WO2011063729A1 - 一种未知恶意代码的预警方法、设备和系统 - Google Patents

Description

一种未知恶意代码的预警方法、 设备和系统 本申请要求于 2009 年 11 月 26 日提交中国专利局， 申请号为 200910247172.8, 发明名称为"一种未知恶意代码的预警方法、设备和系统" 的中国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域 本发明实施例涉及网络安全技术，特别是涉及一种未知恶意代码的预警方 法、 设备和系统。

背景技术 随着互联网的广泛应用， 对网络安全的需求变得越来越大。 在所有的攻击 手段中， 对漏洞的利用也越来越频繁。 过去安全漏洞被利用一般需要几个月时 间。 最近， 发现与利用之间的时间间隔已经减少到了数天。 漏洞一旦被发现后 在很短的时间内就会被恶意利用， 对于这种攻击， 厂商大多很久才能够得到恶 意代码的样本，发行相应的补丁也就更慢， 所以这种攻击往往能够造成巨大的 破坏。 MS Blas t ( MS风暴）在漏洞被发现不到 25天就进行了袭击， Nachi ( MS 风暴变种）一周后就发动了袭击。 如果能够及早发现恶意代码， 就可以及时预 防， 进而减少恶意代码造成的损失。 现有技术中， 网络设备无法对可疑代码进行上报， 当恶意代码攻击发生以 后， 厂商需要很久才能获取恶意代码样本。 病毒软件虽然可以对已经下载到电 脑上的文件进行分析并上报给监控中心， 但是如果处理不当， 仍然会受到已经 下载的恶意代码的攻击， 并且给用户的电脑带来了很大的负担， 另外由于需要 安装， 给用户带来了很多麻烦， 所以一些用户会拒绝在网络设备上安装杀毒软 件， 成为了恶意代码传播的温床。 发明内容

本发明实施例提供了一种未知恶意代码的预警方法、设备和系统。 可以在 第一时间主动上报大量可疑代码的源地址，为缩短解决病毒威胁的时间奠定了 基础； 并且无需在客户端安装软件， 避免安装过程的麻烦。

本发明实施例提供的一种未知恶意代码的预警方法， 包括：

对数据包进行特征检测；

通过检测结果判断所述数据包是否包含可疑代码；

如果包含， 记录所述可疑代码的源地址；

向监控设备发送包含所述源地址的预警信息。

本发明实施例提供的一种网络设备， 包括：

第一检测模块， 用于对数据包进行特征检测；

第一判断模块，用于通过第一检测模块的检测结果判断所述数据包是否包 含可疑代码；

第一记录模块， 用于在第一判断模块判断为包含的情况下， 记录所述可疑 代码的源地址；

第一发送模块， 用于向监控设备发送包含所述源地址的预警信息。

本发明实施例提供的一种未知恶意代码的预警系统，包括网络设备和监控 设备， 其中监控设备用于接收预警信息； 解析所述预警信息中的源地址； 下载 所述源地址对应的可疑代码； 判断所述可疑代码是否恶意； 在判断为具有恶意 时， 发送报警信息。 本发明实施例提供的一种未知恶意代码的预警方法、设备和系统。 可以在 第一时间主动上报大量可疑代码的源地址，从而使得厂商在恶意代码出现后快 速获得样本源地址， 并且确保了预警信息来源的全面性， 为缩短解决病毒威胁 的时间奠定了基础； 并且无需在客户端安装软件， 避免安装过程的麻烦。

附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见地， 下面描 述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不 付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。 图 1为本发明未知恶意代码的预警方法实施例示意图； 图 2为本发明未知恶意代码的预警方法实施例示意图； 图 3为本发明网络设备实施例示意图； 图 4为本发明未知恶意代码的预警系统实施例示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是 全部的实施例。基于本发明中的实施例， 本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

本发明实施例提供了一种结构化信息价值评估方法和设备，下面对本发明 实施例的技术方案做进一步的详细描述。 图 1为本发明未知恶意代码的预警方法实施例示意图。 本实施例包括： 步驟 105 , 对数据包进行特征检测；

步驟 110, 通过检测结果判断所述数据包是否包含可疑代码；

步骤 128 , 如果包含， 记录所述可疑代码的源地址；

步骤 130, 向监控设备发送包含所述源地址的预警信息。 本发明实施例的执行主体为网络设备。通过将数据包中可疑代码的源地址 发送给监控设备， 及时地对可疑代码进行了预警。

本实施例首先对数据包进行特征检测，比如可以通过检测数据包中是否包 含所述可疑代码的名称、检测数据流中是否包含所述可疑代码的文件头、或者 两者结合的方法进行检测。

具体的， 只通过检测数据包中是否包含所述可疑代码的名称时， 例如， 当 检测到数据包中包含类似 get *. exe的字符串时， 说明正在传输一个可执行文 件， 那么这个 exe就是可疑代码， 因为这个可执行文件有可能会泄露终端用 户的信息、 对终端的系统造成破环、 甚至被攻击者控制， 其中 *代表任意长字 符串。 或者当数据包中包含类似 get *. dl K get *. ocx的字符串时， 也说明 正在传输一个可执行文件， 也有可能是一段恶意代码， 有可能会泄露终端用户 的信息、 对终端的系统造成破环、 甚至被攻击者控制， 同样需要上报。

只通过检测数据流中是否包含所述可疑代码的文件头时， 例如， 当检测到 数据包中包含 PE ( Por table Excutable, 可移植可执行）文件头特征码 "MZ" ( ASCI I ( Amer i can Standard Code for Informat ion Interchange , 美国信 息交换标准代码 )码表示） 时， 这个 PE文件可能在执行时泄露终端用户的信 息、 对终端的系统造成破环、 甚至被攻击者控制， 所以这个 PE文件也是可疑 代码。

通过两者结合的方法进行检测时， 当检测到 get *. jpg之后， 如果继续检 测到相应数据中包含 PE文件头特征码 "MZ" ( ASCI K Amer i can S tandard Code for Informat ion Interchange , 美国信息交换标准代码）码表示）， 这个 PE 文件就是可疑代码， 因为用户尝试的是下载一副图片， 但是返回的是一个可执 行文件， 这个欺骗行为， 说明这个 PE文件非常可能是一段恶意代码。 当检测到可疑代码以后， 查找可疑代码的来源， 具体的， 如果是通过检测 数据流中是否包含所述可疑代码的名称来确定可疑代码的，那么源地址一般是 会在 ge t后面的 URL中出现，如果是通过检测数据流中是否包含所述可疑代码 的文件头来确定可疑代码的，那么可以通过数据包中的信息查找到数据包的源 地址， 如果是使用两者相结合的方式来确定可疑代码的， 源地址一般也会在 get后面的 URL中出现。 记录下可疑代码的源地址以后，再通过预警信息， 将上述源地址发送给监 控设备。 在预警之后， 网络设备还可以接收所述监控设备发送的报警信息。

本发明实施例提供的一种未知恶意代码的预警方法。可以在第一时间主动 上报大量可疑代码的源地址，从而使得厂商在恶意代码出现后快速获得样本源 地址， 并且确保了预警信息来源的全面性， 为缩短解决病毒威胁的时间奠定了 基础； 并且无需在客户端安装软件， 避免安装过程的麻烦。

图 2为本发明未知恶意代码的预警方法实施例示意图。 本实施例包括： 步骤 105 , 对数据包进行特征检测；

步骤 110 , 通过检测结果判断所述数据包是否包含可疑代码；

步骤 128 , 如果包含， 记录所述可疑代码的源地址；

步骤 1 30 , 向监控设备发送包含所述源地址的预警信息。

步骤 204 , 接收所述监控设备发送的报警信息， 所述报警信息包含所述可 疑代码的恶意性、 或所述可疑代码的恶意性以及僵尸网络拓朴信息。 本发明实施例与上一实施例的区别在于， 网络设备发送预警信息之后，接 收监控设备发送的报警信息。报警信息中包含预警的可疑代码的恶意性、或者 预警的可疑代码的恶意性以及僵尸网络拓朴信息。

监控设备可以通过特征检测的方法、沙箱测试的方法或者二者相结合的方 法判断可疑代码的恶意性。 如果监控设备使用特征检测的方法计算恶意可能性，则监控设备利用更为 详细的恶意代码特征资源库， 与可疑代码进行比较， 如果可疑代码与恶意代码 特征资源库中的特征匹配， 根据其匹配的程度计算可疑代码发动攻击的概率， 并判断是否有可能发生攻击行为， 即恶意可能性。 比如， 如果特征库中包含一 段可疑代码特征， 被认定为具有 80%发动攻击的概率， 可疑代码与这段可疑代 码特征是一样的， 则可以认定可疑代码也具有 80%发动攻击的概率， 如果这一 概率超过报警阀值， 则可疑代码具有恶意可能性。 如果监控设备使用沙箱的方法计算恶意可能性，监控设备自动将上述可疑 代码在沙箱中运行， 并记录执行的结果和运行情况，监控设备根据这一记录计 算它的恶意可能性。 上述沙箱是一种专业虚拟环境， 在其中运行的程序在修改 注册表或者文件时会被重定向至沙箱内部， 这样， 如果程序具有恶意， 也不对 沙箱外部造成影响。 即使在沙箱内部执行了攻击行为， 只需重启沙箱即可消除 攻击行为的影响。比如监控设备检测到可疑代码的运行过程中触发了一个恶意 事件， 而这一事件的发动攻击的概率是 40% , 则这一可疑代码的恶意可能性也 是 40%， 如果这一概率超过报警阀值， 则可疑代码具有恶意可能性。 如果判断为恶意代码，监控设备可以提取所述恶意代码中的僵尸网络拓朴 结构信息， 生成包含所述拓朴结构信息的报警信息； 监控设备发送所述包含所 述拓朴结构信息的报警信息。

上述恶意代码中的僵尸网络拓朴结构信息， 包括： 僵尸主机以及控制主机 的 IP地址、 端口、 或 URL。

监控设备发送包含所述拓朴结构信息的报警信息之后 ,网络设备接收所述 监控设备发送的报警信息， 所述报警信息包含所述可疑代码的恶意性、或所述 可疑代码的恶意性以及上述僵尸网络拓朴信息。

本发明实施例还可以包含以下步驟：

步骤 216 , 根据所述可疑代码的恶意性， 拦截具有恶意的可疑代码； 或 步骤 225 , 根据所述可疑代码的恶意性以及僵尸网絡拓朴信息， 拦截具有 恶意的可疑代码以及所述僵尸网络拓朴信息对应的僵尸网络中的数据包。

网络设备在收到报警信息之后对相应的可疑代码进行拦截，对僵尸网络中 的数据包进行拦截。

本发明实施例提供的一种未知恶意代码的预警方法。可以在第一时间主动 上报大量可疑代码的源地址， 并且确保了预警信息来源的全面性， 为缩短解决 病毒威胁的时间奠定了基础； 同时避免了安装客户端软件的麻烦。 另外， 通过 网络设备发送可疑代码的源地址， 减少了直接发送可疑代码用户带宽的占用 量； 通过监控设备分析可疑代码， 并向网络设备发送报警， 使得网络设备对恶 意可疑代码进行拦截； 通过提取僵尸网络拓朴结构信息， 并向网络设备发送僵 尸网络的报警， 使得网络设备对僵尸网络中的数据包进行拦截， 减少了主机收 到攻击的可能性。

图 3为本发明网络设备实施例示意图。 本实施例包括： 第一检测模块 301 , 用于对数据包进行特征检测；

第一判断模块 312， 用于通过第一检测模块的检测结果判断所述数据包是 否包含可疑代码；

第一记录模块 325 , 用于在第一判断模块判断为包含的情况下， 记录所述 可疑代码的源地址；

第一发送模块 336 , 用于向监控设备发送包含所述源地址的预警信息。 本实施例第一检测模块首先对数据包进行特征检测，比如可以通过检测数 据包中是否包含所述可疑代码的名称、检测数据流中是否包含所述可疑代码的 文件头、或者两者结合的方法进行检测。 第一判断模块根据第一检测模块的检 测结果判断是否包含可疑代码。如果包含， 第一记录模块记录下可疑代码的来 源， 并通过第一发送模块向监控设备预警。 在预警之后， 网络设备还可以接收 所述监控设备发送的报警信息。

本实施例第一检测模块还可以包括以下子模块：

第一检测子模块 302 , 用于检测数据流中是否包含所述可疑代码的名称； 和 /或

第二检测子模块 303 , 用于检测数据流中是否包含所述可疑代码的文件 头。

本实施例还可以包括以下模块：

第一接收模块 345 , 用于接收所述监控设备发送的报警信息， 所述报警信 息包含所述可疑代码的恶意性、或所述可疑代码的恶意性以及僵尸网络拓朴信 息。

本实施例还可以包括以下模块：

第一拦截模块 352 , 用于根据所述可疑代码的恶意性， 拦截具有恶意的可 疑代码； 或

第二拦截模块 367 , 用于根据所述可疑代码的恶意性以及僵尸网络拓朴信 息，拦截具有恶意的可疑代码以及所述僵尸网络拓朴信息对应的僵尸网络中的 数据包。

本发明实施例提供的网络设备。可以在第一时间主动上报大量可疑代码的 源地址， 并且确保了预警信息来源的全面性， 为缩短解决病毒威胁的时间奠定 了基础； 并且无需在客户端安装软件， 避免安装过程的麻烦。 还通过第一接收 模块接收监控设备发送的报警信息，对恶意可疑代码进行拦截或者对僵尸网络 中的数据包进行拦截， 减少了主机收到攻击的可能性。

图 4为本发明未知恶意代码的预警系统实施例示意图。 本实施例包括： 如 图 3所示的网络设备 401和监控设备 412， 上述监控设备用于接收预警信息； 解析所述预警信息中的源地址； 下载所述源地址对应的可疑代码； 判断所述可 疑代码是否恶意； 在判断为具有恶意时， 发送报警信息。

本发明实施例提供的一种未知恶意代码的预警系统。可以在第一时间搜集 大量可疑代码的源地址， 并且确保了预警信息来源的全面性， 为缩短解决病毒 威胁的时间奠定了基础； 并且无需在客户端安装软件， 避免安装过程的麻烦。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明 可借助软件加必需的硬件平台的方式来实现， 当然也可以全部通过硬件来实 施， 但很多情况下前者是更佳的实施方式。 基于这样的理解， 本发明的技术方 案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计 算机软件产品可以存储在存储介质中， 如 R0M/RAM、 磁碟、 光盘等， 包括若干 指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等） 执行本发明各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行 限制，尽管参照较佳实施例对本发明进行了详细的说明， 本领域的普通技术人 员应当理解： 其依然可以对本发明的技术方案进行修改或者等同替换， 而这些 修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和 范围。

Claims

权 利 要 求

1. 一种未知恶意代码的预警方法， 其特征在于， 包括：

对数据包进行特征检测；

通过检测结果判断所述数据包是否包含可疑代码；

如果包含， 记录所述可疑代码的源地址；

向监控设备发送包含所述源地址的预警信息。

2. 如权利要求 1所述的方法， 其特征在于， 所述对数据包进行特征检测包 括以下至少一项：

检测数据流中是否包含所述可疑代码的名称；

检测数据流中是否包含所述可疑代码的文件头。

3. 如权利要求 1或 2所迷的方法， 其特征在于， 还包括：

接收所述监控设备发送的报警信息，所述报警信息包含所述可疑代码的恶 意性、 或所述可疑代码的恶意性以及僵尸网络拓朴信息。

4. 如权利要求 3所述的方法， 其特征在于， 还包括：

当所述报警信息包含所述可疑代码的恶意性时，根据所述可疑代码的恶意 性， 拦截具有恶意的可疑代码；

当所述报警信息包含所述可疑代码的恶意性以及僵尸网络拓朴信息时，根 据所述可疑代码的恶意性以及僵尸网络拓朴信息，拦截具有恶意的可疑代码以 及所述僵尸网络拓朴信息对应的僵尸网络中的数据包。

5.一种网络设备， 其特征在于， 包括：

第一检测模块， 用于对数据包进行特征检测；

第一判断模块，用于通过第一检测模块的检测结果判断所述数据包是否包 含可疑代码；

第一记录模块， 用于在第一判断模块判断为包含的情况下， 记录所述可疑 代码的源地址；

第一发送模块， 用于向监控设备发送包含所述源地址的预警信息。

6. 如权利要求 5所述的网络设备， 其特征在于， 第一检测模块包括： 第一检测子模块， 用于检测数据流中是否包含所述可疑代码的名称； 和 / 或

第二检测子模块， 用于检测数据流中是否包含所述可疑代码的文件头。

7. 如权利要求 5所述的网络设备， 其特征在于， 还包括：

第一接收模块， 用于接收所述监控设备发送的报警信息， 所述报警信息包 含所述可疑代码的恶意性、 或所述可疑代码的恶意性以及僵尸网络拓朴信息。

8. 如权利要求 5所述的网络设备， 其特征在于， 还包括：

第一拦截模块， 用于根据所述可疑代码的恶意性， 拦截具有恶意的可疑代 码； 或

第二拦截模块， 用于根据所迷可疑代码的恶意性以及僵尸网络拓朴信息， 拦截具有恶意的可疑代码以及所述僵尸网络拓朴信息对应的僵尸网络中的数 据包。

9. 一种未知恶意代码的预警系统， 其特征在于， 包括：

如权利要求 5 - 8所述的网络设备；

监控设备， 用于接收预警信息； 解析所述预警信息中的源地址； 下载所述 源地址对应的可疑代码； 判断所迷可疑代码是否恶意； 在判断为具有恶意时， 发送报警信息。