恶意传播源的检测方法及装置制造方法及图纸

本申请公开了一种恶意传播源的检测方法及装置。其中，该方法包括：基于传播源模型，从服务器系统中提取符合攻击特征的攻击路径，其中，传播源模型中记录有网络攻击的攻击特征；将攻击路径中指向恶意文件的恶意路径确定为恶意传播源。本申请解决了现有技术中的恶意传播源检测准确度较低的技术问题。

Method and device for detecting malicious communication source

The present invention discloses a method and a device for detecting a malicious communication source. Among them, the method includes: a transmission source model based on the extraction of the attack path, with characteristics of attacks from the server system in which the characteristics of network attack attack records spread source model; malicious path will attack paths to malicious files identified as malicious communication source. The utility model solves the technical problem that the detection accuracy of the malicious communication source in the prior art is low.

【技术实现步骤摘要】
恶意传播源的检测方法及装置
本申请涉及计算机领域，具体而言，涉及一种恶意传播源的检测方法及装置。
技术介绍
恶意软件传播源又称恶意传播源，是指一个恶意软件下载链接，即恶意URL(UniformResourceLocator，统一资源定位符)。可以通过恶意URL从互联网上得到的恶意软件资源。目前，对恶意传播源的检测主要依赖于网络爬虫等检测方法，网络爬虫可以检测到大多数经由浏览器所产生的恶意传播源，但是对于未经浏览器、而是由其他工具所产生的恶意传播源，则无能无力。较为典型的一种未经浏览器产生的恶意传播源是由黑客工具产生的恶意传播源，由于黑客攻击具备较高的隐蔽性，因此，目前的检测方法并不能准确检测出由黑客工具所产生的恶意传播源，也就是说，现有技术中存在恶意传播源检测准确度较低的技术问题。针对上述的问题，目前尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种恶意传播源的检测方法及装置，以至少解决现有技术中的恶意传播源检测准确度较低的技术问题。根据本申请实施例的一个方面，提供了一种恶意传播源的检测方法，包括：基于传播源模型，从服务器系统中提取符合攻击特征的攻击路径，其中，所述传播源模型本文档来自技高网...

【技术保护点】
一种恶意传播源的检测方法，其特征在于，包括：基于传播源模型，从服务器系统中提取符合攻击特征的攻击路径，其中，所述传播源模型中记录有网络攻击的攻击特征；将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源。

【技术特征摘要】
1.一种恶意传播源的检测方法，其特征在于，包括：基于传播源模型，从服务器系统中提取符合攻击特征的攻击路径，其中，所述传播源模型中记录有网络攻击的攻击特征；将所述攻击路径中指向恶意文件的恶意路径确定为恶意传播源。2.根据权利要求1所述的检测方法，其特征在于，基于传播源模型，从服务器系统中提取符合攻击特征的攻击路径包括：基于所述传播源模型，从网络攻击日志中提取符合被动攻击特征的第一路径，其中，所述攻击特征包括被动攻击特征和主动攻击特征；和/或基于所述传播源模型，获取网络文件服务器中符合所述主动攻击特征的第二路径，其中，所述攻击路径包括所述第一路径和/或所述第二路径。3.根据权利要求2所述的检测方法，其特征在于，所述被动攻击特征包括网页防御特征，其中，基于所述传播源模型，从网络攻击日志中提取符合所述被动攻击特征的第一路径包括：利用所述传播源模型中的网页防御特征与所述网络攻击日志中的网页防御日志进行匹配；提取所述网页防御日志中存在所述网页防御特征的第一日志信息；获取提取到的第一日志信息中的网络资源定位符URL，并将获取到的网络资源定位符URL作为所述第一路径。4.根据权利要求3所述的检测方法，其特征在于，所述网页防御特征包括下述之一：命令执行漏洞特征和远程下载特征,其中，所述命令执行漏洞特征包括：在验证性测试POC结果中包含预设攻击命令。5.根据权利要求2所述的检测方法，其特征在于，所述被动攻击特征包括口令攻击特征，其中，基于所述传播源模型，从网络攻击日志中提取符合所述被动攻击特征的第一路径包括：确定服务器系统中被口令攻击成功的服务器；从所述网络攻击日志中，筛选所述被口令攻击成功的服务器在预设攻击时间段内的网络流量日志；利用所述传播源模型中的口令攻击特征与所述网络流量日志进行匹配；从所述网络流量日志中提取存在所述口令攻击特征的第二日志信息；获取提取到的第二日志信息中的网络资源定位符URL，并将获取到的网络资源定位符URL作为所述第一路径。6.根据权利要求5所述的检测方法，其特征在于，确定所述服务器系统中被口令成功攻击的服务器包括：将预先设置的情报收集终端作为所述被口令成功攻击的服务器，其中，所述...

【专利技术属性】
技术研发人员：叶根深，崔一山，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY