CN102571812A - 一种网络威胁的跟踪识别方法及装置 - Google Patents
一种网络威胁的跟踪识别方法及装置 Download PDFInfo
- Publication number
- CN102571812A CN102571812A CN2012100291563A CN201210029156A CN102571812A CN 102571812 A CN102571812 A CN 102571812A CN 2012100291563 A CN2012100291563 A CN 2012100291563A CN 201210029156 A CN201210029156 A CN 201210029156A CN 102571812 A CN102571812 A CN 102571812A
- Authority
- CN
- China
- Prior art keywords
- url
- address
- threat
- source
- tabulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供一种网络威胁的跟踪识别方法及装置,所述方法包括:获取网络数据;确定网络数据中的统一资源定位符URL,以及访问URL的源端IP地址;将所获取的网络数据中的URL及访问URL的源端IP地址与预置的威胁跟踪列表中的数据进行匹配;其中,预置的威胁跟踪列表中保存有已知的被感染IP地址及恶意URL;若在获取的URL中匹配到有相同的URL,则将访问过匹配到的URL的源端IP地址确定为被感染IP地址;若在获取的源端IP地址中匹配到有相同的IP地址,则将匹配到的源端IP地址所访问的URL进行检测分析,得到存在威胁的URL。本发明解决用户网络访问不安全的技术问题,提高了用户访问网络数据的安全性。
Description
本申请要求于2011年12月31日提交中国专利局、申请号为201110459214.1、发明名称为“一种支持多受控端口的访问控制方法、装置及系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明涉及计算机网络技术领域,特别涉及一种网络威胁的跟踪识别方法及装置。
背景技术
随着计算机技术和网络技术的不断发展和应用,计算机和网络已成为人们生活和工作中所必须的工具。与此同时,计算机病毒对计算机及网络的攻击也与日俱增,破坏性日益严重。
目前,针对计算机病毒的防护,一种是:需要在用户端(如计算机,智能手机等)安装病毒防护软件,病毒防护软件对运行在计算机上的恶意软件或代码进行查杀,主要是通过病毒特征匹配技术来查找已知病毒,而对于匹配不成功的病毒特征(即可能是未知的新病毒),只能向用户提示,用户需要提取该病毒特征的可疑样本,并将可疑样本提交给防病毒厂商进行分析处理,如果防病毒厂商经过处理确认是病毒,则由防病毒厂商提取该病毒特征,并提交到病毒库中,再通过病毒库升级的方式将新的病毒特征更新到该用户本地,进行新病毒的查杀。但是,在对未知新病毒的样本提取方面,由于用户没有相关领域的知识,提交的未知病毒样本的质量通常情况下都会存在问题。因此,安装防病毒软件只对受到威胁的用户终端的安全进行防护,并不能对病毒传染源进行有效的跟踪处理。
另一种是:蜜罐技术,通过在互联网上部署一些蜜罐,被动的等待攻击者对其发动攻击。在捕获到攻击信息时,进行记录与分析。最后,将各个蜜罐收集到的攻击信息加以汇总,从而形成僵尸网络的拓扑信息。但是,这种被动的等待攻击者对蜜罐发动攻击,同时受蜜罐数量,部署位置的影响。
因此,在对现有技术的研究和实践过程中,本发明的发明人发现,现有的实现方式中,只保护受保护对象免受威胁,但不对威胁来源,以及该威胁对其他用户终端可能产生的危害进行跟踪分析。
发明内容
本发明实施例提供一种网络威胁的跟踪识别方法及装置,以解决现有技术中只保护受保护对象免受威胁,不对威胁来源进行跟踪分析,导致其他用户网络访问不安全的技术问题。
为解决上述技术问题,本发明实施例提供一种网络威胁的跟踪识别方法,所述方法包括:
获取网络数据;
获取所述网络数据中的统一资源定位符URL,获取所述网络数据中的访问URL的源端IP地址;
将所获取的网络数据中的URL及所述源端IP地址与预置的威胁跟踪列表中的数据进行匹配;其中,所述预置的威胁跟踪列表中保存有已知的被感染IP地址及恶意URL;
若在所述获取的URL中匹配到有相同的URL,则将访问过所述匹配到的URL的源端IP地址确定为被感染IP地址;
若在所述获取的源端IP地址中匹配到有相同的IP地址,则将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,得到存在威胁的URL。
本发明实施例还提供一种网络威胁的跟踪识别方法,所述方法包括:
获取网络数据;
获取所述网络数据中的统一资源定位符URL;
将所述获取的URL与预置的威胁跟踪列表中的数据进行匹配,如果所述获取的URL匹配到有相同的URL,将访问过所述存在威胁的URL的源端IP地址确定为被感染IP地址;其中,所述预置的威胁跟踪列表中保存有已知的恶意URL。
相应的,本发明实施例提供一种网络威胁的跟踪识别装置,所述装置包括:
获取单元,用于获取网络数据;
第一确定单元,用于获取所述网络数据中的统一资源定位符URL,获取所述网络数据中的访问URL的源端IP地址;
匹配单元,用于将所获取的网络数据中的URL及所述源端IP地址与预置的威胁跟踪列表中的数据进行匹配,其中,所述预置的威胁跟踪列表中保存有已知的被感染IP地址及恶意URL;
第二确定单元,用于在所述匹配单元匹配到有相同的URL时,将访问过所述匹配到的URL的源端IP地址确定为被感染IP地址;
检测单元,用于在所述匹配单元匹配到有相同的IP地址时,将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,得到存在威胁的URL。
由上述公开的技术方案可知,本发明实施例依据对已掌握的传染源(马源,被挂马网站等)进行跟踪,找出网络数据中的统一资源定位符URL,以及访问所述URL的源端IP地址,对所述URL和访问所述URL的源端IP地址进行跟踪、排查,发现新的传染源和被感染者。重复上述过程,就可以形成一张庞大的威胁网络。通过对该威胁网络的持续跟踪,获得当前网络威胁状态,即发现已知和未知的威胁,从而形成网络威胁的整体安全态势和发展趋势,为安全厂商和普通用户提供帮助。
附图说明
图1为本发明实施例提供的一种网络威胁的跟踪识别方法的流程图;
图2为本发明实施例提供的一种网络威胁的跟踪识别方法的应用实例的流程图;
图3为本发明实施例提供的一种网络威胁的跟踪识别装置的结构示意图;
图4为本发明实施例提供的一种检测系统的结构示意图;
图5为本发明提供的一种以木马类威胁为例的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例的方案,下面结合附图和实施方式对本发明实施例作进一步的详细说明。
请参阅图1,为本发明实施例提供的一种网络威胁的跟踪识别方法的流程图;所述方法包括:
步骤101:获取网络数据;
该步骤中,检测系统或者检测系统中的分析服务器可以捕获网络设备(比如路由器或网关)上的网络数据,但并不限于此,也可以是终端、服务器上的网络数据等。或者,采用镜像的方式,从网络设备(比如路由器,网关等)处获取网络数据包。
步骤102:获取所述网络数据中的统一资源定位符URL,获取所述网络数据中的访问URL的源端IP地址;
其中,获取的所述网络数据访问的URL的源端IP地址,可以是访问所获取的网络数据包中的URL的源端IP地址,也可以不是,本发明实施例对此不做限定。
可以对所述网络数据进行提取,去重,得到URL,以及访问所述URL的用户IP地址,即源端IP地址。在步骤102中,得到的URL,可能是恶意URL,也可能是正常的URL,而得到的源端IP地址,可能是被感染者的IP地址,也可能是正常用户的IP地址。
然后,对所述URL以及访问所述URL的源端IP地址与已知的威胁跟踪列表中的传染源(例如被挂马网站等)进行关联分析,找出被感染者。其中,已知的威胁跟踪列表中,可以包括被感染的源端IP地址,也可以包括恶意URL,还可以包括恶意URL所属的网站的域名等,也就是说,已知的威胁跟踪列表中可以至少包括被感染的源端IP地址、恶意URL和恶意URL所属的网站的域名之一,还可以所述三个要素都包括,或只包括其中两个要素。
即,对已掌握的传染源(比如马源,被挂马网站等)进行跟踪,找出被感染者,具体如步骤103所述。
步骤103:将所获取的网络数据中的URL及所述源端IP地址与预置的威胁跟踪列表中的数据进行匹配;其中,所述预置的威胁跟踪列表中保存有已知的被感染IP地址及恶意URL;
步骤104:若在所述获取的URL中匹配到有相同的URL,则将访问过所述匹配到的URL的源端IP地址确定为被感染IP地址;若在所述获取的源端IP地址中匹配到有相同的IP地址,则将匹配到的源端IP地址所访问的URL进行是否是威胁URL的检测分析,得到存在威胁的URL。
其中,在该步骤103和步骤104中,在实际引用中,可以将获取网络数据中的URL与预置的威胁跟踪列表中的数据进行匹配,如果匹配到有相同的URL,则将访问过所述匹配到的URL的源端IP地址确定为被感染IP地址;
也可以将获取网络数据中的访问所述URL的源端IP地址与预置的威胁跟踪列表中的数据进行匹配,如果匹配到有相同的IP地址,将匹配到的源端IP地址所访问的URL进行检测分析,得到存在威胁的URL;
当然,也可以同时执行上述两个过程,本实施例不作限制。
其中,在上述过程中,所述将匹配到的源端IP地址所访问的URL进行是否是威胁URL的检测分析,包括:若所述匹配到的源端IP地址所访问的URL,在所述威胁跟踪列表中已经存在,则判断在所述威胁跟踪列表中,是否存在所述匹配到的源端IP地址所访问的URL的上线链接Referr URL,如果否,则对所述Referr URL进行安全检测分析,得到存在威胁的URL。
其中,在该实施例中,对于URL的上线链接Referr URL,可以理解为:如果用户A先访问网页地址1,并通过网页地址1的超链接访问网页地址2,在该过程中,网页地址2为URL,网页地址1为所述URL的上线链接Referr URL。
在上述过程中,所述将匹配到的源端IP地址所访问的URL进行是否是威胁URL的检测分析,还可以包括:若所述匹配到的源端IP地址所访问的URL在所述威胁跟踪列表中不存在,则将匹配到的源端IP地址所访问的URL进行安全检测分析,得到存在威胁的URL。
优选的,所述方法还可以包括:若所述匹配到的源端IP地址所访问的URL,在所述威胁跟踪列表中已经存在,则更新所述匹配到的源端IP地址所访问的URL在所述威胁跟踪列表中的统计次数,统计信息是为了管理员很明显的看到网络病毒的发展态势,知道哪个病毒最近传播很厉害等情况。
其中,对所述Referr URL或URL进行安全检测分析,得到存在威胁的URL,包括:向检测服务器发送对所述URL或所述URL的上线链接ReferrURL进行安全检测分析的请求,以便于检测服务器利用杀毒软件对所述URL或所述上线链接Referr URL中的URL进行深度检测分析,得到存在威胁的URL;接收所述检测服务器发送的包括存在威胁的URL的响应。
在上述实施例中,为了能更好的跟踪和排查传染源和被感染者,所述方法还可以包括:将所述得到的存在威胁的URL添加到所述威胁跟踪列表中;将确定为被感染IP地址添加到所述威胁跟踪列表中。
本发明实施例中,依据对已掌握的传染源(马源,被挂马网站等)进行跟踪,找出网络数据中的统一资源定位符URL,以及访问所述URL的源端IP地址,对所述URL和访问所述URL的源端IP地址进行跟踪、排查,发现新的传染源和被感染者。重复上述过程,就可以形成一张庞大的威胁网络。通过对该威胁网络的持续跟踪,获得当前网络威胁状态,即发现已知和未知的威胁,从而形成网络威胁的整体安全态势和发展趋势,为安全厂商和普通用户提供帮助。
进一步,为了使威胁跟踪列表的传染源和被感染者处于最新状态,在对这些被感染者的访问或恶意URL的被访问行为进行跟踪,排查后,发现新的传染源和被感染者,并将得到新的传染源和被感染者记录在威胁跟踪列表中。从而为安全厂商和普通用户提供帮助。
另外,本发明实施例还提供一种网络威胁的跟踪识别方法,所述方法包括:获取网络数据;获取所述网络数据中的统一资源定位符URL;将所述获取的URL与预置的威胁跟踪列表中的数据进行匹配,如果所述获取的URL匹配到有相同的URL,将访问过所述存在威胁的URL的源端IP地址确定为被感染IP地址;其中,所述预置的威胁跟踪列表中保存有已知的恶意URL。
相应的,本发明实施例还提供一种网络威胁的跟踪识别方法,所述方法包括:获取网络数据;确定所述网络数据中的统一资源定位符URL,以及访问所述URL的源端IP地址;将所述URL与预置的威胁跟踪列表中的数据进行匹配,如果所述URL存在威胁跟踪列表中,则通过对所述URL的上线链接Referr URL进行安全检测分析,获取存在威胁的URL;和/或,将所述源端IP地址与预置的威胁跟踪列表中的数据进行匹配,如果所述源端IP地址存在威胁跟踪列表中,则通过对所述源端IP地址访问的所述URL或访问的所述URL的上线链接Referr URL进行检测,获取存在威胁的URL。
其中,在该实施例中,对于URL的上线链接Referr URL,可以理解为:如果用户A先访问网页地址1,并通过网页地址1的超链接访问网页地址2,在该过程中,网页地址2为URL,网页地址1为所述URL的上线链接Referr URL。
也就是说,该步骤中,对这些被感染者的访问或恶意URL的被访问行为进行跟踪,排查,从而发现新的传染源和被感染者,并将新的传染源和被感染者的URL添加到所述威胁跟踪列表中,其中,跟踪。排查分析的过程包括多种情况,本实施例以下述情况为例,但并不限于此:
第一情况为:如果所述源端IP地址存在威胁跟踪列表的被感染者列表中,且所述URL不存在威胁跟踪列表的恶意列表中,则通过检测服务器对所述URL进行检测分析,获取存在威胁的URL;
第二情况为:如果所述源端IP地址存在威胁跟踪列表的被感染者列表中,且所述URL存在威胁跟踪列表的恶意列表中,则更新所述恶意列表中的URL的统计次数,并在恶意列表中判定不存在所述URL的上线链接Referr URL时,通过检测服务器对所述Referr URL中的URL进行安全检测分析,获取存在威胁的URL;
第三情况为:如果所述源端IP地址不存在威胁跟踪列表的被感染者列表中,且所述URL存在威胁跟踪列表的恶意列表中,则将所述源端IP地址添加到所述被感染者列表中,并在所述恶意列表中判定不存在所述URL的上线链接Referr URL时,通过检测服务器对上线链接Referr URL中的URL进行安全检测分析,获取存在威胁的URL。
优选的,在上述三种情况中,所述通过检测服务器对所述URL进行安全检测分析或者对所述URL的上线链接Referr URL进行安全检测分析,获取存在威胁的URL,具体包括:向所述检测服务器发送对所述URL或所述URL的上线链接Referr URL进行安全检测分析的请求,以便于检测服务器利用杀毒软件对所述URL或所述上线链接Referr URL中的URL进行深度检测分析,得到存在威胁的URL;接收所述检测服务器发送的包括存在威胁的URL的响应。
优选的,在上述实施例中,为了判断存在URL是否为恶意的URL,所述方法还可以进一步包括:判定所述存在威胁的URL是否为恶意URL,如果是,则将所述存在威胁的URL添加到所述恶意列表中。
优选的,在上述实施例中,为了能更好的跟踪和排查传染源和被感染者,所述方法还可以包括:将所述存在威胁的URL所属的网站的域名添加到所述威胁跟踪列表中的被感染域名列表中。也就是说,威胁跟踪列表除了包括被感染者列表和恶意列表,还可以包括被感染域名列表。
也就是说,当有用户访问该存在威胁的URL所属的网站时,就对访问该网站的每位用户的IP地址和URL分别进行跟踪和排查,从而发现新的传染源和被感染者。
本发明实施例中,依据对已掌握的传染源(马源,被挂马网站等)进行跟踪,找出网络数据中的统一资源定位符URL,以及访问所述URL的源端IP地址,对所述URL和访问所述URL的源端IP地址进行跟踪、排查,发现新的传染源和被感染者。重复上述过程,就可以形成一张庞大的威胁网络。通过对该威胁网络的持续跟踪,获得当前网络威胁状态,即发现已知和未知的威胁,从而形成网络威胁的整体安全态势和发展趋势,为安全厂商和普通用户提供帮助。
进一步,为了使威胁跟踪列表的传染源和被感染者处于最新状态,在对这些被感染者的访问或恶意URL的被访问行为进行跟踪,排查后,发现新的传染源和被感染者,并将得到新的传染源和被感染者记录在威胁跟踪列表中。从而为安全厂商和普通用户提供帮助。
还请参阅图2,为本发明实施例提供的一种网络威胁的跟踪识别方法的应用实例的流程图,包括:
步骤201:捕获网络数据;
可以捕获网络设备(比如路由器或网关)上的网络数据;
步骤202:提取所述网络数据中的统一资源定位符URL,以及访问所述URL的源端IP地址;
其中,源端IP地址,即为访问所述URL用户的IP地址,比如A访问B,即源端IP地址为A侧的IP地址。
步骤203:判断所述源端IP地址是否在被感染者列表中,如果是,执行步骤204;否则,执行步骤212;
也就是说,在该步骤中,判断确定所述网络数据中的访问所述URL的源端IP地址是否与在预置的威胁跟踪列表中。
步骤204:判断所述URL是否在恶意列表中,如果是,执行步骤205;否则,执行步骤208;
步骤205:更新所述恶意列表中的URL的统计信息;
步骤206:继续判断在恶意列表中是否存在所述URL的上线链接(ReferrURL);如果否,执行步骤207;如果是则执行步骤211,即结束;
步骤207:通过检测服务器对所述URL的上线链接(Referr URL)的URL进行深度检测分析,获取存在威胁的URL;
在该步骤中,可以向所述检测服务器发送对所述URL的上线链接进行安全检测分析的请求,所述检测服务器再接收到该请求时,利用杀毒软件对所述上线链接Referr URL中的URL进行深度检测分析,得到存在威胁的URL;并将存储威胁的URL发送给检测系统中的分析服务器,即分析服务器接收所述检测服务器发送的包括存在威胁的URL的响应。
步骤208:通过检测服务器对所述URL进行深度检测分析,获取存在威胁的URL;
在该步骤中,可以向所述检测服务器发送对所述URL进行安全检测分析的请求,所述检测服务器再接收到该请求时,利用杀毒软件对所述URL进行深度检测分析,得到存在威胁的URL;并将存储威胁的URL发送给检测系统中的分析服务器,即分析服务器接收所述检测服务器发送的包括存在威胁的URL的响应。
步骤209:判断所述存在威胁的URL是否为恶意URL,如果是,执行步骤210;否则执行步骤211;
该步骤209中,对分别判断步骤207和步骤208中的存在威胁的URL是否为恶意URL。
步骤210:将所述存在威胁的URL添加到恶意列表中,结束;
步骤211:结束;
步骤212:判断所述URL是否在恶意列表中,如果是,执行步骤213;否则,执行步骤218;
步骤213:将所述源端IP地址添加到被感染者列表中;
步骤214:判断恶意列表中是否存在所述URL的上线链接(Referr URL),如果否,执行步骤215;如果是,则执行步骤218;
步骤215:通过检测服务器对所述Referr URL中的URL进行深度检测分析,获取存在威胁的URL;
步骤216:判断所述存在威胁的URL是否为恶意URL,如果是,执行步骤217;否则执行步骤218;
其中,步骤216中存在威胁的URL为步骤215中所述Referr URL中的URL。
步骤217:将所述存在威胁的URL加入到恶意列表中;
步骤218:结束。
在上述实施例中,在步骤217和步骤210之后,为了能更好的跟踪和排查传染源和被感染者,所述方法还可以包括:将所述存在威胁的URL所属的网站的域名添加到所述威胁跟踪列表中的被感染域名列表中。
也就是说,威胁跟踪列表至少可以包括下述之一:被感染者列表,用来存储被感染者的IP地址;恶意列表,用于存储恶意的URL;被感染域名列表,用于存储恶意的URL所属网站的域名,当然,也可以存储感染网站的域名。但并不限于此,也可以根据情况适应增加其他的列表,本实施例不作限制。
基于上述方法的实现过程,本发明实施例还提供一种网络威胁的跟踪识别装置,其结构示意图详见图3,所述装置包括:获取单元31,第一确定单元32,匹配单元33、第二确定单元34和检测单元35。其中,
所述获取单元31,用于获取网络数据;所述第一确定单元32,用于获取所述网络数据中的统一资源定位符URL,获取所述网络数据中的访问URL的源端IP地址;所述匹配单元33,用于将所获取的网络数据中的URL及所述源端IP地址与预置的威胁跟踪列表中的数据进行匹配,其中,所述预置的威胁跟踪列表中保存有已知的被感染IP地址及恶意URL;所述第二确定单元34,用于在所述匹配单元匹配到有相同的URL时,将访问过所述匹配到的URL的源端IP地址确定为被感染IP地址;所述检测单元35,用于在所述匹配单元匹配到有相同的IP地址时,将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,得到存在威胁的URL。
其中,所述检测单元包括:第一判断单元,第二判断单元和第一安全检测分析单元,其中,所述第一判断单元,用判断所述威胁跟踪列表是否存在匹配到源端IP地址所访问的URL,并发送判断结果;所述第二判断单元,用于在接收到所述第一判断单元发送的存在匹配到源端IP地址所访问的URL的判断结果时,继续判断所述威胁跟踪列表中是否存在所述匹配到的源端IP地址所访问的URL的上线链接Referr URL,并发送判断结果;所述第一安全检测分析单元,用于在接收到所述第二判断单元发送的不存在所述上线链接Referr URL的判断结果时,对所述Referr URL进行安全检测分析,得到存在威胁的URL。
优选的,所述检测单元还可以包括:第二安全检测分析单元,用于在接收到所述第一判断单元发送的不存在源端IP地址所访问的URL的判断结果时,将匹配到的源端IP地址所访问的URL进行检测,得到存在威胁的URL。
优选的,所述装置还可以包括:更新单元,用于在接收到所述第一判断单元发送的存在匹配到源端IP地址所访问的URL的判断结果时,更新所述匹配到的源端IP地址所访问的URL在所述威胁跟踪列表中的统计次数。
优选的,所述装置还可以包括:添加单元,用于将所述检测单元、第一安全检测分析单元和/或第二安全检测分析单元得到的存在威胁的URL添加到所述威胁跟踪列表中;以及,将所述第二确定单元确定为被感染IP地址添加到所述威胁跟踪列表中。
所述装置中各个单元的功能和作用的实现过程详见上述,在此不再赘述。
相应的,本发明实施例还提供一种网络威胁的跟踪识别装置,所述装置包括:获取单元、确定单元、第一匹配单元和第一检测单元;或者,获取单元、确定单元、第二匹配单元和第二检测单元;或者,获取单元、确定单元、第一匹配单元、第一检测单元、第二匹配单元和第二检测单元,其中,
所述获取单元,用于获取网络数据;所述确定单元,用于确定所述网络数据中的统一资源定位符URL,以及访问所述URL的源端IP地址;所述第一匹配单元,用于将所述确定单元确定的URL与预置的威胁跟踪列表中的数据进行匹配,并发送匹配结果;所述第一检测单元,用于在接收到所述第一匹配单元发送的所述URL存在威胁跟踪列表中的判断结果时,通过对所述URL的上线链接Referr URL进行检测分析,获取存在威胁的URL;所述第二匹配单元,用于将所述确定单元确定的源端IP地址与预置的威胁跟踪列表中的数据进行匹配,并发送匹配结果;所述第二检测单元,用于在接收到所述第二匹配单元发送的所述源端IP地址存在威胁跟踪列表中的判断结果时,通过对所述源端IP地址访问的所述URL或访问的所述URL的上线链接ReferrURL进行检测,获取存在威胁的URL。
优选的,在上述实施例中,所述装置还可以包括:更新单元,用于将所述第一检测单元和第二检测单元获取存在威胁的URL添加到所述恶意列表中。
优选的,在上述实施例中,为了能更好的跟踪和排查传染源和被感染者,所述更新单元,还用于将所述存在威胁的URL所属的网站的域名添加到所述威胁跟踪列表中的被感染域名列表中。
相应的,本发明实施例还提供一种检测系统,其结构示意图详见图4,所述系统包括:分析服务器41和检测服务器42,其中,
所述分析服务器41,用于获取网络数据;确定所述网络数据中的统一资源定位符URL,以及访问所述URL的源端IP地址;将所获取的网络数据中的URL及访问所述URL的源端IP地址与预置的威胁跟踪列表中的数据进行匹配;其中,所述预置的威胁跟踪列表中保存有已知的被感染IP地址及恶意URL;若在所述获取的URL中匹配到有相同的URL,则将访问过所述匹配到的URL的源端IP地址确定为被感染IP地址,若在所述获取的源端IP地址中匹配到有相同的IP地址,则将匹配到的源端IP地址所访问的URL发送给检测服务器,以及在接收所述检测服务器反馈的存在威胁的URL时,得到存在威胁的URL;
所述检测服务器42,用于在接收到所述分析服务器发送的匹配到的源端IP地址所访问的URL时,对所述匹配到的源端IP地址所访问的URL或所述URL的上线链接的URL进行安全检测分析,得到存在威胁的URL,并将存在威胁的URL发送给所述分析服务器。
优选的,所述分析服务器41包括网络威胁的跟踪识别装置,所述网络威胁的跟踪识别装置:获取单元411,第一确定单元412,匹配单元413、第二确定单元414和检测单元415,其具体的功能和作用详见上述,在此不在赘述。
当然,所述网络威胁的跟踪识别装置除了包括上述单元外,还可以包括:判断单元,用于判定所述存在威胁的URL是否为恶意URL,并将是恶意URL的判断结果发送给更新单元;所述更新单元,还用于在接收到判断单元发送的是恶意URL的判断结果时,将所述存在威胁的URL添加到所述恶意列表中。
优选的,在另一实施例中,所述分析服务器和所述检测服务器可以集成在一起,当然,可以独立部署,本实施例不作限制。
本发明通过重现威胁网络后,可通过持续跟踪分析,获取网络中的当前威胁状态,新威胁情况,以及威胁发展趋势,并可通过与其他安全设备联动,阻断用户对恶意URL的访问,协助被挂马网站清除恶意代码,协助用户清除木马等方式,提高用户网络访问的安全性。
为了便于理解,下面以具体的实例来说明。
本发明实施例是针对现有的威胁防护技术,只用于直接保护受保护对象免受威胁,但不对威胁来源,以及该威胁对其他用户可能产生的危害,以及该威胁同其他威胁之间可能存在的联系进行分析和处理,而从病毒、木马(尤其是下载器类)等行业的经验,以及在前期恶意代码查杀方面的经验可知,新的病毒,木马,恶意代码为了快速达到广泛传播的目的,会尽可能利用已有的病毒或木马传播途径。
基于此,本发明通过对网络威胁的特点,传播方式的深入分析,提出了一种全新的网络威胁的跟踪识别方法、装置和系统。并以记录的威胁跟踪列表(包括被感染者列表和恶意列表)建立一个威胁跟踪网络。通过对该威胁网络的持续跟踪,获得当前网络威胁状态,新威胁的传播,从而形成网络威胁的整体安全态势和发展趋势,不但提高了用户访问网络的安全性,同时也为安全厂商和普通用户提供帮助。
也就是说,本发明实施例中,依据对已掌握的传染源(马源,被挂马网站等)进行跟踪,找出被感染者,再对这些被感染者的访问或被访问行为进行跟踪,排查,发现新的传染源和被感染者。周而复始,就可以形成一张庞大的威胁网络。通过对该威胁网络的持续跟踪,可以发现已知和未知的威胁,以及威胁的发展趋势。
其中,如图5为本发明提供的一种以木马类威胁为例的示意图,如图所示,通过木马类威胁来阐释本实例所述技术方案:在一个木马的生命周期中,通常存在以下阶段或行为。
1、木马被放置在马源网站,并被关联到被挂马网站;
2、普通用户访问被挂马网站时,从马源下载木马;
3、木马获取用户信息,发送到指定的位置或者接收攻击者的指令,实时控制被感染的计算机;
4、木马从马源网站下载其他木马。
如图所示,在该实施例中,危险访问用标号①表示,关联危险访问用户标号②表示,可疑访问用标号③表示,正常访问用标号④表示,数据镜像或获取用标号⑤表示。其中,
危险访问为直接对已确定为马源或被挂马网页的访问
关联危险访问为用户访问马源或被挂马网页A时,如果http请求头的referr字段为网页B,A、B不属于同一网站,则B极可能是被挂马网页,用户对B网页的访问称为关联危险访问
可疑访问为被感染者访问的网页,除去已确定为危险访问和关联危险访问的,都称为可疑访问。
正常访问为不属于前述三种访问类型的都称为正常访问。(此处的正常访问是相对于本系统而言,并不说明该访问一定不存在问题,只是说明该访问的客体和主题没有被本系统确定为传染源或被感染者)。
攻击者编写木马的最终目标是为了获取更多的信息,并因此获利,他会想尽办法让更多的人被感染。而与其他木马合作,相互下载是其扩大感染范围的传播方式之一。
基于上述情况,可以从已知的一部分马源网站和被感染者为起始点,对它们的可疑行为进行深入分析,就可以找出一些新的马源或者被感染者,周而复始,我们就可以复现一个庞大的威胁网络。如果我们对这个威胁网络加以跟踪分析,不但能掌握当前的网络威胁类别及状况,加以防范,也可以对一些正在形成中的威胁进行预测并防范。
本实施例中,可以实时捕获的网站数据进行,也可以对捕获的数据进行定时判断,并根据判断结果确定是否进行安全检测分析,可以对捕获的网络数据进行定期判断,并根据判断结果确定是否进行定期的安全检测分析。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种网络威胁的跟踪识别方法,其特征在于,包括:
获取网络数据;
获取所述网络数据中的统一资源定位符URL,获取所述网络数据中的访问URL的源端IP地址;
将所获取的网络数据中的URL及所述源端IP地址与预置的威胁跟踪列表中的数据进行匹配;其中,所述预置的威胁跟踪列表中保存有已知的被感染IP地址及恶意URL;
若在所述获取的URL中匹配到有相同的URL,则将访问过所述匹配到的URL的源端IP地址确定为被感染IP地址;
若在所述获取的源端IP地址中匹配到有相同的IP地址,则将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,得到存在威胁的URL。
2.根据权利要求1所述的方法,其特征在于,所述将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,包括:
若所述匹配到的源端IP地址所访问的URL,在所述威胁跟踪列表中已经存在,则判断在所述威胁跟踪列表中,是否存在所述匹配到的源端IP地址所访问的URL的上线链接Referr URL,如果否,则对所述Referr URL进行安全检测分析,得到存在威胁的URL。
3.根据权利要求2所述的方法,其特征在于,所述将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,还包括:
若所述匹配到的源端IP地址所访问的URL在所述威胁跟踪列表中不存在,则将匹配到的源端IP地址所访问的URL进行安全检测分析,得到存在威胁的URL。
4.根据权利要求2任一所述的方法,其特征在于,其中,对所述Referr URL或URL进行安全检测分析,得到存在威胁的URL,包括:
向检测服务器发送对所述URL或所述URL的上线链接Referr URL进行安全检测分析的请求,以便于检测服务器利用杀毒软件对所述URL或所述上线链接Referr URL中的URL进行深度检测分析,得到存在威胁的URL;
接收所述检测服务器发送的包括存在威胁的URL的响应。
5.根据权利要求1至4任一项所述的方法,其特征在于,还包括:将所述得到的存在威胁的URL添加到所述威胁跟踪列表中;将确定为被感染IP地址添加到所述威胁跟踪列表中。
6.根据权利要求1至4任一项所述的方法,其特征在于,还包括:将所述存在威胁的URL所属的网站的域名添加到所述威胁跟踪列表中的被感染域名列表中。
7.一种网络威胁的跟踪识别方法,其特征在于,包括:
获取网络数据;
获取所述网络数据中的统一资源定位符URL;
将所述获取的URL与预置的威胁跟踪列表中的数据进行匹配,如果所述获取的URL匹配到有相同的URL,将访问过所述存在威胁的URL的源端IP地址确定为被感染IP地址;其中,所述预置的威胁跟踪列表中保存有已知的恶意URL。
8.一种网络威胁的跟踪识别装置,其特征在于,包括:
获取单元,用于获取网络数据;
第一确定单元,用于获取所述网络数据中的统一资源定位符URL,获取所述网络数据中的访问URL的源端IP地址;
匹配单元,用于将所获取的网络数据中的URL及所述源端IP地址与预置的威胁跟踪列表中的数据进行匹配,其中,所述预置的威胁跟踪列表中保存有已知的被感染IP地址及恶意URL;
第二确定单元,用于在所述匹配单元匹配到有相同的URL时,将访问过所述匹配到的URL的源端IP地址确定为被感染IP地址;
检测单元,用于在所述匹配单元匹配到有相同的IP地址时,将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,得到存在威胁的URL。
9.根据权利要求8所述的装置,其特征在于,所述检测单元包括:
第一判断单元,用判断所述威胁跟踪列表是否存在匹配到源端IP地址所访问的URL,并发送判断结果;
第二判断单元,用于在接收到所述第一判断单元发送的存在匹配到源端IP地址所访问的URL的判断结果时,继续判断所述威胁跟踪列表中是否存在所述匹配到的源端IP地址所访问的URL的上线链接Referr URL,并发送判断结果;
第一安全检测分析单元,用于在接收到所述第二判断单元发送的不存在所述上线链接Referr URL的判断结果时,对所述Referr URL进行安全检测分析,得到存在威胁的URL。
10.根据权利要求9所述的装置,其特征在于,所述检测单元还包括:
第二安全检测分析单元,用于在接收到所述第一判断单元发送的不存在源端IP地址所访问的URL的判断结果时,将匹配到的源端IP地址所访问的URL进行检测,得到存在威胁的URL。
11.根据权利要求8至10任一项所述的装置,其特征在于,还包括:
第一添加单元,用于将所述检测单元、第一安全检测分析单元和/或第二安全检测分析单元得到的存在威胁的URL添加到所述威胁跟踪列表中;以及,将所述第二确定单元确定为被感染IP地址添加到所述威胁跟踪列表中。
12.根据权利要求8至10任一项所述的装置,其特征在于,还包括:
第二添加单元,用于将所述检测单元、第一安全检测分析单元和/或第二安全检测分析单元得到的存在威胁的URL所属的网站的域名添加到所述威胁跟踪列表中的被感染域名列表中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210029156.3A CN102571812B (zh) | 2011-12-31 | 2012-02-09 | 一种网络威胁的跟踪识别方法及装置 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110459214 | 2011-12-31 | ||
| CN201110459214.1 | 2011-12-31 | ||
| CN201210029156.3A CN102571812B (zh) | 2011-12-31 | 2012-02-09 | 一种网络威胁的跟踪识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102571812A true CN102571812A (zh) | 2012-07-11 |
| CN102571812B CN102571812B (zh) | 2014-11-05 |
Family
ID=46416286
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210029156.3A Expired - Fee Related CN102571812B (zh) | 2011-12-31 | 2012-02-09 | 一种网络威胁的跟踪识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102571812B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103632084A (zh) * | 2012-08-20 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 |
| CN103731818A (zh) * | 2012-10-10 | 2014-04-16 | 中国移动通信集团江苏有限公司 | 一种移动终端病毒监测、拦截方法及其装置 |
| CN103780659A (zh) * | 2012-10-25 | 2014-05-07 | 中国电信股份有限公司 | 处理移动用户所输入网页地址的方法与无线应用协议网关 |
| WO2015120752A1 (zh) * | 2014-02-17 | 2015-08-20 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN105429980A (zh) * | 2015-11-17 | 2016-03-23 | 中国联合网络通信集团有限公司 | 网络安全处理方法及装置 |
| CN105592075A (zh) * | 2015-11-27 | 2016-05-18 | 杭州华三通信技术有限公司 | 安全网关的报文处理方法及装置 |
| CN106302531A (zh) * | 2016-09-30 | 2017-01-04 | 北京金山安全软件有限公司 | 安全防护方法、装置及终端设备 |
| CN107347057A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
| CN107430535A (zh) * | 2015-01-30 | 2017-12-01 | 阿诺马力公司 | 空间和时间效率威胁检测 |
| CN105825129B (zh) * | 2015-01-04 | 2019-03-12 | 中国移动通信集团设计院有限公司 | 一种融合通信中恶意软件鉴别方法和系统 |
| CN109474485A (zh) * | 2017-12-21 | 2019-03-15 | 北京安天网络安全技术有限公司 | 基于网络流量信息检测僵尸网络的方法、系统及存储介质 |
| CN109995717A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种网页篡改处置系统及方法 |
| CN111225079A (zh) * | 2019-12-31 | 2020-06-02 | 苏州三六零智能安全科技有限公司 | 恶意软件作者地理位置定位方法、设备、存储介质及装置 |
| CN111600895A (zh) * | 2020-05-20 | 2020-08-28 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1999021340A1 (en) * | 1997-10-23 | 1999-04-29 | At & T Wireless Services, Inc. | A method and apparatus for filtering packets using a dedicated processor |
| CN101517570A (zh) * | 2006-07-10 | 2009-08-26 | 网圣公司 | 分析网络内容的系统和方法 |
| CN101594266A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种结构化查询语言注入攻击检测方法和装置 |
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
-
2012
- 2012-02-09 CN CN201210029156.3A patent/CN102571812B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1999021340A1 (en) * | 1997-10-23 | 1999-04-29 | At & T Wireless Services, Inc. | A method and apparatus for filtering packets using a dedicated processor |
| CN101517570A (zh) * | 2006-07-10 | 2009-08-26 | 网圣公司 | 分析网络内容的系统和方法 |
| CN101594266A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种结构化查询语言注入攻击检测方法和装置 |
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103632084A (zh) * | 2012-08-20 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 |
| CN103731818A (zh) * | 2012-10-10 | 2014-04-16 | 中国移动通信集团江苏有限公司 | 一种移动终端病毒监测、拦截方法及其装置 |
| CN103780659A (zh) * | 2012-10-25 | 2014-05-07 | 中国电信股份有限公司 | 处理移动用户所输入网页地址的方法与无线应用协议网关 |
| WO2015120752A1 (zh) * | 2014-02-17 | 2015-08-20 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN105825129B (zh) * | 2015-01-04 | 2019-03-12 | 中国移动通信集团设计院有限公司 | 一种融合通信中恶意软件鉴别方法和系统 |
| CN107430535A (zh) * | 2015-01-30 | 2017-12-01 | 阿诺马力公司 | 空间和时间效率威胁检测 |
| CN107430535B (zh) * | 2015-01-30 | 2020-09-11 | 阿诺马力公司 | 一种用于执行威胁检测的方法及计算机可读介质 |
| US10616248B2 (en) | 2015-01-30 | 2020-04-07 | Anomali Incorporated | Space and time efficient threat detection |
| CN105429980A (zh) * | 2015-11-17 | 2016-03-23 | 中国联合网络通信集团有限公司 | 网络安全处理方法及装置 |
| CN105592075B (zh) * | 2015-11-27 | 2019-03-15 | 新华三技术有限公司 | 安全网关的报文处理方法及装置 |
| CN105592075A (zh) * | 2015-11-27 | 2016-05-18 | 杭州华三通信技术有限公司 | 安全网关的报文处理方法及装置 |
| CN107347057A (zh) * | 2016-05-06 | 2017-11-14 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
| CN107347057B (zh) * | 2016-05-06 | 2021-03-02 | 阿里巴巴集团控股有限公司 | 入侵检测方法、检测规则生成方法、装置及系统 |
| CN106302531A (zh) * | 2016-09-30 | 2017-01-04 | 北京金山安全软件有限公司 | 安全防护方法、装置及终端设备 |
| CN109474485A (zh) * | 2017-12-21 | 2019-03-15 | 北京安天网络安全技术有限公司 | 基于网络流量信息检测僵尸网络的方法、系统及存储介质 |
| CN109995717A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种网页篡改处置系统及方法 |
| CN111225079A (zh) * | 2019-12-31 | 2020-06-02 | 苏州三六零智能安全科技有限公司 | 恶意软件作者地理位置定位方法、设备、存储介质及装置 |
| CN111225079B (zh) * | 2019-12-31 | 2024-03-05 | 苏州三六零智能安全科技有限公司 | 恶意软件作者地理位置定位方法、设备、存储介质及装置 |
| CN111600895A (zh) * | 2020-05-20 | 2020-08-28 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102571812B (zh) | 2014-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102571812B (zh) | 一种网络威胁的跟踪识别方法及装置 | |
| US10102372B2 (en) | Behavior profiling for malware detection | |
| KR101010708B1 (ko) | 웹 페이지 공격을 방지하기 위한 방법 및 장치 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| US20180219907A1 (en) | Method and apparatus for detecting website security | |
| CN101820419B (zh) | 一种挂马网页中网页木马挂接点自动定位方法 | |
| CN109274632B (zh) | 一种网站的识别方法及装置 | |
| US20160205125A1 (en) | System and method for analyzing mobile cyber incident | |
| CN102761458B (zh) | 一种反弹式木马的检测方法和系统 | |
| CN103701793B (zh) | 服务器肉鸡的识别方法和装置 | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| Shabtai et al. | F-sign: Automatic, function-based signature generation for malware | |
| CN101964026A (zh) | 网页挂马检测方法和系统 | |
| CN110336835B (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
| CN102841990A (zh) | 一种基于统一资源定位符的恶意代码检测方法和系统 | |
| CN109167781A (zh) | 一种基于动态关联分析的网络攻击链识别方法和装置 | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| CN103701816B (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| CN106713318B (zh) | 一种web站点安全防护方法及系统 | |
| CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
| CN113259392A (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| CN101588276B (zh) | 一种检测僵尸网络的方法及其装置 | |
| Chaudhary et al. | Plague of cross-site scripting on web applications: a review, taxonomy and challenges | |
| CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
| KR20120137326A (ko) | 악성도메인을 검출하기 위한 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Applicant before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGY CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141105 Termination date: 20220209 |