CN102841990A - 一种基于统一资源定位符的恶意代码检测方法和系统 - Google Patents

一种基于统一资源定位符的恶意代码检测方法和系统 Download PDF

Info

Publication number
CN102841990A
CN102841990A CN2011103578931A CN201110357893A CN102841990A CN 102841990 A CN102841990 A CN 102841990A CN 2011103578931 A CN2011103578931 A CN 2011103578931A CN 201110357893 A CN201110357893 A CN 201110357893A CN 102841990 A CN102841990 A CN 102841990A
Authority
CN
China
Prior art keywords
url
malicious code
characteristic
query
virus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011103578931A
Other languages
English (en)
Other versions
CN102841990B (zh
Inventor
刘佳男
苏培旺
胡星儒
李柏松
童志明
张栗伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201110357893.1A priority Critical patent/CN102841990B/zh
Publication of CN102841990A publication Critical patent/CN102841990A/zh
Application granted granted Critical
Publication of CN102841990B publication Critical patent/CN102841990B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种基于统一资源定位符的恶意代码检测方法,包括:监控计算机操作系统,获取系统访问网络的URL;通过解析所述URL得到所述URL的Query域信息;将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配;如果匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则继续监控。本发明还提供了一种基于统一资源定位符的恶意代码检测系统。本发明使用方式简单,不必使用庞大的病毒特征数据,针对盗号类恶意代码具有非常好的检出率。

Description

一种基于统一资源定位符的恶意代码检测方法和系统
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于URL(Uniform  Resource Locator,统一资源定位符)的木马检测方法和系统。 
背景技术
随着互联网的大面积普及,人们在互联网上的活动日益增加,保护网络世界的虚拟财产也成了反病毒软件的主要任务之一,目前反病毒软件主要的检测方式就是特征码匹配方式,反病毒厂商需要不断的升级病毒特征库来对抗网络黑客不断更新升级的木马程序,现阶段很多即使不会编写程序的黑客也可通过购买现成木马程序。一些大的软件保护组织或个人为了保护软件知识产权等问题推出了很多加密保护壳,而这些技术被黑客利用逃避反病毒软件的查杀,反病毒厂商为了查杀加壳后的木马病毒,就需要脱掉被黑客加上的加密壳,这就陷入了和加密壳开发者无休止的技术对抗当中。如上这些直接导致了反病毒软件特征库的体积不断膨胀,几乎到了不堪重负的地步,而且很多木马在加密壳的保护下很难被检测到。 
目前恶意代码的传播主要通过网页浏览或下载、电子邮件、局域网和移动存储介质、即时通讯工具(IM)等途径传播。而其中恶意代码以网页浏览或下载来传播自身占绝大部分,即恶意代码需通过URL传播自身。恶意代码的信息回传方式主要通过URL、电子邮件、FTP等方式,其中以URL占绝大部分。对于URL在恶意代码的传播、扩散起到至关重要的作用,反病毒厂商对此开始从URL出发来检测恶意代码,由此URL分类和过滤技术也随之产生。针对URL过滤,木马制作者最常采用的对抗手段为频繁更新域名,即URL频繁更新。另外动态域名的使用、可信网站被植入恶意代码、URL下载恶意代码参数化等技术。为了保障能及时的拦截恶意URL,另外又需考虑误报问题使得URL过滤在与恶意URL的对抗中一直非常被动。 
发明内容
针对以上不足,本发明提供了一种基于统一资源定位符的恶意代码检测方法和系统,解决了目前反病毒软件特征码匹配和URL过滤的不足和局限性,大大提高了对恶意木马程序的检出率。 
本发明跳出了传统病毒特征码的检测方法,针对传播方式和回传信息方式基于URL的恶意代码,把握其URL中Query域的形态共性。比如,针对盗号类木马这样的恶意代码,通过非常简便的办法截获木马通讯的数据包,根据木马进行HTTP访问的URL,拆解出木马盗取并准备上传的网游或网银账户信息,将该信息和病毒特征库中的字符串进行模式匹配来判断样本是否存在盗号行为,该检测方法能够保证即使用户中了木马病毒后其网游或网银账户信息也不会丢失。 
针对通过URL传播自身的恶意代码和通过URL回传信息的恶意代码,此两类URL的形态如: 
Figure DEST_PATH_143536DEST_PATH_IMAGE001
通过URL传播自身的恶意代码,该类URL的Path域(例如示例1:test/test.php)中所包含的数据为木马、病毒等恶意代码,而Query域(指的是URL中问号后面的部分,例如示例1中的a=’xxx’&b=’xxx’&c=’xxx’&d=’xxx’就是一个URL中的Query域的内容)中,如“a”、“b”、“c”、“d”查询字段的值如“xxx”,一般都为一些自动生成随机字符串,设置这些值的目的是为了恶意代码的精准投放和提高恶意URL的存活时间,降低以完整URL为规则匹配的防御软件的拦截率。
通过URL回传信息的恶意代码,针对这类恶意代码的行为特征,捕获其回传信息的URL,回传的信息一般包括游戏、网银账户,用户系统配置等用户个人隐私信息。URL形态也如示例1所示,而该类恶意代码URL中的Query域中的查询字段的值一般都是受害用户的相关个人隐私信息,比如“a”字段值为银行账户名,“b”字段值为账户密码,“c”字段值为金额,“d”字段值为账户类型。 
如上述,这两类恶意代码的共同点即其URL形态都如示例1所示,如果拦截这类URL即阻断了恶意代码的传播和相关数据信息的回传。在基于对大量恶意代码的分析基础上,发现相同病毒家族的恶意代码,其URL的Host域(即域名或IP,例如示例1:www.test.com)、Path域都会有比较大的变化,这主要由于投放木马黑客会将盗取的账号信息发送到自己的服务器上,所以URL字符串中域名或IP部分,以及其虚拟路径是多变的。而Query域其字段名及其顺序一般不会有变化,变化的只有其字段值。本发明的核心就是对URL的Query域做特征匹配检测。 
以上详细说明了通过URL传播自身的恶意代码和通过URL回传信息的恶意代码的相关概念,进一步介绍特征数据提取的方法,可以把已确定为同一家族的恶意代码投放到虚拟机或蜜罐系统等仿真系统中,模拟用户环境中被植入并运行恶意代码的场景。通过使用网络协议分析工具,捕捉网络数据包并提取URL,用URL白名单过滤后提取出恶意URL集合,如示例2: 
示例2为针对相同家族恶意代码的URL,其中Host域、Path域都完全不一样,字段值也由于受害用户的不同导致回传的数据不同,但其字段名及其顺序都是一致的。所以以URL 中Query域的字段名(a=’*’&b=’*’&c=’*’&d=’*’)作为检测特征,根据大量同族恶意代码的分析,进一步可以对字段名对应的字段值做限制,如“b”字段名对应的字段值必须为6个阿拉伯数字的组合。
针对URL中的Query域,如果检测到该样本存在如上行为特征,杀毒软件就可以切断该样本的网络连接,阻止其上传账户信息,向用户提示病毒等操作。 
综上所述,本发明针对上述两类恶意代码进行特征数据的提取,并提供了检测此两类恶意代码的方法和系统。 
首先,本发明提供了一种基于统一资源定位符的恶意代码检测方法,包括: 
监控计算机操作系统,获取系统访问网络的URL;
通过解析所述URL得到所述URL的Query域信息;
将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配; 
如果匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则继续监控。
将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配之前,还包括: 
在模拟用户环境的仿真系统中运行同一病毒家族的恶意代码;
用网络协议分析工具捕获和分析运行所述恶意代码之后产生的网络通信数据,获取所述网络通信数据中的URL;
用URL白名单过滤所获取的URL,将所获取的URL划分为可信URL和恶意URL,所述URL白名单是周期性的通过手工或通过工具自动收集的正常无害URL;
提取所述恶意URL的Query域中相同的数据或数据格式,作为检测所述病毒家族恶意代码的特征数据存入Query域病毒特征库。
其中,所述预设操作包括:进行日志记录和/或阻断所述URL访问网络和/或展示恶意代码报警信息。 
另一方面,相应的,本发明还提供了一种基于统一资源定位符的恶意代码检测系统,包括: 
监控模块,用于监控计算机操作系统,获取系统访问网络的URL;
解析模块,用于解析所述URL得到所述URL的Query域信息;
匹配模块,用于将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配;
处理模块,根据所述模式匹配的结果进行处理,若匹配模块匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则监控模块继续监控。
所述系统还包括特征数据模块,所述特征数据模块具体包括: 
仿真单元,用于在模拟用户环境的仿真系统中运行同一病毒家族的恶意代码;
分析单元,用网络协议分析工具捕获和分析运行所述恶意代码之后产生的网络通信数据,获取所述网络通信数据中的URL;
过滤单元,用URL白名单过滤所获取的URL,将所获取的URL划分为可信URL和恶意URL,所述URL白名单是周期性的通过手工或通过工具自动收集的正常无害URL;
提取单元,用于提取所述恶意URL的Query域中相同的数据或数据格式,作为检测所述病毒家族恶意代码的特征数据;
Query域病毒特征库,用于存储提取单元获取的特征数据。
其中,处理模块的预设操作包括:进行日志记录和/或阻断所述URL访问网络和/或展示恶意代码报警信息。 
本发明使用方式简单,不必使用庞大的病毒特征数据,仅需少量的URL特征字符串就可以识别大量的相同家族的通过URL传播自身的恶意代码和回传信息方式是通过URL的恶意代码,当前由于金钱利益的驱使,大量病毒开发者都将盗号作为其恶意木马程序的功能之一,所以在针对盗号类木马本检测方法有非常好的检出率。 
本检测方法针对的并非特定样本,而是相同家族的样本,所以即使是最新的变种或者没有被捕获过的恶意代码也可以被本检测方法检出。 
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。 
图1为本发明基于统一资源定位符的恶意代码特征码提取方法流程图; 
图2为本发明基于统一资源定位符的恶意代码检测方法流程图;
图3为本发明基于统一资源定位符的恶意代码检测系统框图;
图4为本发明特征数据模块结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。 
如图1所示,提供了基于统一资源定位符的恶意代码特征码提取方法,包括: 
S101:把同一家族的恶意代码投放到模拟用户环境的仿真系统(虚拟机或蜜罐,包括提供恶意代码正常运行触发的环境)中运行。
S102:恶意代码运行后产生的网络通信数据,由网络协议分析工具捕获和分析,采集其中的URL数据。其中提取的URL数据还可与具体样本、系统环境等关联输出,在此只对URL数据做详细描述,采集的URL数据如示例3所示 
Figure DEST_PATH_681145DEST_PATH_IMAGE003
S103:如对示例3中的URL数据由URL白名单过滤后得到示例4所示,URL白名单是固定周期性的通过手工或通过工具自动对正常无害URL的收集,其中URL编号1和3的为正常URL,则不进入S104 步骤。
Figure DEST_PATH_435474DEST_PATH_IMAGE004
S104:通过恶意URL集合的Query域数据分析对比提取检测特征,基于示例4中确定的URL提取Query域的数据,如示例5所示。 
Figure DEST_PATH_985535DEST_PATH_IMAGE005
在实际特征对比提取中需要大量Query域数据分析,在此示例为了易于理解则以示例5来描述。 
通过分析得出URL编号4和编号5的Query域字段名(a=’*’&b=’*’&c=’*’&d=’*’)都相同,在实际情况中会有大量相同数据,即可作为本发明的检测特征。而URL编号2由于其字段名唯一,在实际情况中为字段名出现很少,则不作为检测特征数据。 
S105:建立Query域病毒特征库,并把S104步骤中提取的“a=’*’&b=’*’&c=’*’&d=’*’导入Query域病毒特征库。 
如图2所示,为本发明基于统一资源定位符的恶意代码检测方法,包括: 
S201:监控计算机操作系统,获取系统访问网络的URL。
自行编写网络驱动程序,过滤网络数据包,实现对收发数据的全面控制,捕获系统访问网络的数据包,分析网络协议,如果发现数据包中出现HTTP请求数据包,提取其访问的URL字符串。提取的URL字符串如示例6。 
S202:解析URL字符串,得到URL中Query域的内容。 
可以采用目前开源的URL解析代码,将URL字符串拆解成各个部分,取出Query域的内容作为下面步骤待检测的数据。 
Figure DEST_PATH_1082DEST_PATH_IMAGE007
S203:将待检测数据和病毒特征库的数据进行模式匹配。 
使用正则表达式对待检测数据进行模式匹配,查看待检测数据中是否存在病毒特征子串。 
在此以之前Query域病毒特征库中所述的“a=’*’&b=’*’&c=’*’&d=’*’”作为我们的检测特征来进一步说明。 
S204:查看匹配动作是否成功。 
示例7中URL编号1001的Query域为空与检测特征匹配失败,URL编号1002的Query域只有两个字段名,匹配失败。最后URL编号1003匹配成功。如果匹配成功,则进行步骤S205,否则转步骤S201继续监控。 
S205:阻止本次访问数据,即阻止编号1003的URL以及对应样本与用户之间的数据访问行为,切断该进程的网络连接,并通知用户。可以在驱动底层抛弃本次HTTP请求的数据包,重置该样本的网络连接,并通知用户该样本存在恶意行为。 
如图3所示,为本发明基于统一资源定位符的恶意代码检测系统框图,包括: 
监控模块301,用于监控计算机操作系统,获取系统访问网络的URL;
解析模块302,用于解析所述URL得到所述URL的Query域信息;
匹配模块303,用于将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配;
处理模块304,根据所述模式匹配的结果进行处理,若匹配模块匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则监控模块继续监控。
所述系统还包括特征数据模块305, 
特征数据模块305的具体框图如图 4所示,包括:
仿真单元3051,用于在模拟用户环境的仿真系统中运行同一病毒家族的恶意代码;
分析单元3052,用网络协议分析工具捕获和分析运行所述恶意代码之后产生的网络通信数据,获取所述网络通信数据中的URL;
过滤单元3053,用URL白名单过滤所获取的URL,将所获取的URL划分为可信URL和恶意URL,所述URL白名单是周期性的通过手工或通过工具自动收集的正常无害URL;
提取单元3054,用于提取所述恶意URL的Query域中相同的数据或数据格式,作为检测所述病毒家族恶意代码的特征数据;
Query域病毒特征库3055,用于存储提取单元获取的特征数据。
处理模块304的预设操作包括:进行日志记录和/或阻断所述URL访问网络和/或展示恶意代码报警信息。 
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。 
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。 

Claims (6)

1.一种基于统一资源定位符的恶意代码检测方法,其特征在于,包括:
监控计算机操作系统,获取系统访问网络的URL;
通过解析所述URL得到所述URL的Query域信息;
将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配; 
如果匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则继续监控。
2.如权利要求1所述的基于统一资源定位符的恶意代码检测方法,其特征在于,将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配之前,还包括:
在模拟用户环境的仿真系统中运行同一病毒家族的恶意代码;
用网络协议分析工具捕获和分析运行所述恶意代码之后产生的网络通信数据,获取所述网络通信数据中的URL;
用URL白名单过滤所获取的URL,将所获取的URL划分为可信URL和恶意URL,所述URL白名单是周期性的通过手工或通过工具自动收集的正常无害URL;
提取所述恶意URL的Query域中相同的数据或数据格式,作为检测所述病毒家族恶意代码的特征数据存入Query域病毒特征库。
3.如权利要求1所述的基于统一资源定位符的恶意代码检测方法,其特征在于,所述预设操作包括:进行日志记录和/或阻断所述URL访问网络和/或展示恶意代码报警信息。
4.一种基于统一资源定位符的恶意代码检测系统,其特征在于,包括:
监控模块,用于监控计算机操作系统,获取系统访问网络的URL;
解析模块,用于解析所述URL得到所述URL的Query域信息;
匹配模块,用于将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配;
处理模块,根据所述模式匹配的结果进行处理,若匹配模块匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则监控模块继续监控。
5.如权利要求4所述的基于统一资源定位符的恶意代码检测系统,其特征在于,还包括特征数据模块,所述特征数据模块具体包括:
仿真单元,用于在模拟用户环境的仿真系统中运行同一病毒家族的恶意代码;
分析单元,用网络协议分析工具捕获和分析运行所述恶意代码之后产生的网络通信数据,获取所述网络通信数据中的URL;
过滤单元,用URL白名单过滤所获取的URL,将所获取的URL划分为可信URL和恶意URL,所述URL白名单是周期性的通过手工或通过工具自动收集的正常无害URL;
提取单元,用于提取所述恶意URL的Query域中相同的数据或数据格式,作为检测所述病毒家族恶意代码的特征数据;
Query域病毒特征库,用于存储提取单元获取的特征数据。
6.如权利要求4所述的基于统一资源定位符的恶意代码检测系统,其特征在于,处理模块的预设操作包括:进行日志记录和/或阻断所述URL访问网络和/或展示恶意代码报警信息。
CN201110357893.1A 2011-11-14 2011-11-14 一种基于统一资源定位符的恶意代码检测方法和系统 Active CN102841990B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110357893.1A CN102841990B (zh) 2011-11-14 2011-11-14 一种基于统一资源定位符的恶意代码检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110357893.1A CN102841990B (zh) 2011-11-14 2011-11-14 一种基于统一资源定位符的恶意代码检测方法和系统

Publications (2)

Publication Number Publication Date
CN102841990A true CN102841990A (zh) 2012-12-26
CN102841990B CN102841990B (zh) 2015-07-22

Family

ID=47369345

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110357893.1A Active CN102841990B (zh) 2011-11-14 2011-11-14 一种基于统一资源定位符的恶意代码检测方法和系统

Country Status (1)

Country Link
CN (1) CN102841990B (zh)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103220274A (zh) * 2013-03-25 2013-07-24 北京东方网信科技股份有限公司 一种用于运营商网络出口的网络报文模式匹配方法及系统
CN103428196A (zh) * 2012-12-27 2013-12-04 北京安天电子设备有限公司 一种基于url白名单的web应用入侵检测方法和装置
CN103532944A (zh) * 2013-10-08 2014-01-22 百度在线网络技术(北京)有限公司 一种捕获未知攻击的方法和装置
CN103763324A (zh) * 2014-01-23 2014-04-30 珠海市君天电子科技有限公司 一种病毒程序传播设备监控的方法以及服务器
CN103902882A (zh) * 2014-03-18 2014-07-02 宇龙计算机通信科技(深圳)有限公司 一种防止用户信息泄漏的终端及方法
CN105306496A (zh) * 2015-12-02 2016-02-03 中国科学院软件研究所 用户身份检测方法和系统
WO2016119420A1 (zh) * 2015-01-26 2016-08-04 中兴通讯股份有限公司 一种对网络资源的恶意访问检测方法、装置及通信网关
CN106131069A (zh) * 2016-08-26 2016-11-16 北京奇虎科技有限公司 一种Web异常检测方法和装置
CN106453320A (zh) * 2016-10-14 2017-02-22 北京奇虎科技有限公司 恶意样本的识别方法及装置
CN106572072A (zh) * 2015-12-30 2017-04-19 哈尔滨安天科技股份有限公司 一种对攻击者进行追踪定位的方法及系统
CN106650439A (zh) * 2016-09-30 2017-05-10 北京奇虎科技有限公司 检测可疑应用程序的方法及装置
CN110086754A (zh) * 2018-01-26 2019-08-02 北京金山云网络技术有限公司 一种资源屏蔽方法、装置、电子设备及可读存储介质
CN110392081A (zh) * 2018-04-20 2019-10-29 武汉安天信息技术有限责任公司 病毒库推送方法及装置、计算机设备和计算机存储介质
CN112182575A (zh) * 2020-09-27 2021-01-05 北京六方云信息技术有限公司 基于lstm的攻击数据集恶意片段标注方法及系统
CN113242252A (zh) * 2021-05-21 2021-08-10 北京国联天成信息技术有限公司 一种大数据中恶意代码检测及处理方法及系统
CN113507445A (zh) * 2021-06-10 2021-10-15 广州大学 一种物联网第三方规则安全性的检测方法和装置
TWI811545B (zh) * 2020-05-18 2023-08-11 安碁資訊股份有限公司 域名系統中惡意域名的偵測方法與偵測裝置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101267357A (zh) * 2007-03-13 2008-09-17 北京启明星辰信息技术有限公司 一种sql注入攻击检测方法及系统
CN101901222A (zh) * 2009-05-27 2010-12-01 北京启明星辰信息技术股份有限公司 一种sql解析及匹配的方法和系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101267357A (zh) * 2007-03-13 2008-09-17 北京启明星辰信息技术有限公司 一种sql注入攻击检测方法及系统
CN101901222A (zh) * 2009-05-27 2010-12-01 北京启明星辰信息技术股份有限公司 一种sql解析及匹配的方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
文敬斌 等: "基于网络设备的网页过滤的设计", 《通信技术》, vol. 44, no. 02, 28 February 2011 (2011-02-28), pages 78 - 80 *

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103428196A (zh) * 2012-12-27 2013-12-04 北京安天电子设备有限公司 一种基于url白名单的web应用入侵检测方法和装置
CN103428196B (zh) * 2012-12-27 2016-08-03 北京安天电子设备有限公司 一种基于url白名单的web应用入侵检测方法
CN103220274A (zh) * 2013-03-25 2013-07-24 北京东方网信科技股份有限公司 一种用于运营商网络出口的网络报文模式匹配方法及系统
CN103220274B (zh) * 2013-03-25 2016-06-15 北京东方网信科技股份有限公司 一种用于运营商网络出口的网络报文模式匹配方法及系统
CN103532944B (zh) * 2013-10-08 2016-09-07 百度在线网络技术(北京)有限公司 一种捕获未知攻击的方法和装置
CN103532944A (zh) * 2013-10-08 2014-01-22 百度在线网络技术(北京)有限公司 一种捕获未知攻击的方法和装置
CN103763324A (zh) * 2014-01-23 2014-04-30 珠海市君天电子科技有限公司 一种病毒程序传播设备监控的方法以及服务器
CN103902882A (zh) * 2014-03-18 2014-07-02 宇龙计算机通信科技(深圳)有限公司 一种防止用户信息泄漏的终端及方法
CN103902882B (zh) * 2014-03-18 2015-09-02 宇龙计算机通信科技(深圳)有限公司 一种防止用户信息泄漏的终端及方法
WO2016119420A1 (zh) * 2015-01-26 2016-08-04 中兴通讯股份有限公司 一种对网络资源的恶意访问检测方法、装置及通信网关
CN105897664A (zh) * 2015-01-26 2016-08-24 中兴通讯股份有限公司 一种对网络资源的恶意访问检测方法、装置及通信网关
CN105306496A (zh) * 2015-12-02 2016-02-03 中国科学院软件研究所 用户身份检测方法和系统
CN106572072A (zh) * 2015-12-30 2017-04-19 哈尔滨安天科技股份有限公司 一种对攻击者进行追踪定位的方法及系统
CN106131069A (zh) * 2016-08-26 2016-11-16 北京奇虎科技有限公司 一种Web异常检测方法和装置
CN106131069B (zh) * 2016-08-26 2019-06-04 北京奇虎科技有限公司 一种Web异常检测方法和装置
CN106650439A (zh) * 2016-09-30 2017-05-10 北京奇虎科技有限公司 检测可疑应用程序的方法及装置
CN106453320A (zh) * 2016-10-14 2017-02-22 北京奇虎科技有限公司 恶意样本的识别方法及装置
CN106453320B (zh) * 2016-10-14 2019-06-18 北京奇虎科技有限公司 恶意样本的识别方法及装置
CN110086754A (zh) * 2018-01-26 2019-08-02 北京金山云网络技术有限公司 一种资源屏蔽方法、装置、电子设备及可读存储介质
CN110392081A (zh) * 2018-04-20 2019-10-29 武汉安天信息技术有限责任公司 病毒库推送方法及装置、计算机设备和计算机存储介质
TWI811545B (zh) * 2020-05-18 2023-08-11 安碁資訊股份有限公司 域名系統中惡意域名的偵測方法與偵測裝置
US11956261B2 (en) 2020-05-18 2024-04-09 Acer Cyber Security Incorporated Detection method for malicious domain name in domain name system and detection device
CN112182575A (zh) * 2020-09-27 2021-01-05 北京六方云信息技术有限公司 基于lstm的攻击数据集恶意片段标注方法及系统
CN113242252A (zh) * 2021-05-21 2021-08-10 北京国联天成信息技术有限公司 一种大数据中恶意代码检测及处理方法及系统
CN113507445A (zh) * 2021-06-10 2021-10-15 广州大学 一种物联网第三方规则安全性的检测方法和装置

Also Published As

Publication number Publication date
CN102841990B (zh) 2015-07-22

Similar Documents

Publication Publication Date Title
CN102841990B (zh) 一种基于统一资源定位符的恶意代码检测方法和系统
CN102801697B (zh) 基于多url的恶意代码检测方法和系统
CN101610264B (zh) 一种防火墙系统、安全服务平台及防火墙系统的管理方法
Abikoye et al. A novel technique to prevent SQL injection and cross-site scripting attacks using Knuth-Morris-Pratt string match algorithm
US10033746B2 (en) Detecting unauthorised changes to website content
CN103023712B (zh) 网页恶意属性监测方法和系统
CN102833240B (zh) 一种恶意代码捕获方法及系统
CN112685737A (zh) 一种app的检测方法、装置、设备及存储介质
CN103634317A (zh) 基于云安全对恶意网址信息进行安全鉴定的方法及系统
CN101816148A (zh) 用于验证、数据传送和防御网络钓鱼的系统和方法
CN110691080B (zh) 自动溯源方法、装置、设备及介质
CN110535806A (zh) 监测异常网站的方法、装置、设备和计算机存储介质
CN102571812A (zh) 一种网络威胁的跟踪识别方法及装置
CN107612924A (zh) 基于无线网络入侵的攻击者定位方法及装置
CN109167781A (zh) 一种基于动态关联分析的网络攻击链识别方法和装置
CN103067387B (zh) 一种反钓鱼监测系统和方法
CN101901232A (zh) 用于处理网页数据的方法和装置
CN103150511A (zh) 一种安全防护系统
CN104994104A (zh) 基于web安全网关的服务器指纹拟态和敏感信息拟态方法
WO2014103115A1 (ja) 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体
CN104967628A (zh) 一种保护web应用安全的诱骗方法
CN113938308A (zh) 应用集群安全防护系统、方法、电子设备及存储介质
Cui et al. A survey on xss attack detection and prevention in web applications
CN107451466A (zh) 一种安全评估方法及装置、计算机装置、可读存储介质
CN107465702A (zh) 基于无线网络入侵的预警方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and system for detecting malicious codes based on uniform resource locator

Effective date of registration: 20170621

Granted publication date: 20150722

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin Antiy Technology Co., Ltd.

Registration number: 2017110000004

PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20190614

Granted publication date: 20150722

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin Antiy Technology Co., Ltd.

Registration number: 2017110000004

PC01 Cancellation of the registration of the contract for pledge of patent right
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162

Patentee before: Harbin Antiy Technology Co., Ltd.

PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and system for detecting malicious codes based on uniform resource locator

Effective date of registration: 20190828

Granted publication date: 20150722

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin antiy Technology Group Limited by Share Ltd

Registration number: Y2019230000002

CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20211119

Granted publication date: 20150722

Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch

Pledgor: Harbin Antian Science and Technology Group Co.,Ltd.

Registration number: Y2019230000002