[发明专利]一种基于URL请求时序的恶意代码检测方法和系统

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及基于URL请求时序的恶意代码检测方法和系统。

背景技术

随着互联网的快速普及，恶意代码的传播方式目前主要以通过网络传播为主，恶意代码的主要功能也由破坏、感染用户系统逐步发展到以获得用户系统数据信息，利用用户系统资源进行新的扩散、攻击为主。目前恶意代码的检测方式基于特征码匹配、启发式检测主要基于文件的检测，根据文件的基本属性和环境对文件进行检测判定。恶意代码的传播、非法获得用户数据以及利用用户系统资源主要在网络中进行，而其中URL在其每个环节都起到关键的作用。在基于传统的恶意代码检测方式的基础上，URL分类和URL过滤技术等基于对URL的检测来阻断恶意代码的传播、回传也开始成为在网络中对恶意代码的主流检测方法。

目前针对恶意代码的特征码匹配方式，需要不断升级病毒特征库来对抗恶意代码的不断更新，对于恶意代码使用加密保护壳，在特征码匹配需对恶意代码进行脱壳处理。这些因素导致目前特征库不断膨胀。而目前URL分类和过滤技术，还是单一URL规则对应单一威胁事件的模式，而且恶意代码利用的URL中存在可信网站则很难判定。

我们通过研究分析恶意代码在对抗反病毒软件，对自身做了升级更新而使得反病毒软件原有特征码失效，而在传播、信息回传以及利用用户资源等利用了可信网站的URL，这时反病毒软件和URL过滤的技术对这类恶意代码难以检测。

发明内容

为了解决上述问题，本发明提供了一种基于URL请求时序的恶意代码的检测方法，该方法有效地提高了对同族恶意代码的检出率和准确率。

本发明提供了一种基于URL请求时序的恶意代码的检测方法，该方法包括步骤：

A、依照网络数据包的捕获时序对其做解析，提取客户端请求的URL和对应数据包时间。另外根据本发明应用场景的不同还可以记录客户端IP等。

B、URL与特征数据库匹配，记录匹配成功的URL、时间和对应模型入缓存。

C、后续包中的URL与缓存中的模型匹配。

D、当模型中的所有特征都匹配成功则成功检出，输出相应结果。

所述步骤A中进一步需要对提取的URL做预处理，在数据包中提取域名和请求数据组成完整URL（参看：RFC1738标准http://www.ietf.org/rfc/rfc1738.txt），在本发明中只需要“http://<host>:<port>/<path>”这种格式，也就是只提取URL中“?”字符之前的域名和路径部分，对查询域的内容剔除。进一步提取的URL会同时进入B和C步骤，在进行C步骤之前会先判断缓存是否为空，如果为空则A步骤提取的URL不进行C步骤的后续处理。

所述步骤B中进一步包括特征数据库的建立，特征数据库的建立依赖模型数据库的建立。特征数据库的内容为模型数据库中每个模型的第一条特征和对应的模型编号。模型数据库中的模型具体包括基于URL请求时间顺序的序号、URL特征、间隔时间。进一步的模型数据库中的URL序号如果有相同的情况则表示满足其中一个特征即可。间隔时间为在一条URL的请求时间，与下一条URL请求时间的平均时间差的基础上再扩大一定时间范围，如在其基础上在增加1000MS，这种时间上限。设置间隔时间的目的是为了更加准确的判断URL请求时序。

在本发明的实际应用中也可以直接只采用模型数据库来做之后的匹配，在这里为了更好的理解本发明，单独在模型数据库的基础上建立特征数据库。进一步当匹配成功后则记录相应URL、时间和模型入缓存，其中模型中对已匹配成功的特征需做已匹配成功的标记。若匹配失败则到步骤A进行后续一个数据包的解析。