CN102843270A - 基于url与本地文件关联的可疑url检测方法和装置 - Google Patents

基于url与本地文件关联的可疑url检测方法和装置 Download PDF

Info

Publication number
CN102843270A
CN102843270A CN2011102574577A CN201110257457A CN102843270A CN 102843270 A CN102843270 A CN 102843270A CN 2011102574577 A CN2011102574577 A CN 2011102574577A CN 201110257457 A CN201110257457 A CN 201110257457A CN 102843270 A CN102843270 A CN 102843270A
Authority
CN
China
Prior art keywords
url
file
suspicious
apocrypha
downloading
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011102574577A
Other languages
English (en)
Other versions
CN102843270B (zh
Inventor
肖新光
李石磊
沈长伟
童志明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201110257457.7A priority Critical patent/CN102843270B/zh
Publication of CN102843270A publication Critical patent/CN102843270A/zh
Application granted granted Critical
Publication of CN102843270B publication Critical patent/CN102843270B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于URL与本地文件关联的可疑URL检测方法,包括:获取系统访问的URL;判断获取的URL是否进行文件下载;如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。本发明还公开了一种基于URL与本地文件关联的可疑URL检测装置。本发明将传统的启发式检测和URL关联一起,每个恶意代码都能查到下载它的URL,不仅能将可疑文件甄别出来,而且能够提供下载这个可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。

Description

基于URL与本地文件关联的可疑URL检测方法和装置
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及通过将URL(Uniform / Universal Resource Locator 的缩写, 统一资源定位符)与本地正在下载的文件进行关联,然后对其启发式检测的方法和装置。
背景技术
随着互联网的大面积普及,利用网络传播恶意代码逐渐成为最主要的传播恶意代码的方式。现今主流的恶意代码启发式检测方法主要基于文件的检测,根据文件的基本属性和环境等对文件进行判定。
现今恶意代码的启发式检测方法忽略了恶意代码传播源头,即网络。利用网络传播的恶意代码大多基于URL下载的,如果能把这个传播源头堵住,就会大大降低感染恶意代码的风险。
发明内容
针对以上不足,本发明要解决的技术问题是提供一种基于URL与本地文件关联的可疑URL检测方法和装置,该方法和系统能将可疑文件甄别出来,而且能够提供下载该可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。
本发明提供了一种基于URL与本地文件关联的可疑URL检测方法,包括以下步骤:
获取系统访问的URL;
判断获取的URL是否进行文件下载;
如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。
首先可以截获系统访问的URL,获取到该URL链接所有的数据包,只需要几个数据包种的数据,即获取到该URL所指向的文件的一部分数据。
通过监控本地文件创建,可以动态截获到系统中所有进程创建文件的操作,这样就可以在创建文件时获取一部分文件数据,和上述URL数据包所获得的数据进行对比,如果相同,即可将该URL与当前正在创建的本地文件关联起来,也就是将该URL与下载到系统的文件关联起来。
然后获取下载到系统的文件的基本信息和环境信息,对下载到系统的文件进行启发式检测,判断下载到系统的文件是否可疑。
进一步的,如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
如果所述URL下载到系统的文件不是用户需要的文件,用户可以判定所述URL为恶意URL。
进一步的,如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。
本发明还提供了一种基于URL与本地文件关联的可疑URL检测装置,包括:
获取模块,用于获取系统访问的URL,判断获取的URL是否进行文件下载;
关联模块,用于如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
检测模块,用于对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件。
进一步的,还包括用户模块,用于如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
进一步的,还包括过滤模块,用于如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。
本发明的有益效果是:
本发明将传统的启发式检测和URL关联一起,每个恶意代码都能查到下载它的URL,不仅能将可疑文件甄别出来,而且能够提供下载这个可疑文件的URL,对进一步分析和阻止恶意代码传播提供有力条件。将可疑文件的URL加入到URL过滤引擎中,可以阻止恶意代码进一步传播。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于URL与本地文件关联的可疑URL检测方法流程图;
图2为本发明基于URL与本地文件关联的可疑URL检测装置框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
首先介绍本发明基于URL与本地文件关联的可疑URL检测方法,具体步骤如图1所示,包括步骤:
S101、获取系统访问网络的URL。
可以使用抓包工具,例如pcap或自行编写程序捕捉网络数据包,提取URL。
S102、判断获取的URL是否进行文件下载。
根据URL判断下载的是网页还是文件,多数网页的后缀为常用的网页后缀,例如:html、htm、php等。若为网页,将返回S101继续获取URL。若所述URL下载文件,则进行S103。
S103、将URL与下载到系统的文件相关联。
由于可以截获URL,我们可以获取到这个链接所有的数据包,只需要几个数据包的数据,就可以获取到该URL所指向的文件的一部分数据。
通过监控本地文件创建,可以动态截获到系统中所有进程创建文件的操作,这样就可以在创建文件时获取一部分文件数据,和上述URL数据包所获得的数据进行对比,如果相同,即可将该URL与当前正在创建的本地文件关联起来,也就是将该URL与下载到系统的文件关联起来。
S104、可疑文件判定。
获取下载到系统的文件的基本信息和环境信息;
对下载到系统的文件进行启发式检测。例如,下载的文件是否是PE文件,大多数危险代码都是PE文件,还有下载的文件存放目录,如果存放在系统敏感目录也是非常危险的。
综合上述信息对该下载到系统的文件进行判定,如果文件不是可疑文件,返回S101继续获取URL。否则进行步骤S105。
S105、报警提示用户,等待用户确认,若用户信任URL,则返回S101继续获取URL。否则进行步骤S106。
S106、如果用户确认所述URL为恶意URL,将URL加入类似URLFilter的过滤器,阻止URL继续下载危险恶意代码。
本发明还提供了一种基于URL与本地文件关联的可疑URL检测装置,如图2所示,包括:
获取模块201,用于获取系统访问的URL,判断获取的URL是否进行文件下载;
关联模块202,用于如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
检测模块203,用于对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件。
还包括用户模块204,用于如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
还包括过滤模块205,用于如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (6)

1.一种基于URL与本地文件关联的可疑URL检测方法,其特征在于,包括以下步骤:
获取系统访问的URL;
判断获取的URL是否进行文件下载;
如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件,根据判断结果对所述URL做进一步处理。
2.如权利要求1所述的基于URL与本地文件关联的可疑URL检测方法,其特征在于,根据判断结果对所述URL做进一步处理包括:如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
3.如权利要求2所述的基于URL与本地文件关联的可疑URL检测方法,其特征在于,还包括:如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。
4.一种基于URL与本地文件关联的可疑URL检测装置,其特征在于,包括:
获取模块,用于获取系统访问的URL,判断获取的URL是否进行文件下载;
关联模块,用于如果获取的URL进行文件下载,则通过截获URL数据包,用部分数据包中的数据与下载到系统的文件数据进行对比,如果对比结果相同则将所述URL与下载到系统的文件相关联;
检测模块,用于对下载到系统的文件进行检测判断下载到系统的文件是否是可疑文件。
5.如权利要求4所述的基于URL与本地文件关联的可疑URL检测装置,其特征在于,还包括用户模块,用于如果下载到系统的文件是可疑文件,将与可疑文件相关联的URL报警提示给用户,等待用户确认。
6.如权利要求5所述的基于URL与本地文件关联的可疑URL检测装置,其特征在于,还包括过滤模块,用于如果用户确认与可疑文件相关联的URL为恶意URL,则报警并将所述URL加入到引擎过滤器。
CN201110257457.7A 2011-09-02 2011-09-02 基于url与本地文件关联的可疑url检测方法和装置 Active CN102843270B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110257457.7A CN102843270B (zh) 2011-09-02 2011-09-02 基于url与本地文件关联的可疑url检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110257457.7A CN102843270B (zh) 2011-09-02 2011-09-02 基于url与本地文件关联的可疑url检测方法和装置

Publications (2)

Publication Number Publication Date
CN102843270A true CN102843270A (zh) 2012-12-26
CN102843270B CN102843270B (zh) 2016-01-27

Family

ID=47370347

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110257457.7A Active CN102843270B (zh) 2011-09-02 2011-09-02 基于url与本地文件关联的可疑url检测方法和装置

Country Status (1)

Country Link
CN (1) CN102843270B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103561040A (zh) * 2013-11-15 2014-02-05 中国科学院声学研究所 一种文件下载方法及系统
CN104080058A (zh) * 2014-06-16 2014-10-01 百度在线网络技术(北京)有限公司 信息处理方法及装置
CN104978523A (zh) * 2014-11-06 2015-10-14 哈尔滨安天科技股份有限公司 一种基于网络热词识别的恶意样本捕获方法及系统
CN105320883A (zh) * 2015-11-11 2016-02-10 北京奇虎科技有限公司 文件安全加载实现方法及装置
CN104123163B (zh) * 2014-07-30 2017-08-04 珠海市君天电子科技有限公司 一种应用程序的下载请求的处理方法及装置
CN109194670A (zh) * 2018-09-19 2019-01-11 杭州安恒信息技术股份有限公司 一种网站任意文件下载漏洞检测方法
CN109787964A (zh) * 2018-12-29 2019-05-21 北京零平数据处理有限公司 进程行为溯源装置和方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101500000A (zh) * 2008-01-30 2009-08-05 珠海金山软件股份有限公司 互联网网站的安全评估方法及其装置
CN101517570A (zh) * 2006-07-10 2009-08-26 网圣公司 分析网络内容的系统和方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101517570A (zh) * 2006-07-10 2009-08-26 网圣公司 分析网络内容的系统和方法
CN101500000A (zh) * 2008-01-30 2009-08-05 珠海金山软件股份有限公司 互联网网站的安全评估方法及其装置

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103561040A (zh) * 2013-11-15 2014-02-05 中国科学院声学研究所 一种文件下载方法及系统
CN104080058A (zh) * 2014-06-16 2014-10-01 百度在线网络技术(北京)有限公司 信息处理方法及装置
CN104123163B (zh) * 2014-07-30 2017-08-04 珠海市君天电子科技有限公司 一种应用程序的下载请求的处理方法及装置
CN104978523A (zh) * 2014-11-06 2015-10-14 哈尔滨安天科技股份有限公司 一种基于网络热词识别的恶意样本捕获方法及系统
CN105320883A (zh) * 2015-11-11 2016-02-10 北京奇虎科技有限公司 文件安全加载实现方法及装置
CN105320883B (zh) * 2015-11-11 2018-05-15 北京奇虎科技有限公司 文件安全加载实现方法及装置
CN109194670A (zh) * 2018-09-19 2019-01-11 杭州安恒信息技术股份有限公司 一种网站任意文件下载漏洞检测方法
CN109787964A (zh) * 2018-12-29 2019-05-21 北京零平数据处理有限公司 进程行为溯源装置和方法
CN109787964B (zh) * 2018-12-29 2021-04-27 北京零平数据处理有限公司 进程行为溯源装置和方法

Also Published As

Publication number Publication date
CN102843270B (zh) 2016-01-27

Similar Documents

Publication Publication Date Title
CN102843270A (zh) 基于url与本地文件关联的可疑url检测方法和装置
CN105208000B (zh) 网络分析攻击回溯的方法及网络安全设备
CN102801697A (zh) 基于多url的恶意代码检测方法和系统
CN101895516B (zh) 一种跨站脚本攻击源的定位方法及装置
CN106022127B (zh) Apk文件安全检测方法及装置
WO2012113272A1 (zh) 一种提高终端上网安全性的方法、系统和装置
CN102938789B (zh) 一种移动互联网手机应用下载组合分析方法和装置
WO2014055354A1 (en) Protecting users from undesirable content
CN102467633A (zh) 一种安全浏览网页的方法及其系统
CN102158499B (zh) 基于http流量分析的挂马网站检测方法
CN102457841B (zh) 用于检测病毒的方法和装置
CN105303109A (zh) 一种恶意代码情报检测分析方法及系统
WO2014015753A1 (en) Method and apparatus for intercepting or cleaning-up plugins
CN101901232A (zh) 用于处理网页数据的方法和装置
CN104363252B (zh) 网站安全检测方法与装置
CN102571812A (zh) 一种网络威胁的跟踪识别方法及装置
CN104767747A (zh) 点击劫持安全检测方法和装置
CN102547710B (zh) 在移动通信系统中探测病毒的方法和装置
CN104468459B (zh) 一种漏洞检测方法及装置
CN103905421A (zh) 一种基于url异构性的可疑事件检测方法及系统
CN103220277A (zh) 监控跨站脚本攻击的方法、装置及系统
CN107566371B (zh) 一种面向海量日志的WebShell挖掘方法
CN106561029A (zh) 一种半连接式二维码检测方法及系统
CN104158697A (zh) 一种死链检测方法及装置
JP2004112318A (ja) コンテンツ不正利用探索システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Suspicious URL (uniform resource locator) detection method and device based on correlation of URL and local file

Effective date of registration: 20170621

Granted publication date: 20160127

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin Antiy Technology Co., Ltd.

Registration number: 2017110000004

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20190614

Granted publication date: 20160127

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin Antiy Technology Co., Ltd.

Registration number: 2017110000004

CP03 Change of name, title or address

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162

Patentee before: Harbin Antiy Technology Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Suspicious URL (uniform resource locator) detection method and device based on correlation of URL and local file

Effective date of registration: 20190828

Granted publication date: 20160127

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin antiy Technology Group Limited by Share Ltd

Registration number: Y2019230000002

PE01 Entry into force of the registration of the contract for pledge of patent right
CP01 Change in the name or title of a patent holder

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.

CP01 Change in the name or title of a patent holder
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20211119

Granted publication date: 20160127

Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch

Pledgor: Harbin Antian Science and Technology Group Co.,Ltd.

Registration number: Y2019230000002

PC01 Cancellation of the registration of the contract for pledge of patent right