[发明专利]基于主动技术的恶意代码捕获方法

摘要

一种基于主动技术的恶意代码捕获方法，随机选择一个URL进行下载，如果同一页面标签内同时出现“width”及“height”二个关键词的属性值都小于10，则记为可疑URL，按照URL抽样率对下载的URL页面中的URL进行抽样选择，同时采用浏览器对可疑URL进行访问，监控浏览器的运行，如果有代码下载，同时发现系统文件发生变化、注册表项发生创建和修改变化或者下载的代码运行访问网络等三种情况的一种发生，则将该代码为恶意代码，同时记录该恶意代码所处网页中的所有URL。本发明采用不等概率的分段抽样方法实现采样到尽可能多的恶意代码样本的网页，同时通过网络爬虫的恶意URL网页进行引导，实现一个自主启发式的主动获取恶意代码的过程。

主权项

一种基于主动技术的恶意代码捕获方法，其特征在于：步骤一：设置种子URL，设置未下载URL列表，设置已下载URL列表，设置下载恶意代码总数，设置恶意代码数据库，设置URL抽样率，设置已下载恶意代码数，已下载恶意代码数初始值为0，进入步骤二；步骤二：将种子URL加入到未下载URL列表中，进入步骤三；步骤三：如果未下载URL列表中为空，退出方法；否则从未下载URL列表中随机选择一个URL进行下载，进入步骤四；步骤四：在未下载URL列表中删除所选URL，同时将所选URL加入到已经下载URL列表中，进行步骤五；步骤五：对下载的URL页面进行分析，如果同一页面标签内同时出现“width”及“height”二个关键词且width和height属性值都小于10，则记为可疑URL，进入步骤六，否则回到步骤三；步骤六：按照URL抽样率对下载的URL页面中的URL进行抽样，被抽样中的URL如果不在已下载URL列表和未下载URL列表中，则加入到未下载URL列表中，进入步骤七；步骤七：采用浏览器对可疑URL进行访问，监控浏览器的运行，如果有代码下载，则进入步骤八，否则回到步骤三；步骤八：如果发现系统文件发生了增加、删除或修改变化，进入步骤十一，否则进入步骤九；步骤九：如果发现注册表项发生创建和修改变化，进入步骤十一，否则进入步骤十；步骤十：利用winpcap系统库抓取系统所产生的网络报文，如果下载的代码运行访问网络，进入步骤十一，否则回到步骤三；步骤十一：将下载的代码上传到恶意代码数据库中，取出可疑URL网页中的所有URL，在已下载URL列表和未下载URL列表中分别查找可疑URL网页中的各个URL，将未记录于已下载URL列表和未下载URL列表中的可疑URL网页中的URL加入到未下载URL列表中，已下载恶意代码数增加1，如果已下载恶意代码数大于等于下载恶意代码总数，方法结束，退出方法；否则回到步骤三。