本发明专利技术实施例公开了一种恶意程序发布检测方法、装置以及介质,其中的方法包括:从用于发起文件下载的HTTP请求消息中提取摘要信息,将摘要信息与恶意和安全网站识别库中的识别信息进行匹配,如果匹配不成功,则使用决策分类器对摘要信息进行分类处理,如果确定摘要信息为对于可疑恶意网站的摘要信息,则生成对于此可疑恶意网站的可疑恶意资源的下载连接信息,将多个可疑恶意资源的下载连接信息进行关联,确定可疑恶意资源的网络发布信息。本发明专利技术的方法、装置以及介质,通过网络节点图可以更好地描述恶意程序发布网络的活动,关注恶意程序分发网络的机理和网络基础架构的属性,能够检测到以前没有出现过的恶意网络活动,进而增加恶意程序的检出率,提高网络安全。
【技术实现步骤摘要】
恶意程序发布检测方法、装置以及介质
本专利技术涉及网络安全
,尤其涉及一种恶意程序发布检测方法、装置以及介质。
技术介绍
目前,一般的恶意程序下载攻击过程可以分为三个阶段,在第一阶段,即漏洞利用阶段,攻击者的目标是在受害者的主机上运行一小段代码,为此,攻击者首先准备一个带有下载漏洞利用驱动代码的网站。当受害者访问恶意页面时,浏览器将获取并执行驱动代码。当攻击成功时,它强制浏览器执行注入的壳代码(shellcode)。在随后的第二阶段,即安装阶段,壳代码(shellcode)下载实际的恶意软件二进制文件并启动它。一旦恶意软件程序运行,在第三阶段,即控制阶段,它展现其恶意活动,通常,恶意软件连接回远程命令和控制(C&C)服务器。攻击者使用此连接发出命令,将新的可执行文件“丢弃”到受感染的主机上,以增强恶意软件的功能,并收到被盗的数据。目前,大多数保护用户免受恶意软件攻击的技术集中在第一和第三阶段。大量工作针对初始漏洞利用阶段,尝试检测包含驱动器下载漏洞的页面,并防止浏览器首先访问恶意页面。例如,蜜罐客户端(honeyclient)抓取网页以快速查找具有漏洞利用代码的页面,并将这些发现转化为域和URL黑名单。攻击者通过恶意域名快速改变,使黑名单永久失效。此外,攻击者已经开始大力识别蜜罐客户端(honeyclient)的指纹(由操作系统、设备类型和主机名等识别客户端的特征),并混淆其代码以规避检测。由于在安装阶段,壳代码(shellcode)通常会发出从远程服务器获取程序的HTTP请求,然后在本地安装并执行恶意软件,这可以通过简单地调用用户浏览器中的可用功能来完成此请求。从网络的角度来看,这种连接几乎不可疑,和不同的下载良性程序的合法请求基本一致。因此,需要一种新的恶意程序发布检测技术。
技术实现思路
有鉴于此,本专利技术要解决的一个技术问题是提供一种恶意程序发布检测方法、装置以及介质。根据本专利技术的一个方面,提供一种恶意程序发布检测方法,包括:采集用于发起文件下载的HTTP请求消息,从所述HTTP请求消息中提取摘要信息;将所述摘要信息与恶意和安全网站识别库中的识别信息进行匹配;如果所述摘要信息与所述恶意和安全网站识别库中的特征信息匹配成功,则确定所述摘要信息为对于恶意网站或对于可信网站的摘要信息,并将摘要信息按照预设比例分别作为训练样本和测试样本对所述决策分类器进行训练;如果匹配不成功,则使用已经训练好的决策分类器对所述摘要信息进行分类处理,确定所述摘要信息为对于可疑恶意网站的摘要信息或对于可信网站的摘要信息;如果确定所述摘要信息为对于可疑恶意网站的摘要信息,则基于与此摘要信息对应的HTTP请求消息生成对于此可疑恶意网站的可疑恶意资源的下载连接信息;将多个所述可疑恶意资源的下载连接信息进行关联处理,确定可疑恶意资源的网络发布信息。可选地,从摘要信息中提取识别信息,将所述识别信息分别与所述安全网站识别库中预设的恶意网站识别信息和可信网站识别信息进行匹配;如果所述识别信息与所述恶意网站识别信息或所述可信网站识别信息匹配成功,则确定所述摘要信息为对于恶意网站或对于可信网站的摘要信息;其中,所述识别信息包括:域名、URL、IP地址。可选地,所述从所述HTTP请求消息中提取摘要信息包括:基于预设的提取规则从所述HTTP请求中提取摘要信息;其中,所述摘要信息包括域名、URL、源IP地址(客户端)、目的IP地址(服务器)、端口号、客户端请求的URI、HTTP头字段中的用户代理(User-agent),以及未压缩下载文件前K个字节内容的哈希值,K为配置参数。可选地,如果所述摘要信息与所述恶意和安全网站识别库中的特征信息没有匹配成功,则获得与所述摘要信息相关联的用于识别可疑恶意网站的特征信息;将所述摘要信息和所述特征信息输入到所述决策分类器进行分类处理。可选地,所述获得与所述摘要信息相关联的用于识别可疑恶意网站的特征信息包括:获得与所述摘要信息中同一个的URI相关联的文件下载记录;如果确定与所述文件下载记录对应的不同下载文件的数量大于预设的文件数量阈值,则将所述文件下载记录作为关于文件变异的特征信息。可选地,所述获得与所述摘要信息相关联的用于识别可疑恶意网站的特征信息包括:统计与所述内容发布网络下载记录相对应的可疑内容发布网络的特征信息,其中,所述关于可疑内容发布网络的特征信息包括:顶级域名数量、URI路径数量、文件数量、文件类型。可选地,所述获得与所述摘要信息相关联的用于识别可疑恶意网站的特征信息包括:查询历史下载记录,如果确定所述摘要信息中的域名、IP地址和下载了可执行文件仅与一个URI相对应,并且该URI只包括一个HTML网页,则确定此摘要信息为与此摘要信息对应的可疑恶意资源通过专用主机下载的特征信息。可选地,所述获得与所述摘要信息相关联的用于识别可疑恶意网站的特征信息包括:获取与所述摘要信息中的目的IP地址和用户代理(User-Agent),寻找与同一IP地址联系了一次以上且使用了不同用户代理(User-Agent)的记录,并统计用户代理(User-Agent)相关的可执行文件下载的数量,作为作为关于漏洞利用的特征信息。可选地,所述基于与此摘要信息对应的HTTP请求消息生成对于此可疑恶意网站的可疑恶意资源的下载连接信息包括:基于与摘要信息对应的HTTP请求消息生成可疑恶意资源的下载连接网络节点图,其中,所述下载连接网络节点图中的节点包括:IP地址、域名、URL路径、文件名和下载文件。可选地,所述将多个所述可疑恶意资源的下载连接信息进行关联处理、确定可疑恶意下载资源的网络发布信息包括:将多个所述可疑恶意资源的下载连接网络节点图进行叠加处理,并将多个所述可疑恶意资源的下载连接网络节点图中的相同节点进行关联处理,形成可疑资源的分发网络图;其中,多个所述可疑恶意资源的下载连接网络节点图中的相同节点为重叠状态;基于所述可疑资源的分发网络图获取链接到相同的可疑恶意资源的网络路径信息以及可疑恶意资源的发布主机,用以确定发布可疑恶意资源的网络架构。可选地,采集发起了文件下载的HTTP请求消息的采集点包括:ISP网络的出现点POP、企业网的出口交换机;所述可疑恶意资源包括:可执行程序、程序安装包、脚本文件。根据本专利技术的又一方面,提供一种恶意程序发布检测装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如上所述的方法。根据本专利技术的再一方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现如上所述的方法的步骤。本专利技术的恶意程序发布检测方法、装置以及介质,从发起了文件下载的HTTP请求消息中提取摘要信息,将摘要信息与恶意和安全网站识别库中的识别信息进行匹配,如果摘要信息与所述恶意和安全网站识别库中的特征信息匹配成功,则确定摘要信息为对于恶意网站或对于可信网站的摘要信息,并将一定数量的摘要信息按照一定比例分别作为训练样本和测试样本对决策分类器进行训练;如果匹配不成功,则使用已经训练好的决策分类器对摘要信息进行分类处理,如果确定摘要信息为对于可疑恶意网站的摘要信息,则生成对于此可疑恶意网站的可疑恶意资源的下载连接信息,将多个可疑恶意资源的下载连接信息本文档来自技高网...
【技术保护点】
1.一种恶意程序发布检测方法,其特征在于,包括:采集用于发起文件下载的HTTP请求消息,从所述HTTP请求消息中提取摘要信息;将所述摘要信息与恶意和安全网站识别库中的识别信息进行匹配;如果匹配不成功,则使用决策分类器对所述摘要信息进行分类处理,确定所述摘要信息为对于可疑恶意网站的摘要信息或对于可信网站的摘要信息;如果确定所述摘要信息为对于可疑恶意网站的摘要信息,则基于与此摘要信息对应的HTTP请求消息生成对于此可疑恶意网站的可疑恶意资源的下载连接信息;将多个所述可疑恶意资源的下载连接信息进行关联处理,确定可疑恶意资源的网络发布信息。
【技术特征摘要】
1.一种恶意程序发布检测方法,其特征在于,包括:采集用于发起文件下载的HTTP请求消息,从所述HTTP请求消息中提取摘要信息;将所述摘要信息与恶意和安全网站识别库中的识别信息进行匹配;如果匹配不成功,则使用决策分类器对所述摘要信息进行分类处理,确定所述摘要信息为对于可疑恶意网站的摘要信息或对于可信网站的摘要信息;如果确定所述摘要信息为对于可疑恶意网站的摘要信息,则基于与此摘要信息对应的HTTP请求消息生成对于此可疑恶意网站的可疑恶意资源的下载连接信息;将多个所述可疑恶意资源的下载连接信息进行关联处理,确定可疑恶意资源的网络发布信息。2.如权利要求1所述的方法,其特征在于,还包括:如果所述摘要信息与所述恶意和安全网站识别库中的特征信息匹配成功,则确定所述摘要信息为对于恶意网站或对于可信网站的摘要信息,并将此摘要信息按照预设比例作为训练样本和测试样本对所述决策分类器进行训练。3.如权利要求2所述的方法,其特征在于,还包括:从摘要信息中提取识别信息,将所述识别信息分别与所述安全网站识别库中预设的恶意网站识别信息和可信网站识别信息进行匹配;如果所述识别信息与所述恶意网站识别信息或所述可信网站识别信息匹配成功,则确定所述摘要信息为对于恶意网站或对于可信网站的摘要信息;其中,所述识别信息包括:域名、URL、IP地址。4.如权利要求1所述的方法,其特征在于,所述从所述HTTP请求消息中提取摘要信息包括:基于预设的提取规则从所述HTTP请求中提取摘要信息;其中,所述摘要信息包括域名、URL、源IP地址、目的IP地址、端口号、URI、用户代理头字段中的至少一个以及下载文件前K个字节内容的哈希值,K为配置参数。5.如权利要求3所述的方法,其特征在于,还包括:如果所述摘要信息与所述恶意和安全网站识别库中的特征信息没有匹配成功,则获得与所述摘要信息相关联的用于识别可疑恶意网站的特征信息;将所述摘要信息和所述特征信息输入到所述决策分类器进行分类处理。6.如权利要求5所述的方法,其特征在于,所述获得与所述摘要信息相关联的用于识别可疑恶意网站的特征信息包括:获得与所述摘要信息中的同一个URI相关联的文件下载记录;如果确定与所述文件下载记录对应的不同下载文件的数量大于预设的文件数量阈值,则将所述文件下载记录作为关于文件变异的特征信息。7.如权利要求5所述的方法,其特征在于,所述获得与所述摘要信息相关联的用于识别可疑恶意网站的特征信息包括:获取与所述摘要信息中的IP...
【专利技术属性】
技术研发人员:胡浩,何小梅,刘青,王明华,叶青青,岑黎光,董冬伟,李冀,
申请(专利权)人:北京立思辰新技术有限公司,杭州谷逸网络科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。