CN106789866A - 一种检测恶意网址的方法及装置 - Google Patents
一种检测恶意网址的方法及装置 Download PDFInfo
- Publication number
- CN106789866A CN106789866A CN201610635742.0A CN201610635742A CN106789866A CN 106789866 A CN106789866 A CN 106789866A CN 201610635742 A CN201610635742 A CN 201610635742A CN 106789866 A CN106789866 A CN 106789866A
- Authority
- CN
- China
- Prior art keywords
- application program
- virtual machine
- network address
- system snapshot
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/11—File system administration, e.g. details of archiving or snapshots
- G06F16/128—Details of file system snapshots on the file-level, e.g. snapshot creation, administration, deletion
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
- G06F16/9566—URL specific, e.g. using aliases, detecting broken or misspelled links
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种检测恶意网址的方法及装置,属于互联网技术领域。所述方法包括:当检测到虚拟机的触发事件时,将所述虚拟机回滚到初始化状态;在所述初始化状态下,通过所述虚拟机加载待检测的目标网址的页面内容;在加载所述页面内容之后,通过所述虚拟机运行所述页面内容中所链接的应用程序;获取所述虚拟机在所述初始化状态、加载完成所述页面内容的状态和运行所述应用程序的状态中的至少一个状态下的系统快照文件;基于获取的系统快照文件,对所述目标网址进行恶意网址检测。通过本发明提供的方法,提高了确定恶意网址的准确率。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种检测恶意网址的方法及装置。
背景技术
互联网技术的快速发展给人们的生活带来越来越多的便利,比如,人们可以通过互联网下载各类资料、以及各种播放器等。与此同时,恶意网址对于互联网的破坏也越来越大。比如将各类木马病毒伪装成正常文件来肆意传播、钓鱼网站模仿正常网站盗取用户账号和密码等,因此,检测恶意网址的方法受到了广泛地关注。
目前,提供了一种检测恶意网址的方法,主要是一种静态特征检测,也即是,通过云安全服务器下载待检测的目标网址对应网页的代码,并对下载的代码进行静态分析,以判断该网页中是否包括指定行为特征,当网页中包括指定行为特征时,确定目标网址为恶意网址。比如,指定行为特征为<iframe src=url display=none>,当判断出该网页的代码中包括<iframe src=url display=none>时,确定目标网址为恶意网址。
然而,云安全服务器只能针对目标网址对应网页自身的代码做静态分析,从而判断目标网址是否为恶意网址,无法对该网页所链接的其他信息进行判断,从而导致确定恶意网址的准确率较低。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种检测恶意网址的方法及装置。所述技术方案如下:
一方面,提供了一种检测恶意网址的方法,所述方法包括:
当检测到虚拟机的触发事件时,将所述虚拟机回滚到初始化状态;
在所述初始化状态下,通过所述虚拟机加载待检测的目标网址的页面内容;
在加载所述页面内容之后,通过所述虚拟机运行所述页面内容中所链接的应用程序;
获取所述虚拟机在所述初始化状态、加载完成所述页面内容的状态和运行所述应用程序的状态中的至少一个状态下的系统快照文件;
基于获取的系统快照文件,对所述目标网址进行恶意网址检测。
另一方面,提供了一种检测恶意网址的装置,所述装置包括:
回滚模块,用于当检测到虚拟机的触发事件时,将所述虚拟机回滚到初始化状态;
加载模块,用于在所述初始化状态下,通过所述虚拟机加载待检测的目标网址的页面内容;
运行模块,用于在加载所述页面内容之后,通过所述虚拟机运行所述页面内容中所链接的应用程序;
获取模块,用于获取所述虚拟机在所述初始化状态、加载完成所述页面内容的状态和运行所述应用程序的状态中的至少一个状态下的系统快照文件;
检测模块,用于基于获取的系统快照文件,对所述目标网址进行恶意网址检测。
本发明实施例提供的技术方案带来的有益效果是:在本发明实施例中,该终端可以将虚拟机回滚到初始化状态,并在初始化状态下加载待检测的目标网址的页面内容,以及运行该页面内容中所链接的应用程序,进而通过虚拟机在初始化状态、加载完成页面内容的状态和运行应用程序的状态中的至少一个状态下的系统快照文件进行恶意网址的检测,也即是,终端是通过虚拟机运行该页面内容中所链接的应用程序来确定该应用程序在运行过程中是否会产生恶意行为,而不是在未运行该应用程序的情况下,单纯地对目标网页的页面内容进行静态分析,从而提高了确定恶意网址的准确率。另外,由于虚拟机的虚拟系统与该虚拟机当前所在终端的操作系统是隔离的,因此,通过虚拟机运行该应用程序,在该应用程序为恶意的情况下,不会对该终端的操作系统产生任何影响,从而降低了终端被攻击的几率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是一示例性实施例示出的一种检测恶意网址的方法流程图;
图2A是一示例性实施例示出的一种检测恶意网址的方法流程图;
图2B是一示例性实施例示出的一种检测恶意网址的交互流程图;
图3是一示例性实施例示出的一种检测恶意网址的装置结构示意图;
图4是一示例性实施例示出的一种检测恶意网址的装置结构示意图;
图5是一示例性实施例示出的一种检测恶意网址的装置的终端结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图1是一示例性实施例示出的一种检测恶意网址的方法流程图,如图1所示,该检测恶意网址的方法用于终端中,包括以下步骤。
步骤101:当检测到虚拟机的触发事件时,将该虚拟机回滚到初始化状态。
步骤102:在虚拟机的初始化状态下,通过该虚拟机加载待检测的目标网址的页面内容。
步骤103:在加载该页面内容之后,通过该虚拟机运行该页面内容中所链接的应用程序。
步骤104:获取该虚拟机在初始化状态、加载完成该页面内容的状态和运行该应用程序的状态中的至少一个状态下的系统快照文件。
步骤105:基于获取的系统快照文件,对目标网址进行恶意网址检测。
本发明实施例提供的技术方案带来的有益效果是:在本发明实施例中,该终端可以将虚拟机回滚到初始化状态,并在初始化状态下加载待检测的目标网址的页面内容,以及运行该页面内容中所链接的应用程序,进而通过虚拟机在初始化状态、加载完成页面内容的状态和运行应用程序的状态中的至少一个状态下的系统快照文件进行恶意网址的检测,也即是,终端是通过虚拟机运行该页面内容中所链接的应用程序来确定该应用程序在运行过程中是否会产生恶意行为,而不是在未运行该应用程序的情况下,单纯地对目标网页的页面内容进行静态分析,从而提高了确定恶意网址的准确率。另外,由于虚拟机的虚拟系统与该虚拟机当前所在终端的操作系统是隔离的,因此,通过虚拟机运行该应用程序,在该应用程序为恶意的情况下,不会对该终端的操作系统产生任何影响,从而降低了终端被攻击的几率。
可选地,获取虚拟机在初始化状态、加载完成页面内容的状态和运行应用程序的状态中的至少一个状态下的系统快照文件,包括:
对该虚拟机在所述初始化状态下的系统文件进行复制,得到第一系统快照文件;
对该虚拟机在加载完成该页面内容的状态下的系统文件进行复制,得到第二系统快照文件;
对该虚拟机在运行该应用程序的状态下的系统文件进行复制,得到第三系统快照文件;
相应地,基于获取的系统快照文件,对目标网址进行恶意网址检测,包括:
基于第一系统快照文件、第二系统快照文件和第三系统快照文件,对目标网址进行恶意网址检测。
可选地,基于该第一系统快照文件、该第二系统快照文件和该第三系统快照文件,对该目标网址进行恶意网址检测,包括:
基于该第一系统快照文件和该第二系统快照文件,确定该页面内容的安全级别;
基于该第一系统快照文件和该第三系统快照文件,确定该应用程序的安全级别;
基于该页面内容的安全级别和该应用程序的安全级别,对该目标网址进行恶意网址检测。
可选地,基于该第一系统快照文件和该第二系统快照文件,确定该页面内容的安全级别,包括:
基于该第一系统快照文件和该第二系统快照文件,确定第一修改痕迹数量,该第一修改痕迹数量为该第二系统快照文件相对于该第一系统快照文件的修改痕迹数量;
当该第一修改痕迹数量大于或等于第一阈值时,确定该页面内容的安全级别为恶意;
当该第一修改痕迹数量小于该第一阈值且大于或等于第二阈值时,确定该页面内容的安全级别为风险;
当该第一修改痕迹数量小于该第二阈值时,确定该页面内容的安全级别为安全。
可选地,该基于该第一系统快照文件和该第三系统快照文件,确定该应用程序的安全级别,包括:
基于该第一系统快照文件和该第三系统快照文件,确定第二修改痕迹数量,该第二修改痕迹数量为该第三系统快照文件相对于该第一系统快照文件的修改痕迹数量;
当该第二修改痕迹数量大于或等于第三阈值时,确定该应用程序的安全级别为恶意;
当该第二修改痕迹数量小于该第三阈值且大于或等于第四阈值时,确定该应用程序的安全级别为风险;
当该第二修改痕迹数量小于该第四阈值时,确定该应用程序的安全级别为安全。
可选地,基于该页面内容的安全级别和该应用程序的安全级别,对该目标网址进行恶意网址检测,包括:
当该页面内容的安全级别和该应用程序的安全级别均为安全时,确定该目标网址为安全网址;
当该页面内容的安全级别和该应用程序的安全级别中的至少一个为风险时,确定该目标网址存在风险;
当该页面内容的安全级别和该应用程序的安全级别中的至少一个为恶意时,确定该目标网址为恶意网址。
可选地,该通过该虚拟机运行该页面内容中所链接的应用程序,包括:
基于该页面内容中的链接,通过该虚拟机对该应用程序的安装文件进行下载;
基于该安装文件,通过该虚拟机安装该应用程序;
在该应用程序安装完成后,运行该应用程序。
可选地,对该虚拟机在运行该应用程序的状态下的系统文件进行复制之前,还包括:
在该应用程序的安装过程中,通过该虚拟机截取该应用程序的第一安装界面图片;
通过该虚拟机确定该第一安装界面图片与预先存储的该应用程序的第二安装界面图片之间的相似度,该第二安装界面图片为该应用程序处于安全状态时的安装界面图片;
当该相似度大于相似度阈值时,确定该应用程序为安全的应用程序,并执行该对该虚拟机在运行该应用程序的状态下的系统文件进行复制的步骤。
可选地,该第一系统快照文件、该第二系统快照文件和该第三系统快照文件均是通过系统快照工具对该虚拟机的系统文件进行复制得到。
上述所有可选技术方案,均可按照任意结合形成本发明的可选实施例,本发明实施例对此不再一一赘述。
图2A是一示例性实施例示出的一种检测恶意网址的方法流程图,如图2A所示,该检测恶意网址的方法用于终端中,包括以下步骤。
步骤201:当终端检测到虚拟机的触发事件时,将该虚拟机回滚到初始化状态。
由于目前检测恶意网址的方法主要是针对目标网址对应网页自身的代码做静态分析,从而判断目标网址是否为恶意网址,无法对该网页所链接的其他信息进行判断,从而导致确定恶意网址的准确率较低,并且直接在终端中运行该网页所链接的其他信息,有可能对终端的操作系统产生威胁,而在虚拟机中运行该网页所链接的其他信息时,由于该虚拟机与该虚拟机当前所在终端的操作系统是隔离的,不会对该终端的操作系统产生任何影响。因此,为了使终端的操作系统不受任何影响的情况下,提高确定恶意网址的准确率,在本发明实施例中,当终端检测到虚拟机的触发事件时,将该虚拟机回滚到初始化状态。
在一种可能的实现方式中,终端将该虚拟机回滚到初始化状态的操作可以为:该终端可以向该虚拟机发送回滚命令,当该虚拟机接收到该回滚命令时,回滚到初始化状态,并向该终端发送回滚完成指示信息,该回滚完成指示信息用于指示该虚拟机已回滚到初始化状态。
其中,虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的虚拟系统,利用该虚拟系统可以独立安装、运行软件,保存数据,不会对虚拟机当前所在终端的操作系统产生任何影响,也即是在目标网址对应网页所链接的其他信息为恶意信息的情况下,在虚拟机中运行该目标网址对应网页所链接的其他信息,也不会对虚拟机当前所在终端的操作系统产生任何影响,且该虚拟机可以是Virtual Box、VMware、Virtual PC等等,本发明实施例对此不做具体限定。
需要说明的是,该终端中可以安装多个虚拟机,本发明实施例所涉及的虚拟机可以是该多个虚拟机中的任意一个,本发明实施例对此不做具体限定。
另外,该虚拟机的触发事件用于指示虚拟机回滚到初始化状态,且该虚拟机的触发事件可以是用户通过终端运行指定脚本时触发,当然在实际应用中,还可以通过其他方式触发,本发明实施例对此不做具体限定。
其中,虚拟机的初始化状态是指虚拟机未安装或运行任何应用程序时的状态,也即是在虚拟机安装后的初始化安全环境。
另外,指定脚本是用户根据实际需求使用一种特定的描述性语言,依据一定的格式编写的一系列事件,也即该指定脚本是多个事件的集合,且该多个事件包括:调用虚拟机中的系统快照工具、系统快照工具复制第一系统快照文件、获取页面内容中的链接、获取应用程序的安装文件、截取该应用程序的第一安装界面图片、系统快照工具复制第二系统快照文件、系统快照工具复制第三系统快照文件、系统快照工具对比第一系统快照文件和第二系统快照文件、以及系统快照工具对比第一系统快照文件和第三系统快照文件。
需要说明的是,该特定的描述性语言可以是PHP语言实现、也可以是Ruby语言、Python语言实现,本发明实施例对此不做具体限定。
其中,该系统快照工具为SystemSnapshot,该SystemSnapshot是一个自研发的系统快照工具,具有复制系统快照文件和对比不同系统快照文件的作用,且对比不同系统快照文件的对比速度快,准确性高。
值得注意的是,本发明实施例所涉及的终端可以为手机、平板电脑、台式电脑、电子阅读器或PDA(Personal Digital Assistant,个人数字助理)等等,本发明实施例对此不做具体限定。其中,当本发明实施例所涉及的终端为平板电脑或者台式电脑等计算机设备时,本发明实施例所涉及的虚拟机可以为该终端中所安装的虚拟机,或者可以将终端与手机、电子阅读器或PDA进行连接,将与该终端连接的手机、电子阅读器或PDA作为虚拟机;当本发明实施例所涉及的终端为手机电子阅读器或PDA等移动终端时,本发明实施例所涉及的虚拟机可以为该终端中所安装的虚拟机,本发明实施例对此不做具体限定。
步骤202:终端对该虚拟机在该初始化状态下的系统文件进行复制,得到第一系统快照文件。
当终端对该虚拟机在该初始化状态下的系统文件进行复制,得到第一系统快照文件时,终端可以调用虚拟机中的系统快照工具,通过该系统快照工具复制该虚拟机在初始化状态下的系统文件,将该虚拟机在初始化状态下的系统文件确定为第一系统快照文件。
在一种可能的实现方式中,终端通过该系统快照工具复制该虚拟机在初始化状态下的系统文件的操作可以为:该终端通过该系统快照工具向该虚拟机发送复制命令,当该虚拟机接收到该复制命令时,对自身当前所处初始化状态的系统文件进行复制,得到第一系统快照文件,并将第一系统快照文件并发送给该终端。
需要说明的是,系统文件可以包括注册表、进程和文件,进而第一系统快照文件为注册表、进程和文件的数据集合,当然,实际应用中,还可以包括其他的数据,进而第一系统快照文件为注册表、进程、文件以及其他数据的数据集合,本发明实施例对此不做具体限定。
其中,第一系统快照文件可以以.log文件的形式保存在本地磁盘,当然,实际应用中,还可以以其他文件的形式保存,本发明实施例对此不做具体限定。
步骤203:终端通过该虚拟机加载待检测的目标网址的页面内容,并对该虚拟机在加载完成该页面内容的状态下的系统文件进行复制,得到第二系统快照文件。
具体地,在该终端将虚拟机回滚到初始化状态之后,该终端通过虚拟机获取待检测的目标网址,并通过虚拟机运行浏览器,进而在该浏览器中加载待检测的目标网址的页面内容,终端可以调用虚拟机中的系统快照工具,该系统快照工具复制该虚拟机在加载完成该页面内容的状态下的系统文件,将该虚拟机在加载完成该页面内容的状态下的系统文件确定为第二系统快照文件。
需要说明的是,该终端通过虚拟机获取待检测的目标网址时,可以通过指定脚本获取待检测的目标网址,当然在实际应用中,也可以通过其他方式获取待检测的目标网址,本发明实施例对此不做具体限定。
另外,该终端通过虚拟机运行浏览器时,也可以通过指定脚本来运行,当然在实际应用中,也可以通过其他方式来运行,比如,用户点击虚拟机界面中的浏览器快捷方式,本发明实施例对此不做具体限定。
在一种可能的实现方式中,终端通过该虚拟机加载待检测的目标网址的页面内容,并对该虚拟机在加载完成该页面内容的状态下的系统文件进行复制的操作可以为:该终端向该虚拟机发送加载命令,该加载命令中携带目标网址,当该虚拟机接收到该加载命令时,通过该目标网址获取并加载页面内容,当该虚拟机加载完成之后,该虚拟机可以向该终端发送加载完成指示信息,该加载完成指示信息用于指示该虚拟机已加载完成该页面内容,当该终端接收到该加载完成指示信息时,可以向该虚拟机发送复制命令,当该虚拟机接收到该复制命令时,对自身在加载完成该页面内容的状态下的系统文件进行复制,得到第二系统快照文件,并将第二系统快照文件发送给该终端。
其中,当系统文件包括注册表、进程和文件时,第二系统快照文件为该虚拟机在加载完成该页面内容的状态下的系统的注册表、进程和文件的数据集合,当系统文件还包括其他的数据时,第二系统快照文件为该虚拟机在加载完成该页面内容的状态下的系统的注册表、进程、文件以及其他数据的数据集合,本发明实施例对此不做具体限定。
需要说明的是,第二系统快照文件可以以.log文件的形式保存在本地磁盘,当然,实际应用中,还可以以其他文件的形式保存,本发明实施例对此不做具体限定。
步骤204:终端基于第一系统快照文件和第二系统快照文件,确定该页面内容的安全级别。
具体地,终端可以基于第一系统快照文件和第二系统快照文件,确定第一修改痕迹数量,第一修改痕迹数量为第二系统快照文件相对于第一系统快照文件的修改痕迹数量,基于第一修改痕迹数量确定该页面内容的安全级别。
其中,终端基于第一系统快照文件和第二系统快照文件,确定第一修改痕迹数量的操作可以为:终端调用系统快照工具,通过该系统快照工具对第一系统快照文件和第二系统快照文件进行对比,从而确定第一修改痕迹数量。
需要说明的是,在本发明实施例中,仅以终端调用系统快照工具,并通过该系统快照工具对第一系统快照文件和第二系统快照文件进行对比为例进行说明,当然在实际应用中,终端还可以通过其他方式对第一系统快照文件和第二系统快照文件进行对比,本发明实施例对此不做具体限定。
由于第一修改痕迹数量为该虚拟机在加载完成该页面内容的状态下的系统文件相对于该虚拟机在初始化状态下的系统文件的修改痕迹数量,且虚拟机的初始化状态为一个初始化安全环境,也即是,第一修改痕迹数量是该虚拟机通过加载该页面内容而产生的,因此,可以基于该第一修改痕迹数量确定该页面内容的安全级别。
当终端基于第一修改痕迹数量确定该页面内容的安全级别时,该终端可以将第一修改痕迹数量与第一阈值进行比较,并将第一修改痕迹数量与第二阈值分别进行比较,当第一修改痕迹数量大于或等于第一阈值时,确定该页面内容的安全级别为恶意;当该第一修改痕迹数量小于第一阈值且大于或等于第二阈值时,确定该页面内容的安全级别为风险;当第一修改痕迹数量小于第二阈值时,确定该页面内容的安全级别为安全。
需要说明的是,第一阈值和第二阈值均可以是预先设置在终端中,且第一阈值大于第二阈值,比如,第一阈值可以为5、10等等,第二阈值可以为3、5等,本发明实施例对此不做具体限定。
需要说明的是,步骤204可以在步骤203之后执行,也可以在步骤205之后执行,也即是本发明实施例对步骤204的执行时序不做具体限定。
步骤205:终端通过该虚拟机运行该页面内容中所链接的应用程序,并对该虚拟机在运行该应用程序的状态下的系统文件进行复制,得到第三系统快照文件。
具体地,该终端通过虚拟机获取该页面内容中的链接,并基于获取的链接通过该虚拟机对该应用程序的安装文件进行下载,基于该安装文件,终端通过该虚拟机安装该应用程序,在该应用程序安装完成后,运行该应用程序,之后,终端可以调用该系统快照工具,通过该系统快照工具复制该虚拟机在运行该应用程序的状态下的系统文件,将该虚拟机在运行该应用程序的状态下的系统文件确定为第三系统快照文件。
需要说明的是,该终端通过虚拟机获取该页面内容中的链接时,可以通过指定脚本获取该页面内容中的链接,当然在实际应用中,也可以通过其他方式获取该页面内容中的链接,本发明实施例对此不做具体限定。
其中,该应用程序为可以在终端中安装运行的应用或程序,且该应用程序可以是音频播放应用程序,也可以是办公应用程序,比如office 2010、wps等等,本发明实施例对此不做具体限定。
在一种可能的实现方式中,终端通过该虚拟机运行该页面内容中所链接的应用程序,并对该虚拟机在运行该应用程序的状态下的系统文件进行复制的操作可以为:该终端向该虚拟机发送运行命令,当该虚拟机接收到该运行命令时,运行该页面内容中所链接的应用程序,当该虚拟机运行该应用程序之后,该虚拟机可以向该终端发送运行完成指示信息,该运行完成指示信息用于指示该页面内容中所链接的应用程序已运行完成,当该终端接收到该运行完成指示信息时,可以向该虚拟机发送复制命令,当该虚拟机接收到该复制命令时,对该虚拟机在运行完成该应用程序的状态下的系统文件进行复制,得到第三系统快照文件,并将第三系统快照文件发送给该终端。
另外,当系统文件包括注册表、进程和文件时,第三系统快照文件为该虚拟机在运行该应用程序的状态下的系统的注册表、进程和文件的数据集合,当系统文件还包括其他的数据时,第三系统快照文件为该虚拟机在运行该应用程序的状态下的系统的注册表、进程、文件以及其他数据的数据集合,本发明实施例对此不做具体限定。
需要说明的是,第三系统快照文件可以以.log文件的形式保存在本地磁盘,当然,实际应用中,还可以以其他文件的形式保存,本发明实施例对此不做具体限定。
需要说明的是,本发明实施例中为了提高确定该应用程序的安全级别的效率,当终端对该虚拟机在运行该应用程序的状态下的系统文件进行复制之前,还可以执行以下步骤(1)-(3),包括:
(1)、在该应用程序的安装过程中,通过该虚拟机截取该应用程序的第一安装界面图片。
其中,终端通过该虚拟机截取该应用程序的第一安装界面图片时,可以通过指定脚本截取该应用程序的第一安装界面图片,当然在实际应用中,也可以通过其他方式截取该应用程序的第一安装界面图片,本发明实施例对此不做具体限定。
需要说明的是,应用程序在安装过程中一般会包括多个安装步骤,因此,步骤(1)中截取的第一安装界面图片中一般会包括多张安装界面图片,该多张安装界面图片与该多个安装步骤一一对应。
(2)、通过该虚拟机确定该第一安装界面图片与预先存储的该应用程序的第二安装界面图片之间的相似度,该第二安装界面图片为该应用程序处于安全状态时的安装界面图片。
其中,当终端通过该虚拟机确定该第一安装界面图片与预先存储的该应用程序的第二安装界面图片之间的相似度时,该终端可以通过该虚拟机并利用感知哈希算法,确定该第一安装界面图片与预先存储的该应用程序的第二安装界面图片之间的相似度。
需要说明的是,在本发明实施例中,以终端通过该虚拟机并利用感知哈希算法确定该第一安装界面图片与预先存储的该应用程序的第二安装界面图片之间的相似度为例进行说明,实际应用中,该终端还可以通过其他算法来确定,本发明实施例对此不做具体限定。
另外,当第一安装界面图片中包括多张安装界面图片时,由于第二安装界面图片为该应用程序处于安全状态时的安装界面图片,因此,第二安装界面图片也会包括多张安装界面图片。进而当终端通过该虚拟机确定该第一安装界面图片与预先存储的该应用程序的第二安装界面图片之间的相似度时,该终端可以通过虚拟机确定第一安装界面图片包括的各张安装界面图片与预先存储的第二安装界面图片中对应安装界面图片之间的相似度,从而得到多个相似度,确定该多个相似度的平均值,将该平均值确定为第一安装界面图片与预先存储的该应用程序的第二安装界面图片之间的相似度。
需要说明的是,本发明实施例仅以上述确定第一安装界面图片与预先存储的该应用程序的第二安装界面图片之间的相似度的方法为例进行说明,当然在实际应用中,还可以通过其他方式来确定,比如通过多个相似度的权值来确定,本发明实施例对此不做具体限定。
(3)、当确定的相似度大于相似度阈值时,确定该应用程序为安全的应用程序,并执行该对该虚拟机在运行该应用程序的状态下的系统文件进行复制的步骤。
其中,相似度阈值可以由用户根据实际需求自定义设置,也可以由终端默认设置,本发明实施例对此不做具体限定。
实际应用中,上述步骤(1)-(3)为可选步骤,也即是,在另一实施例中,当终端对该虚拟机在运行该应用程序的状态下的系统文件进行复制之前,可以不执行该步骤(1)-(3)的操作,而是直接对该虚拟机在运行该应用程序的状态下的系统文件进行复制,本发明实施例对此不做具体限定。
步骤206:终端基于第一系统快照文件和第三系统快照文件,确定该应用程序的安全级别。
具体地,终端可以基于第一系统快照文件和第三系统快照文件,确定第二修改痕迹数量,第二修改痕迹数量为第三系统快照文件相对于第一系统快照文件的修改痕迹数量,基于该第二修改痕迹数量确定该应用程序的安全级别。
其中,终端基于第一系统快照文件和第三系统快照文件,确定第二修改痕迹数量的操作可以为:终端调用系统快照工具,通过该系统快照工具对第一系统快照文件和第三系统快照文件进行对比,从而确定第二修改痕迹数量。
需要说明的是,在本发明实施例中,仅以终端调用系统快照工具,并通过该系统快照工具对第一系统快照文件和第三系统快照文件进行对比为例进行说明,当然在实际应用中,终端还可以通过其他方式对第一系统快照文件和第三系统快照文件进行对比,本发明实施例对此不做具体限定。
由于第二修改痕迹数量为该虚拟机在运行该应用程序的状态下的系统文件相对于该虚拟机在初始化状态下的系统文件的修改痕迹数量,且虚拟机的初始化状态为一个初始化安全环境,也即是,第二修改痕迹数量是该虚拟机通过运行该应用程序而产生的,因此,可以基于该第二修改痕迹数量确定该应用程序的安全级别。
当终端基于第二修改痕迹数量确定该应用程序的安全级别时,该终端可以将第二修改痕迹数量与第三阈值进行比较,并将第二修改痕迹数量与第四阈值分别进行比较,当第二修改痕迹数量大于或等于第三阈值时,确定该应用程序的安全级别为恶意;当第二修改痕迹数量小于第三阈值且大于或等于第四阈值时,确定该应用程序的安全级别为风险;当第二修改痕迹数量小于第四阈值时,确定该应用程序的安全级别为安全。
需要说明的是,第三阈值和第四阈值均可以是预先设置在终端中,且第三阈值大于第四阈值,比如,第三阈值可以为10、15等等,第四阈值可以为5、8等等,本发明实施例对此不做具体限定。
步骤207:终端基于该页面内容的安全级别和该应用程序的安全级别,对该目标网址进行恶意网址检测。
具体地,当该页面内容的安全级别和该应用程序的安全级别均为安全时,确定该目标网址为安全网址;当该页面内容的安全级别和该应用程序的安全级别中的至少一个为风险时,确定该目标网址存在风险;当该页面内容的安全级别和该应用程序的安全级别中的至少一个为恶意时,确定该目标网址为恶意网址。
比如,参照表1,当该页面内容的安全级别和该应用程序的安全级别均为安全时,确定的目标网址为安全网址;当该页面内容的安全级别和该应用程序的安全级别中的至少一个为风险时,也即是,不管该页面内容的安全级别为风险,还是该应用程序的安全级别为风险,或者是该页面内容的安全级别和该应用程序的安全级别都为风险,确定该目标网址存在风险;当该页面内容的安全级别和该应用程序的安全级别中的至少一个为恶意时,也即是,不管是该页面内容的安全级别为恶意,还是该应用程序的安全级别为恶意,或者是该页面内容的安全级别和该应用程序的安全级别都为恶意,确定该目标网址为恶意网址。
表1
| 目标网址的安全级别 | 页面内容的安全级别 | 应用程序的安全级别 |
| 安全 | 安全 | 安全 |
| 风险 | 安全 | 风险 |
| 恶意 | 安全 | 恶意 |
| 风险 | 风险 | 安全 |
| 风险 | 风险 | 风险 |
| 恶意 | 风险 | 恶意 |
| 恶意 | 恶意 | 安全 |
| 恶意 | 恶意 | 风险 |
| 恶意 | 恶意 | 恶意 |
需要说明的是,在本发明实施例中,当该终端在初始化状态下通过虚拟机加载待检测的目标网址的页面内容,以及通过虚拟机运行该页面内容中所链接的应用程序之后,也即是,该终端从初始化状态到运行该页面内容中所链接的应用程序之间会处于多个不同的状态,比如上述步骤中所提到的初始化状态、加载页面内容的状态、运行页面内容中所链接的应用程序的状态等等,因此,该终端可以通过虚拟机在各个不同状态下的系统快照文件,对目标网址进行恶意网址检测。
然而上述仅以第一系统快照文件、第二系统快照文件和第三系统快照文件作为虚拟机在各个不同状态的系统快照文件为例进行说明,也即是,仅以初始化状态、加载页面内容的状态、运行页面内容中所链接的应用程序的状态为例进行说明,实际应用中,该终端还可以获取虚拟机在其他状态下的系统快照文件,进而对目标网址进行恶意网址检测。
当然,一般情况下,可以对页面内容进行静态分析,从而检测页面内容中是否存在恶意行为,因此,在本发明实施例中,该终端也可以对页面内容进行静态分析,并通过第一系统快照文件和第三系统快照文件,对该页面内容中所链接的应用程序的恶意行为进行动态分析,也即是,结合静态分析和动态分析两种方式对目标网址进行恶意网址检测。
也即是,本发明实施例基于虚拟机在各个不同状态下的系统快照文件,对目标网址进行恶意检测的方法可以包括多种,本发明实施例对此不再一一列出。
在一种可能的实现方式中,当该终端对目标网址进行恶意网址检测之后,该终端还可以将检测结果发送给云安全服务器,由云安全服务器存储该目标网址的检测结果。参见图2B,在图2B中示出了终端、虚拟机和云安全服务器之间进行恶意网址检测的交互流程。
在本发明实施例中,第一系统快照文件是虚拟机在初始化安全环境状态下的系统文件,第二系统快照文件是虚拟机在加载了待检测的目标网址的页面内容之后的系统文件,第三系统文件是终端通过虚拟机运行该页面内容中所链接的应用程序之后,对该虚拟机在运行该应用程序的状态下的系统文件进行复制得到,也即是,终端是通过虚拟机运行该页面内容中所链接的应用程序来确定该应用程序在运行过程中是否会产生恶意行为,而不是在未运行该应用程序的情况下,单纯地对目标网页的页面内容进行静态分析,从而提高了确定恶意网址的准确率。另外,由于虚拟机的虚拟系统与该虚拟机当前所在终端的操作系统是隔离的,因此,通过虚拟机运行该应用程序,在该应用程序为恶意的情况下,不会对该终端的操作系统产生任何影响,从而降低了终端被攻击的几率。
图3是一示例性实施例示出的一种检测恶意网址的装置结构示意图。参照图3,该检测恶意网址的装置包括:
回滚模块301,用于当检测到虚拟机的触发事件时,将该虚拟机回滚到初始化状态;
加载模块302,用于在虚拟机的初始化状态下,通过该虚拟机加载待检测的目标网址的页面内容;
运行模块303,用于在加载该页面内容之后,通过该虚拟机运行该页面内容中所链接的应用程序;
获取模块304,用于获取该虚拟机在初始化状态、加载完成该页面内容的状态和运行该应用程序的状态中的至少一个状态下的系统快照文件;
检测模块305,用于基于获取的系统快照文件,对目标网址进行恶意网址检测。
参照图4,获取模块304包括:
第一复制单元3041,用于对虚拟机在初始化状态下的系统文件进行复制,得到第一系统快照文件;
第二复制单元3042,用于对虚拟机在加载完成该页面内容的状态下的系统文件进行复制,得到第二系统快照文件;
第三复制单元3043,用于对虚拟机在运行该应用程序的状态下的系统文件进行复制,得到第三系统快照文件;
相应地,检测模块305包括:
检测单元3051,用于基于第一系统快照文件、第二系统快照文件和第三系统快照文件,对目标网址进行恶意网址检测。
可选地,该检测单元3051包括:
第一确定子单元,用于基于该第一系统快照文件和该第二系统快照文件,确定该页面内容的安全级别;
第二确定子单元,用于基于该第一系统快照文件和该第三系统快照文件,确定该应用程序的安全级别;
检测子单元,用于基于该页面内容的安全级别和该应用程序的安全级别,对该目标网址进行恶意网址检测。
可选地,该第一确定子单元用于:
基于该第一系统快照文件和该第二系统快照文件,确定第一修改痕迹数量,该第一修改痕迹数量为该第二系统快照文件相对于该第一系统快照文件的修改痕迹数量;
当该第一修改痕迹数量大于或等于第一阈值时,确定该页面内容的安全级别为恶意;
当该第一修改痕迹数量小于该第一阈值且大于或等于第二阈值时,确定该页面内容的安全级别为风险;
当该第一修改痕迹数量小于该第二阈值时,确定该页面内容的安全级别为安全。
可选地,该第二确定子单元用于:
基于该第一系统快照文件和该第三系统快照文件,确定第二修改痕迹数量,该第二修改痕迹数量为该第三系统快照文件相对于该第一系统快照文件的修改痕迹数量;
当该第二修改痕迹数量大于或等于第三阈值时,确定该应用程序的安全级别为恶意;
当该第二修改痕迹数量小于该第三阈值且大于或等于第四阈值时,确定该应用程序的安全级别为风险;
当该第二修改痕迹数量小于该第四阈值时,确定该应用程序的安全级别为安全。
可选地,该检测子单元用于:
当该页面内容的安全级别和该应用程序的安全级别均为安全时,确定该目标网址为安全网址;
当该页面内容的安全级别和该应用程序的安全级别中的至少一个为风险时,确定该目标网址存在风险;
当该页面内容的安全级别和该应用程序的安全级别中的至少一个为恶意时,确定该目标网址为恶意网址。
可选地,运行模块303,包括:
下载单元,用于基于该页面内容中的链接,通过该虚拟机对该应用程序的安装文件进行下载;
安装单元,用于基于该安装文件,通过该虚拟机安装该应用程序;
运行单元,用于在该应用程序安装完成后,运行该应用程序。
可选地,该装置还包括:
截取模块,用于在该应用程序的安装过程中,通过该虚拟机截取该应用程序的第一安装界面图片;
第一确定模块,用于通过该虚拟机确定该第一安装界面图片与预先存储的该应用程序的第二安装界面图片之间的相似度,该第二安装界面图片为该应用程序处于安全状态时的安装界面图片;
第二确定模块,用于当该相似度大于相似度阈值时,确定该应用程序为安全的应用程序,并对该虚拟机在运行该应用程序的状态下的系统文件进行复制。
可选地,该第一系统快照文件、该第二系统快照文件和该第三系统快照文件均是通过系统快照工具对该虚拟机的系统文件进行复制得到。
在本发明实施例中,该终端可以将虚拟机回滚到初始化状态,并在初始化状态下加载待检测的目标网址的页面内容,以及运行该页面内容中所链接的应用程序,进而通过虚拟机在初始化状态、加载完成页面内容的状态和运行应用程序的状态中的至少一个状态下的系统快照文件进行恶意网址的检测,也即是,终端是通过虚拟机运行该页面内容中所链接的应用程序来确定该应用程序在运行过程中是否会产生恶意行为,而不是在未运行该应用程序的情况下,单纯地对目标网页的页面内容进行静态分析,从而提高了确定恶意网址的准确率。另外,由于虚拟机的虚拟系统与该虚拟机当前所在终端的操作系统是隔离的,因此,通过虚拟机运行该应用程序,在该应用程序为恶意的情况下,不会对该终端的操作系统产生任何影响,从而降低了终端被攻击的几率。
需要说明的是:上述实施例提供的检测恶意网址的装置在实现检测恶意网址的方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将终端的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的检测恶意网址的装置与检测恶意网址的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图5是一示例性实施例示出的一种检测恶意网址的装置的终端结构示意图。参见图5,终端500可以包括通信单元510、包括有一个或一个以上计算机可读存储介质的存储器520、输入单元530、显示单元540、传感器550、音频电路560、WIFI(Wireless Fidelity,无线保真)模块570、包括有一个或者一个以上处理核心的处理器580、以及电源590等部件。本领域技术人员可以理解,图5中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
通信单元510可用于收发信息或通话过程中,信号的接收和发送,该通信单元510可以为RF(Radio Frequency,射频)电路、路由器、调制解调器、等网络通信设备。特别地,当通信单元510为RF电路时,将基站的下行信息接收后,交由一个或者一个以上处理器580处理;另外,将涉及上行的数据发送给基站。通常,作为通信单元的RF电路包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(Low Noise Amplifier,低噪声放大器)、双工器等。此外,通信单元510还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于GSM(Global System of Mobile communication,全球移动通讯系统)、GPRS(GeneralPacket Radio Service,通用分组无线服务)、CDMA(Code Division Multiple Access,码分多址)、WCDMA(Wideband Code Division Multiple Access,宽带码分多址)、LTE(LongTerm Evolution,长期演进)、电子邮件、SMS(Short Messaging Service,短消息服务)等。存储器520可用于存储软件程序以及模块,处理器580通过运行存储在存储器520的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器520可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端500的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器520可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器520还可以包括存储器控制器,以提供处理器580和输入单元530对存储器520的访问。
输入单元530可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。优选地,输入单元530可包括触敏表面531以及其他输入设备532。触敏表面531,也称为触摸显示屏或者触控板,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面531上或在触敏表面531附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触敏表面531可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器580,并能接收处理器580发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面531。除了触敏表面531,输入单元530还可以包括其他输入设备532。优选地,其他输入设备532可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元540可用于显示由用户输入的信息或提供给用户的信息以及终端500的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元540可包括显示面板541,可选的,可以采用LCD(Liquid Crystal Display,液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板541。进一步的,触敏表面531可覆盖显示面板541,当触敏表面531检测到在其上或附近的触摸操作后,传送给处理器580以确定触摸事件的类型,随后处理器580根据触摸事件的类型在显示面板541上提供相应的视觉输出。虽然在图5中,触敏表面531与显示面板541是作为两个独立的部件来实现输入和输入功能,但是在某些实施例中,可以将触敏表面531与显示面板541集成而实现输入和输出功能。
终端500还可包括至少一种传感器550,比如光传感器、运动传感器以及其他传感器。光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板541的亮度,接近传感器可在终端500移动到耳边时,关闭显示面板541和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端500还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路560、扬声器561,传声器562可提供用户与终端500之间的音频接口。音频电路560可将接收到的音频数据转换后的电信号,传输到扬声器561,由扬声器561转换为声音信号输出;另一方面,传声器562将收集的声音信号转换为电信号,由音频电路560接收后转换为音频数据,再将音频数据输出处理器580处理后,经通信单元510以发送给比如另一终端,或者将音频数据输出至存储器520以便进一步处理。音频电路560还可能包括耳塞插孔,以提供外设耳机与终端500的通信。
为了实现无线通信,该终端上可以配置有无线通信单元570,该无线通信单元570可以为WIFI模块。WIFI属于短距离无线传输技术,终端500通过无线通信单元570可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图中示出了无线通信单元570,但是可以理解的是,其并不属于终端500的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器580是终端500的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器520内的软件程序和/或模块,以及调用存储在存储器520内的数据,执行终端500的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器580可包括一个或多个处理核心;优选的,处理器580可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器580中。
终端500还包括给各个部件供电的电源590(比如电池),优选的,电源可以通过电源管理系统与处理器580逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源560还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端500还可以包括摄像头、蓝牙模块等,在此不再赘述。
所述存储器还包括一个或者一个以上的程序,所述一个或者一个以上程序存储于存储器中,所述一个或者一个以上程序包含用于进行本发明实施例提供的检测恶意网址的方法的指令;包括:
当检测到虚拟机的触发事件时,将该虚拟机回滚到初始化状态;
在虚拟机的初始化状态下,通过该虚拟机加载待检测的目标网址的页面内容;
在加载该页面内容之后,通过该虚拟机运行该页面内容中所链接的应用程序;
获取该虚拟机在初始化状态、加载完成该页面内容的状态和运行该应用程序的状态中的至少一个状态下的系统快照文件;
基于获取的系统快照文件,对目标网址进行恶意网址检测。
可选地,获取虚拟机在初始化状态、加载完成页面内容的状态和运行应用程序的状态中的至少一个状态下的系统快照文件,包括:
对该虚拟机在所述初始化状态下的系统文件进行复制,得到第一系统快照文件;
对该虚拟机在加载完成该页面内容的状态下的系统文件进行复制,得到第二系统快照文件;
对该虚拟机在运行该应用程序的状态下的系统文件进行复制,得到第三系统快照文件;
相应地,基于获取的系统快照文件,对目标网址进行恶意网址检测,包括:
基于第一系统快照文件、第二系统快照文件和第三系统快照文件,对目标网址进行恶意网址检测。
可选地,基于该第一系统快照文件、该第二系统快照文件和该第三系统快照文件,对该目标网址进行恶意网址检测,包括:
基于该第一系统快照文件和该第二系统快照文件,确定该页面内容的安全级别;
基于该第一系统快照文件和该第三系统快照文件,确定该应用程序的安全级别;
基于该页面内容的安全级别和该应用程序的安全级别,对该目标网址进行恶意网址检测。
可选地,基于该第一系统快照文件和该第二系统快照文件,确定该页面内容的安全级别,包括:
基于该第一系统快照文件和该第二系统快照文件,确定第一修改痕迹数量,该第一修改痕迹数量为该第二系统快照文件相对于该第一系统快照文件的修改痕迹数量;
当该第一修改痕迹数量大于或等于第一阈值时,确定该页面内容的安全级别为恶意;
当该第一修改痕迹数量小于该第一阈值且大于或等于第二阈值时,确定该页面内容的安全级别为风险;
当该第一修改痕迹数量小于该第二阈值时,确定该页面内容的安全级别为安全。
可选地,该基于该第一系统快照文件和该第三系统快照文件,确定该应用程序的安全级别,包括:
基于该第一系统快照文件和该第三系统快照文件,确定第二修改痕迹数量,该第二修改痕迹数量为该第三系统快照文件相对于该第一系统快照文件的修改痕迹数量;
当该第二修改痕迹数量大于或等于第三阈值时,确定该应用程序的安全级别为恶意;
当该第二修改痕迹数量小于该第三阈值且大于或等于第四阈值时,确定该应用程序的安全级别为风险;
当该第二修改痕迹数量小于该第四阈值时,确定该应用程序的安全级别为安全。
可选地,基于该页面内容的安全级别和该应用程序的安全级别,对该目标网址进行恶意网址检测,包括:
当该页面内容的安全级别和该应用程序的安全级别均为安全时,确定该目标网址为安全网址;
当该页面内容的安全级别和该应用程序的安全级别中的至少一个为风险时,确定该目标网址存在风险;
当该页面内容的安全级别和该应用程序的安全级别中的至少一个为恶意时,确定该目标网址为恶意网址。
可选地,该通过该虚拟机运行该页面内容中所链接的应用程序,包括:
基于该页面内容中的链接,通过该虚拟机对该应用程序的安装文件进行下载;
基于该安装文件,通过该虚拟机安装该应用程序;
在该应用程序安装完成后,运行该应用程序。
可选地,对该虚拟机在运行该应用程序的状态下的系统文件进行复制之前,还包括:
在该应用程序的安装过程中,通过该虚拟机截取该应用程序的第一安装界面图片;
通过该虚拟机确定该第一安装界面图片与预先存储的该应用程序的第二安装界面图片之间的相似度,该第二安装界面图片为该应用程序处于安全状态时的安装界面图片;
当该相似度大于相似度阈值时,确定该应用程序为安全的应用程序,并执行该对该虚拟机在运行该应用程序的状态下的系统文件进行复制的步骤。
可选地,该第一系统快照文件、该第二系统快照文件和该第三系统快照文件均是通过系统快照工具对该虚拟机的系统文件进行复制得到。
在本发明实施例中,该终端可以将虚拟机回滚到初始化状态,并在初始化状态下加载待检测的目标网址的页面内容,以及运行该页面内容中所链接的应用程序,进而通过虚拟机在初始化状态、加载完成页面内容的状态和运行应用程序的状态中的至少一个状态下的系统快照文件进行恶意网址的检测,也即是,终端是通过虚拟机运行该页面内容中所链接的应用程序来确定该应用程序在运行过程中是否会产生恶意行为,而不是在未运行该应用程序的情况下,单纯地对目标网页的页面内容进行静态分析,从而提高了确定恶意网址的准确率。另外,由于虚拟机的虚拟系统与该虚拟机当前所在终端的操作系统是隔离的,因此,通过虚拟机运行该应用程序,在该应用程序为恶意的情况下,不会对该终端的操作系统产生任何影响,从而降低了终端被攻击的几率。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,该的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上该仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种检测恶意网址的方法,其特征在于,所述方法包括:
当检测到虚拟机的触发事件时,将所述虚拟机回滚到初始化状态;
在所述初始化状态下,通过所述虚拟机加载待检测的目标网址的页面内容;
在加载所述页面内容之后,通过所述虚拟机运行所述页面内容中所链接的应用程序;
获取所述虚拟机在所述初始化状态、加载完成所述页面内容的状态和运行所述应用程序的状态中的至少一个状态下的系统快照文件;
基于获取的系统快照文件,对所述目标网址进行恶意网址检测。
2.如权利要求1所述的方法,其特征在于,所述获取所述虚拟机在所述初始化状态、加载完成所述页面内容的状态和运行所述应用程序的状态中的至少一个状态下的系统快照文件,包括:
对所述虚拟机在所述初始化状态下的系统文件进行复制,得到第一系统快照文件;
对所述虚拟机在加载完成所述页面内容的状态下的系统文件进行复制,得到第二系统快照文件;
对所述虚拟机在运行所述应用程序的状态下的系统文件进行复制,得到第三系统快照文件;
相应地,所述基于获取的系统快照文件,对所述目标网址进行恶意网址检测,包括:
基于所述第一系统快照文件、所述第二系统快照文件和所述第三系统快照文件,对所述目标网址进行恶意网址检测。
3.如权利要求2所述的方法,其特征在于,所述基于所述第一系统快照文件、所述第二系统快照文件和所述第三系统快照文件,对所述目标网址进行恶意网址检测,包括:
基于所述第一系统快照文件和所述第二系统快照文件,确定所述页面内容的安全级别;
基于所述第一系统快照文件和所述第三系统快照文件,确定所述应用程序的安全级别;
基于所述页面内容的安全级别和所述应用程序的安全级别,对所述目标网址进行恶意网址检测。
4.如权利要求3所述的方法,其特征在于,所述基于所述第一系统快照文件和所述第二系统快照文件,确定所述页面内容的安全级别,包括:
基于所述第一系统快照文件和所述第二系统快照文件,确定第一修改痕迹数量,所述第一修改痕迹数量为所述第二系统快照文件相对于所述第一系统快照文件的修改痕迹数量;
当所述第一修改痕迹数量大于或等于第一阈值时,确定所述页面内容的安全级别为恶意;
当所述第一修改痕迹数量小于所述第一阈值且大于或等于第二阈值时,确定所述页面内容的安全级别为风险;
当所述第一修改痕迹数量小于所述第二阈值时,确定所述页面内容的安全级别为安全。
5.如权利要求3所述的方法,其特征在于,所述基于所述第一系统快照文件和所述第三系统快照文件,确定所述应用程序的安全级别,包括:
基于所述第一系统快照文件和所述第三系统快照文件,确定第二修改痕迹数量,所述第二修改痕迹数量为所述第三系统快照文件相对于所述第一系统快照文件的修改痕迹数量;
当所述第二修改痕迹数量大于或等于第三阈值时,确定所述应用程序的安全级别为恶意;
当所述第二修改痕迹数量小于所述第三阈值且大于或等于第四阈值时,确定所述应用程序的安全级别为风险;
当所述第二修改痕迹数量小于所述第四阈值时,确定所述应用程序的安全级别为安全。
6.如权利要求3-5任一所述的方法,其特征在于,所述基于所述页面内容的安全级别和所述应用程序的安全级别,对所述目标网址进行恶意网址检测,包括:
当所述页面内容的安全级别和所述应用程序的安全级别均为安全时,确定所述目标网址为安全网址;
当所述页面内容的安全级别和所述应用程序的安全级别中的至少一个为风险时,确定所述目标网址存在风险;
当所述页面内容的安全级别和所述应用程序的安全级别中的至少一个为恶意时,确定所述目标网址为恶意网址。
7.如权利要求2所述的方法,其特征在于,所述对所述虚拟机在运行所述应用程序的状态下的系统文件进行复制之前,还包括:
在所述应用程序的安装过程中,通过所述虚拟机截取所述应用程序的第一安装界面图片;
通过所述虚拟机确定所述第一安装界面图片与预先存储的所述应用程序的第二安装界面图片之间的相似度,所述第二安装界面图片为所述应用程序处于安全状态时的安装界面图片;
当所述相似度大于相似度阈值时,确定所述应用程序为安全的应用程序,并执行所述对所述虚拟机在运行所述应用程序的状态下的系统文件进行复制的步骤。
8.一种检测恶意网址的装置,其特征在于,所述装置包括:
回滚模块,用于当检测到虚拟机的触发事件时,将所述虚拟机回滚到初始化状态;
加载模块,用于在所述初始化状态下,通过所述虚拟机加载待检测的目标网址的页面内容;
运行模块,用于在加载所述页面内容之后,通过所述虚拟机运行所述页面内容中所链接的应用程序;
获取模块,用于获取所述虚拟机在所述初始化状态、加载完成所述页面内容的状态和运行所述应用程序的状态中的至少一个状态下的系统快照文件;
检测模块,用于基于获取的系统快照文件,对所述目标网址进行恶意网址检测。
9.如权利要求8所述的装置,其特征在于,所述获取模块包括:
第一复制单元,用于对所述虚拟机在所述初始化状态下的系统文件进行复制,得到第一系统快照文件;
第二复制单元,用于对所述虚拟机在加载完成所述页面内容的状态下的系统文件进行复制,得到第二系统快照文件;
第三复制单元,用于对所述虚拟机在运行所述应用程序的状态下的系统文件进行复制,得到第三系统快照文件;
相应地,所述检测模块包括:
检测单元,用于基于所述第一系统快照文件、所述第二系统快照文件和所述第三系统快照文件,对所述目标网址进行恶意网址检测。
10.如权利要求9所述的装置,其特征在于,所述检测单元包括:
第一确定子单元,用于基于所述第一系统快照文件和所述第二系统快照文件,确定所述页面内容的安全级别;
第二确定子单元,用于基于所述第一系统快照文件和所述第三系统快照文件,确定所述应用程序的安全级别;
检测子单元,用于基于所述页面内容的安全级别和所述应用程序的安全级别,对所述目标网址进行恶意网址检测。
11.如权利要求10所述的装置,其特征在于,所述第一确定子单元用于:
基于所述第一系统快照文件和所述第二系统快照文件,确定第一修改痕迹数量,所述第一修改痕迹数量为所述第二系统快照文件相对于所述第一系统快照文件的修改痕迹数量;
当所述第一修改痕迹数量大于或等于第一阈值时,确定所述页面内容的安全级别为恶意;
当所述第一修改痕迹数量小于所述第一阈值且大于或等于第二阈值时,确定所述页面内容的安全级别为风险;
当所述第一修改痕迹数量小于所述第二阈值时,确定所述页面内容的安全级别为安全。
12.如权利要求10所述的装置,其特征在于,所述第二确定子单元用于:
基于所述第一系统快照文件和所述第三系统快照文件,确定第二修改痕迹数量,所述第二修改痕迹数量为所述第三系统快照文件相对于所述第一系统快照文件的修改痕迹数量;
当所述第二修改痕迹数量大于或等于第三阈值时,确定所述应用程序的安全级别为恶意;
当所述第二修改痕迹数量小于所述第三阈值且大于或等于第四阈值时,确定所述应用程序的安全级别为风险;
当所述第二修改痕迹数量小于所述第四阈值时,确定所述应用程序的安全级别为安全。
13.如权利要求10-12任一所述的装置,其特征在于,所述检测子单元用于:
当所述页面内容的安全级别和所述应用程序的安全级别均为安全时,确定所述目标网址为安全网址;
当所述页面内容的安全级别和所述应用程序的安全级别中的至少一个为风险时,确定所述目标网址存在风险;
当所述页面内容的安全级别和所述应用程序的安全级别中的至少一个为恶意时,确定所述目标网址为恶意网址。
14.如权利要求9所述的装置,其特征在于,所述装置还包括:
截取模块,用于在所述应用程序的安装过程中,通过所述虚拟机截取所述应用程序的第一安装界面图片;
第一确定模块,用于通过所述虚拟机确定所述第一安装界面图片与预先存储的所述应用程序的第二安装界面图片之间的相似度,所述第二安装界面图片为所述应用程序处于安全状态时的安装界面图片;
第二确定模块,用于当所述相似度大于相似度阈值时,确定所述应用程序为安全的应用程序,并对所述虚拟机在运行所述应用程序的状态下的系统文件进行复制。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610635742.0A CN106789866B (zh) | 2016-08-04 | 2016-08-04 | 一种检测恶意网址的方法及装置 |
| PCT/CN2017/094425 WO2018024138A1 (zh) | 2016-08-04 | 2017-07-26 | 检测恶意网址的方法、装置、终端以及计算机存储介质 |
| US15/979,667 US11063962B2 (en) | 2016-08-04 | 2018-05-15 | Malicious URL detection method and apparatus, terminal, and computer storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610635742.0A CN106789866B (zh) | 2016-08-04 | 2016-08-04 | 一种检测恶意网址的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106789866A true CN106789866A (zh) | 2017-05-31 |
| CN106789866B CN106789866B (zh) | 2019-10-08 |
Family
ID=58972270
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610635742.0A Active CN106789866B (zh) | 2016-08-04 | 2016-08-04 | 一种检测恶意网址的方法及装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11063962B2 (zh) |
| CN (1) | CN106789866B (zh) |
| WO (1) | WO2018024138A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018024138A1 (zh) * | 2016-08-04 | 2018-02-08 | 腾讯科技(深圳)有限公司 | 检测恶意网址的方法、装置、终端以及计算机存储介质 |
| CN111818019A (zh) * | 2020-06-19 | 2020-10-23 | 五八有限公司 | 网络劫持数据或网络劫持的确定方法、装置、设备及介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10298605B2 (en) * | 2016-11-16 | 2019-05-21 | Red Hat, Inc. | Multi-tenant cloud security threat detection |
| US10558504B1 (en) * | 2018-09-28 | 2020-02-11 | Atlassian Pty Ltd | Systems and methods for automatically detecting desktop applications |
| CN109471992A (zh) * | 2018-11-19 | 2019-03-15 | 万兴科技股份有限公司 | 网页拦截方法、装置、计算机设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102088379A (zh) * | 2011-01-24 | 2011-06-08 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
| CN103763316A (zh) * | 2014-01-16 | 2014-04-30 | 中国联合网络通信集团有限公司 | 一种网页内容过滤的方法及运营商设备 |
| US20150244728A1 (en) * | 2012-11-13 | 2015-08-27 | Tencent Technology (Shenzhen) Company Limited | Method and device for detecting malicious url |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8613080B2 (en) * | 2007-02-16 | 2013-12-17 | Veracode, Inc. | Assessment and analysis of software security flaws in virtual machines |
| US8112664B2 (en) * | 2008-03-26 | 2012-02-07 | Symantec Operating Corporation | Using volume snapshots to prevent file corruption in failed restore operations |
| US8661213B2 (en) * | 2010-01-06 | 2014-02-25 | Vmware, Inc. | Method and system for frequent checkpointing |
| CN102254111B (zh) * | 2010-05-17 | 2015-09-30 | 北京知道创宇信息技术有限公司 | 恶意网站检测方法及装置 |
| US10331801B2 (en) * | 2011-09-23 | 2019-06-25 | Open Invention Network, Llc | System for live-migration and automated recovery of applications in a distributed system |
| US9742873B2 (en) * | 2012-11-29 | 2017-08-22 | International Business Machines Corporation | Adjustment to managed-infrastructure-as-a-service cloud standard |
| CN103617390A (zh) * | 2013-11-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种恶意网页判断方法、装置和系统 |
| CN106789866B (zh) * | 2016-08-04 | 2019-10-08 | 腾讯科技(深圳)有限公司 | 一种检测恶意网址的方法及装置 |
| US20180152470A1 (en) * | 2016-11-29 | 2018-05-31 | Lixin Lu | Method of improving network security by learning from attackers for detecting network system's weakness |
-
2016
- 2016-08-04 CN CN201610635742.0A patent/CN106789866B/zh active Active
-
2017
- 2017-07-26 WO PCT/CN2017/094425 patent/WO2018024138A1/zh active Application Filing
-
2018
- 2018-05-15 US US15/979,667 patent/US11063962B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102088379A (zh) * | 2011-01-24 | 2011-06-08 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
| US20150244728A1 (en) * | 2012-11-13 | 2015-08-27 | Tencent Technology (Shenzhen) Company Limited | Method and device for detecting malicious url |
| CN103763316A (zh) * | 2014-01-16 | 2014-04-30 | 中国联合网络通信集团有限公司 | 一种网页内容过滤的方法及运营商设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018024138A1 (zh) * | 2016-08-04 | 2018-02-08 | 腾讯科技(深圳)有限公司 | 检测恶意网址的方法、装置、终端以及计算机存储介质 |
| US11063962B2 (en) | 2016-08-04 | 2021-07-13 | Tencent Technology (Shenzhen) Company Limited | Malicious URL detection method and apparatus, terminal, and computer storage medium |
| CN111818019A (zh) * | 2020-06-19 | 2020-10-23 | 五八有限公司 | 网络劫持数据或网络劫持的确定方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106789866B (zh) | 2019-10-08 |
| WO2018024138A1 (zh) | 2018-02-08 |
| US11063962B2 (en) | 2021-07-13 |
| US20180262522A1 (en) | 2018-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104618217B (zh) | 分享资源的方法、终端、服务器及系统 | |
| CN106789866B (zh) | 一种检测恶意网址的方法及装置 | |
| CN104794396B (zh) | 跨站式脚本漏洞检测方法及装置 | |
| CN104123120B (zh) | 一种浏览器页面数据过滤方法、装置和系统 | |
| CN103677899B (zh) | 安装应用程序的方法及设备 | |
| CN103258163B (zh) | 一种脚本病毒识别方法、装置及系统 | |
| CN104978115A (zh) | 内容显示方法及装置 | |
| CN103763112B (zh) | 一种用户身份保护方法和装置 | |
| CN103631580B (zh) | 一种生成主题图标的方法和装置 | |
| CN103345602A (zh) | 一种客户端代码完整性检测方法、装置和系统 | |
| CN104123276B (zh) | 一种浏览器中弹窗的拦截方法、装置和系统 | |
| CN106708734A (zh) | 软件异常检测方法及装置 | |
| CN104965722B (zh) | 一种显示信息的方法及装置 | |
| CN107622200A (zh) | 应用程序的安全性检测方法及装置 | |
| CN108536594A (zh) | 页面测试方法、装置及存储设备 | |
| CN107276602A (zh) | 射频干扰处理方法、装置、存储介质及终端 | |
| CN107590397A (zh) | 一种显示内嵌网页的方法和装置 | |
| CN106547844A (zh) | 一种用户界面的处理方法和装置 | |
| CN106055480A (zh) | 一种调试网页的方法及终端 | |
| CN104699501B (zh) | 一种运行应用程序的方法及装置 | |
| CN104751092B (zh) | 图形码处理方法及装置 | |
| CN103607431B (zh) | 移动终端资源处理方法、装置和设备 | |
| CN107171740A (zh) | 射频干扰处理方法、装置、存储介质及终端 | |
| CN106529332A (zh) | 一种移动终端的权限控制方法、装置及移动终端 | |
| CN109271779A (zh) | 一种安装包检测方法、终端设备及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |