【技术实现步骤摘要】
本专利技术涉及计算机网络安全
,尤其涉及一种恶意URL的形式化检测方法和系统。
技术介绍
根据RFC 规范,URL (Uniform Resource Locator)的语法格式如下“scheme://username:password@domain:port/path query_string#fragment_id,,(参看RFC1738 标准http://www. ietf. org/rfc/rfcl738. txt),所有的URL都必须遵循这条规则,其中协议(scheme)部分如果省略默认就是HTTP协议,用户名密码(username:password)部分是可以 省略的,在HTTP协议中端口号(port)默认是80,这项也是可以省略的,其中fragment_id部分在检测是否为恶意URL中是没有实际价值。根据URL格式的如上特征,可以认为URL的格式存在多变性,多条不完全相同的URL可能指向相同的链接地址,例如www. xxxx. com和http://www. xxxx. com:80是同一个链接地址,在ftp协议的URL链接中,可以有多对相同...
【技术保护点】
恶意URL的形式化检测方法,其特征在于,包括:步骤a、根据RFC规范,按照URL语法结构将待检测URL拆分为语法元素字符串;步骤b、从拆分得到的字符串中提取指定的字符串,包括协议、域名、端口号、和路径;步骤c、判断协议字符串和端口号字符串是否存在,对不存在的字符串部分进行补全处理;步骤d、将补全处理后得到的字符串重新排序得到新URL,计算新URL的哈希值,作为与待检测URL对应的哈希值;步骤e、遍历恶意URL特征库,用恶意URL特征库中的特征数据与待检测URL对应的哈希值进行对比检测。
【技术特征摘要】
1.恶意URL的形式化检测方法,其特征在于,包括 步骤a、根据RFC规范,按照URL语法结构将待检测URL拆分为语法元素字符串; 步骤b、从拆分得到的字符串中提取指定的字符串,包括协议、域名、端口号、和路径; 步骤c、判断协议字符串和端口号字符串是否存在,对不存在的字符串部分进行补全处理; 步骤d、将补全处理后得到的字符串重新排序得到新URL,计算新URL的哈希值,作为与待检测URL对应的哈希值; 步骤e、遍历恶意URL特征库,用恶意URL特征库中的特征数据与待检测URL对应的哈希值进行对比检测。2.如权利要求I所述的恶意URL的形式化检测方法,其特征在于,对不存在的协议字符串或者不存在的端口号字符串进行补全处理包括步骤 判断协议字符串是否存在,如果不存在则补充HTTP作为默认协议; 判断端口号字符串是否存在,如果不存在则根据所述协议字符串中的协议类型补充默认端口号。3.如权利要求2所述的恶意URL的形式化检测方法,其特征在于,根据所述协议字符串中的协议类型补充默认端口包括如果所述协议类型为HTTP协议则补充80作为默认端口号;如果所述协议类型为FTP协议则补充21作为默认端口号;其他协议统一处理,添加空字符串作为端口号。4.如权利要求I所述的恶意URL的形式化检测方法,其特征在于,所述恶意URL特征库是预先将反病毒厂商捕获的每个恶意URL作为待检测URL,经过所述的步骤a至步骤d得到与每个恶意URL对应的哈希值组成的哈希值列表。5.恶意UR...
【专利技术属性】
技术研发人员:苏培旺,李石磊,张栗伟,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。