CN103905421A - 一种基于url异构性的可疑事件检测方法及系统 - Google Patents
一种基于url异构性的可疑事件检测方法及系统 Download PDFInfo
- Publication number
- CN103905421A CN103905421A CN201310689748.2A CN201310689748A CN103905421A CN 103905421 A CN103905421 A CN 103905421A CN 201310689748 A CN201310689748 A CN 201310689748A CN 103905421 A CN103905421 A CN 103905421A
- Authority
- CN
- China
- Prior art keywords
- url
- urls
- suspicious event
- detection
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于URL异构性的可疑事件检测方法及系统,首先,捕获用户发出方向的网络数据包;解析所述网络数据包,提取所述网络数据包中的URL;基于知识库中的检测规则来判断所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;所述检测规则根据需要添加或删除,包括:判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。解决了传统检测方法对于已知恶意的URL有效,对于未知的或者未捕获的URL无能为力的问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于URL异构性的可疑事件检测方法及系统。
背景技术
用来浏览网站的web浏览器已经从展示内容发展为一个可执行分布式应用程序的环境。为了能更好的展示网站的各种功能,浏览器已经从原来的静态角色转变成了可以动态运行客户端程序的操作系统,同时也给用户带来了更大的安全隐患。
传统恶意程序的检测方法多是基于特征码进行检测,对于URL进行检测的方法是通过已知捕获的恶意URL进行匹配,但是这种方式对于未知的恶意URL基本无效,并且其反应速度也远远落后于恶意程序发展及转化的速度。
发明内容
针对上述技术问题,本发明提供了一种基于URL异构性的可疑事件检测方法及系统,该发明通过知识库中的检测规则来检测URL是否是高度可疑事件,并及时处理和响应。由于知识库中的检测规则是可以根据形势和需要补充或者替换,所以便于维护,并且由于本发明所提供的技术方案不依赖于已知恶意URL的特征提取,所以其对于未知的恶意URL有很好的检出效果。
本发明采用如下方法来实现:一种基于URL异构性的可疑事件检测方法,包括:
捕获用户发出方向的网络数据包;
解析所述网络数据包,提取所述网络数据包中的URL;
基于知识库中的检测规则来判断所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;
所述检测规则根据需要添加或删除,包括:
判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;其中,所述系统保留端口小于等于1024;通常正常的网络服务都是使用系统保留端口,例如:HTTP的80端口、FTP的22端口等。恶意程序由于很多条件限制,例如为了逃避检测,所以很少使用系统保留端口;
判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。因为正常的网络服务一般都会选择一个具有实际意义的单词、拼音或者已知域名等作为域名。恶意程序为了隐藏自己需求等原因,可能需要使用没有任何实际意义的域名。
其中,所述检测规则是可以不断完善的,能够根据形势或者需要添加新的检测规则,或者删除不再有效地检测规则。
进一步地,若判断所述URL请求的服务器端口是系统保留端口,则继续判断所述URL请求是否与端口所对应的协议一致,若是,则是安全事件,否则是高度可疑事件。
本发明采用如下系统来实现:一种基于URL异构性的可疑事件检测系统,包括:
数据包捕获模块,用于捕获用户发出方向的网络数据包;
URL提取模块,用于解析所述网络数据包,提取所述网络数据包中的URL;
判定模块,用于基于知识库中的检测规则来判定所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;
知识库,用于存储检测规则,所述检测规则根据需要添加或删除,包括:
判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;其中,所述系统保留端口小于等于1024;通常正常的网络服务都是使用系统保留端口,例如:HTTP的80端口、FTP的22端口等。恶意程序由于很多条件限制,例如为了逃避检测,所以很少使用系统保留端口;
判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。因为正常的网络服务一般都会选择一个具有实际意义的单词、拼音或者已知的域名等作为域名。恶意程序为了隐藏自己需求等原因,可能需要使用没有任何实际意义的域名。
其中,所述知识库是可以不断完善的,能够根据形势或者需要添加新的检测规则,或者删除不再有效地检测规则。
进一步地,若判断所述URL请求的服务器端口是系统保留端口,则继续判断所述URL请求是否与端口所对应的协议一致,若是,则是安全事件,否则是高度可疑事件。
综上所述,本发明提供了一种基于URL异构性的可疑事件检测方法及系统,利用恶意程序通常都会主动与控制端进行网络通信的特点,本发明所述技术方案通过监控用户发出方向的网络数据包,并解析出URL,基于预设的检测规则检测所述URL请求是否是高度可疑事件,并根据检测结果进行后续处理。由于本技术方案没有使用已知恶意URL特征进行检测,并且其使用的检测规则可以根据需要灵活添加或者删除,所以其可以有效地检出未知恶意URL。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于URL异构性的可疑事件检测方法流程图;
图2为本发明提供的一种基于URL异构性的可疑事件检测系统结构图。
具体实施方式
本发明给出了一种基于URL异构性的可疑事件检测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于URL异构性的可疑事件检测方法,如图1所示,包括:
S101捕获用户发出方向的网络数据包;
S102解析所述网络数据包,提取所述网络数据包中的URL;
S103基于知识库中的检测规则来判断所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;
所述检测规则根据需要添加或删除,包括:
判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;
判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。
优选地,若判断所述URL请求的服务器端口是系统保留端口,则继续判断所述URL请求是否与端口所对应的协议一致,若是,则是安全事件,否则是高度可疑事件。
本发明还提供了一种基于URL异构性的可疑事件检测系统,如图2所示,包括:
数据包捕获模块201,用于捕获用户发出方向的网络数据包;
URL提取模块202,用于解析所述网络数据包,提取所述网络数据包中的URL;
判定模块203,用于基于知识库中的检测规则来判定所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;
知识库204,用于存储检测规则,所述检测规则根据需要添加或删除,包括:
判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;
判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。
优选地,若判断所述URL请求的服务器端口是系统保留端口,则继续判断所述URL请求是否与端口所对应的协议一致,若是,则是安全事件,否则是高度可疑事件。
如上所述,本发明给出了一种基于URL异构性的可疑事件检测方法及系统的具体实施例,其与传统方法的区别在于,目前多数恶意URL的检测方法是基于已知恶意URL的特征提取,基于特征对于URL进行扫描,并判定是否是恶意URL。但是现有技术的检测效果依赖于特征库的大小或者更新速度,并且对于未知恶意URL基本没有检出能力。而本发明所述的技术方案是利用恶意URL的通信特点,监控并获取向外发出的请求网络数据包,并提取URL,基于预先定义的知识库中的检测规则,对于URL进行检测并判断其是否是恶意URL,基于判定结果进行后续处理。由于本发明所述技术方案不依赖于已知特征,并且其使用的知识库是可以根据形势需要进行维护的,可以向内添加或者删除检测规则,因此对于未知的或者未捕获的恶意URL有更好的检测效果。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (4)
1.一种基于URL异构性的可疑事件检测方法,其特征在于,包括:
捕获用户发出方向的网络数据包;
解析所述网络数据包,提取所述网络数据包中的URL;
基于知识库中的检测规则来判断所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;
所述检测规则根据需要添加或删除,包括:
判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;
判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。
2.如权利要求1所述的方法,其特征在于,若判断所述URL请求的服务器端口是系统保留端口,则继续判断所述URL请求是否与端口所对应的协议一致,若是,则是安全事件,否则是高度可疑事件。
3.一种基于URL异构性的可疑事件检测系统,其特征在于,包括:
数据包捕获模块,用于捕获用户发出方向的网络数据包;
URL提取模块,用于解析所述网络数据包,提取所述网络数据包中的URL;
判定模块,用于基于知识库中的检测规则来判定所述URL是否是高度可疑事件,若是,则进行深度检测,否则利用预设的检测方案进行检测;
知识库,用于存储检测规则,所述检测规则根据需要添加或删除,包括:
判断所述URL请求的服务器端口是否为系统保留端口,若是,则是安全事件,否则是高度可疑事件;
判断所述URL的域名是否是具有实际意义的词汇,若是,则是安全事件,否则是高度可疑事件。
4.如权利要求3所述的系统,其特征在于,若判断所述URL请求的服务器端口是系统保留端口,则继续判断所述URL请求是否与端口所对应的协议一致,若是,则是安全事件,否则是高度可疑事件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310689748.2A CN103905421A (zh) | 2013-12-17 | 2013-12-17 | 一种基于url异构性的可疑事件检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310689748.2A CN103905421A (zh) | 2013-12-17 | 2013-12-17 | 一种基于url异构性的可疑事件检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103905421A true CN103905421A (zh) | 2014-07-02 |
Family
ID=50996575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310689748.2A Pending CN103905421A (zh) | 2013-12-17 | 2013-12-17 | 一种基于url异构性的可疑事件检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103905421A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105024989A (zh) * | 2014-11-26 | 2015-11-04 | 哈尔滨安天科技股份有限公司 | 一种基于异常端口的恶意url启发式检测方法及系统 |
| CN105119783A (zh) * | 2015-09-30 | 2015-12-02 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
| CN106779675A (zh) * | 2016-11-22 | 2017-05-31 | 国家计算机网络与信息安全管理中心山东分中心 | 一种手机银行支付安全监测分析方法与系统 |
| CN104123163B (zh) * | 2014-07-30 | 2017-08-04 | 珠海市君天电子科技有限公司 | 一种应用程序的下载请求的处理方法及装置 |
| CN107181758A (zh) * | 2017-06-30 | 2017-09-19 | 微梦创科网络科技(中国)有限公司 | 识别黑客行为的方法及系统 |
| US20210014244A1 (en) * | 2016-08-12 | 2021-01-14 | Level 3 Communications, Llc | Malware detection and prevention system |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060123464A1 (en) * | 2004-12-02 | 2006-06-08 | Microsoft Corporation | Phishing detection, prevention, and notification |
| WO2007025279A2 (en) * | 2005-08-25 | 2007-03-01 | Fortify Software, Inc. | Apparatus and method for analyzing and supplementing a program to provide security |
| CN102739679A (zh) * | 2012-06-29 | 2012-10-17 | 东南大学 | 一种基于url分类的钓鱼网站检测方法 |
| CN202832348U (zh) * | 2012-10-24 | 2013-03-27 | 刘凤 | 对中式组合光杆密封器 |
| CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
| CN103123675A (zh) * | 2013-01-24 | 2013-05-29 | 北京奇虎科技有限公司 | 扫描计算机病毒的方法和装置 |
-
2013
- 2013-12-17 CN CN201310689748.2A patent/CN103905421A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060123464A1 (en) * | 2004-12-02 | 2006-06-08 | Microsoft Corporation | Phishing detection, prevention, and notification |
| WO2007025279A2 (en) * | 2005-08-25 | 2007-03-01 | Fortify Software, Inc. | Apparatus and method for analyzing and supplementing a program to provide security |
| CN102739679A (zh) * | 2012-06-29 | 2012-10-17 | 东南大学 | 一种基于url分类的钓鱼网站检测方法 |
| CN202832348U (zh) * | 2012-10-24 | 2013-03-27 | 刘凤 | 对中式组合光杆密封器 |
| CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
| CN103123675A (zh) * | 2013-01-24 | 2013-05-29 | 北京奇虎科技有限公司 | 扫描计算机病毒的方法和装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104123163B (zh) * | 2014-07-30 | 2017-08-04 | 珠海市君天电子科技有限公司 | 一种应用程序的下载请求的处理方法及装置 |
| CN105024989A (zh) * | 2014-11-26 | 2015-11-04 | 哈尔滨安天科技股份有限公司 | 一种基于异常端口的恶意url启发式检测方法及系统 |
| CN105024989B (zh) * | 2014-11-26 | 2018-09-07 | 哈尔滨安天科技股份有限公司 | 一种基于异常端口的恶意url启发式检测方法及系统 |
| CN105119783A (zh) * | 2015-09-30 | 2015-12-02 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
| CN105119783B (zh) * | 2015-09-30 | 2020-01-31 | 北京奇艺世纪科技有限公司 | 网络请求数据的检测方法及装置 |
| US20210014244A1 (en) * | 2016-08-12 | 2021-01-14 | Level 3 Communications, Llc | Malware detection and prevention system |
| US11552988B2 (en) * | 2016-08-12 | 2023-01-10 | Level 3 Communications, Llc | Creating malware prevention rules using malware detection and prevention system |
| CN106779675A (zh) * | 2016-11-22 | 2017-05-31 | 国家计算机网络与信息安全管理中心山东分中心 | 一种手机银行支付安全监测分析方法与系统 |
| CN107181758A (zh) * | 2017-06-30 | 2017-09-19 | 微梦创科网络科技(中国)有限公司 | 识别黑客行为的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103905421A (zh) | 一种基于url异构性的可疑事件检测方法及系统 | |
| US10091167B2 (en) | Network traffic analysis to enhance rule-based network security | |
| KR101662605B1 (ko) | 모바일 네트워크 환경에서 네트워크 정보를 가입자 정보와 상관시키는 시스템 및 방법 | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| CN102624706B (zh) | 一种dns隐蔽信道的检测方法 | |
| CN103473509A (zh) | Android平台恶意软件自动检测方法 | |
| CN103401845B (zh) | 一种网址安全性的检测方法、装置 | |
| CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
| CN103428186A (zh) | 一种检测钓鱼网站的方法及装置 | |
| US20150047042A1 (en) | Techniques for validating distributed denial of service attacks based on social media content | |
| Agrawal et al. | A survey on android malware and their detection techniques | |
| CN103368957A (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| KR20130058853A (ko) | 사용자 단말의 접속 네트워크 식별 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| US20180034776A1 (en) | Filtering data using malicious reference information | |
| CN104318162A (zh) | 源代码泄露检测方法及装置 | |
| CN102843270A (zh) | 基于url与本地文件关联的可疑url检测方法和装置 | |
| CN106357482B (zh) | 一种基于网络协议实施监控网页访问的方法 | |
| CN103425930B (zh) | 一种在线实时脚本检测方法及系统 | |
| CN104639387A (zh) | 一种用户网络行为跟踪方法及设备 | |
| Takata et al. | Analysis of redirection caused by web-based malware | |
| CN101901307A (zh) | 一种检测数据库是否遭到跨站脚本攻击的方法及装置 | |
| CN106789938B (zh) | 一种实时监控手机端浏览器搜索痕迹的方法 | |
| CN104363256B (zh) | 一种手机病毒的识别和控制方法、设备与系统 | |
| KR101428721B1 (ko) | 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템 | |
| Doshi et al. | Digital forensics analysis for network related data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140702 |
|
| RJ01 | Rejection of invention patent application after publication |