CN101350822B - 一种Internet恶意代码的发现和追踪方法 - Google Patents

Abstract

本发明主动地去发现隐藏在Internet(国际互联网)中的恶意代码，并根据恶意代码在Internet中的拓扑分布信息进行追踪，定位恶意代码的源头，评估此恶意代码的影响。本方法首先对用户提交的可疑网页进行解析，提取文件中的链接信息进行广度优先搜索。对搜索过程中发现的文件进行多反病毒引擎的交叉检测来发现已知的恶意代码和蜜罐检测来发现未知的恶意代码。如果发现恶意代码则通过提升优先级进行深度优先的追踪。建立恶意代码的Internet拓扑图，定位恶意代码的源头，评估对正常网页的影响度。

Description

一种Internet恶意代码的发现和追踪方法

【技术领域】：本发明属于计算机防病毒技术领域。 

【背景技术】：随着互联网的快速发展，Internet恶意代码越来越多，而且危害越来越严重。当前，反病毒方法大多局限于防御，即防止恶意代码对本地计算机系统的渗透、攻击和破坏。由于Internet中隐藏着大量的恶意代码，如何主动地发现这些恶意代码，如何追踪恶意代码的源头是一个必须要解决的问题。 

【发明内容】：本发明目的是，通过主动发现方法去识别那些隐藏在Internet中的恶意代码，并根据恶意代码的拓扑分布图进行追踪，以此定位恶意代码的源头，并评估此恶意代码的影响范围。 

一、本发明涉及的与互联网有关的一些基本概念： 

(1)Internet恶意代码：本专利中的Internet恶意代码是指隐藏在Internet中的计算机病毒和恶意软件，当用户在不知情的情况下访问了含有Internet恶意代码的网站时，计算机病毒或者恶意软件就会发作。 

在《中华人民共和国计算机信息系统安全保护条例》第二十八条中明确定义“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。微软公司定义计算机病毒为“蓄意设计的一种软件程序，它旨在干扰计算机操作，记录、毁坏或删除数据，或者自行传播到其他计算机和整个Internet。” 

中国互联网协会定义恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件，但已被我国现有法律法规规定的计算机病毒除外。 

(2)Internet文件(以下简称为文件)：Internet中各类信息的载体，包括网页文件(如html)、可执行文件(如exe)、文档文件(如doc)和多媒体文件(如mp3、rmvb)等。Internet文件与传统文件的不同在于，每个Internet文件都和一个Internet地址相对应，即都有一个唯一的url，并可以通过url定位到所对应的Internet文件。 

(3)间接关联：一个文件f中包含其它文件{f₁，f₂，...，f_n}的链接，当用户访问文件f时，{f₁，f₂，...，f_n}只是以链接的形式存在于用户的系统中，只有当用户选择了其中的文件f_i(f_i∈{f₁，f₂，...，f_n})的链接后，f_i才下载到用户的系统中。因此，定义f到f_i之间的关联为间接关联，且f和f_i所对应的url也称为间接关联。例如，浏览新闻网站，用户看到的是各种新闻的标题，这些标题都对应着一个链接，这个链接定位到Internet中包含新闻内容的文件，只有当用户点击了其中一个新闻标题后，这个新闻标题的链接所对应的文件才下载到用户的系统中，用户就 可以浏览新闻的内容了。 

(4)直接关联：一个文件f中包含其它文件{f₁，f₂，...，f_n}的链接，如果当用户访问文件f时，f_i(f_i∈{f₁，f₂，...，f_n})在没有得到用户认可的情况下就自动地下载到用户的系统中，那么称f到f_i是直接关联的，且f和f_i所对应的url也称为直接关联的。例如，当用户浏览某一网页时，计算机病毒文件会自动地下载到用户的计算机中，那么这个网页和下载的计算机病毒文件就是直接关联。 

(5)优先级：根据url所定位的文件的可疑度，将url的优先级分成3个等级：高、中、低。高优先级的url所对应的文件包含未知的恶意代码，且当前还没有针对该恶意代码的解决方案。中优先级的url所对应的文件包含已知的恶意代码，且当前已经有针对该恶意代码的解决方案。低优先级的url所对应的文件为未发现恶意代码的文件或者未进行检测的文件。通过设置优先级，使得对恶意url进行深度优先搜索，对普通url进行广度优先搜索，以此缩短恶意代码的发现时间。 

(6)拓扑信息：是指记录url之间关联关系(包括直接关联关系和间接关联关系)的信息，它反映了url间的逻辑拓扑关系。 

二、Internet恶意代码的发现方法 

本发明提供的Internet恶意代码的发现方法，包括如下步骤： 

第一、将可疑的url(网址)添加到恶意代码搜索队列L＝{url₁，url₂，...，url_n}中的低优先级子队列中，url_i(1≤i≤n)∈L是用于发现恶意代码的原始点。L为多优先级队列，包括高、中、低三个优先级子队列，分别为L_h，L_n，L_l。从L中取数据时先从L_h中取，如果L_h为空则从L_n中取数据，如果L_n也为空则从L_l中取数据，子队列内部则按照先入先出的原则取数据； 

第二、从上步生成的恶意代码搜索队列L中取出url_i，1≤i≤n，传递给过滤模块； 

第三、在过滤模块中，向上步传递过来的url_i发送HEAD请求(请求页面的首部)，根据响应信息内容中的属性Status-Code(响应状态代码)、Content-type(实体的介质类型)、Last-modified(文档的最后修改时间)和Content-length(文档数据的长度)进行过滤。如果url_i满足过滤规则，返回第二步。如果url_i不满足过滤规则，将url_i传递给下载模块。过滤规则提高了恶意代码的发现效率并降低网络开销； 

第四、将上步不满足过滤规则的url传递给下载模块，下载模块使用GET请求(请求指定的页面信息)将该url所对应的文件f_i下载到本地，并将文件f_i传递给恶意代码扫描引擎，同时解析文件f_i并从中提取新的url； 

第五、根据上步从文件f_i中所提取的url，其中包括直接关联的和间接关联的url，得到集合 并将关联信息存储到拓扑信息数据库中； 

第六、利用现有的反病毒引擎对第四步下载的文件f_i进行检测；当发现恶意代码，分析恶意代码的结构，计算文件f_i的MD5(一种通用的单向散列函数)和SHA-1(一种通用的单向散列函数)值，将恶意代码信息存入恶意代码数据库中，并将集合 

从L_l中删除，然后将L_i添加到L的中优先级子队列L_n中。当没有检测到恶意代码，则将文件f_i对应的url传递给蜜罐系统进行检测； 

第七、蜜罐系统根据浏览文件f_i对应的url和运行文件f_i的过程中的行为，判断是否含有恶意代码；当检测到恶意行为，则根据恶意行为分析恶意代码的结构，计算文件f_i的MD5和SHA1值，将恶意代码信息存入恶意代码数据库中，并将集合 

从L_n中删除，然后将L_i添加到L的高优先级子队列L_h中。并发出警报，对恶意代码进行紧急响应；如果反病毒引擎和蜜罐系统的检测结果都没有发现恶意代码，将集合 

添加到L的低优先级子队列L_l中。 

第八，返回第二步，从队列L中提取新的url进行上述分析。 

发出警报是指向国家计算机病毒应急处理中心上报未知恶意代码；紧急响应是指病毒分析员根据计算机病毒紧急响应程序对恶意代码进行详细分析并及时提出解决方案的过程。 

以上第三步中所述的过滤规则是： 

根据Status-Code属性对响应的状态代码进行过滤；根据Content-type属性对实体的介质的类型进行过滤；根据Last-modified属性对文档的最后修改时间进行过滤和根据Content-length属性对对文档的数据长度进行过滤。 

三、Internet恶意代码的追踪方法 

本发明提供的Internet恶意代码的追踪方法，具体步骤如下： 

第一、建立关联关系图G＝(V，E) 

其中，V是有限个顶点v的集合，每个顶点表示权利要求1中所述的拓扑信息数据库中的一个url；E是V中顶点对(v_i，v_j)的有限集，顶点对(v_i，v_j)我们称之为边，每条边代表一对url间的关联关系，因为url间的关联关系是有方向的，所以边也是有方向的； 

通过遍历拓扑信息数据库，将所有的url加入到集合V中，将所有的直接关联关系加入到集合E_d中，将所有的间接关联关系加入到集合E_i中，E＝E_d∪E_i，集合V和E_d就组成了直接关联关系图G_d＝(V，E_d)，集合V和E_i就组成了间接关联关系图G_i＝(V，E_i)，集合V和E就组成了关联关系图G； 

第二、提取恶意代码的线索 

此过程用到V_i、 

E_i、 

六个集合；其中V_i是与v_i有关联关系的顶点集合， 

是与v_i有直接关联关系的顶点集合， 

是与v_i有间接关联关系的顶点集合， 

E_i是V_i 中各顶点之间所存在的边的集合， 是 

中各顶点之间所存在的边的集合， 是 

中各顶点之间所存在的边的集合；集合V_i、 

E_i、 

初始时为空集； 

首先找到含有恶意代码的文件f_i所对应的url_i在集合V中对应的顶点v_i，并将v_i加入到集合V_i、 中，然后遍历直接关联关系图G_d，将所有能够直接关联到url_i的顶点加入集合 

将直接关联到url_i的边加入集合 再次遍历直接关联关系图G_d，将所有能够直接关联到集合 

中的顶点，且不包含于 

的顶点v_j添加到 

中，即 

将新添加的顶点与集合 

中的顶点之间的边e_j添加到 

中，即 循环遍历图G_d，直到集合 

和 

中的元素不再增加为止，便得到url_i的直接关联关系图 以同样的方法，可以得到url_i的间接关联关系图 

url_i的直接关联关系图 

和url_i的间接关联关系图 为追踪恶意代码提供了线索； 

第三、定位恶意代码的源头 

遍历图 

中的所有顶点，当遇到图 

中的环，就将组成环的各个顶点抽象成一个顶点，直到图 

中的出度值为0的顶点不再增加为止，这些出度为零的顶点所代表的url就是恶意代码的源头。 

四、评估恶意代码的影响范围 

本发明所述恶意代码的影响范围的评估包括： 

图 

中的顶点所对应的url是受恶意代码影响最直接的url，只要访问这些url就马上遭受恶意代码的攻击。它们受到Internet恶意代码的影响度为0； 

当图 

和图 

中的顶点有重叠时，将图 

中所有与这些相同的顶点相连且不属图 

的点和边添加到图 

中，形成新的图G¹。这些新添加的顶点所对应的url存在遭受恶意代码攻击的可能，但不会遭到直接攻击，它们与Internet恶意代码相距一个间接关联，它们受到Internet恶意代码的影响度为1； 

当图 

和图G¹中有相同的顶点，将图 

中所有与这些相同的顶点相连且不属于图G¹的点和边添加到图G¹中，形成新的图G²。新添加的顶点所对应的url存在遭受恶意代码攻击的可能性要低于图G¹中的顶点，它们与Internet恶意代码相距两个间接关联，受到Internet恶意代码的影响度为2； 

采用同样的方法可以得到图G³，...，Gn 

访问这些图的顶点所对应的url时有受到恶意代码攻击的可能性，但访问新增加的顶点时受到恶意代码攻击的可能性逐渐降低，受到Internet恶意代码的影响度依次升高。 

本发明的优点和积极效果： 

1.及时发现Internet中的恶意代码。 

2.追踪恶意代码的源头。 

3.确定恶意代码的扩散范围。 

4.评估正常网页受恶意代码的影响度。 

【附图说明】：

图1是恶意代码的发现流程图。 

图2是恶意代码的追踪流程图。 

图3是根据拓扑信息库建立的关联关系图，图中圆圈表示url，连线表示url间的关联关系，虚线箭头表示间接关联，实线箭头表示直接关联。 

图4是恶意代码的关联关系图，图中灰色的节点组成了Internet恶意代码的直接关联关系图。 

【具体实施方式】：

实施例1：Internet恶意代码的发现 

http://www.ahzjsp.com(请不要访问该网站，否则会受到恶意代码的攻击)是一个含有Internet恶意代码的网站，当用户访问这个网站时会受到恶意代码的攻击。利用本方法能够主动的发现该网站所包含的恶意代码，具体处理流程如下： 

1.将http://www.ahzjsp.com添加到Internet恶意代码的搜索队列中。 

2.从Internet恶意代码搜索队列中取出http://www.ahzjsp.com传递给过滤模块。 

3.向http://www.ahzjsp.com发送HEAD请求，得到Status-Code：200、Content-type：text/html、Content-length：2705，不满足过滤规则，将其传送给下载模块。 

4.向http://www.ahzjsp.com发送GET请求，得到其所对应的文件并传递给恶意代码扫描引擎进行检测，同时提取文件中包含的url，得到url列表： 

●http://qqhaomm.cn 

●http://www.ahzjsp.com/gbook/index.asp 

●http://www.ahzjsp.com/product.asp？bigclassname＝％B4％BF％BE％BB％CB％AE％C9％E8％B1％B8 

●http://www.ahzjsp.com/product.asp？bigclassname＝％B9％CF％D7％D3％BB％FA 

●http://www.ahzjsp.com/product.asp？bigclassname＝％B9％FB％B6％B3％B1％AD 

●http://www.ahzjsp.com/product.asp？bigclassname＝％B9％FB％B6％B3％BB％FA 

●http://www.ahzjsp.com/product.asp？bigclassname＝％CA％B3％C6％B7％CF％B5％C1％D0 

●http://www.ahzjsp.com/shownews.asp？id＝46 

●http://www.ahzjsp.com/shownews.asp？id＝47 

●http://www.ahzjsp.com/shownews.asp？id＝48 

●http://www.ahzjsp.com/shownews.asp？id＝49 

●http://www.ahzjsp.com/zhujia.css 

●http://www.macromedia.com/go/getflashplayer 

●http://yyhaomm.cn 

5.将提取出的url添加到Internet恶意代码搜索对列中。拓扑信息数据库如下表： 

第一列为提取出的url，第二列为url的关联信息，第三列为关联类型，1为直接关联，0为间接关联，第四列为关联的标签信息，标签信息是用来判断关联类型的。 

6.根据Internet恶意代码搜索队列中的url信息，继续进行发现，最终得到拓扑信息数据库如下表： 

7.恶意代码搜索引擎和蜜罐系统发现http://www.zmjjjyy.cn/new/a2.css为恶意代码。 

实施例2：Internet恶意代码的追踪 

1.建立关联关系图 

根据Internet恶意代码发现步骤后得到的拓扑信息数据库建立关联关系图： 

将拓扑信息数据库中的url抽象成一个点，每个节点定义一个编号，如下表： 

关系图见图3、图4， 

图中灰色的节点组成了Internet恶意代码的直接关联关系图。由此可以发现恶意代码的源头为节点1。 

实施例3：恶意代码影响范围的评估 

当用户访问了Internet恶意代码的直接关联关系图中的节点后会受到恶意代码的直接攻击，所以上图中的灰色节点都是危险的。访问那些与灰色节点有间接关联的网站也有受到恶意代码攻击的可能性的，但不会受到直接攻击。这些灰色节点受恶意代码的影响度为0。 

Claims (4)

1.一种国际互联网Internet恶意代码的发现方法，其特征在于该方法包括如下步骤：

第一、将可疑的网址url添加到恶意代码搜索队列L＝{url₁，url₂，...，url_n}中的低优先级子队列中，url_i(1≤i≤n)∈L是用于发现恶意代码的原始点；L为多优先级队列，包括高、中、低三个优先级子队列，分别为L_h，L_n，L_l；从L中取数据时先从L_h中取，如果L_h为空则从L_n中取数据，如果L_n也为空则从L_l中取数据，子队列内部则按照先入先出的原则取数据；

第二、从上步生成的恶意代码搜索队列L中取出url_i，1≤i≤n，传递给过滤模块；

第三、在过滤模块中，向上步传递过来的url_i发送请求页面的首部HEAD请求，根据响应信息内容中的属性响应状态代码Status-Code、实体的介质类型Content-type、文档的最后修改时间Last-modified和文档数据的长度Content-length进行过滤，如果url_i满足过滤规则，返回第二步；如果url_i不满足过滤规则，将url_i传递给下载模块；

第四、将上步不满足过滤规则的url传递给下载模块，下载模块使用请求指定的页面信息GET请求将该url所对应的文件f_i下载到本地，并将文件f_i传递给恶意代码扫描引擎，同时解析文件f_i并从中提取新的url；

第五、根据上步从文件f_i中所提取的url，其中包括直接关联的和间接关联的url，得到集合

并将关联信息存储到拓扑信息数据库中；

第六、利用现有的反病毒引擎对第四步下载的文件f_i进行检测；当发现恶意代码，分析恶意代码的结构，计算文件f_i的通用的单向散列函数MD5和通用的单向散列函数SHA-1值，将恶意代码信息存入恶意代码数据库中，并将集合

从L_l中删除，然后将L_i添加到L的中优先级子队列L_n中；当没有检测到恶意代码，则将文件f_i对应的url传递给蜜罐系统进行检测；

第七、蜜罐系统根据浏览文件f_i对应的url和运行文件f_i的过程中的行为，判断是否含有恶意代码；当检测到恶意行为，则根据恶意行为分析恶意代码的结构，计算文件f_i的MD5和SHA1值，将恶意代码信息存入恶意代码数据库中，并将集合

从L_n中删除，然后将L_i添加到L的高优先级子队列L_h中；并发出警报，对恶意代码进行紧急响应；如果反病毒引擎和蜜罐系统的检测结果都没有发现恶意代码，将集合

添加到L的低优先级子队列L_l中；

第八，返回第二步，从队列L中提取新的url进行上述分析；

发出警报是指向国家计算机病毒应急处理中心上报未知恶意代码；紧急响应是指病毒分析员根据紧急响应步骤对恶意代码进行分析并提出解决方案的过程。

2.根据权利要求1所述的发现方法，其特征在于第三步中所述的过滤规则是：

根据Status-Code属性对响应的状态代码进行过滤；根据Content-type属性对实体的介质的类型进行过滤；根据Last-modified属性对文档的最后修改时间进行过滤和根据Content-length属性对对文档的数据长度进行过滤。

3.一种Internet恶意代码的追踪方法，其特征在于该方法的具体步骤如下：

第一、建立关联关系图G＝(V，E)

其中，V是有限个顶点v的集合，每个顶点表示权利要求1中所述的拓扑信息数据库中的一个url；E是V中顶点对(v_i，v_j)的有限集，顶点对(v_i，v_i)我们称之为边，每条边代表一对url间的关联关系，因为url间的关联关系是有方向的，所以边也是有方向的；

通过遍历拓扑信息数据库，将所有的url加入到集合V中，将所有的直接关联关系加入到集合E_d中，将所有的间接关联关系加入到集合E_i中，E＝E_d∪E_i，集合V和E_d就组成了直接关联关系图G_d＝(V，E_d)，集合V和E_i就组成了间接关联关系图G_i＝(V，E_i)，集合V和E就组成了关联关系图G；

第二、提取恶意代码的线索

此过程用到V_i、

E_i、

六个集合；其中V_i是与v_i有关联关系的顶点集合，

是与v_i有直接关联关系的顶点集合，

是与v_i有间接关联关系的顶点集合，

E_i是V_i中各顶点之间所存在的边的集合，是

中各顶点之间所存在的边的集合，

是中各顶点之间所存在的边的集合；集合V_i、

E_i、

初始时为空集；

首先找到含有恶意代码的文件f_i所对应的url_i在集合V中对应的顶点v_i，并将v_i加入到集合v_i、中，然后遍历直接关联关系图G_d，将所有能够直接关联到url_i的顶点加入集合

将直接关联到url_i的边加入集合再次遍历直接关联关系图G_d，将所有能够直接关联到集合

中的顶点，且不包含于的顶点v_j添加到中，即

将新添加的顶点与集合

中的顶点之间的边e_j添加到中，即

循环遍历图G_d，直到集合

和中的元素不再增加为止，便得到url_i的直接关联关系图

以同样的方法，可以得到url_i的间接关联关系图

第三、定位恶意代码的源头

遍历图

中的所有顶点，当遇到图中的环，就将组成环的各个顶点抽象成一个顶点，直到图中的出度为0的顶点不再增加为止，这些出度为0的顶点所代表的url就是恶意代码的源头。

4.根据权利要求3所述的追踪方法，其特征在于恶意代码的影响范围的评估包括：

图中的顶点所对应的url是受恶意代码影响最直接的url，只要访问这些url就马上遭受恶意代码的攻击；它们受到Internet恶意代码的影响度为0；

当图

和图

中的顶点有重叠时，将图

中所有与这些相同的顶点相连且不属图

的点和边添加到图

中，形成新的图G¹；这些新添加的顶点所对应的url存在遭受恶意代码攻击的可能，但不会遭到直接攻击，它们与Internet恶意代码相距一个间接关联，它们受到Internet恶意代码的影响度为1；

当图

和图G¹中有相同的顶点，将图中所有与这些相同的顶点相连且不属于图G¹的点和边添加到图G¹中，形成新的图G²；新添加的顶点所对应的url存在遭受恶意代码攻击的可能性要低于图G¹中的顶点，它们与Internet恶意代码相距两个间接关联，受到Internet恶意代码的影响度为2；

采用同样的方法可以得到图G³，...，Gⁿ 访问这些图的顶点所对应的url时有受到恶意代码攻击的可能性，但访问新增加的顶点时受到恶意代码攻击的可能性逐渐降低，受到Internet恶意代码的影响度依次升高。

Images