[发明专利]一种网络威胁的跟踪识别方法及装置有效
| 申请号: | 201210029156.3 | 申请日: | 2012-02-09 |
| 公开(公告)号: | CN102571812A | 公开(公告)日: | 2012-07-11 |
| 发明(设计)人: | 周宏斌 | 申请(专利权)人: | 成都市华为赛门铁克科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26 |
| 代理公司: | 深圳市深佳知识产权代理事务所(普通合伙) 44285 | 代理人: | 唐华明 |
| 地址: | 611731 四川*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 网络 威胁 跟踪 识别 方法 装置 | ||
1.一种网络威胁的跟踪识别方法,其特征在于,包括:
获取网络数据;
获取所述网络数据中的统一资源定位符URL,获取所述网络数据中的访问URL的源端IP地址;
将所获取的网络数据中的URL及所述源端IP地址与预置的威胁跟踪列表中的数据进行匹配;其中,所述预置的威胁跟踪列表中保存有已知的被感染IP地址及恶意URL;
若在所述获取的URL中匹配到有相同的URL,则将访问过所述匹配到的URL的源端IP地址确定为被感染IP地址;
若在所述获取的源端IP地址中匹配到有相同的IP地址,则将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,得到存在威胁的URL。
2.根据权利要求1所述的方法,其特征在于,所述将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,包括:
若所述匹配到的源端IP地址所访问的URL,在所述威胁跟踪列表中已经存在,则判断在所述威胁跟踪列表中,是否存在所述匹配到的源端IP地址所访问的URL的上线链接Referr URL,如果否,则对所述Referr URL进行安全检测分析,得到存在威胁的URL。
3.根据权利要求2所述的方法,其特征在于,所述将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,还包括:
若所述匹配到的源端IP地址所访问的URL在所述威胁跟踪列表中不存在,则将匹配到的源端IP地址所访问的URL进行安全检测分析,得到存在威胁的URL。
4.根据权利要求2任一所述的方法,其特征在于,其中,对所述Referr URL或URL进行安全检测分析,得到存在威胁的URL,包括:
向检测服务器发送对所述URL或所述URL的上线链接Referr URL进行安全检测分析的请求,以便于检测服务器利用杀毒软件对所述URL或所述上线链接Referr URL中的URL进行深度检测分析,得到存在威胁的URL;
接收所述检测服务器发送的包括存在威胁的URL的响应。
5.根据权利要求1至4任一项所述的方法,其特征在于,还包括:将所述得到的存在威胁的URL添加到所述威胁跟踪列表中;将确定为被感染IP地址添加到所述威胁跟踪列表中。
7.一种网络威胁的跟踪识别方法,其特征在于,包括:
获取网络数据;
获取所述网络数据中的统一资源定位符URL;
将所述获取的URL与预置的威胁跟踪列表中的数据进行匹配,如果所述获取的URL匹配到有相同的URL,将访问过所述存在威胁的URL的源端IP地址确定为被感染IP地址;其中,所述预置的威胁跟踪列表中保存有已知的恶意URL。
8.一种网络威胁的跟踪识别装置,其特征在于,包括:
获取单元,用于获取网络数据;
第一确定单元,用于获取所述网络数据中的统一资源定位符URL,获取所述网络数据中的访问URL的源端IP地址;
匹配单元,用于将所获取的网络数据中的URL及所述源端IP地址与预置的威胁跟踪列表中的数据进行匹配,其中,所述预置的威胁跟踪列表中保存有已知的被感染IP地址及恶意URL;
第二确定单元,用于在所述匹配单元匹配到有相同的URL时,将访问过所述匹配到的URL的源端IP地址确定为被感染IP地址;
检测单元,用于在所述匹配单元匹配到有相同的IP地址时,将匹配到的源端IP地址所访问的URL进行是否是威胁URL的分析,得到存在威胁的URL。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于成都市华为赛门铁克科技有限公司,未经成都市华为赛门铁克科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210029156.3/1.html,转载请声明来源钻瓜专利网。
