捕获时序对网络数据包进行解析，提取请求的URL和对应数据包时间；

步骤b、判断所述URL与模型数据库中模型的第一条特征是否匹配，如果匹配成功则将所述URL、对应数据包时间和所述模型记录到缓存中，标记所述模型中匹配成功的特征；所述模型数据库是通过捕获恶意代码产生的网络数据包进行解析，提取数据包中URL的请求时间顺序的序号、URL特征、间隔时间，所述时间间隔是指相邻两个URL请求时间的平均时间差扩大预设范围得到的时间值；否则回到步骤a按照捕获时序继续解析下一个网络数据包提取请求的URL；

步骤c、如果所述缓存不为空，则按照时序将解析所述下一个网络数据包提取请求的URL与所述模型中时间顺序序号在先的未标记匹配成功的特征进行匹配，如果匹配成功则标记模型中的所述特征并将所述URL、对应数据包时间和所述模型更新记录到缓存中；否则回到步骤a按照捕获时序继续解析下一个网络数据包提取请求的URL；

步骤d、如果所述模型中的URL特征全部标记成功，则判断存在恶意代码威胁。

2.如权利要求1所述的基于URL请求时序的恶意代码检测方法，其特征在于，步骤a还包括：记录提出请求的客户端IP。

3.如权利要求1所述的基于URL请求时序的恶意代码检测方法，其特征在于，提取请求的URL中“?”字符之前的域名和路径部分。

4.如权利要求1所述的基于URL请求时序的恶意代码检测方法，其特征在于，步骤b中判断所述URL与模型数据库中模型的第一条特征是否匹配之强还包括：

判断所述URL与特征数据库中的特征是否匹配，所述特征数据库的内容为模型数据库中每个模型的第一条特征和对应的模型编号；

如果匹配成功则将所述URL、对应数据包时间和所述模型编号对应的模型数据库中的模型记录到缓存中；所述模型数据库是通过捕获恶意代码产生的网络数据包进行解析，提取数据包中URL的请求时间顺序的序号、URL特征、间隔时间，所述时间间隔是指相邻两个URL请求时间的平均时间差扩大预设范围得到的时间值。

5.如权利要求1所述的基于URL请求时序的恶意代码检测方法，其特征在于，步骤c还包括：

如果所述缓存不为空，则按照时序将解析所述下一个网络数据包提取请求的URL与所述模型中时间顺序序号在先的未标记匹配成功的特征进行匹配，如果匹配不成功，则判断所述匹配不成功的URL对应的数据包时间与所述模型中标记匹配成功的最后一个序号的URL特征的请求时间的差值是否小于所述模型中标记匹配成功的最后一个序号的URL特征的时间间隔，如果是则回到步骤a按照捕获时序继续解析下一个网络数据包提取请求的URL；否则，清除所述缓存中的所述模型，回到步骤a按照捕获时序继续解析下一个网络数据包提取请求的URL。

6.一种基于URL请求时序的恶意代码检测系统，其特征在于，包括：

解析单元，用于按照捕获时序对网络数据包进行解析，提取请求的URL和对应数据包时间；

检测单元，用于判断所述URL与模型数据库中模型的第一条特征是否匹配，如果匹配成功则将所述URL、对应数据包时间和所述模型记录到缓存中，标记所述模型中匹配成功的特征；所述模型数据库是通过捕获恶意代码产生的网络数据包进行解析，提取数据包中URL的请求时间顺序的序号、URL特征、间隔时间，所述时间间隔是指相邻两个URL请求时间的平均时间差扩大预设范围得到的时间值；否则按照捕获时序继续解析下一个网络数据包提取请求的URL；

如果所述缓存不为空，则按照时序将解析所述下一个网络数据包提取请求的URL与所述模型中时间顺序序号在先的未标记匹配成功的特征进行匹配，如果匹配成功则标记模型中的所述特征并将所述URL、对应数据包时间和所述模型更新记录到缓存中；否则按照捕获时序继续解析下一个网络数据包提取请求的URL；

输出单元，用于判断如果所述模型中的URL特征全部标记成功，则判断存在恶意代码威胁。

7.如权利要求6所述的基于URL请求时序的恶意代码检测系统，其特征在于，解析单元具体还用于记录提出请求的客户端IP。

8.如权利要求6所述的基于URL请求时序的恶意代码检测系统，其特征在于，提取请求的URL中“?”字符之前的域名和路径部分。