CN105024989B - 一种基于异常端口的恶意url启发式检测方法及系统 - Google Patents
一种基于异常端口的恶意url启发式检测方法及系统 Download PDFInfo
- Publication number
- CN105024989B CN105024989B CN201410688920.7A CN201410688920A CN105024989B CN 105024989 B CN105024989 B CN 105024989B CN 201410688920 A CN201410688920 A CN 201410688920A CN 105024989 B CN105024989 B CN 105024989B
- Authority
- CN
- China
- Prior art keywords
- port data
- url
- port
- data
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 33
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 17
- 238000000034 method Methods 0.000 claims description 9
- 241000700605 Viruses Species 0.000 abstract description 6
- 230000007812 deficiency Effects 0.000 abstract description 2
- 238000000605 extraction Methods 0.000 abstract description 2
- 241001269238 Data Species 0.000 abstract 2
- 238000001914 filtration Methods 0.000 abstract 1
- 238000003860 storage Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种基于异常端口的恶意URL启发式检测方法,在特征提取阶段利用已知恶意URL作为训练数据,获取恶意URL端口数据,过滤满足规定的常规端口数据,将保留的非常规端口数据作为特征标识,并形成特征库,在URL检测阶段,先获取待检测URL端口数据,然后将获取的端口数据与特征库中的特征标识进行匹配,最后返回检测结果,本发明还提出了一种基于异常端口的恶意URL启发式检测系统。本发明以端口数据作为匹配特征,利用启发式思想对URL进行检测,弥补了现有URL检测技术中,病毒特征库数据量过大、占用系统资源过多、不能很好的保证检测效率的不足。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种基于异常端口的恶意URL启发式检测方法及系统。
背景技术
目前网络资源不断的丰富与扩充,人们每天通过浏览大量的URL来获取网络信息,与此同时,很多网络攻击与恶意行为也同样通过URL进行释放。现有的恶意URL检测技术主要有两种,一种是完整URL检测,另一种是部分URL检测,完整URL检测是将整条URL进行匹配,部分URL检测是提取URL主机、端口等位置的信息进行匹配。无论哪种检测方式,都需要用以匹配的特征库的支持,随着目前恶意代码制作工具的简单化、批量化,使得恶意URL也在大量的增长,这势必会造成URL病毒特征库的膨胀,特征库负载过重不但需要更多的系统存储资源进行支持,更影响了URL的检测效率。
发明内容
针对现有URL检测技术中,病毒特征库存储的特征信息过多,特征库负载过重的不足,本发明提出了一种基于异常端口的恶意URL启发式检测方法及系统。利用已知的恶意URL作为训练数据,获取恶意URL的端口数据,由于常规端口下出现恶意URL的概率很小,恶意URL通常存在于非常规端口下,所以将获取的端口信息进行处理,过滤掉常规端口数据保留非常规端口数据,将非常规端口的数据作为特征标识并形成特征库,在检测URL时,获取待检测URL的端口数据,将其与特征库中的特征标识进行匹配,最后返回检测结果。
本发明公开了一种基于异常端口的恶意URL启发式检测方法,包括:
解析已知恶意URL,获取端口数据;
判断获取的端口数据是否为满足规定的端口数据,根据判断结果过滤掉满足规定的端口数据,收集不满足规定的端口数据;
将不满足规定的端口数据作为特征标识,形成特征库;
解析待检测URL,获取端口数据;
判断获取的端口数据是否为满足规定的端口数据,若是,则报告未发现威胁;若不是,则将获取的端口数据与特征库中的特征标识进行匹配,若匹配成功则向用户告警;若匹配失败,则报告未发现威胁。
进一步地,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口。
本发明还公开了一种基于异常端口的恶意URL启发式检测系统,包括:
数据采集模块,用于解析已知恶意URL,获取端口数据;
特征提取模块,用于判断获取的端口数据是否为满足规定的端口数据,根据判断结果过滤掉满足规定的端口数据,收集不满足规定的端口数据,将不满足规定的端口数据作为特征标识,形成特征库;
URL检测模块,用于解析待检测URL,获取端口数据,判断获取的端口数据是否为满足规定的端口数据,若是,则报告未发现威胁;若不是,则将获取的端口数据与特征库中的特征标识进行匹配,若匹配成功则向用户告警;若匹配失败,则报告未发现威胁。
进一步地,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口。
本发明的有益效果是:
随着恶意URL的生成简单化和批量化,网络上恶意URL的数量大幅增加,而现有的检测URL的技术多是将URL主机、端口等信息进行组合作为特征,甚至是将整条URL进行匹配,这势必会导致URL病毒特征库存储的特征数据膨胀,特征库负载过重,严重的影响了URL检测效率。针对上述现有技术中的不足,本发明提出一种基于异常端口的恶意URL启发式检测方法及系统,利用恶意URL多出现在非常规端口下这一特点,将端口信息作为检测特征,有效减少了病毒特征库中的特征存储数据量,减轻特征库负载,节省系统资源,有效提高URL检测效率。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于异常端口的恶意URL启发式检测的特征提取方法流程图;
图2为本发明基于异常端口的恶意URL启发式检测的检测方法流程图;
图3为本发明基于异常端口的恶意URL启发式检测的系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种基于异常端口的恶意URL启发式检测的方法实施例,包括特征提取方法和URL检测方法,其中特征提取方法流程图如图1所示,包括:
S101:解析已知恶意URL,获取端口数据;
S102:判断获取的端口数据是否为满足规定的端口数据,若是,则进入步骤S103,若不是,则进入步骤S104;
S103:过滤掉满足规定的端口数据;
S104:收集不满足规定的端口数据;
S105:将不满足规定的端口数据作为特征标识,形成特征库;
URL检测方法流程图如图2所示,包括:
S201:解析待检测URL,获取端口数据;
S202:判断获取的端口数据是否为满足规定的端口数据,若是,则进入步骤S206,若不是,则进入步骤S203;
S203:将获取的端口数据与特征库中的特征标识进行匹配;
S204:根据步骤S203的匹配结果,若匹配成功,则进入步骤S205,若匹配失败,则进入步骤S206;
S205:向用户告警;
S206:报告未发现威胁。
优选地,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口,这些端口都是网络资源的首选常规端口,而恶意URL常出现在不常用端口,即非常规端口下,常规端口下产生的恶意URL数量很少,所以将URL标准规定的保留端口,即常规端口,进行过滤,将非常规端口作为匹配特征,能有效的对恶意URL进行检出。
本发明还给出了一种基于异常端口的恶意URL启发式检测的系统实施例,如图3所示,包括:
数据采集模块301,用于解析已知恶意URL,获取端口数据;
特征提取模块302,用于判断获取的端口数据是否为满足规定的端口数据,根据判断结果过滤掉满足规定的端口数据,收集不满足规定的端口数据,将不满足规定的端口数据作为特征标识,形成特征库;
URL检测模块303,用于解析待检测URL,获取端口数据,判断获取的端口数据是否为满足规定的端口数据,若是,则报告未发现威胁;若不是,则将获取的端口数据与特征库中的特征标识进行匹配,若匹配成功则向用户告警;若匹配失败,则报告未发现威胁。
优选地,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明公开了一种基于异常端口的恶意URL启发式检测方法及系统,利用恶意URL多出现在非常规端口下这一特点,将端口信息作为检测特征,有效减少了病毒特征库中的特征存储数据量,减轻特征库负载,节省系统资源,有效提高URL检测效率。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (4)
1.一种基于异常端口的恶意URL启发式检测方法,其特征在于,包括:
解析已知恶意URL,获取端口数据;
判断获取的端口数据是否为满足规定的端口数据,根据判断结果过滤掉满足规定的端口数据,收集不满足规定的端口数据;
将不满足规定的端口数据作为特征标识,形成特征库;
解析待检测URL,获取端口数据;
判断获取的端口数据是否为满足规定的端口数据,若是,则报告未发现威胁;若不是,则将获取的端口数据与特征库中的特征标识进行匹配,若匹配成功则向用户告警;若匹配失败,则报告未发现威胁。
2.如权利要求1所述的方法,其特征在于,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口。
3.一种基于异常端口的恶意URL启发式检测系统,其特征在于,包括:
数据采集模块,用于解析已知恶意URL,获取端口数据;
特征提取模块,用于判断获取的端口数据是否为满足规定的端口数据,根据判断结果过滤掉满足规定的端口数据,收集不满足规定的端口数据,将不满足规定的端口数据作为特征标识,形成特征库;
URL检测模块,用于解析待检测URL,获取端口数据,判断获取的端口数据是否为满足规定的端口数据,若是,则报告未发现威胁;若不是,则将获取的端口数据与特征库中的特征标识进行匹配,若匹配成功则向用户告警;若匹配失败,则报告未发现威胁。
4.如权利要求3所述的系统,其特征在于,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410688920.7A CN105024989B (zh) | 2014-11-26 | 2014-11-26 | 一种基于异常端口的恶意url启发式检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410688920.7A CN105024989B (zh) | 2014-11-26 | 2014-11-26 | 一种基于异常端口的恶意url启发式检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105024989A CN105024989A (zh) | 2015-11-04 |
| CN105024989B true CN105024989B (zh) | 2018-09-07 |
Family
ID=54414699
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410688920.7A Active CN105024989B (zh) | 2014-11-26 | 2014-11-26 | 一种基于异常端口的恶意url启发式检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105024989B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294993B (zh) * | 2017-07-05 | 2021-02-09 | 重庆邮电大学 | 一种基于集成学习的web异常流量监测方法 |
| CN110851747B (zh) * | 2018-08-01 | 2022-08-02 | 北京国双科技有限公司 | 一种信息匹配方法和装置 |
| CN111200522A (zh) * | 2019-12-27 | 2020-05-26 | 视联动力信息技术股份有限公司 | 一种端口检测方法、装置、设备及存储介质 |
| CN114301696B (zh) * | 2021-12-30 | 2023-12-01 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1475930A (zh) * | 2002-08-15 | 2004-02-18 | 联想(北京)有限公司 | 基于状态检测的链路层资源定位信息过滤的方法 |
| CN1764158A (zh) * | 2004-10-06 | 2006-04-26 | 三星电子株式会社 | 网络中有差别的入侵检测 |
| CN101001242A (zh) * | 2006-01-10 | 2007-07-18 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
| US7620988B1 (en) * | 2003-07-25 | 2009-11-17 | Symantec Corporation | Protocol identification by heuristic content analysis |
| CN103905421A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种基于url异构性的可疑事件检测方法及系统 |
| CN104135490A (zh) * | 2014-08-14 | 2014-11-05 | 浪潮(北京)电子信息产业有限公司 | 入侵检测系统分析方法和入侵检测系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101335752B (zh) * | 2008-06-03 | 2011-07-27 | 电子科技大学 | 一种基于频繁片段规则的网络入侵检测方法 |
-
2014
- 2014-11-26 CN CN201410688920.7A patent/CN105024989B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1475930A (zh) * | 2002-08-15 | 2004-02-18 | 联想(北京)有限公司 | 基于状态检测的链路层资源定位信息过滤的方法 |
| US7620988B1 (en) * | 2003-07-25 | 2009-11-17 | Symantec Corporation | Protocol identification by heuristic content analysis |
| CN1764158A (zh) * | 2004-10-06 | 2006-04-26 | 三星电子株式会社 | 网络中有差别的入侵检测 |
| CN101001242A (zh) * | 2006-01-10 | 2007-07-18 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
| CN103905421A (zh) * | 2013-12-17 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种基于url异构性的可疑事件检测方法及系统 |
| CN104135490A (zh) * | 2014-08-14 | 2014-11-05 | 浪潮(北京)电子信息产业有限公司 | 入侵检测系统分析方法和入侵检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105024989A (zh) | 2015-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105024989B (zh) | 一种基于异常端口的恶意url启发式检测方法及系统 | |
| CN102891852B (zh) | 基于报文分析的协议格式自动推断方法 | |
| CN104316844B (zh) | 配电网故障类型识别方法及装置 | |
| CN109088869B (zh) | Apt攻击检测方法及装置 | |
| CN102752290B (zh) | 一种云安全系统中的未知文件安全信息确定方法和装置 | |
| CN106294222A (zh) | 一种确定pcie设备与插槽对应关系的方法及装置 | |
| CN109981326B (zh) | 家庭宽带感知故障定位的方法及装置 | |
| CN104320677A (zh) | 一种审核服务器、主控服务器及视频检测系统 | |
| CN104951553B (zh) | 一种数据处理准确的内容搜集与数据挖掘平台及其实现方法 | |
| CN105095330A (zh) | 一种基于压缩包内容的文件格式识别方法及系统 | |
| CN103823792A (zh) | 从文本文档中检测热点事件的方法和设备 | |
| CN104751051A (zh) | 恶意广告的识别方法及装置、移动终端 | |
| CN105488409B (zh) | 一种检测恶意代码家族变种及新家族的方法及系统 | |
| CN109194739A (zh) | 一种文件上传方法、存储介质和服务器 | |
| CN109142830A (zh) | 基于用电信息采集系统大数据的窃电检测方法 | |
| CN103455753A (zh) | 一种样本文件分析方法及装置 | |
| CN105718524A (zh) | 确定视频正本的方法和装置 | |
| CN105374031A (zh) | 基于机器人的家庭安防数据处理方法及系统 | |
| CN110138583B (zh) | 一种报警智能分析的展示方法 | |
| US9794274B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN105487936A (zh) | 云环境下面向等级保护的信息系统安全性测评方法 | |
| CN104426708A (zh) | 一种安全检测服务执行方法及系统 | |
| CN107132063A (zh) | 一种农业机械故障识别系统 | |
| KR101761798B1 (ko) | 제어 네트워크에서의 스캐닝 공격 탐지 장치 | |
| CN108171014B (zh) | 一种rtf可疑文件的检测方法、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang, China (No. 838, world Kun Road) Patentee after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162 Patentee before: Harbin Antiy Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Malicious URL heuristic detection method and system based on abnormal port Effective date of registration: 20190718 Granted publication date: 20180907 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin antiy Technology Group Limited by Share Ltd Registration number: 2019230000007 |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang, China (No. 838, world Kun Road) Patentee after: Antan Technology Group Co.,Ltd. Address before: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang, China (No. 838, world Kun Road) Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20211119 Granted publication date: 20180907 Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch Pledgor: Harbin Antian Science and Technology Group Co.,Ltd. Registration number: 2019230000007 |