[发明专利]一种用于检测恶意服务器的方法和装置

说明书

技术领域

本发明涉及网络安全检测技术，特别是一种用于检测恶意服务器的方法和装置。

背景技术

随着智能移动终端的广泛应用，出现了针对智能移动终端的病毒。通常，将这种针对移动终端的病毒称为手机病毒。

大部分手机病毒通常经由例如互联网、移动网络等网络扩散到移动终端并进而感染移动终端。首先，恶意的攻击者将手机病毒隐藏在网络服务器的文件中，其中，这种包含有手机病毒的网络服务器通常被称作恶意服务器。然后，手机病毒、恶意服务器或恶意的攻击者向移动终端发送欺骗信息，引诱移动终端的用户连接恶意服务器并从恶意服务器中下载包含手机病毒的文件。最后，当用户在移动终端上打开或执行所下载的文件时，包含在所下载的文件中的手机病毒感染移动终端。

为了防止手机病毒通过网络扩散感染移动终端，较好的方法是识别出包含有手机病毒的恶意服务器，并当移动终端连接恶意服务器下载文件时，警告移动终端的用户其所连接的网络服务器是恶意服务器，如果连接该网络服务器存在被手机病毒感染的风险。目前已经提出许多用于检测恶意服务器的方案。

第一种方案是基于网络地址来检测恶意服务器。具体的，首先，预先存储已知的恶意服务器的网络地址。然后，当移动终端连接一个网络服务器以下载文件时，检测所存储的网络地址中是否包含有移动终端所连接的网络服务器的网络地址。如果检测结果为肯定，则意味着移动终端所连接的网络服务器是恶意服务器，从而阻止移动终端连接该网络服务器。

第二种方案是基于关键字来检测恶意服务器。具体地，首先从以前获取的移动终端向已知的恶意服务器发送的网络连接请求中提取出关键字并存储起来。然后，当移动终端连接一个网络服务器以下载文件时，检测移动终端向网络服务器发送的网络连接请求中是否包含有所存储的关键字。如果检测结果为肯定，则意味着移动终端所连接的网络服务器是恶意服务器，从而阻止移动终端连接该网络服务器。

在上面的这两种方案中，由于仅根据网络地址或关键字来检测网络服务器是否是恶意服务器，因此，网络服务器一旦被检测出是恶意服务器之后，在以后就一直被检测为恶意服务器，即使网络服务器中的手机病毒被清除之后也是如此，这会导致把已经不是恶意服务器的网络服务器仍然错误地检测为恶意服务器。

发明内容

考虑到现有技术的上述问题，本发明的实施例提供一种用于检测恶意服务器的方法和装置，其可以正确检测恶意服务器。

按照本发明实施例的一种用于检测恶意服务器的方法，包括步骤：获取移动终端向网络服务器发送的网络连接请求；根据预先存储的与已知的恶意服务器有关的信息和所获取的网络连接请求，检测所述网络服务器是否是可能的恶意服务器；如果检测结果为肯定，则检查所述网络服务器是否包含有手机病毒；以及，如果检查结果为肯定，则确定所述网络服务器是恶意服务器。

其中，检测步骤可以包括：根据所述与已知的恶意服务器有关的信息，计算所述网络连接请求的与恶意服务器相关的相关程度值；以及，如果所述网络连接请求的所述相关程度值大于指定阈值，则判定所述网络服务器是可能的恶意服务器。

其中，计算步骤可以包括：执行以下至少两个相关程度子值计算：根据所述网络连接请求所包含的服务器的域名与已知的恶意服务器的域名的相似程度，计算所述网络连接请求的第一相关程度子值；根据所述网络连接请求所包含的网络服务器的网络地址与已知的恶意服务器的网络地址的相似程度，计算所述网络连接请求的第二相关程度子值；根据已知的恶意服务器的端口号中是否包含有所述网络连接请求所包含的服务器的端口号，计算所述网络连接请求的第三相关程度子值；根据连接已知的恶意服务器所使用过的用户代理和所述网络连接请求所包含的用户代理的相似程度，计算所述网络连接请求的第四相关程度子值；以及，根据所述网络连接请求是否包含有与已知的恶意服务器有关联的关键字，计算所述网络连接请求的第五相关程度子值；以及，根据执行所述至少两个相关程度子值计算所获取的相关程度子值，计算所述网络连接请求的所述相关程度值。

其中，检查步骤可以包括：下载所述网络服务器中的文件；对所下载的文件进行病毒扫描；以及，如果所述病毒扫描发现所下载的文件包含有手机病毒，则判定所述网络服务器包含有手机病毒。

其中，下载步骤可以进一步包括：下载所述网络服务器中的所有文件或所有可执行文件。