[发明专利]一种用于检测恶意服务器的方法和装置有效
| 申请号: | 201110341370.8 | 申请日: | 2011-11-02 |
| 公开(公告)号: | CN103096321A | 公开(公告)日: | 2013-05-08 |
| 发明(设计)人: | 郭代飞;隋爱芬;郭涛 | 申请(专利权)人: | 西门子公司 |
| 主分类号: | H04W12/12 | 分类号: | H04W12/12;H04L12/26 |
| 代理公司: | 北京康信知识产权代理有限责任公司 11240 | 代理人: | 李慧 |
| 地址: | 德国*** | 国省代码: | 德国;DE |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 用于 检测 恶意 服务器 方法 装置 | ||
1.一种用于检测恶意服务器的方法,包括步骤:
获取移动终端向网络服务器发送的网络连接请求;
根据预先存储的与已知的恶意服务器有关的信息和所获取的网络连接请求,检测所述网络服务器是否是可能的恶意服务器;
如果检测结果为肯定,则检查所述网络服务器是否包含有手机病毒;以及
如果检查结果为肯定,则确定所述网络服务器是恶意服务器。
2.如权利要求1所述的方法,其中,所述检测步骤包括:
根据所述与已知的恶意服务器有关的信息,计算所述网络连接请求的与恶意服务器相关的相关程度值;以及
如果所述网络连接请求的所述相关程度值大于指定阈值,则判定所述网络服务器是可能的恶意服务器。
3.如权利要求2所述的方法,其中,所述计算步骤包括:
执行以下至少两个相关程度子值计算:根据网络连接请求所包含的服务器的域名与已知的恶意服务器的域名的相似程度,计算所述网络连接请求的第一相关程度子值;根据所述网络连接请求所包含的服务器的网络地址与已知的恶意服务器的网络地址的相似程度,计算所述网络连接请求的第二相关程度子值;根据已知的恶意服务器的端口号中是否包含有所述网络连接请求所包含的服务器的端口号,计算所述网络连接请求的第三相关程度子值;根据连接已知的恶意服务器所使用过的用户代理和所述网络连接请求所包含的用户代理的相似程度,计算所述网络连接请求的第四相关程度子值;以及,根据所述网络连接请求是否包含有与已知的恶意服务器有关联的关键字,计算所述网络连接请求的第五相关程度子值;以及
根据执行所述至少两个相关程度子值计算所获取的相关程度子值,计算所述网络连接请求的所述相关程度值。
4.如权利要求1所述的方法,其中,所述检查步骤包括:
下载所述网络服务器中的文件;
对所下载的文件进行病毒扫描;以及
如果所述病毒扫描发现所下载的文件包含有手机病毒,则判定所述网络服务器包含有手机病毒。
5.如权利要求4所述的方法,其中,所述下载步骤进一步包括:
下载所述网络服务器中的所有文件或所有可执行文件。
6.一种用于检测恶意服务器的装置,包括:
获取模块(210),用于获取移动终端向网络服务器发送的网络连接请求;
检测模块(220),用于根据预先存储的与已知的恶意服务器有关的信息和所获取的网络连接请求,检测所述网络服务器是否是可能的恶意服务器;
检查模块(230),用于当检测结果为肯定时,检查所述网络服务器是否包含有手机病毒;以及
确定模块(240),用于当检查结果为肯定时,确定所述网络服务器是恶意服务器。
7.如权利要求6所述的装置,其中,所述检测模块(220)包括:
计算模块(222),用于根据所述与已知的恶意服务器有关的信息,计算所述网络连接请求的与恶意服务器相关的相关程度值;以及
判定模块(224),用于如果所述相关程度值大于指定阈值,则判定所述网络服务器是可能的恶意服务器。
8.如权利要求7所述的装置,其中,所述检测模块(220)还包括:
存储模块(226),用于预先存储所述与已知的恶意服务器有关的信息,
其中,所述计算模块(222)进一步用于根据所存储的所述与已知的恶意服务器有关的信息,计算所述网络连接请求的与恶意服务器相关的相关程度值。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西门子公司,未经西门子公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201110341370.8/1.html,转载请声明来源钻瓜专利网。
