CN102801697A

CN102801697A - 基于多url的恶意代码检测方法和系统

Info

Publication number: CN102801697A
Application number: CN2011104301466A
Authority: CN
Inventors: 胡星儒; 李柏松
Original assignee: Beijing Antiy Electronic Equipment Co Ltd
Current assignee: Beijing ahtech network Safe Technology Ltd
Priority date: 2011-12-20
Filing date: 2011-12-20
Publication date: 2012-11-28
Anticipated expiration: 2031-12-20
Also published as: CN102801697B

Abstract

本发明公开了一种基于多URL的恶意代码检测方法，包括步骤：捕获指定时间间隔内的所有网络通信数据包；依次解析所有的网络通信数据包，提取每个数据包中的URL；对提取的所有URL进行形式化处理；将所有形式化处理之后的URL作为待检测URL与特征数据库匹配，如果匹配成功则与数据模型库进行匹配，确定威胁类型并输出相应检测结果。本发明还公开了一种基于多URL的恶意代码检测装置。本发明解决了目前反病毒软件特征码匹配和URL过滤的不足和局限性，大大提高了对恶意木马程序的检出率。

Description

基于多URL的恶意代码检测方法和系统

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于多URL（Uniform Resource Locator，统一资源定位符）的恶意代码检测方法和系统。

背景技术

互联网在中国的快速发展，截至2011年6月底，中国网民规模达到4.85亿。互联网地下经济产业链也随之不断发展壮大，由原先的单链条结构逐步形成有一定规模的系统体系结构。恶意代码由最初的感染破坏用户系统到目前窃取个人或企业用户虚拟、真实财产、隐私信息，篡改信息，非法控制用户系统等，其目的是通过非法手段获取暴利。

为了保护广大网民的利益不受侵害，反病毒厂商和相关政府机构一直在与地下产业链、恶意代码做不断的斗争。在反病毒技术的不断提高和有关法律法规的不断健全完善下，目前恶意代码的发展和其经济利益链条出现了一些新的分支，如：刷流量、广告推广等一些灰色产业也不断兴起。目前反病毒软件主要的检测方式就是特征码匹配方式，反病毒厂商需要不断的升级病毒特征库来对抗网络黑客不断更新升级的木马程序，现阶段很多即使不会编写程序的黑客也可通过购买现成木马程序。一些大的软件保护组织或个人为了保护软件知识产权等问题推出了很多加密保护壳，而这些技术被黑客利用逃避反病毒软件的查杀，反病毒厂商为了查杀加壳后的木马病毒，就需要脱掉被黑客加上的加密壳，这就陷入了和加密壳开发者无休止的技术对抗当中。如上这些直接导致了反病毒软件特征库的体积不断膨胀，几乎到了不堪重负的地步，而且很多木马在加密壳的保护下很难被检测到。

我们通过从恶意代码在地下经济产业链体系中的起到的作用和目前恶意代码的本身的行为分析，得出目前恶意代码类型、形态众多，但几乎所有恶意代码最终的目的都是为了经济利益出发，如：窃取用户网游或网银账号、密码，回传用户隐私数据，广告、软件推广等。另外目前恶意代码的传播主要通过网页浏览或下载、电子邮件、局域网和移动存储介质、即时通讯工具（IM）等途径传播。而其中恶意代码以网页浏览或下载来传播自身占绝大部分，即恶意代码需通过URL传播自身。恶意代码的信息回传方式主要通过URL、电子邮件、FTP等方式，其中以URL占绝大部分。对于URL在恶意代码的传播、扩散起到至关重要的作用，反病毒厂商对此开始从URL出发来检测恶意代码，由此URL分类和过滤技术也随之产生。目前的URL分类和过滤技术，还是单一URL规则对应单一威胁事件的模式，如目前恶意代码进行广告、软件的恶意推广，由于其中有大量推广URL均如百度、淘宝等可信网站链接，而此时为了避免误报URL过滤系统即予以放行，则该用户系统出现的威胁无法捕获拦截。为了保障能及时的拦截恶意URL，另外又需考虑误报问题使得URL过滤在与恶意URL的对抗中一直非常被动。

发明内容

本发明提供了一种基于多URL的恶意代码检测方法和装置，解决了目前反病毒软件特征码匹配和URL过滤的不足和局限性，大大提高了对恶意木马程序的检出率。

本发明提供了一种基于多URL的恶意代码检测方法，该方法包括：

步骤a、捕获网络通信数据包，捕获指定时间段内的所有网络数据包。

步骤b、解析网络数据包，分析提取数据包中的URL数据。

步骤c、对提取的URL进行特定方法的形式化处理。

步骤d、形式化后的URL与特征数据库匹配，匹配成功的进入下一步骤。

步骤e、匹配成功的URL与模型数据库匹配，最终确定威胁类型并输出相应结果。

所述步骤a捕获网络通信数据包，捕获指定时间段内的所有网络数据包。可以使用抓包工具，例如pcap或自行编写程序捕捉网络数据包。

所述步骤b包括解析一个数据包，提取Host域、请求（如：GET或POST）域、Referer域信息。进一步判断Referer域是否为空，如果为空，则提取Host域中的域名信息、请求（如：GET或POST）域中的路径、请求信息，还原为完整的URL，最终输出为未形式化的URL队列，该步骤到此结束。如果Referer域不为空，提取Referer域中的URL，在未形式化的URL队列中查询判断是否存在，如果不存在，之后步骤与Referer域为空的处理步骤一样。如果Referer域中的URL在未形式化的URL队列中已存在，则不做其他处理，该步骤到此结束。进一步，在对数据包的解析提取过程中，需记录源IP和目的IP地址。在该步骤最终输出的未形式化的URL队列中也需要与源IP、目的IP地址有对应关系。以上为步骤b解析一个数据包的方法描述，对步骤a捕获的其他待解析的数据包以同样方法循环处理，直到解析完步骤a捕获的所有数据包为止。

所述步骤c进一步包括基于URL形态把URL分为两类来做形式化处理，根据RFC规范，URL的格式如下:“scheme://username:passworddomain:port/path?query_string#fragment_id”（参看：RFC1738标准http://www.ietf.org/rfc/rfc1738.txt），所有的URL都必须遵循这条规则。其中以HTTP为例，URL格式为“http://<host>:<port>/<path>?< query_string >”，目前大部分URL形态如上所示，在此称该类形态为标准URL形态。另外一少部分URL，由于如REST等技术的应用，URL的形态有所不同，但都是基于RFC规范。REST(Representational State Transfer表述性状态转移)是一种针对网络应用的设计和开发方式。这类URL的形态一般为“http://<host>:<port>/<path>”但这里的“path”可以视为既包含路径也起到查询参数的作用，也就是该类特殊形态的URL，在形态上没有“?”以及之后的查询字段，在此称该类形态为特殊URL形态。

对于标准URL形态的形式化处理只提取“host”、“port”和“path”部分，也就是截取URL中首次出现“?”字符之前的部分，对“query_string”部分，则判断其中“&”字符出现的次数，最终出现次数加一，即由此统计查询字段的数量。也就是说形式化后的URL由四部分组成，分别为“host”、“port”、“path”和查询字段的总数。在HTTP协议中端口号（port）默认是80，这项也是可以省略的。

对于特殊URL形态的形式化处理只提取“host”和“port”部分，也就是截取URL中首次出现“/”字符之前的部分，之后部分统计“/”字符出现的次数（包含URL中首次出现的“/”），继而判断最后一个“/”字符后是否有字符，若存在字符则其总数即为“/”出现次数，若不存在字符则其总数为“/”出现次数减一。该次数视为查询字段的总数。也就是说形式化后的URL由四部分组成，分别为“host”、“port”和查询字段的总数。在HTTP协议中端口号（port）默认是80，这项也是可以省略的。

所述步骤d进一步包括特征数据库的建立，特征数据库的建立依赖于模型数据库的建立，模型数据库的建立归属于所述步骤e中，模型数据库的建立具体为已确定的恶意代码的网络通信数据包中的URL特征提取，之后依据提取的特征对已确定的恶意代码测试特征的出现频率来设定权值，继而以特征、权值和对应恶意代码存储到模型数据库中。对应模型数据库建立特征数据库，特征数据库中每条特征包含形式化URL、URL属性和权值，形式化URL进一步分为特征和字段数量。URL属性进一步分为“白”、“灰”、“黑”三种属性，其中“白”、“黑”是通过对特征数据库中的特征域名进行白名单、黑名单过滤确定，其余未确定的属性均为“灰”。白名单可以通过提取alexa排名前500的域名来形成，之后也可以周期性的通过手工或通过工具自动收集添加可信域名。黑名单是周期性的通过手工或通过工具自动收集的恶意URL。

所述步骤d在特征数据库和模型数据库建立完成后，具体匹配步骤为形式化后的URL与特征数据库匹配，匹配成功的URL进入步骤e。与其并行的步骤还包括，判断匹配成功的URL属性是否有“黑”，如果有属性为“黑” 的形式化后的URL，则提取本次检测中该形式化后的URL所对应的未形式化的完整URL，与特征数据库中的黑名单进行完整URL匹配，如果匹配成功，则结束，并输出发现威胁。

所述步骤e中模型数据库接收步骤d中匹配成功并已形式化的URL队列，并与模型数据库中的模型特征匹配。当URL队列中的所有URL匹配完成后，进一步的如果与模型数据库中的模型完全匹配则输出相应恶意代码威胁类型，并确定威胁；若只与模型中部分模型特征匹配成功，则已权值计算确定最相似的恶意代码类型；若只与模型中部分模型特征匹配成功，且URL特征属性均为“白”，则模型匹配失败，不输出威胁类型。

相应的，本发明还提供了一种基于多URL的恶意代码检测装置，包括：

捕获模块，用于捕获指定时间间隔内的所有网络通信数据包；

解析模块，用于依次解析所有的网络通信数据包，提取每个数据包中的URL；

处理模块，用于对提取的所有URL进行形式化处理；

匹配模块，用于将所有形式化处理之后的URL作为待检测URL与特征数据库匹配，如果匹配成功则与数据模型库进行匹配，确定威胁类型并输出相应检测结果。

所述解析模块具体包括：

解析单元，用于解析一个数据包，分别提取Host域、请求域、Referer域信息；

判断单元，用于判断如果Referer域为空，则将Host域中的域名信息、请求域中的路径和请求信息，还原为完整的URL，保存到未形式化的URL队列，数据包解析完成；

否则，如果Referer域不为空，若Referer域中的URL在未形式化的URL队列中不存在，则保存Referer域中的URL到未形式化的URL队列；若Referer域中的URL在未形式化的URL队列中已存在，则数据包解析完成。

解析模块具体还用于在未形式化的URL队列信息中记录每个URL的源IP和目的IP。

所述处理模块具体包括：

第一处理单元，用于处理包含“?”的URL，形式化处理后的URL由四部分组成，分别为“host”、“port”、“path”和查询字段的总数，所述查询字段的总数为“query_string”部分 “&”字符出现的次数加一；

第二处理单元，用于处理不包含“?”的URL，形式化处理后的URL由三部分组成，分别为“host”、“port”和查询字段的总数，所述查询字段的总数是指：截取所述URL中首次出现“/”字符之后的部分，统计“/”字符出现的次数，所述次数包含URL中首次出现的“/”，若最后一个“/”字符后有字符，则“/”字符出现的总次数为查询字段的总数，若最后一个“/”字符后没有字符则“/”字符出现的总次数减一为查询字段的总数；

所述“port”部分如果是默认端口号则可以省略。

所述系统还包括模型数据库，所述模型数据库的建立具体为：提取恶意代码的网络通信数据包中的URL特征，依据所提取的URL特征出现的频率设定权值，将URL特征、权值和相应的恶意代码存储到模型数据库中；

对应所述模型数据库建立特征数据库，所述特征数据库中每条特征包含形式化URL、URL属性和权值，所述形式化URL是指对模型数据库中的URL特征进行形式化处理得到的URL；所述URL属性分为“白”、“灰”、“黑”三种，所述“白”、“黑”是形式化URL的域名进行白名单、黑名单过滤后确定的，未确定的属性均为“灰”；所述白名单是周期性的通过手工或通过工具自动收集添加的可信域名；所述黑名单是周期性的通过手工或通过工具自动收集的恶意URL。

所述匹配模块具体包括：

第一匹配单元，对与特征数据库匹配成功的待检测URL，如果所述待检测URL所对应的特征数据库中的URL属性为“黑”，则提取待检测URL所对应的未形式化的URL与黑名单进行匹配，若匹配成功，则检测到恶意威胁；

第二匹配单元，将所有待检测URL与模型数据库进行匹配，如果所述待检测URL与模型数据库中的模型完全匹配则模型数据库相应的恶意代码为检测到的威胁；

第三匹配单元，判断如果所述待检测URL与模型数据库中的模型不完全匹配且所述待检测URL的属性为“白”，则没有检测到威胁；

第四匹配单元，判断如果所述待检测URL与模型数据库中的模型不完全匹配且所述待检测URL的属性都不为“白”，则根据权值计算确定最相似的恶意代码为检测到的威胁。

本发明的有益效果是：

本发明对具有网络行为且网络行为中包含多URL的恶意代码有很好的检出效果，像这类恶意代码主要功能是广告、软件的恶意推广、刷流量等。通过基于大量恶意代码的分析，发现同族或同类的恶意代码在会频繁更新本身文件，但对其推广的广告、软件等URL更新频率低，即产生多个恶意代码对一类URL的关系，由于其中有大量推广URL均如百度、淘宝等可信网站链接，所以目前安全厂商URL过滤装置针对此类URL大多为放行措施或对其分类为广告、流量链接等，而无法定位到这些URL的真正来源和威胁点。

本发明通过基于多URL采用URL权值模型匹配来检测威胁来源确定恶意代码，采用多URL对应一类威胁，填补了目前单URL对应单威胁这一不足。由于大量的广告、统计URL都带有较多的查询字段。其查询字段和查询值都是多变，如果采用单域名匹配务必会造成大量的误报，采用完整的URL匹配会使得规则库庞大，而且可用性低，对于此问题本发明对目前的URL分为两类，并相应对其URL形态采用了形式化处理，使得规则简化，规避了查询字段和查询值多变的问题。另外通过权值计算和模型匹配进一步使得检测细粒度化，降低了误报。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于多URL的恶意代码检测方法流程图；

图2为本发明解析数据包提取URL的流程图；

图3为本发明URL形式化、特征和模型匹配的流程图；

图4为本发明基于多URL的恶意代码检测装置示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明提出了一种基于多URL的恶意代码检测方法，如图1所示，本发明基于多URL的恶意代码检测方法包括步骤：

S101、捕获网络通信数据包，捕获指定时间段内的所有网络数据包。可以使用抓包工具，例如pcap或自行编写程序捕捉网络数据包。

S102、分析提取数据包中的URL，具体步骤如图2所示，S201中解析一个数据包；S202中提取Host域、请求（如：GET或POST）域、Referer域信息。为了方便理解把Host和请求部分组合成完整的URL，如表1所示，另外在本发明中使用了“example.com”域名来做示例（参看：RFC2606标准http://tools.ietf.org/rfc/rfc2606.txt）。

表1网络通信数据包中的URL和referer信息

表1中的编号为数据包的编号，也可以理解为对应URL的编号。

首先对第一个数据包（编号1）做分析，步骤S203中判断Referer域是否为空，第一个数据包（编号1）的referer域为空，步骤S205中提取Host域中的域名信息、请求（如：GET或POST）域中的路径、请求信息，还原为完整的URL，最终输出为未形式化的URL队列，该步骤到此结束。然后循环判断第二个数据包（编号2），其Referer域不为空，步骤S204中提取Referer域中的URL，在未形式化的URL队列中查询判断是否存在，如果不存在，之后步骤与Referer域为空的处理步骤一样。该数据包Referer域中的URL（“normal_1.example.com/1/2/3/4/5/6/7/”）在未形式化的URL队列中已存在，则不做其他处理，该步骤到此结束。

进一步，在对数据包的解析提取过程中，需记录源IP和目的IP地址。在该步骤最终输出的未形式化的URL队列中也需要与源IP、目的IP地址有对应关系。以上为解析编号1和编号2数据包的方法描述，如表1所示对步骤S101捕获的其他8个待解析的数据包以同样方法循环处理，直到解析完步骤S101捕获的所有数据包为止。最终输出的只有8个数据包对应的URL，另外编号2和编号9的数据包由于其Referer域中的URL已存在，所以不再做其他处理。

步骤S103、对提取的URL进行特定方法的形式化处理。提取步骤S102输出的URL队列中的URL，对其形式化处理。例如对编号1 URL（“normal_1.example.com/1/2/3/4/5/6/7/”）的形式化处理，首先判断URL中是否有“?”字符，如果没有则视为特殊URL形态。对于特殊URL形态的形式化处理只提取“host”和“port”部分，由于HTTP协议中端口号（port）默认是80，在这里“port”可以省略。截取URL中首次出现“/”字符之前的部分，即提取“normal_1.example.com”，之后部分统计“/”字符出现的次数（包含URL中首次出现的“/”），继而判断最后一个“/”字符后是否有字符，若存在字符则其总数即为“/”出现次数，若不存在字符则其总数为“/”出现次数减一。编号1 URL最后一个“/”字符后不存在字符，则最终次数为“7”，该次数视为查询字段的总数。

对于标准URL形态的URL处理，以编号4为例说明。首先判断编号4 URL中是否有“?”字符，由于存在“?”字符，则视其为标准URL形态。对于标准URL形态的形式化处理只提取“host”、“port”和“path”部分，也就是截取URL中首次出现“?”字符之前的部分（“abc.normal_4. example.com/n.php”），对“query_string”部分（“num=34&code=100”），则判断其中“&”字符出现的次数，最终出现次数加一，即由此统计查询字段的数量。最终编号4 URL的查询字段总数为“2”。

其余的未形式化的URL也依据以上两种方法进行形式化处理。最终结果如表2所示：

表2 形式化后的URL

S104、形式化后的URL与特征数据库匹配。该步骤首先需要特征数据库的建立，特征数据库的建立依赖于模型数据库的建立，模型数据库的建立归属于所述步骤S105中，模型数据库的建立具体为已确定的恶意代码的网络通信数据包中的URL特征提取，之后依据提取的特征对已确定的恶意代码测试特征的出现频率来设定权值，继而以特征、权值和对应恶意代码存储到模型数据库中。对应模型数据库建立特征数据库，特征数据库中每条特征包含形式化URL、URL属性和权值，形式化URL进一步分为特征URL和字段数量。URL属性进一步分为“白”、“灰”、“黑”三种属性，其中“白”、“黑”是通过对特征数据库中的特征URL进行白名单、黑名单过滤确定，其余未确定的属性均为“灰”。白名单可以通过提取alexa排名前500的域名来形成，之后也可以周期性的通过手工或通过工具自动收集添加可信域名。黑名单是周期性的通过手工或通过工具自动收集的恶意URL。

在这里为了更好的理解本发明，我们预先建立好特征数据库和三个示例模型，如表3：

表3 特征数据库和示例模型

进一步URL形式化、特征和模型匹配的流程具体步骤结合图3，步骤S301中对提取的URL进行特定方法的形式化处理。；步骤S302，特征数据库和模型数据库建立完成，开始对形式化后的URL进行特征数据库匹配，最终URL编号为“1，3，4，5，6”与特征数据库中特征编号为“S1，S4，S5，S6，S7”匹配成功。URL编号“7”特征URL匹配成功，但由于其字段数量未匹配成功，所以属于匹配失败。URL编号“8”和“10”特征URL匹配失败。以上匹配步骤进行的同时，步骤S304匹配成功后需判断URL属性是否有“黑”，步骤S305中如果有属性为“黑”的形式化后的URL，则提取本次检测中该形式化后的URL所对应的未形式化的完整URL，与特征数据库中的黑名单进行完整URL匹配，如果匹配成功，则结束，S306输出发现威胁。但本次示例中没有“黑”属性的URL，则直接进行步骤S303，特征匹配成功的URL与模型数据库匹配，如步骤S105描述。

S105、特征匹配成功的URL，进一步的如果与模型数据库中的模型完全匹配则输出相应恶意代码威胁类型，并确定威胁；若只与模型中部分模型特征匹配成功，则已权值计算确定最相似的恶意代码类型；若只与模型中部分模型特征匹配成功，且URL特征属性均为“白”，则模型匹配失败，不输出威胁类型。本示例最终特征匹配的结果为“S1，S4，S5，S6，S7”，其中“S1，S4”与模型1的一条特征符合，“S4，S5，S6，S7”与模型2的四条特征符合，“S6，S7”与模型3的两条特征符合，由于与模型数据库中的模型并非完全匹配，则计算权值，确定模型2最为符合。最终输出模型2的威胁类型。

如图4所示，为本发明基于多URL的恶意代码检测装置示意图，包括：捕获模块401，用于捕获指定时间间隔内的所有网络通信数据包；解析模块402，用于依次解析所有的网络通信数据包，提取每个数据包中的URL；处理模块403，用于对提取的所有URL进行形式化处理；匹配模块404，用于将所有形式化处理之后的URL作为待检测URL与特征数据库匹配，如果匹配成功则与数据模型库进行匹配，确定威胁类型并输出相应检测结果。

本说明书中方法的实施例采用递进的方式描述，对于系统的实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims

1.一种基于多URL的恶意代码检测方法，其特征在于，包括步骤：

捕获指定时间间隔内的所有网络通信数据包；

依次解析所有的网络通信数据包，提取每个数据包中的URL；

对提取的所有URL进行形式化处理；

将所有形式化处理之后的URL作为待检测URL与特征数据库匹配，如果匹配成功则与数据模型库进行匹配，确定威胁类型并输出相应检测结果。

2.如权利要求1所述的基于多URL的恶意代码检测方法，其特征在于，解析每个网络通信数据包具体包括以下步骤：

解析一个数据包，分别提取Host域、请求域、Referer域信息；

如果Referer域为空，则将Host域中的域名信息、请求域中的路径和请求信息，还原为完整的URL，保存到未形式化的URL队列，数据包解析完成；

3.如权利要求2所述的基于多URL的恶意代码检测方法，其特征在于，解析每个网络通信数据包还包括在未形式化的URL队列信息中记录每个URL的源IP和目的IP。

4.如权利要求1所述的基于多URL的恶意代码检测方法，其特征在于，对提取的所有URL进行形式化处理具体包括：

对于包含“?”的URL，形式化后的URL由四部分组成，分别为“host”、“port”、“path”和查询字段的总数，所述查询字段的总数为“query_string”部分 “&”字符出现的次数加一；

对于不包含“?”的URL，形式化后的URL由三部分组成，分别为“host”、“port”和查询字段的总数，所述查询字段的总数是指：截取所述URL中首次出现“/”字符之后的部分，统计“/”字符出现的次数，所述次数包含URL中首次出现的“/”，若最后一个“/”字符后有字符，则“/”字符出现的总次数为查询字段的总数，若最后一个“/”字符后没有字符则“/”字符出现的总次数减一为查询字段的总数；

所述“port”部分如果是默认端口号则可以省略。

5.如权利要求1所述的基于多URL的恶意代码检测方法，其特征在于，所述模型数据库的建立具体为：提取恶意代码的网络通信数据包中的URL特征，依据所提取的URL特征出现的频率设定权值，将URL特征、权值和相应的恶意代码存储到模型数据库中；

6.如权利要求5所述的基于多URL的恶意代码检测方法，其特征在于，将所有形式化处理之后的URL作为待检测URL与特征数据库匹配，如果匹配成功则与数据模型库进行匹配，确定威胁类型并输出相应检测结果具体包括：

对与特征数据库匹配成功的待检测URL，如果所述待检测URL所对应的特征数据库中的URL属性为“黑”，则提取待检测URL所对应的未形式化的URL与黑名单进行匹配，若匹配成功，则检测到恶意威胁；

否则将所有待检测URL与模型数据库进行匹配，如果所述待检测URL与模型数据库中的模型完全匹配则模型数据库相应的恶意代码为检测到的威胁；

如果所述待检测URL与模型数据库中的模型不完全匹配且所述待检测URL的属性为“白”，则没有检测到威胁；

如果所述待检测URL与模型数据库中的模型不完全匹配且所述待检测URL的属性都不为“白”，则根据权值计算确定最相似的恶意代码为检测到的威胁。

7.一种基于多URL的恶意代码检测装置，其特征在于，包括：

处理模块，用于对提取的所有URL进行形式化处理；

8.如权利要求7所述的基于多URL的恶意代码检测装置，其特征在于，所述解析模块具体包括：

9.如权利要求7所述的基于多URL的恶意代码检测装置，其特征在于，所述解析模块具体还用于在未形式化的URL队列信息中记录每个URL的源IP和目的IP。

10.如权利要求7所述的基于多URL的恶意代码检测装置，其特征在于，所述处理模块具体包括：

所述“port”部分如果是默认端口号则可以省略。

11.如权利要求7所述的基于多URL的恶意代码检测装置，其特征在于，还包括模型数据库，所述模型数据库具体为：提取恶意代码的网络通信数据包中的URL特征，依据所提取的URL特征出现的频率设定权值，将URL特征、权值和相应的恶意代码存储到模型数据库中；

12.如权利要求7所述的基于多URL的恶意代码检测装置，其特征在于，所述匹配模块具体包括：