按照本发明专利技术实施例的一种用于检测恶意服务器的方法和装置,其中,该装置包括:获取模块,用于获取移动终端向网络服务器发送的网络连接请求;检测模块,用于根据预先存储的与已知的恶意服务器有关的信息和所获取的网络连接请求中的网络连接请求,检测所述网络服务器是否是可能的恶意服务器;检查模块,用于当检测结果为肯定时,检查所述网络服务器是否包含有手机病毒;以及,确定模块,用于当检查结果为肯定时,确定所述网络服务器是恶意服务器。利用该方法和装置,可以正确地检测恶意服务器。(图2)。
【技术实现步骤摘要】
本专利技术涉及网络安全检测技术,特别是一种用于检测恶意服务器的方法和装置。
技术介绍
随着智能移动终端的广泛应用,出现了针对智能移动终端的病毒。通常,将这种针对移动终端的病毒称为手机病毒。大部分手机病毒通常经由例如互联网、移动网络等网络扩散到移动终端并进而感染移动终端。首先,恶意的攻击者将手机病毒隐藏在网络服务器的文件中,其中,这种包含有手机病毒的网络服务器通常被称作恶意服务器。然后,手机病毒、恶意服务器或恶意的攻击者向移动终端发送欺骗信息,引诱移动终端的用户连接恶意服务器并从恶意服务器中下载包含手机病毒的文件。最后,当用户在移动终端上打开或执行所下载的文件时,包含在所下载的文件中的手机病毒感染移动终端。为了防止手机病毒通过网络扩散感染移动终端,较好的方法是识别出包含有手机病毒的恶意服务器,并当移动终端连接恶意服务器下载文件时,警告移动终端的用户其所连接的网络服务器是恶意服务器,如果连接该网络服务器存在被手机病毒感染的风险。目前已经提出许多用于检测恶意服务器的方案。第一种方案是基于网络地址来检测恶意服务器。具体的,首先,预先存储已知的恶意服务器的网络地址。然后,当移动终端连接一个网络服务器以下载文件时,检测所存储的网络地址中是否包含有移动终端所连接的网络服务器的网络地址。如果检测结果为肯定,则意味着移动终端所连接的网络服务器是恶意服务器,从而阻止移动终端连接该网络服务器。第二种方案是基于关键字来检测恶意服务器。具体地,首先从以前获取的移动终端向已知的恶意服务器发送的网络连接请求中提取出关键字并存储起来。然后,当移动终端连接一个网络服务器以下载文件时,检测移动终端向网络服务器发送的网络连接请求中是否包含有所存储的关键字。如果检测结果为肯定,则意味着移动终端所连接的网络服务器是恶意服务器,从而阻止移动终端连接该网络服务器。在上面的这两种方案中,由于仅根据网络地址或关键字来检测网络服务器是否是恶意服务器,因此,网络服务器一旦被检测出是恶意服务器之后,在以后就一直被检测为恶意服务器,即使网络服务器中的手机病毒被清除之后也是如此,这会导致把已经不是恶意服务器的网络服务器仍然错误地检测为恶意服务器。
技术实现思路
考虑到现有技术的上述问题,本专利技术的实施例提供一种用于检测恶意服务器的方法和装置,其可以正确检测恶意服务器。按照本专利技术实施例的一种用于检测恶意服务器的方法,包括步骤:获取移动终端向网络服务器发送的网络连接请求;根据预先存储的与已知的恶意服务器有关的信息和所获取的网络连接请求,检测所述网络服务器是否是可能的恶意服务器;如果检测结果为肯定,则检查所述网络服务器是否包含有手机病毒;以及,如果检查结果为肯定,则确定所述网络服务器是恶意服务器。其中,检测步骤可以包括:根据所述与已知的恶意服务器有关的信息,计算所述网络连接请求的与恶意服务器相关的相关程度值;以及,如果所述网络连接请求的所述相关程度值大于指定阈值,则判定所述网络服务器是可能的恶意服务器。其中,计算步骤可以包括:执行以下至少两个相关程度子值计算:根据所述网络连接请求所包含的服务器的域名与已知的恶意服务器的域名的相似程度,计算所述网络连接请求的第一相关程度子值;根据所述网络连接请求所包含的网络服务器的网络地址与已知的恶意服务器的网络地址的相似程度,计算所述网络连接请求的第二相关程度子值;根据已知的恶意服务器的端口号中是否包含有所述网络连接请求所包含的服务器的端口号,计算所述网络连接请求的第三相关程度子值;根据连接已知的恶意服务器所使用过的用户代理和所述网络连接请求所包含的用户代理的相似程度,计算所述网络连接请求的第四相关程度子值;以及,根据所述网络连接请求是否包含有与已知的恶意服务器有关联的关键字,计算所述网络连接请求的第五相关程度子值;以及,根据执行所述至少两个相关程度子值计算所获取的相关程度子值,计算所述网络连接请求的所述相关程度值。其中,检查步骤可以包括:下载所述网络服务器中的文件;对所下载的文件进行病毒扫描;以及,如果所述病毒扫描发现所下载的文件包含有手机病毒,则判定所述网络服务器包含有手机病毒。其中,下载步骤可以进一步包括:下载所述网络服务器中的所有文件或所有可执行文件。按照本专利技术实施例的一种用于检测恶意服务器的装置,包括:获取模块,用于获取移动终端向网络服务器发送的网络连接请求;检测模块,用于根据预先存储的与已知的恶意服务器有关的信息和所获取的网络连接请求,检测所述网络服务器是否是可能的恶意服务器;检查模块,用于当检测结果为肯定时,检查所述网络服务器是否包含有手机病毒;以及,确定模块,用于当检查结果为肯定时,确定所述网络服务器是恶意服务器。其中,检测模块可以包括:计算模块,用于根据所述与已知的恶意服务器有关的信息,计算所述网络连接请求的与恶意服务器相关的相关程度值;以及,判定模块,用于如果所述网络连接请求的相关程度值大于指定阈值,则判定所述网络服务器是可能的恶意服务器。其中,检测模块还可以包括存储模块,用于存储所述与已知的恶意服务器有关的信息,其中,计算模块可以进一步用于根据所存储的所述与已知的恶意服务器有关的信息,计算所述网络连接请求的与恶意服务器相关的相关程度值。其中,计算模块可以包括第一计算模块、第二计算模块、第三计算模块、第四计算模块和第五计算模块中的至少两个计算模块和第六计算模块。其中,第一计算模块用于根据所述网络连接请求所包含的网络服务器的域名与已知的恶意服务器的域名的相似程度,计算所述网络连接请求的第一相关程度子值;第二计算模块用于根据所述网络连接请求所包含的网络服务器的网络地址与已知的恶意服务器的网络地址的相似程度,计算所述网络连接请求的第二相关程度子值;第三计算模块用于根据已知的恶意服务器的端口号中是否包含有所述网络连接请求所包含的网络服务器的端口号,计算所述网络连接请求的第三相关程度子值;第四计算模块用于根据连接已知的恶意服务器所使用过的用户代理和所述网络连接请求所包含的用户代理的相似程度,计算所述网络连接请求的第四相关程度子值;第五计算模块用于根据所述网络连接请求是否包含有与已知的恶意服务器有关联的关键字,计算所述网络连接请求的第五相关程度子值;以及,第六计算模块用于根据所述第一计算模块至第五计算模块中的至少两个计算模块所计算的相关程度子值,计算所述网络连接请求的所述相关程度值。其中,检查模块可以包括:下载模块,用于下载所述网络服务器中的文件;扫描模块,用于对所下载的文件进行病毒扫描;以及,确认模块,用于当所述病毒扫描发现所下载的文件包含有手机病毒时,则确认所述网络服务器包含有手机病毒。其中,下载模块具体用于下载所述网络服务器中的所有文件或所有可执行文件。按照本专利技术实施例的一种用于检测恶意服务器的设备,包括:存储器用于存储可执行指令;以及,处理器,用于根据所存储的可执行指令来执行以下步骤:获取移动终端向网络服务器发送的网络连接请求;根据预先存储的与已知的恶意服务器有关的信息和所获取的网络连接请求,检测所述网络服务器是否是可能的恶意服务器;如果检测结果为肯定,则检查所述网络服务器是否包含有手机病毒;以及,如果检查结果为肯定,则确定所述网络服务器是恶意服务器。按照本专利技术实施例的一种机器可读介质,其上存储有程序代码,当所本文档来自技高网...
【技术保护点】
一种用于检测恶意服务器的方法,包括步骤:获取移动终端向网络服务器发送的网络连接请求;根据预先存储的与已知的恶意服务器有关的信息和所获取的网络连接请求,检测所述网络服务器是否是可能的恶意服务器;如果检测结果为肯定,则检查所述网络服务器是否包含有手机病毒;以及如果检查结果为肯定,则确定所述网络服务器是恶意服务器。
【技术特征摘要】
1.一种用于检测恶意服务器的方法,包括步骤: 获取移动终端向网络服务器发送的网络连接请求; 根据预先存储的与已知的恶意服务器有关的信息和所获取的网络连接请求,检测所述网络服务器是否是可能的恶意服务器; 如果检测结果 为肯定,则检查所述网络服务器是否包含有手机病毒;以及 如果检查结果为肯定,则确定所述网络服务器是恶意服务器。2.按权利要求1所述的方法,其中,所述检测步骤包括: 根据所述与已知的恶意服务器有关的信息,计算所述网络连接请求的与恶意服务器相关的相关程度值;以及 如果所述网络连接请求的所述相关程度值大于指定阈值,则判定所述网络服务器是可能的恶意服务器。3.按权利要求2所述的方法,其中,所述计算步骤包括: 执行以下至少两个相关程度子值计算:根据网络连接请求所包含的服务器的域名与已知的恶意服务器的域名的相似程度,计算所述网络连接请求的第一相关程度子值;根据所述网络连接请求所包含的服务器的网络地址与已知的恶意服务器的网络地址的相似程度,计算所述网络连接请求的第二相关程度子值;根据已知的恶意服务器的端口号中是否包含有所述网络连接请求所包含的服务器的端口号,计算所述网络连接请求的第三相关程度子值;根据连接已知的恶意服务器所使用过的用户代理和所述网络连接请求所包含的用户代理的相似程度,计算所述网络连接请求的第四相关程度子值;以及,根据所述网络连接请求是否包含有与已知的恶意服务器有关联的关键字,计算所述网络连接请求的第五相关程度子值;以及 根据执行所述至少两个相关程度子值计算所获取的相关程度子值,计算所述网络连接请求的所述相关程度值。4.按权利要求1所述的方法,其中,所述检查步骤包括: 下载所述网络服务器中的文件; 对所下载的文件进行病毒扫描;以及 如果所述病毒扫描发现所下载的文件包含有手机病毒,则判定所述网络服务器包含有手机病毒。5.按权利要求4所述的方法,其中,所述下载步骤进一步包括: 下载所述网络服务器中的所有文件或所有可执行文件。6.一种用于检测恶意服务器的装置,包括: 获取模块(210),用于获取移动终端向网络服务器发送的网络连接请求; 检测模块(220),用于根据预先存储的与已知的恶意服务器有关的信息和所获取的网络连接请求,检测所述网络服务器是否是可能的恶意服务器; 检查模块(230),用于当检测结果为肯定时,检查所述网络服务器是否包含有手机病毒;以及 确定模块(240),用于当检查结果为肯定时,确定所述网络服务器是恶意服务器。7.按权利要求6所述的装置,其中,所述检测模块(220)包括: 计算模块(222),用于根据所述与已知的恶意服务器有关的信息,计算所述网络连接请求的与恶意服务器相关的相关程度值;...
【专利技术属性】
技术研发人员:郭代飞,隋爱芬,郭涛,
申请(专利权)人:西门子公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。