CN102254111A - 恶意网站检测方法及装置 - Google Patents
恶意网站检测方法及装置 Download PDFInfo
- Publication number
- CN102254111A CN102254111A CN2010102541738A CN201010254173A CN102254111A CN 102254111 A CN102254111 A CN 102254111A CN 2010102541738 A CN2010102541738 A CN 2010102541738A CN 201010254173 A CN201010254173 A CN 201010254173A CN 102254111 A CN102254111 A CN 102254111A
- Authority
- CN
- China
- Prior art keywords
- honey jar
- url
- virtual machine
- browser
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种恶意网站检测方法及装置。本发明恶意网站检测方法包括获取要访问的URL;抓取所述URL所指向的页面;对所抓取页面的数据进行静态特征分析;如果静态特征分析表明存在危险特征,则在蜜罐集群内进行动态行为分析。本发明恶意网站检测装置包括获取单元,用于获取要访问的URL;抓取单元,用于抓取所述URL所指向的页面;静态分析单元,用于对所抓取页面的数据进行静态特征分析;动态分析单元,用于如果静态分析单元表明存在危险特征则在蜜罐集群内进行动态行为分析。采用本发明的技术方案能够进行全面的网站安全检测。
Description
技术领域
本发明总体上涉及计算机网络安全,尤其涉及一种恶意网站检测方法及装置。
背景技术
随着计算机及网络技术的发展,互联网已深入到人们工作和生活的各个方面。但是随之而来的安全问题极大地困扰了网络用户。各种针对互联网的恶意行为越来越多而逐渐细化并形成了一个巨大的黑色产业链。当前互联网的整体安全情况令人担忧。在针对互联网的恶意行为中,网站挂马是主要的恶意行为之一。所述网站挂马指网站自身页面源代码内容(包括HTML、CSS、JS)被黑客嵌入恶意的脚本代码,这些脚本代码会在访问网站的网民计算机的浏览器中执行,执行结果导致浏览器安全策略被突破,网民计算机被安装木马病毒程序。
目前,常用的恶意网站检测方法主要包括:
一、纯静态特征检测。
此方法在网站HTML代码中寻找挂马特征。比如挂马早期,挂马具备明显特征<iframe src=url display=none>,只需查找iframe,并判别display=none就能识别部分挂马。但黑客也在采取对抗措施,他们采取大量脚本自加密,自编码等方法,使得纯静态特征检测识别率非常低,为此不得不需要寻求新的检测方法。
二、使用基于虚拟技术的恶意网站检测技术来进行检查。
此方法将网站HTML页面文件下载到虚拟机中,通过此网站页面文件在虚拟机中的运行情况进行分析和检测来判定是否为恶意页面。对于流行的恶意网站中嵌入的恶意代码,完全可以通过静态特征匹配技术来进行快速检测,但此方法往往存在因为时效性上的不及时而出现的准确率下降的问题,所以我们需要开发出结合静态特征以外,还能检测未知挂马页面的技术。
发明内容
本发明要解决的主要技术问题是提供一种能够进行全面的网站安全检测的恶意网站检测方法及装置。
为了解决上述问题,本发明恶意网站检测方法的技术方案包括步骤:
获取要访问的URL;
抓取所述URL所指向的页面;
对所抓取页面的数据进行静态特征分析;
如果静态特征分析表明存在危险特征,则在蜜罐集群内进行动态行为分析。
其中,所述动态行为分析进一步包括步骤:
基于对蜜罐集群所接受的URL进行判别的结果蜜罐集群中的蜜罐虚拟机启动沙箱;
沙箱开启浏览器且浏览器在其中访问所述URL;
沙箱在浏览器访问URL过程中记录浏览器行为;
沙箱分析所记录的浏览器行为并判断是否存在具有可能危害操作系统的操作。
所述浏览器行为包括浏览器应用层行为、系统层行为和内核层行为。
所述系统层行为包括文件创建、进程创建、注册表写入、异常网络事件、浏览器内存状况和应用异常事件。
所述内核层行为包括异常进程创建。
此外,本发明恶意网站检测方法还包括步骤:如果所述蜜罐虚拟机在启动以来所接受的URL扫描请求次数超过阈值,或者蜜罐虚拟机运行时间超过预定的阈值,则重置所述蜜罐虚拟机。
优选地,本发明恶意网站检测方法还包括步骤:如果所述蜜罐虚拟机中存在不允许在所述蜜罐虚拟机中存在的进程名,则重置所述蜜罐虚拟机。
相应地,本发明恶意网站检测装置包括:
获取单元,用于获取要访问的URL;
抓取单元,用于抓取所述URL所指向的页面;
静态分析单元,用于对所抓取页面的数据进行静态特征分析;
动态分析单元,用于如果静态分析单元表明存在危险特征则在蜜罐集群内进行动态行为分析。
其中,所述动态分析单元还包括:
启动单元,基于对蜜罐集群所接受的URL进行判别的结果蜜罐集群中的蜜罐虚拟机启动沙箱;
沙箱,其包括:
开启单元,用于开启浏览器且浏览器在其中访问所述URL;
记录单元,用于在浏览器访问URL过程中记录浏览器行为;
分析单元,用于分析所记录的浏览器行为并判断是否存在具有可能危害操作系统的操作。
所述浏览器行为包括浏览器应用层行为、系统层行为和内核层行为。
所述系统层行为包括文件创建、进程创建、注册表写入、异常网络事件、浏览器内存状况和应用异常事件。
所述内核层行为包括异常进程创建。
优选地,本发明恶意网站检测装置还包括用于如果所述蜜罐虚拟机在启动以来所接受的URL扫描请求次数超过阈值,或者蜜罐虚拟机运行时间超过预定的阈值,则重置所述蜜罐虚拟机的单元。
进一步地,本发明恶意网站检测装置还包括:用于如果所述蜜罐虚拟机中存在不允许在所述蜜罐虚拟机中存在的进程名则重置所述蜜罐虚拟机的单元。
与现有技术相比,本发明恶意网站检测方法及装置的有益效果为:
首先,本发明是采用在服务端主动对要访问的URL所指向的页面进行分析,提前获知所述页面是否存在恶意,在客户端可直接阻止对恶意URL的访问,而不是采用传统的在客户端访问URL之后进行恶意判别的方式,从而可以很好地保证了为几乎所有可能的互联网使用者提供了全面的网站安全检测,并且不会在互联网使用者的客户端进行恶意判别,让客户端规避技术对抗的风险。
其次,由于本发明采用了静态检测和动态检测相结合的方式,其中,静态检测可以排除掉大量页面源代码中没有可疑特征的网站。相比于动态检测,静态检测节省系统资源和网络资源,并且效率高,只是准确率逊色一些。而动态检测准确率高,但是耗费的系统资源和网络资源多且效率低。本发明采用这二者的结合,有效地弥补了各自的缺陷,从而节省了系统资源和网络资源,且极大地减少了误报的可能性。
再者,由于本发明还采用了自身安全保障策略,假如所述蜜罐虚拟机在启动以来所接受的URL扫描请求次数超过阈值,以及蜜罐虚拟机运行时间超过阈值,则重置所述蜜罐虚拟机,这样防止了蜜罐虚拟机中毒,从而保证了蜜罐虚拟机的绝对安全。
此外,本发明能对抗黑客未来可能使用的各种挂马变种攻击手段,系统最终判别只与浏览器行为相关。
另外,本发明能够捕获最新的病毒木马程序。如果浏览器产生写文件操作并且写文件到非临时目录,那么一定是突破了浏览器安全策略,当前绝大部分病毒木马传播都使用网站挂马进行传播。由于我们记录了这些文件内容,那么也就能捕获最新的木马病毒样本。
附图说明
下面参考结合附图所进行的下列描述,以便更透彻地理解本公开内容,在附图中:
图1是依据本发明的恶意网站检测方法的流程图;
图2是进行动态行为分析的流程图;
图3是依据本发明的恶意网站检测装置的示意图。
具体实施方式
下面将详细描述本发明的具体实施例,但本发明并不限于下述具体实施例。
首先,介绍本发明所采用的技术。
·蜜罐技术
蜜罐技术本质上是因为虚拟机技术发展而发展起来的一种衍生物。例如著名的VMware虚拟机技术公司出品的VMWARE虚拟机软件。其特点是可以根据用户的需求搭建一个可控制并不影响真实机器却可任意恢复到正常状态的技术。利用虚拟机这种技术,在对可能会影响到真实机器的操作时,都会利用虚拟机技术来进行蜜罐的搭建。
·沙箱技术
沙箱技术,英文名sandbox。这种技术现在在计算机安全防御中得以运用,是比较新的技术。具体来说沙箱是一种安全软件,可以将一个程序放入沙箱运行,这样它所创建/修改/删除的所有文件和注册表都会被虚拟化重定向,也就是说所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动而破坏系统。结合虚拟机以及沙箱技术,就可以方便搭建出所需要的软件操作环境,来进行对真实机器影响巨大的操作,而不用担心对真实机器造成破坏,并可随时恢复系统状态。
·内部检测技术
蜜罐内部运用了两种检测技术:静态特征匹配与动态行为检测。利用蜜罐系统的虚拟真实系统功能,我们将蜜罐与网络相连,通过蜜罐系统的模拟上网方法来验证当前浏览的网站是否存在危害性操作的行为产生。
..静态特征匹配
静态特征匹配技术,已经是非常成熟并应用非常广泛的检测方法。传统意义上的静态特征处理是收集相关恶意木马或病毒样本的详细信息进行记录,在平时的使用中对收集的样本文件进行相关信息的特征匹配。静态特征匹配在一般的检测中有着检测速度快,应对大规模数据处理时的简单易行以及方便进行自动化处理上的设置。不过,随着需要处理的数据的结构变化越来越快,这种静态特征匹配随着时间的推移而变得不再准确,因此,只适用于一般的针对比较流行或使用非常广泛的数据的处理。不过,对于静态特征匹配目前一般都只是在检测数据的初级过滤中使用。由于静态特征匹配技术在实现上非常简单并可以通过内容添加和类型分类以及格式匹配等相对比较灵活的搭配方式来定制,非常适合非人工自动化的检测工作。方便对一些特定服务对象的特别策略定制上的实现工作。
..动态行为检测
对于静态特征匹配技术在对数据进行检测时的误差问题,又引入了一项新的技术——动态行为检测。
动态行为检测是为了弥补静态特征匹配在大规模数据处理中存在的不准确问题而提出来的。其作用是将可能存在的误报率降低至一个可以接受的范围内。动态行为检测主要是监视蜜罐所进行的操作中是否有超出常规的可能危害操作系统的行为的出现。由于是对实时操作中出现的一些非常规运行行为的监视,在准确率上也比静态特征匹配要高出很多。由于动态行为检测需要应对的数据类型非常的繁杂,所以,动态行为检测技术是基于计算机网络及计算机操作系统多项数据类型检测技术的合成。
·正则表达式
正则表达式(Regular Expression),在计算机科学中,是指一个用来描述或者匹配一系列符合某个句法规则的字符串的单个字符串。在很多文本编辑器或其他工具里,正则表达式通常被用来检索和/或替换那些符合某个模式的文本内容。许多程序设计语言都支持利用正则表达式进行字符串操作。例如,在Perl中就内建了一个功能强大的正则表达式引擎。正则表达式这个概念最初是由Unix中的工具软件(例如sed和grep)普及开的。″正则表达式″通常缩写成″regex″,单数有regexp、regex,复数有regexps、regexes、regexen。
一个正则表达式通常被称为一个模式(pattern),为用来描述或者匹配一系列符合某个句法规则的字符串。例如:Handel、H?ndel和Haendel这三个字符串,都可以由″H(a|?|ae)ndel″这个模式来描述。大部分正则表达式的形式都有如下的结构:
替换
|
竖直分隔符代表替换。例如″gray|grey″可以匹配grey或gray。
数量限定
某个字符后的数量限定符用来限定前面这个字符允许出现的个数。最常见的数量限定符包括″+″,″?″和″*″(不加数量限定则代表出现一次且仅出现一次):
+
加号代表前面的字符必须至少出现一次。(1次,或多次)。例如,″goo+gle″可以匹配google,gooogle,goooogle等;
?
问号代表前面的字符最多只可以出现一次。(0次,或1次)。例如,″colou?r″可以匹配colour或者color;
*
星号代表前面的字符可以不出现,也可以出现一次或者多次。(0次,或1次,或多次)。例如,″0*42″可以匹配42,042,0042,00042等。
匹配
圆括号可以用来定义操作符的范围和优先度。例如,″gr(a|e)y″等价于″gray|grey″,″(grand)?father″匹配father和grandfather。
上述这些构造都可以自由组合,因此,″H(ae?|?)ndel″和″H(a|ae|?)ndel″是相同的。
精确的语法可能因不同的工具或程序而异。
例子:
″a|b*指示{ε,a,b,bb,bbb,...}。
″(a|b)*指示由包括空串、任意数目个a和b字符组成的所有字符串的集合。
″ab*(c|ε)指示开始于一个a接着零或多个b和最终可选的一个c的字符串的集合。
表达式全集
正则表达式有多种不同的风格。下表是在PCRE中元字符及其在正则表达式上下文中的行为的一个完整列表:
字符描述
\将下一个字符标记为一个特殊字符、或一个原义字符、或一个向后引用、或一个八进制转义符。例如,″n″匹配字符″n″。″\n″匹配一个换行符。序列″\\″匹配″\″而″\(″则匹配″(″。
^匹配输入字符串的开始位置。如果设置了RegExp对象的Multiline属性,^也匹配″\n″或″\r″之后的位置。
$ 匹配输入字符串的结束位置。如果设置了RegExp对象的Multiline属性,$也匹配″\n″或″\r″之前的位置。
*匹配前面的子表达式零次或多次。例如,zo*能匹配″z″以及″zoo″。*等价于{0,}。
+匹配前面的子表达式一次或多次。例如,″zo+″能匹配″zo″以及″zoo″,但不能匹配″z″。+等价于{1,}。
?匹配前面的子表达式零次或一次。例如,″do(es)?″可以匹配″do″或″does″中的″do″。?等价于{0,1}。
{n}n是一个非负整数。匹配确定的n次。例如,″o{2}″不能匹配″Bob″中的″o″,但是能匹配″food″中的两个o。
{n,}n是一个非负整数。至少匹配n次。例如,″o{2,}″不能匹配″Bob″中的″o″,但能匹配″foooood″中的所有o。″o{1,}″等价于″o+″。″o{0,}″则等价于″o*″。
{n,m}m和n均为非负整数,其中n<=m。最少匹配n次且最多匹配m次。例如,″o{1,3}″将匹配″fooooood″中的前三个o。″o{0,1}″等价于″o?″。请注意在逗号和两个数之间不能有空格。
?当该字符紧跟在任何一个其他限制符(*,+,?,{n},{n,},{n,m})后面时,匹配模式是非贪婪的。非贪婪模式尽可能少的匹配所搜索的字符串,而默认的贪婪模式则尽可能多的匹配所搜索的字符串。例如,对于字符串″oooo″,″o+?″将匹配单个″o″,而″o+″将匹配所有″o″。
.匹配除″\n″之外的任何单个字符。要匹配包括″\n″在内的任何字符,请使用像″[.\n]″的模式。
(pattern)匹配pattern并获取这一匹配。所获取的匹配可以从产生的Matches集合得到,在VBScript中使用SubMatches集合,在JScript中则使用$0...$9属性。要匹配圆括号字符,请使用″\(″或″\)″。
(?:pattern)匹配pattern但不获取匹配结果,也就是说这是一个非获取匹配,不进行存储供以后使用。这在使用″或″字符(|)来组合一个模式的各个部分是很有用。例如,″industr(?:y|ies)就是一个比″industry|industries′更简略的表达式。
(?=pattern)正向预查,在任何匹配pattern的字符串开始处匹配查找字符串。这是一个非获取匹配,也就是说,该匹配不需要获取供以后使用。例如,″Windows(?=95|98|NT|2000)″能匹配″Windows2000″中的″Windows″,但不能匹配″Windows3.1″中的″Windows″。预查不消耗字符,也就是说,在一个匹配发生后,在最后一次匹配之后立即开始下一次匹配的搜索,而不是从包含预查的字符之后开始。
(?!pattern)负向预查,在任何不匹配pattern的字符串开始处匹配查找字符串。这是一个非获取匹配,也就是说,该匹配不需要获取供以后使用。例如″Windows(?!95|98|NT|2000)″能匹配″Windows3.1″中的″Windows″,但不能匹配″Windows2000″中的″Windows″。预查不消耗字符,也就是说,在一个匹配发生后,在最后一次匹配之后立即开始下一次匹配的搜索,而不是从包含预查的字符之后开始。
x|y 匹配x或y。例如,″z|food″能匹配″z″或″food″。″(z|f)ood″则匹配″zood″或″food″。
[xyz]字符集合。匹配所包含的任意一个字符。例如,″[abc]″可以匹配″plain″中的″a″。
[^xyz]负值字符集合。匹配未包含的任意字符。例如,″[^abc]″可以匹配″plain″中的″p″。
[a-z]字符范围。匹配指定范围内的任意字符。例如,″[a-z]″可以匹配″a″到″z″范围内的任意小写字母字符。
[^a-z]负值字符范围。匹配任何不在指定范围内的任意字符。例如,″[^a-z]″可以匹配任何不在″a″到″z″范围内的任意字符。
\b 匹配一个单词边界,也就是指单词和空格间的位置。例如,″er\b″可以匹配″never″中的″er″,但不能匹配″verb″中的″er″。
\B 匹配非单词边界。″er\B″能匹配″verb″中的″er″,但不能匹配″never″中的″er″。
\cx 匹配由x指明的控制字符。例如,\cM匹配一个Control-M或回车符。x的值必须为A-Z或a-z之一。否则,将c视为一个原义的″c″字符。
\d 匹配一个数字字符。等价于[0-9]。
\D 匹配一个非数字字符。等价于[^0-9]。
\f 匹配一个换页符。等价于\x0c和\cL。
\n 匹配一个换行符。等价于\x0a和\cJ。
\r 匹配一个回车符。等价于\x0d和\cM。
\s 匹配任何空白字符,包括空格、制表符、换页符等等。等价于[\f\n\r\t\v]。
\S 匹配任何非空白字符。等价于[^\f\n\r\t\v]。
\t 匹配一个制表符。等价于\x09和\cI。
\v 匹配一个垂直制表符。等价于\x0b和\cK。
\w 匹配包括下划线的任何单词字符。等价于″[A-Za-z0-9_]″。
\W 匹配任何非单词字符。等价于″[^A-Za-z0-9_]″。
\xn 匹配n,其中n为十六进制转义值。十六进制转义值必须为确定的两个数字长。例如,″\x41″匹配″A″。″\x041″则等价于″\x04″&″1″。正则表达式中可以使用ASCII编码。
\num匹配num,其中num是一个正整数。对所获取的匹配的引用。
例如,″(.)\1″匹配两个连续的相同字符。
\n 标识一个八进制转义值或一个向后引用。如果\n之前至少n个获取的子表达式,则n为向后引用。否则,如果n为八进制数字(0-7),则n为一个八进制转义值。
\nm标识一个八进制转义值或一个向后引用。如果\nm之前至少有nm个获得子表达式,则nm为向后引用。如果\nm之前至少有n个获取,则n为一个后跟文字m的向后引用。如果前面的条件都不满足,若n和m均为八进制数字(0-7),则\nm将匹配八进制转义值nm。
\nml如果n为八进制数字(0-3),且m和l均为八进制数字(0-7),则匹配八进制转义值nml。
\un 匹配n,其中n是一个用四个十六进制数字表示的Unicode字符。例如,\u00A9匹配版权符号(?)。
由于正则表达式是非常强大的、便捷、高效的文本处理工具。它可以添加、删除、分离、叠加、插入和修整各种类型的文本和数据。同样的,由于目前各大网站的建设都是以网站脚本为基础,如最早的HTML到现在广泛使用的JAVASCRIP等。正是由于这些脚本的存在,如需要对网站进行一些安全项目的检测,如恶意代码的检测,都无法避开对脚本语言的检测。由于脚本语言本身就可以被视为一些可被执行的文本,这就使正则表达式在对这些脚本的检测中,起到了非常大的作用。对于一些特别的或者特殊的字符、字条串的处理,非常高效。
如图1所示,本发明恶意网站检测方法包括步骤:
1)获取要访问的URL;
2)抓取所述URL所指向的页面;
3)对所抓取页面的数据进行静态特征分析;
4)如果静态特征分析表明存在危险特征,则在蜜罐集群内进行动态行为分析。
其中,所述动态行为分析进一步包括步骤:
40)基于对蜜罐集群所接受的URL进行判别的结果蜜罐集群中的蜜罐虚拟机启动沙箱;
41)沙箱开启浏览器且浏览器在其中访问所述URL;
42)沙箱在浏览器访问URL过程中记录浏览器行为;
43)沙箱分析所记录的浏览器行为并判断是否存在具有可能危害操作系统的操作。
另外,所述浏览器行为至少包括浏览器应用层行为、系统层行为和内核层行为。也就是至少在三个层面上对浏览器行为进行检测。在应用层进行检测主要包括脚本行为检测和ACTIVEX加载与调用检测;系统层检测主要包括文件创建检测、进程创建检测、注册表写入检测、异常网络事件检测、浏览器内存状况检测和应用异常事件检测;内核层检测主要包括异常进程创建检测。
浏览器与系统操作相关API是主要的浏览器行为,即浏览器及操作系统关键API函数,这些函数调用情况以及传递给这些函数的参数等对于判断是否为恶意网站是重要依据之一。
如果存在具有可能危害操作系统的操作,即表明该URL为恶意站点。例如,出现了非法的程序执行、出现了诸如下载文件到windows目录之类的非法的下载行为、出现了诸如添加程序开机自动执行之类的非法的注册表更改等等。
从上述可知,本发明恶意网站检测方法是对要访问的URL进行分析,也就是对服务器端进行分析。抓取所述URL所指向的页面,也即获得页面数据。然后对所获得的页面数据进行静态特征分析,即在页面数据中查找危险特征,也就是进行初级过滤。如果存在危险特征,则在蜜罐虚拟机内进行动态行为分析。因此本发明恶意网站检测方法综合了静态特征分析和动态行为分析这二者来判定网站是否是恶意网站。也就是说,既利用了静态特征分析效率高的特点,又利用了动态特征准确率高的特点。因此,极大地减少了误报的可能性。
获取要访问的URL,可以使用爬虫模块来实现,当然也可以采用本领域技术人员已知或者将来已知的任何技术。用爬虫模块对指定的互联网网站进行URL爬取,然后对URL进行静态特征分析,对一切静态分析认为可疑的URL均交给蜜罐虚拟机系统启动沙箱进行行为识别。
另外,在获得要访问的URL之后,还可以使用静态代码特征来判定网站的安全级别,通过静态特征分析后,如果匹配出当下所检测的URL带有恶意代码特征,则根据该安全级别来确定是否需要启动蜜罐虚拟机。其中,网站的安全级别是根据URL判别请求而进行的。由于例如挂马网站一般都是受当前流行的漏洞所导致的,而各个流行的漏洞所带来的危害是不一样的,通过对产生的危害性定级别,来确定是否需要启动蜜罐虚拟机。本例设为如果该页面存在一个危险特征,则启动蜜罐虚拟机,即向其分配任务。在分配任务的时候,空闲的蜜罐虚拟机将会接收到一条扫描起始地址URL,然后在虚拟系统里,通过模拟打开该URL,记录并分析该网站对系统进行的任何危险动作。所述蜜罐虚拟机构造了一个遭受攻击的脆弱系统,模拟当前上网用户的系统环境,再通过沙箱来打开网站。
对于蜜罐虚拟机而言,其主要是用来模拟真实的上网环境,需要具备以下特征:
·最普遍的操作系统环境,这是因为与普通上网环境一致能加大被攻击成功的几率;
·常用的软件环境(包括系统自带软件、第三方软件),只要满足攻击中可能需要的软件环境即可;
·常见的挂马攻击利用的漏洞,只要能够符合攻击针对特定版本的要求即可。
可以基于上述特征,在虚拟机中制作出蜜罐操作系统母版。蜜罐操作系统母版是指将蜜罐系统搭建了以上的软件环境配置后,使用Vmware的OVF模板导出功能,将该操作系统当前的状态保存至其他存储空间,后续的部署即可直接应用此母版进行Vmware的OVF模板导入,减少了重复配置软件环境的过程。在母版中加入蜜罐系统初始化程序,以用于自动配置蜜罐系统的IP、网关、DNS配置以及检测蜜罐系统中的软件版本是否需要更新,如果需要更新则进行更新。另外,可以通过Vmware提供的虚拟机克隆技术,对虚拟机进行克隆并部署。克隆功能需要安装Vmware提供的Vcenter软件,通过该软件登陆连接到Vmware ESXI主机,对ESXI主机中存在的虚拟操作系统可进行克隆至主机的操作。部署完毕后蜜罐系统初始化程序会自动完成配置工作。
注意,沙箱可以采用本领域技术人员已知和将来已知的任何技术。沙箱的功能是实现模拟用户浏览网页行为,并且检测该网页的一切行为,如果发现恶意操作,则利用HOOK技术对恶意操作进行替换,保护系统不会被恶意操作所破坏,同时也将该动作记录下来,给行为检测提供依据。
本发明利用蜜罐系统和沙箱技术的结合可以节省系统资源,在一台蜜罐系统里可以使用多个沙箱来模拟多个打开网站的操作并且互不影响。此外,使用沙箱模式也不会致使蜜罐系统遭受病毒攻击。
另外,为了保障蜜罐系统的绝对安全,本发明恶意网站检测方法还包括步骤:如果所述蜜罐虚拟机在启动以来所接受的URL扫描请求次数超过阈值,则重置所述蜜罐虚拟机;如果所述蜜罐虚拟机中存在不允许在所述蜜罐虚拟机中存在的进程名,则重置所述蜜罐虚拟机;如果所述蜜罐虚拟机中存在不允许在所述蜜罐虚拟机中的沙箱所在目录中存在的文件名,则重置所述蜜罐虚拟机。
从上述可知,为了防止蜜罐VM中毒,由于蜜罐VM是以软件虚拟机技术为基础所虚拟出的一个仿真的网络环境,所以,蜜罐VM所虚拟出来的这个仿真环境也会和真实的环境是一样的。如果在蜜罐VM浏览一个带有恶意代码信息的网站,也是会受到此网站上的恶意代码攻击的,也就是我们常说的中毒情况的出现。蜜罐VM还记录启动以来接受URL扫描请求的数目,如果该数目超过一定数量(例如300等等)后,则重置。由于蜜罐虚拟机技术可以将其制作出来的虚拟环境进行记录。也就是说可以保存当前虚拟环境的各种系统参数的配备。这样,当此虚拟环境出现各种问题时,都可以很方便的恢复到之前保存的虚拟环境下。此蜜罐虚拟机还可以事先在数据结构中记录蜜罐虚拟机中允许存在的进程名和蜜罐虚拟机中沙箱所在目录中允许存在的文件名,通过检测蜜罐虚拟机中是否有不符合此白名单的条目,如果有则重置蜜罐此虚拟机。
下面通过具体实施例来更详细地描述本发明恶意网站检测方法的技术方案。
在本例中蜜罐集群包括多个蜜罐虚拟机。
蜜罐集群由单个或者多个主机构成,在主机中安装Vmware ESXI操作系统,在ESXI操作系统中,可以安装、导入Vmware虚拟操作系统。
通过在PC主机中使用Vmware Workstation,新建虚拟操作系统,在其中安装Windows XP操作系统用于搭建蜜罐操作系统,在操作系统中,安装常见的第三方软件,如暴风影音、Adobe Reader等,并且挑选软件存在漏洞的版本进行安装。
安装完软件之后,关闭防火墙、系统自动更新、软件自动更新等服务。在该蜜罐系统中放入系统配置与核心组件初始化程序,并将该程序加入系统自启动设置,随机启动时就会自动根据MAC地址配置IP、DNS等网络环境,并自动连接控制端检查核心组件的更新情况,发现新版本随即下载更新。以上所有操作完成了单个蜜罐环境的配置。
使用Vmware Conveter将配置完毕的蜜罐系统环境转换导入到Vmware ESXI主机中即完成了单个蜜罐的部署。
在Vmware ESXI主机中安装Vmware Vcenter集群管理程序,通过Vmware Vcenter对单个蜜罐系统进行克隆,复制多个相同的蜜罐系统,修改其MAC地址,启动蜜罐系统让初始化程序进行自动配置网络环境、更新核心组件,之后对所有蜜罐系统制作系统快照。将所有蜜罐系统的IP地址添加到调度程序的配置文件中蜜罐地址列表部分,便完成了蜜罐集群的部署与配置。
通过命令行的扫描输出结果:
>>Start Crawling:http://maolin322.qizai.com/检测开始
http://maolin322.qizai.com/<!>50<!>2008-10-2901:46:37对页面检测任务开始具体时间
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:34<!>http://www.tznylsf.cn/llzgs/7.htm<!>15<!>STATIC<!>(?i)\<iframe[^><]*\sheight\s*=\s*[″′]?\s*[0-9][″′]?[\s>][^><]*页面判别结果为MAL即存在挂马,判别依据STATIC即静态特征判别,最后为检测使用的正则表达式,表达式匹配出真正挂马页面引用了http://www.tznylsf.cn/llzgs/7.htm
http://maolin322.qizai.com/<!>END<!>2008-10-2901:46:37检测结束时间
通过阅读扫描日志,可以看到开始标志以及开始时间,这个时候代表URL已经被传递进去,开始抓取网页数据,给扫描函数进行特征扫描处理,并返回结果。
http://maolin322.qizai.com/<!>START<!>2008-10-2901:46:34
之后还可以看到每行一条的恶意特征,以及经过特征分析出来的恶意挂马地址,以<!>MAL<!>作为标志。
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:34<!>http://www.tznylsf.cn/llzgs/7.htm<!>15<!>STATIC<!>(?i)\<iframe[^><]*\sheight\s*=\s*[″′]?\s*[0-9][″′]?[\s>][^><]*
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:34<!>http://www.qqaz1.cn/c02.htm<!>15<!>STATIC<!>(?i)\<iframe[^><]*\sheight\s*=\s*[″′]?\s*[0-9][″′]?[\s>][^><]*
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:36<!>http://maolin322.qizai.com/index_files/detail.js<!>3<!>STATIC<!>(?i)document\.writel?n?\s*\(\s*[″′][^><]*\<script[^><]*\ssrc\s*=\s*[″′]?\s*
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:37<!>http://%61%76%65%33%2E%63%6E<!>3<!>STATIC<!>(?i)\<iframe[^><]*\sheight\s*=\s*[″′]?\s*[0-9][″′]?[\s>][^><]*
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:37<!>http://%61%76%65%33%2E%63%6E<!>3<!>STATIC<!>(?i)document\.writel?n?\s*\(\s*[″′][^><]*\<iframe[^><]*\sheight\s*=\s*[″′]?\s*[0-9][″′]?[\s>][^><]*
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:37<!>http://%61%76%65%33%2E%63%6E<!>3<!>STATIC<!>(?i)\<iframe[^><]*\sheight\s*=\s*[″′]?\s*[0-9][″′]?[\s>][^><]*
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:37<!>http://%61%76%65%33%2E%63%6E<!>3<!>STATIC<!>(?i)document\.writel?n?\s*\(\s*[″′][^><]*\<iframe[^><]*\sheight\s*=\s*[″′]?\s*[0-9][″′]?[\s>][^><]*
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:37<!>http://www.tznylsf.cn<!>3<!>STATIC<!>outside
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:37<!>http://www.qqaz1.cn<!>3<!>STATIC<!>outside
最后以<!>END<!>标志和结束时间作为结束。
http://maolin322.qizai.com/<!>END<!>2008-10-2901:46:37
特征日志还包含了外域判断:
http://maolin322.qizai.com/<!>MAL<!>2008-10-2901:46:37<!>http://www.qqaz1.cn<!>3<!>STATIC<!>outside
outside为外站关键字。
扫描该站点的安全危险系数为:
http://maolin322.qizai.com/<!>50<!>2008-10-2901:46:37
50分满分,扫描程序将扫描结果返回给调度程序:
{′url′:′http://maolin322.qizai.com/′,′endTime′:′2008-10-29 01:46:37′,′risk′:50,′startTime′:′2008-10-29 01:46:34′,′suburls′:[{′url′:
′http://www.qqaz1.cn/c02.htm′,′info′:
′(?i)\\<iframe[^><]*\\sheight\\s*=\\s*[″\′]?\\s*[0-9][\″′]?[\\s>][^><]*′,′type′:′STATIC′,′risk′:15,′time′:′2008-10-29 01:46:34′},{′url′:
′http://www.tznylsf.cn/llzgs/7.htm′,′info′:
′(?i)\\<iframe[^><]*\\sheight\\s*=\\s*[″\′]?\\s*[0-9][\″′]?[\\s>][^><]*′,′type′:′STATIC′,′risk′:15,′time′:′2008-10-29 01:46:34′},{′url′:
′http://maolin322.qizai.com/index_files/detail.js′,′info′:
′(?i)document\\.writel?n?\\s*\\(\\s*[″\′][^><]*\\<script[^><]*\\ssrc\\s*=\\s*[″\′]?\\s*′,′type′:′STATIC′,′risk′:3,′time′:′2008-10-29 01:46:36′},{′url′:
′http://%61%76%65%33%2E%63%6E′,′info′:
′(?i)\\<iframe[^><]*\\sheight\\s*=\\s*[″\′]?\\s*[0-9][\″′]?[\\s>][^><]*′,′type′:′STATIC′,′risk′:3,′time′:′2008-10-29 01:46:37′},{′url′:
′http://%61%76%65%33%2E%63%6E′,′info′:
′(?i)document\\.writel?n?\\s*\\(\\s*[″\′][^><]*\\<iframe[^><]*\\sheight\\s*=\\s*[″\′]?\\s*[0-9][\″′]?[\\s>][^><]*′,′type′:′STATIC′,′risk′:3,′time′:
′2008-10-2901:46:37′},{′url′:′http://%61%76%65%33%2E%63%6E′,′info′:′(?i)\\<iframe[^><]*\\sheight\\s*=\\s*[″\′]?\\s*[0-9][\″′]?[\\s>][^><]*′,′type′:′STATIC′,′risk′:3,′time′:′2008-10-29 01:46:37′},{′url′:
′http://%61%76%65%33%2E%63%6E′,′info′:
′(?i)document\\.writel?n?\\s*\\(\\s*[″\′][^><]*\\<iframe[^><]*\\sheight\\s*=\\s*[″\′]?\\s*[0-9][\″′]?[\\s>][^><]*′,′type′:′STATIC′,′risk′:3,′time′:
′2008-10-2901:46:37′},{′url′:′http://www.tznylsf.cn′,′info′:′outside′,′type′:′STATIC′,′risk′:3,′time′:′2008-10-29 01:46:37′},{′url′:
′http://www.qqaz1.cn′,′info′:′outside′,′ty
pe′:′STATIC′,′risk′:3,′time′:′2008-10-29 01:46:37′}]}
返回数据里面包含了起始URL,扫描开始时间,扫描结束时间,安全风险分值,匹配到的每条特征,发现时间以及挖掘出来的恶意地址。
Suburls表示不仅仅只是网站主URL会包含恶意代码特征,其下的子URL也有可能包含此类信息。里包含了当前页面包含的所有子url以及其特征信息,扫描开始时间,扫描结束时间,安全风险分值。
以对:http://www.kekenet.com/网站进行恶意代码识别为例:
爬虫程序获取并抓取了URL:http://www.kekenet.com/;
然后对该URL进行静态特征分析,由于该页面内部存在非本域名的动态脚本,所以会被判别为可疑,即存在危险特征,接着在蜜罐集群内进行动态行为分析。
所述动态行为分析进一步包括步骤:
40)基于对蜜罐集群所接受的URL进行判别的结果蜜罐集群中的蜜罐虚拟机启动沙箱;
41)沙箱开启浏览器且浏览器在其中访问所述URL;
42)沙箱在浏览器访问URL过程中记录浏览器行为;
43)沙箱分析所记录的浏览器行为并判断是否存在具有可能危害操作系统的操作。
当URL在静态扫描中的判定结果为可疑时,URL便被分发至蜜罐中进行动态行为分析。
蜜罐虚拟机启动沙箱,沙箱调用IE打开URL,并等待URL加载网页完毕或者是超过超时阈值便结束IE,将访问URL过程中的所有浏览器行为进行记录并予以分析,判定结果是否恶意。
分析的浏览器行为中假如触发以下任何一个函数则证明该网页存在恶意行为。
以下为函数列表,包括但不限于以下函数:
①打开系统服务:
OpenServiceA (参数为ascii形式)
OpenServiceW(参数为unicode形式)
②创建系统服务
CreateServiceA
CreateServiceW
③文件下载函数
URLDownloadToFileA
URLDownloadToFileW
本例在访问URL过程中浏览器产生了对c:\windows目录的写操作,试图创建文件xl.exe,这些行为会被记录并且判定为异常行为,所以该URL会被判别为恶意页面。同时通过对运行过程的记录进行分析,还能给出更进一步信息:
浏览器访问该页面时会从http://xin254536.3322.org:89/xl.exe地址下载程序到c:\windows并试图执行。
上例只是对一个URL进行恶意站点检测,当应用到更多个站点时本发明的效果越明显。
相应地,本发明恶意网站检测装置,包括:
获取单元1,用于获取要访问的URL;
抓取单元2,用于抓取所述URL所指向的页面;
静态分析单元3,用于对所抓取页面的数据进行静态特征分析;
动态分析单元4,用于如果静态分析单元3表明存在危险特征则在蜜罐集群内进行动态行为分析。
优选地,所述动态分析单元4还包括:
启动单元,基于对蜜罐集群所接受的URL进行判别的结果蜜罐集群中的蜜罐虚拟机启动沙箱;
沙箱,其包括:
开启单元,用于开启浏览器且浏览器在其中访问所述URL;
记录单元,用于在浏览器访问URL过程中记录浏览器行为;
分析单元,用于分析所记录的浏览器行为并判断是否存在具有可能危害操作系统的操作。
其中,所述浏览器行为包括浏览器应用层行为、系统层行为和内核层行为。
所述系统层行为包括文件创建、进程创建、注册表写入、异常网络事件、浏览器内存状况和应用异常事件。
所述内核层行为包括异常进程创建。
本发明恶意网站检测装置还包括用于如果所述蜜罐虚拟机在启动以来所接受的URL扫描请求次数超过阈值,或者蜜罐虚拟机运行时间超过预定的阈值,则重置所述蜜罐虚拟机的单元。
优选地,本发明恶意网站检测装置还包括用于如果所述蜜罐虚拟机中存在不允许在所述蜜罐虚拟机中存在的进程名则重置所述蜜罐虚拟机的单元。
由于本发明恶意网站检测装置的技术方案与本发明恶意网站检测方法的技术方案相对应,因此在此不再对本发明恶意网站检测装置的技术方案进行详述。
综上所述,本发明是对恶意网站数据检测技术上的创新。是对已有的非常成熟的软件虚拟机技术加以改进,构建了以软件虚拟机技术为基础的蜜罐集群。VM软件虚拟机技术可以利用磁盘空间,利用软件特性,通过文件的形式在磁盘空间中虚拟出一个极度仿真的操作系统环境出来。并可以设计出各种不同的虚拟环境出来(带有不同的配备参数)。由于需要对极大规模数据的检测,所以,单个的蜜罐系统是无法满足要求的。所以,在同一个磁盘空间内构建多个蜜罐系统来组成蜜罐集群再配以进程同步并发机理,以创造出一个与真实物理硬件完全一致的运行环境,再加以各种模拟来自于真实的网络的操作行为,对进行蜜罐集群的URLs进行安全检测和分析。
另外,本发明的对信息收集面的收集方式与众不同。出于对数据应用性的考虑,放弃了传统的从客户端数据的方式,而改为了从服务器端收集数据的方式,这就可以很好的保证可以为几乎全面可能的互联网应用者提供一个全面的网站安全检测。目前为止,还没有见到相类似的产品出现。
虽然上述已经结合附图描述了本发明的具体实施例,但是本领域技术人员在不脱离本发明的精神和范围的情况下,可以对本发明进行各种改变、修改和等效替代。这些改变、修改和等效替代都意为落入随附的权利要求所限定的精神和范围之内。
Claims (14)
1.一种恶意网站检测方法,其特征在于,包括步骤:
获取要访问的URL;
抓取所述URL所指向的页面;
对所抓取页面的数据进行静态特征分析;
如果静态特征分析表明存在危险特征,则在蜜罐集群内进行动态行为分析。
2.如权利要求1所述的恶意网站检测方法,其特征在于,所述动态行为分析进一步包括步骤:
基于对蜜罐集群所接受的URL进行判别的结果蜜罐集群中的蜜罐虚拟机启动沙箱;
沙箱开启浏览器且浏览器在其中访问所述URL;
沙箱在浏览器访问URL过程中记录浏览器行为;
沙箱分析所记录的浏览器行为并判断是否存在具有可能危害操作系统的操作。
3.如权利要求2所述的恶意网站检测方法,其特征在于,所述浏览器行为包括浏览器应用层行为、系统层行为和内核层行为。
4.如权利要求3所述的恶意网站检测方法,其特征在于,所述系统层行为包括文件创建、进程创建、注册表写入、异常网络事件、浏览器内存状况和应用异常事件。
5.如权利要求4所述的恶意网站检测方法,其特征在于,所述内核层行为包括异常进程创建。
6.如权利要求1至5任一项所述的恶意网站检测方法,其特征在于,还包括步骤:如果所述蜜罐虚拟机在启动以来所接受的URL扫描请求次数超过阈值,或者蜜罐虚拟机运行时间超过预定的阈值,则重置所述蜜罐虚拟机。
7.如权利要求6所述的恶意网站检测方法,其特征在于,还包括步骤:如果所述蜜罐虚拟机中存在不允许在所述蜜罐虚拟机中存在的进程名,则重置所述蜜罐虚拟机。
8.一种恶意网站检测装置,其特征在于,包括:
获取单元,用于获取要访问的URL;
抓取单元,用于抓取所述URL所指向的页面;
静态分析单元,用于对所抓取页面的数据进行静态特征分析;
动态分析单元,用于如果静态分析单元表明存在危险特征则在蜜罐集群内进行动态行为分析。
9.如权利要求8所述的恶意网站检测装置,其特征在于,所述动态分析单元还包括:
启动单元,基于对蜜罐集群所接受的URL进行判别的结果蜜罐集群中的蜜罐虚拟机启动沙箱;
沙箱,其包括:
开启单元,用于开启浏览器且浏览器在其中访问所述URL;
记录单元,用于在浏览器访问URL过程中记录浏览器行为;
分析单元,用于分析所记录的浏览器行为并判断是否存在具有可能危害操作系统的操作。
10.如权利要求9所述的恶意网站检测装置,其特征在于,所述浏览器行为包括浏览器应用层行为、系统层行为和内核层行为。
11.如权利要求10所述的恶意网站检测装置,其特征在于,所述系统层行为包括文件创建、进程创建、注册表写入、异常网络事件、浏览器内存状况和应用异常事件。
12.如权利要求11所述的恶意网站检测装置,其特征在于,所述内核层行为包括异常进程创建。
13.如权利要求8至12任一项所述的恶意网站检测装置,其特征在于,还包括用于如果所述蜜罐虚拟机在启动以来所接受的URL扫描请求次数超过阈值,或者蜜罐虚拟机运行时间超过预定的阈值,则重置所述蜜罐虚拟机的单元。
14.如权利要求13所述的恶意网站检测装置,其特征在于,还包括:用于如果所述蜜罐虚拟机中存在不允许在所述蜜罐虚拟机中存在的进程名则重置所述蜜罐虚拟机的单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010254173.8A CN102254111B (zh) | 2010-05-17 | 2010-08-12 | 恶意网站检测方法及装置 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010173877.2 | 2010-05-17 | ||
| CN2010101738772 | 2010-05-17 | ||
| CN201010173877 | 2010-05-17 | ||
| CN201010254173.8A CN102254111B (zh) | 2010-05-17 | 2010-08-12 | 恶意网站检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102254111A true CN102254111A (zh) | 2011-11-23 |
| CN102254111B CN102254111B (zh) | 2015-09-30 |
Family
ID=44981372
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010254173.8A Active CN102254111B (zh) | 2010-05-17 | 2010-08-12 | 恶意网站检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102254111B (zh) |
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102592086A (zh) * | 2011-12-28 | 2012-07-18 | 奇智软件(北京)有限公司 | 在沙箱中浏览网页方法及装置 |
| CN102609649A (zh) * | 2012-02-06 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种自动采集恶意软件的方法和装置 |
| CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN103345603A (zh) * | 2011-12-28 | 2013-10-09 | 北京奇虎科技有限公司 | 基于沙箱技术浏览网页的方法及装置 |
| CN103428183A (zh) * | 2012-05-23 | 2013-12-04 | 北京新媒传信科技有限公司 | 恶意网址的识别方法和装置 |
| CN103457916A (zh) * | 2012-06-01 | 2013-12-18 | 阿里巴巴集团控股有限公司 | 链接文件的管理方法和服务器 |
| CN103605794A (zh) * | 2013-12-05 | 2014-02-26 | 国家计算机网络与信息安全管理中心 | 一种网站分类方法 |
| CN103685189A (zh) * | 2012-09-17 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 网站安全评估方法及系统 |
| CN103902450A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种移动应用中广告件正常行为的分析方法及系统 |
| CN103905422A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及系统 |
| WO2014101783A1 (en) * | 2012-12-26 | 2014-07-03 | Tencent Technology (Shenzhen) Company Limited | Method and server for performing cloud detection for malicious information |
| CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
| CN104462962A (zh) * | 2013-09-13 | 2015-03-25 | 北京安赛创想科技有限公司 | 一种检测未知恶意代码和二进制漏洞的方法 |
| CN104580230A (zh) * | 2015-01-15 | 2015-04-29 | 广州唯品会信息科技有限公司 | 网站攻击验证方法及装置 |
| CN104598812A (zh) * | 2011-12-28 | 2015-05-06 | 奇智软件(北京)有限公司 | 在沙箱中浏览网页方法及装置 |
| CN105144767A (zh) * | 2013-04-12 | 2015-12-09 | Sk电信有限公司 | 用于检查消息的装置和方法以及用户终端 |
| CN105426758A (zh) * | 2015-12-18 | 2016-03-23 | 北京奇虎科技有限公司 | 一种虚拟机逃逸的防护方法及装置 |
| CN106022127A (zh) * | 2016-05-10 | 2016-10-12 | 江苏通付盾科技有限公司 | Apk文件安全检测方法及装置 |
| CN103763316B (zh) * | 2014-01-16 | 2016-10-26 | 中国联合网络通信集团有限公司 | 一种网页内容过滤的方法及运营商设备 |
| CN106055980A (zh) * | 2016-05-30 | 2016-10-26 | 南京邮电大学 | 一种基于规则的JavaScript安全性检测方法 |
| WO2016173327A1 (zh) * | 2015-04-28 | 2016-11-03 | 北京瀚思安信科技有限公司 | 用于检测网站攻击的方法和设备 |
| CN106209863A (zh) * | 2016-07-15 | 2016-12-07 | 河南山谷网安科技股份有限公司 | 一种基于全站扫描的网站安全监测方法 |
| CN106874765A (zh) * | 2017-03-03 | 2017-06-20 | 努比亚技术有限公司 | 一种恶意软件拦截方法、装置及终端 |
| CN107196960A (zh) * | 2017-06-27 | 2017-09-22 | 四维创智(北京)科技发展有限公司 | 一种基于沙箱技术的网马检测系统及其检测方法 |
| CN107332856A (zh) * | 2017-07-28 | 2017-11-07 | 腾讯科技(深圳)有限公司 | 地址信息的检测方法、装置、存储介质和电子装置 |
| CN107493303A (zh) * | 2017-09-28 | 2017-12-19 | 北京云衢科技有限公司 | 网络安全防护系统、网络安全防护方法以及存储介质 |
| WO2018024138A1 (zh) * | 2016-08-04 | 2018-02-08 | 腾讯科技(深圳)有限公司 | 检测恶意网址的方法、装置、终端以及计算机存储介质 |
| CN108563946A (zh) * | 2018-04-17 | 2018-09-21 | 广州大学 | 一种浏览器挖矿行为检测的方法、浏览器插件和系统 |
| CN108804278A (zh) * | 2017-05-04 | 2018-11-13 | 苏州睿途网络科技有限公司 | 一种软件监测系统及其商业模式 |
| CN109314698A (zh) * | 2016-02-23 | 2019-02-05 | 区块链控股有限公司 | 保护计算机网络与系统的抢占式响应安全系统 |
| CN109753796A (zh) * | 2018-12-07 | 2019-05-14 | 广东技术师范学院天河学院 | 一种大数据计算机网络安全防护装置及使用方法 |
| CN109995705A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
| US10404731B2 (en) | 2015-04-28 | 2019-09-03 | Beijing Hansight Tech Co., Ltd. | Method and device for detecting website attack |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110958263A (zh) * | 2019-12-13 | 2020-04-03 | 腾讯云计算(北京)有限责任公司 | 网络攻击检测方法、装置、设备及存储介质 |
| CN111125704A (zh) * | 2019-12-27 | 2020-05-08 | 北京安信天行科技有限公司 | 一种网页挂马识别方法及系统 |
| CN112134891A (zh) * | 2020-09-24 | 2020-12-25 | 上海观安信息技术股份有限公司 | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 |
| CN112769853A (zh) * | 2021-01-20 | 2021-05-07 | 付中野 | 一种互联网数据入侵检测方法及装置 |
| CN113591080A (zh) * | 2021-06-16 | 2021-11-02 | 盐城一方信息技术有限公司 | 一种计算机网络安全控制系统及控制方法 |
| CN114095234A (zh) * | 2021-11-17 | 2022-02-25 | 北京知道创宇信息技术股份有限公司 | 蜜罐生成方法、装置、服务器和计算机可读存储介质 |
| WO2023003565A1 (en) * | 2021-07-23 | 2023-01-26 | Hewlett-Packard Development Company, L.P. | Kill chain identifications |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008069945A2 (en) * | 2006-12-01 | 2008-06-12 | Websense, Inc. | System and method of analyzing web addresses |
| CN101425016A (zh) * | 2007-11-01 | 2009-05-06 | 珠海金山软件股份有限公司 | 运行安装软件的方法和系统 |
| CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
-
2010
- 2010-08-12 CN CN201010254173.8A patent/CN102254111B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008069945A2 (en) * | 2006-12-01 | 2008-06-12 | Websense, Inc. | System and method of analyzing web addresses |
| CN101425016A (zh) * | 2007-11-01 | 2009-05-06 | 珠海金山软件股份有限公司 | 运行安装软件的方法和系统 |
| CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 《计算机应用》 20070731 孙晓研等 "基于客户端蜜罐的恶意网页检测系统的设计与实现" 第1613-1615页 第27卷, 第7期 * |
| 孙晓研等: ""基于客户端蜜罐的恶意网页检测系统的设计与实现"", 《计算机应用》 * |
Cited By (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104598812B (zh) * | 2011-12-28 | 2017-11-21 | 奇智软件(北京)有限公司 | 在沙箱中浏览网页方法及装置 |
| CN103345603A (zh) * | 2011-12-28 | 2013-10-09 | 北京奇虎科技有限公司 | 基于沙箱技术浏览网页的方法及装置 |
| CN103345603B (zh) * | 2011-12-28 | 2016-08-10 | 北京奇虎科技有限公司 | 基于沙箱技术浏览网页的方法及装置 |
| CN104598812A (zh) * | 2011-12-28 | 2015-05-06 | 奇智软件(北京)有限公司 | 在沙箱中浏览网页方法及装置 |
| CN102592086B (zh) * | 2011-12-28 | 2015-04-15 | 奇智软件(北京)有限公司 | 在沙箱中浏览网页方法及装置 |
| CN102592086A (zh) * | 2011-12-28 | 2012-07-18 | 奇智软件(北京)有限公司 | 在沙箱中浏览网页方法及装置 |
| CN102609649A (zh) * | 2012-02-06 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种自动采集恶意软件的方法和装置 |
| CN102609649B (zh) * | 2012-02-06 | 2015-09-02 | 北京百度网讯科技有限公司 | 一种自动采集恶意软件的方法和装置 |
| CN103428183A (zh) * | 2012-05-23 | 2013-12-04 | 北京新媒传信科技有限公司 | 恶意网址的识别方法和装置 |
| CN103428183B (zh) * | 2012-05-23 | 2017-02-08 | 北京新媒传信科技有限公司 | 恶意网址的识别方法和装置 |
| CN103457916B (zh) * | 2012-06-01 | 2016-12-14 | 阿里巴巴集团控股有限公司 | 链接文件的管理方法和服务器 |
| CN103457916A (zh) * | 2012-06-01 | 2013-12-18 | 阿里巴巴集团控股有限公司 | 链接文件的管理方法和服务器 |
| CN103685189A (zh) * | 2012-09-17 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 网站安全评估方法及系统 |
| CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN102930210B (zh) * | 2012-10-14 | 2015-11-25 | 江苏金陵科技集团有限公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| WO2014101783A1 (en) * | 2012-12-26 | 2014-07-03 | Tencent Technology (Shenzhen) Company Limited | Method and server for performing cloud detection for malicious information |
| CN105144767B (zh) * | 2013-04-12 | 2019-07-02 | Sk电信有限公司 | 用于检查消息的装置和方法以及用户终端 |
| CN105144767A (zh) * | 2013-04-12 | 2015-12-09 | Sk电信有限公司 | 用于检查消息的装置和方法以及用户终端 |
| CN104462962A (zh) * | 2013-09-13 | 2015-03-25 | 北京安赛创想科技有限公司 | 一种检测未知恶意代码和二进制漏洞的方法 |
| CN103605794B (zh) * | 2013-12-05 | 2017-02-15 | 国家计算机网络与信息安全管理中心 | 一种网站分类方法 |
| CN103605794A (zh) * | 2013-12-05 | 2014-02-26 | 国家计算机网络与信息安全管理中心 | 一种网站分类方法 |
| CN103905422A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种本地模拟请求辅助查找webshell的方法及系统 |
| CN103902450B (zh) * | 2013-12-25 | 2017-09-29 | 武汉安天信息技术有限责任公司 | 一种移动应用中广告件正常行为的分析方法及系统 |
| CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
| CN103902450A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种移动应用中广告件正常行为的分析方法及系统 |
| CN103763316B (zh) * | 2014-01-16 | 2016-10-26 | 中国联合网络通信集团有限公司 | 一种网页内容过滤的方法及运营商设备 |
| CN104580230B (zh) * | 2015-01-15 | 2017-12-08 | 广州品唯软件有限公司 | 网站攻击验证方法及装置 |
| CN104580230A (zh) * | 2015-01-15 | 2015-04-29 | 广州唯品会信息科技有限公司 | 网站攻击验证方法及装置 |
| US10404731B2 (en) | 2015-04-28 | 2019-09-03 | Beijing Hansight Tech Co., Ltd. | Method and device for detecting website attack |
| WO2016173327A1 (zh) * | 2015-04-28 | 2016-11-03 | 北京瀚思安信科技有限公司 | 用于检测网站攻击的方法和设备 |
| CN105426758A (zh) * | 2015-12-18 | 2016-03-23 | 北京奇虎科技有限公司 | 一种虚拟机逃逸的防护方法及装置 |
| CN105426758B (zh) * | 2015-12-18 | 2018-07-27 | 北京奇虎科技有限公司 | 一种虚拟机逃逸的防护方法及装置 |
| CN109314698A (zh) * | 2016-02-23 | 2019-02-05 | 区块链控股有限公司 | 保护计算机网络与系统的抢占式响应安全系统 |
| CN106022127A (zh) * | 2016-05-10 | 2016-10-12 | 江苏通付盾科技有限公司 | Apk文件安全检测方法及装置 |
| CN106055980B (zh) * | 2016-05-30 | 2018-12-11 | 南京邮电大学 | 一种基于规则的JavaScript安全性检测方法 |
| CN106055980A (zh) * | 2016-05-30 | 2016-10-26 | 南京邮电大学 | 一种基于规则的JavaScript安全性检测方法 |
| CN106209863A (zh) * | 2016-07-15 | 2016-12-07 | 河南山谷网安科技股份有限公司 | 一种基于全站扫描的网站安全监测方法 |
| WO2018024138A1 (zh) * | 2016-08-04 | 2018-02-08 | 腾讯科技(深圳)有限公司 | 检测恶意网址的方法、装置、终端以及计算机存储介质 |
| US11063962B2 (en) | 2016-08-04 | 2021-07-13 | Tencent Technology (Shenzhen) Company Limited | Malicious URL detection method and apparatus, terminal, and computer storage medium |
| CN106874765A (zh) * | 2017-03-03 | 2017-06-20 | 努比亚技术有限公司 | 一种恶意软件拦截方法、装置及终端 |
| CN108804278A (zh) * | 2017-05-04 | 2018-11-13 | 苏州睿途网络科技有限公司 | 一种软件监测系统及其商业模式 |
| CN107196960A (zh) * | 2017-06-27 | 2017-09-22 | 四维创智(北京)科技发展有限公司 | 一种基于沙箱技术的网马检测系统及其检测方法 |
| CN107332856A (zh) * | 2017-07-28 | 2017-11-07 | 腾讯科技(深圳)有限公司 | 地址信息的检测方法、装置、存储介质和电子装置 |
| CN107493303A (zh) * | 2017-09-28 | 2017-12-19 | 北京云衢科技有限公司 | 网络安全防护系统、网络安全防护方法以及存储介质 |
| CN109995705A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
| CN108563946A (zh) * | 2018-04-17 | 2018-09-21 | 广州大学 | 一种浏览器挖矿行为检测的方法、浏览器插件和系统 |
| CN109753796A (zh) * | 2018-12-07 | 2019-05-14 | 广东技术师范学院天河学院 | 一种大数据计算机网络安全防护装置及使用方法 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110958263A (zh) * | 2019-12-13 | 2020-04-03 | 腾讯云计算(北京)有限责任公司 | 网络攻击检测方法、装置、设备及存储介质 |
| CN110958263B (zh) * | 2019-12-13 | 2022-07-12 | 腾讯云计算(北京)有限责任公司 | 网络攻击检测方法、装置、设备及存储介质 |
| CN111125704B (zh) * | 2019-12-27 | 2022-06-28 | 北京安信天行科技有限公司 | 一种网页挂马识别方法及系统 |
| CN111125704A (zh) * | 2019-12-27 | 2020-05-08 | 北京安信天行科技有限公司 | 一种网页挂马识别方法及系统 |
| CN112134891A (zh) * | 2020-09-24 | 2020-12-25 | 上海观安信息技术股份有限公司 | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 |
| CN112134891B (zh) * | 2020-09-24 | 2022-11-04 | 上海观安信息技术股份有限公司 | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 |
| CN112769853A (zh) * | 2021-01-20 | 2021-05-07 | 付中野 | 一种互联网数据入侵检测方法及装置 |
| CN113591080A (zh) * | 2021-06-16 | 2021-11-02 | 盐城一方信息技术有限公司 | 一种计算机网络安全控制系统及控制方法 |
| WO2023003565A1 (en) * | 2021-07-23 | 2023-01-26 | Hewlett-Packard Development Company, L.P. | Kill chain identifications |
| CN114095234A (zh) * | 2021-11-17 | 2022-02-25 | 北京知道创宇信息技术股份有限公司 | 蜜罐生成方法、装置、服务器和计算机可读存储介质 |
| CN114095234B (zh) * | 2021-11-17 | 2023-10-13 | 北京知道创宇信息技术股份有限公司 | 蜜罐生成方法、装置、服务器和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102254111B (zh) | 2015-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102254111B (zh) | 恶意网站检测方法及装置 | |
| US11783029B2 (en) | Methods and apparatus to improve feature engineering efficiency with metadata unit operations | |
| CN103679031A (zh) | 一种文件病毒免疫的方法和装置 | |
| KR102362516B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
| EP3745292A1 (en) | Hidden link detection method and apparatus for website | |
| US11916937B2 (en) | System and method for information gain for malware detection | |
| CN103716394A (zh) | 下载文件的管理方法及装置 | |
| CN105205398B (zh) | 一种基于apk加壳软件动态行为的查壳方法 | |
| CN115150261B (zh) | 告警分析的方法、装置、电子设备及存储介质 | |
| KR102396237B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| CN105760761A (zh) | 软件行为分析方法和装置 | |
| KR20230103275A (ko) | 사이버 보안 위협 정보 처리 장치, 사이버 보안 위협 정보 처리 방법 및 사이버 보안 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| US9646157B1 (en) | Systems and methods for identifying repackaged files | |
| US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| WO2023072002A1 (zh) | 开源组件包的安全检测方法及装置 | |
| KR102411383B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| CN116932381A (zh) | 小程序安全风险自动化评估方法及相关设备 | |
| CN114417349A (zh) | 攻击结果判定方法、装置、电子设备及存储介质 | |
| JP7180765B2 (ja) | 学習装置、判定装置、学習方法、判定方法、学習プログラムおよび判定プログラム | |
| EP3799367A1 (en) | Generation device, generation method, and generation program | |
| CN107239703B (zh) | 一种动态链接库缺失的可执行程序的动态分析方法 | |
| KR102447279B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| KR102447280B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| KR102447278B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing 100102 Patentee after: Beijing Zhichuangyu Information Technology Co., Ltd. Address before: 100000 Beijing Haidian District West Third Ring North Road, No. 27, No. 2 Building, No. 4 Gate 403 Patentee before: Beijing Knows Chuangyu Information Technology Co.,Ltd. |