[实用新型]恶意程序发布检测系统

说明书

本实用新型实施例公开了一种恶意程序发布检测系统，所述系统包括恶意程序发布检测装置，所述装置包括：数据采集模块，采集用于发起文件下载的HTTP请求消息；特征匹配模块，将所述摘要信息与恶意和安全网站识别库中的识别信息进行匹配；分类处理模块，确定所述摘要信息为对于可疑恶意网站的摘要信息或对于可信网站的摘要信息；发布信息确定模块，将多个所述可疑恶意资源的下载连接信息进行关联处理，确定可疑恶意资源的网络发布信息。本实用新型的装置，能够解决更好地描述恶意程序发布网络的活动的问题，关注恶意程序分发网络的机理和网络基础架构的属性，能够检测到以前没有出现过的恶意网络活动，进而增加恶意程序的检出率，提高网络安全。

技术领域

本实用新型涉及网络安全技术领域，尤其涉及一种恶意程序发布检测系统。

背景技术

目前，一般的恶意程序下载攻击过程可以分为三个阶段，在第一阶段，即漏洞利用阶段，攻击者的目标是在受害者的主机上运行一小段代码，为此，攻击者首先准备一个带有下载漏洞利用驱动代码的网站。当受害者访问恶意页面时，浏览器将获取并执行驱动代码。当攻击成功时，它强制浏览器执行注入的壳代码(shellcode)。在随后的第二阶段，即安装阶段，壳代码(shellcode)下载实际的恶意软件二进制文件并启动它。一旦恶意软件程序运行，在第三阶段，即控制阶段，它展现其恶意活动，通常，恶意软件连接回远程命令和控制(C&C)服务器。攻击者使用此连接发出命令，将新的可执行文件“丢弃”到受感染的主机上，以增强恶意软件的功能，并收到被盗的数据。

目前，大多数保护用户免受恶意软件攻击的技术集中在第一和第三阶段。大量工作针对初始漏洞利用阶段，尝试检测包含驱动器下载漏洞的页面，并防止浏览器首先访问恶意页面。例如，蜜罐客户端(honeyclient)抓取网页以快速查找具有漏洞利用代码的页面，并将这些发现转化为域和URL黑名单。攻击者通过恶意域名快速改变，使黑名单永久失效。此外，攻击者已经开始大力识别蜜罐客户端(honeyclient)的指纹(由操作系统、设备类型和主机名等识别客户端的特征)，并混淆其代码以规避检测。由于在安装阶段，壳代码(shellcode)通常会发出从远程服务器获取程序的HTTP请求，然后在本地安装并执行恶意软件，这可以通过简单地调用用户浏览器中的可用功能来完成此请求。从网络的角度来看，这种连接几乎不可疑，和不同的下载良性程序的合法请求基本一致。因此，需要一种新的恶意程序发布检测技术。

发明内容

有鉴于此，本实用新型要解决的一个技术问题是提供一种恶意程序发布检测方法、装置以及介质。

根据本实用新型的一个方面，提供一种恶意程序发布检测装置系统，所述系统包括恶意程序发布检测装置，所述装置包括：数据采集模块，采集用于发起文件下载的HTTP请求消息，从所述HTTP请求消息中提取摘要信息；特征匹配模块，将所述摘要信息与恶意和安全网站识别库中的识别信息进行匹配；分类处理模块，如果匹配不成功，则使用决策分类器对所述摘要信息进行分类处理，确定所述摘要信息为对于可疑恶意网站的摘要信息或对于可信网站的摘要信息；发布信息确定模块，如果确定所述摘要信息为对于可疑恶意网站的摘要信息，则基于与此摘要信息对应的HTTP请求消息生成对于此可疑恶意网站的可疑恶意资源的下载连接信息；将多个所述可疑恶意资源的下载连接信息进行关联处理，确定可疑恶意资源的网络发布信息。

可选地，所述特征匹配模块，如果所述摘要信息与所述恶意和安全网站识别库中的特征信息匹配成功，则确定所述摘要信息为对于恶意网站或对于可信网站的摘要信息，并将此摘要信息按照预设比例作为训练样本和测试样本对所述决策分类器进行训练。

可选地，所述特征匹配模块，从摘要信息中提取识别信息，将所述识别信息分别与所述安全网站识别库中预设的恶意网站识别信息和可信网站识别信息进行匹配；如果所述识别信息与所述恶意网站识别信息或所述可信网站识别信息匹配成功，则确定所述摘要信息为对于恶意网站或对于可信网站的摘要信息；其中，所述识别信息包括：域名、URL、IP地址。