[发明专利]基于多URL的恶意代码检测方法和系统

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于多URL（Uniform  Resource Locator，统一资源定位符）的恶意代码检测方法和系统。

背景技术

互联网在中国的快速发展，截至2011年6月底，中国网民规模达到4.85亿。互联网地下经济产业链也随之不断发展壮大，由原先的单链条结构逐步形成有一定规模的系统体系结构。恶意代码由最初的感染破坏用户系统到目前窃取个人或企业用户虚拟、真实财产、隐私信息，篡改信息，非法控制用户系统等，其目的是通过非法手段获取暴利。

为了保护广大网民的利益不受侵害，反病毒厂商和相关政府机构一直在与地下产业链、恶意代码做不断的斗争。在反病毒技术的不断提高和有关法律法规的不断健全完善下，目前恶意代码的发展和其经济利益链条出现了一些新的分支，如：刷流量、广告推广等一些灰色产业也不断兴起。目前反病毒软件主要的检测方式就是特征码匹配方式，反病毒厂商需要不断的升级病毒特征库来对抗网络黑客不断更新升级的木马程序，现阶段很多即使不会编写程序的黑客也可通过购买现成木马程序。一些大的软件保护组织或个人为了保护软件知识产权等问题推出了很多加密保护壳，而这些技术被黑客利用逃避反病毒软件的查杀，反病毒厂商为了查杀加壳后的木马病毒，就需要脱掉被黑客加上的加密壳，这就陷入了和加密壳开发者无休止的技术对抗当中。如上这些直接导致了反病毒软件特征库的体积不断膨胀，几乎到了不堪重负的地步，而且很多木马在加密壳的保护下很难被检测到。

我们通过从恶意代码在地下经济产业链体系中的起到的作用和目前恶意代码的本身的行为分析，得出目前恶意代码类型、形态众多，但几乎所有恶意代码最终的目的都是为了经济利益出发，如：窃取用户网游或网银账号、密码，回传用户隐私数据，广告、软件推广等。另外目前恶意代码的传播主要通过网页浏览或下载、电子邮件、局域网和移动存储介质、即时通讯工具（IM）等途径传播。而其中恶意代码以网页浏览或下载来传播自身占绝大部分，即恶意代码需通过URL传播自身。恶意代码的信息回传方式主要通过URL、电子邮件、FTP等方式，其中以URL占绝大部分。对于URL在恶意代码的传播、扩散起到至关重要的作用，反病毒厂商对此开始从URL出发来检测恶意代码，由此URL分类和过滤技术也随之产生。目前的URL分类和过滤技术，还是单一URL规则对应单一威胁事件的模式，如目前恶意代码进行广告、软件的恶意推广，由于其中有大量推广URL均如百度、淘宝等可信网站链接，而此时为了避免误报URL过滤系统即予以放行，则该用户系统出现的威胁无法捕获拦截。为了保障能及时的拦截恶意URL，另外又需考虑误报问题使得URL过滤在与恶意URL的对抗中一直非常被动。

发明内容

本发明提供了一种基于多URL的恶意代码检测方法和装置，解决了目前反病毒软件特征码匹配和URL过滤的不足和局限性，大大提高了对恶意木马程序的检出率。

本发明提供了一种基于多URL的恶意代码检测方法，该方法包括：

步骤a、捕获网络通信数据包，捕获指定时间段内的所有网络数据包。

步骤b、解析网络数据包，分析提取数据包中的URL数据。

步骤c、对提取的URL进行特定方法的形式化处理。

步骤d、形式化后的URL与特征数据库匹配，匹配成功的进入下一步骤。

步骤e、匹配成功的URL与模型数据库匹配，最终确定威胁类型并输出相应结果。

所述步骤a捕获网络通信数据包，捕获指定时间段内的所有网络数据包。可以使用抓包工具，例如pcap或自行编写程序捕捉网络数据包。