[发明专利]基于多URL的恶意代码检测方法和系统

权利要求书

1.一种基于多URL的恶意代码检测方法，其特征在于，包括步骤：

捕获指定时间间隔内的所有网络通信数据包；

依次解析所有的网络通信数据包，提取每个数据包中的URL；

对提取的所有URL进行形式化处理；

将所有形式化处理之后的URL作为待检测URL与特征数据库匹配，如果匹配成功则与数据模型库进行匹配，确定威胁类型并输出相应检测结果。

2.如权利要求1所述的基于多URL的恶意代码检测方法，其特征在于，解析每个网络通信数据包具体包括以下步骤：

解析一个数据包，分别提取Host域、请求域、Referer域信息；

如果Referer域为空，则将Host域中的域名信息、请求域中的路径和请求信息，还原为完整的URL，保存到未形式化的URL队列，数据包解析完成；

否则，如果Referer域不为空，若Referer域中的URL在未形式化的URL队列中不存在，则保存Referer域中的URL到未形式化的URL队列；若Referer域中的URL在未形式化的URL队列中已存在，则数据包解析完成。

3.如权利要求2所述的基于多URL的恶意代码检测方法，其特征在于，解析每个网络通信数据包还包括在未形式化的URL队列信息中记录每个URL的源IP和目的IP。

4.如权利要求1所述的基于多URL的恶意代码检测方法，其特征在于，对提取的所有URL进行形式化处理具体包括：

对于包含“?”的URL，形式化后的URL由四部分组成，分别为“host”、“port”、“path”和查询字段的总数，所述查询字段的总数为“query_string”部分 “&”字符出现的次数加一；

对于不包含“?”的URL，形式化后的URL由三部分组成，分别为“host”、“port”和查询字段的总数，所述查询字段的总数是指：截取所述URL中首次出现“/”字符之后的部分，统计“/”字符出现的次数，所述次数包含URL中首次出现的“/”，若最后一个“/”字符后有字符，则“/”字符出现的总次数为查询字段的总数，若最后一个“/”字符后没有字符则“/”字符出现的总次数减一为查询字段的总数；

所述“port”部分如果是默认端口号则可以省略。

5.如权利要求1所述的基于多URL的恶意代码检测方法，其特征在于，所述模型数据库的建立具体为：提取恶意代码的网络通信数据包中的URL特征，依据所提取的URL特征出现的频率设定权值，将URL特征、权值和相应的恶意代码存储到模型数据库中；

对应所述模型数据库建立特征数据库，所述特征数据库中每条特征包含形式化URL、URL属性和权值，所述形式化URL是指对模型数据库中的URL特征进行形式化处理得到的URL；所述URL属性分为“白”、“灰”、“黑”三种，所述“白”、“黑”是形式化URL的域名进行白名单、黑名单过滤后确定的，未确定的属性均为“灰”；所述白名单是周期性的通过手工或通过工具自动收集添加的可信域名；所述黑名单是周期性的通过手工或通过工具自动收集的恶意URL。

6.如权利要求5所述的基于多URL的恶意代码检测方法，其特征在于，将所有形式化处理之后的URL作为待检测URL与特征数据库匹配，如果匹配成功则与数据模型库进行匹配，确定威胁类型并输出相应检测结果具体包括：

对与特征数据库匹配成功的待检测URL，如果所述待检测URL所对应的特征数据库中的URL属性为“黑”，则提取待检测URL所对应的未形式化的URL与黑名单进行匹配，若匹配成功，则检测到恶意威胁；

否则将所有待检测URL与模型数据库进行匹配，如果所述待检测URL与模型数据库中的模型完全匹配则模型数据库相应的恶意代码为检测到的威胁；

如果所述待检测URL与模型数据库中的模型不完全匹配且所述待检测URL的属性为“白”，则没有检测到威胁；

如果所述待检测URL与模型数据库中的模型不完全匹配且所述待检测URL的属性都不为“白”，则根据权值计算确定最相似的恶意代码为检测到的威胁。