[发明专利]一种基于统一资源定位符的恶意代码检测方法和系统

权利要求书

1.一种基于统一资源定位符的恶意代码检测方法，其特征在于，包括：

监控计算机操作系统，获取系统访问网络的URL；

通过解析所述URL得到所述URL的Query域信息；

将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配； 

如果匹配成功，则判断恶意代码存在，根据预设操作进行相应处理；否则继续监控。

2.如权利要求1所述的基于统一资源定位符的恶意代码检测方法，其特征在于，将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配之前，还包括：

在模拟用户环境的仿真系统中运行同一病毒家族的恶意代码；

用网络协议分析工具捕获和分析运行所述恶意代码之后产生的网络通信数据，获取所述网络通信数据中的URL；

用URL白名单过滤所获取的URL，将所获取的URL划分为可信URL和恶意URL，所述URL白名单是周期性的通过手工或通过工具自动收集的正常无害URL；

提取所述恶意URL的Query域中相同的数据或数据格式，作为检测所述病毒家族恶意代码的特征数据存入Query域病毒特征库。

3.如权利要求1所述的基于统一资源定位符的恶意代码检测方法，其特征在于，所述预设操作包括：进行日志记录和/或阻断所述URL访问网络和/或展示恶意代码报警信息。

4.一种基于统一资源定位符的恶意代码检测系统，其特征在于，包括：

监控模块，用于监控计算机操作系统，获取系统访问网络的URL；

解析模块，用于解析所述URL得到所述URL的Query域信息；

匹配模块，用于将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配；

处理模块，根据所述模式匹配的结果进行处理，若匹配模块匹配成功，则判断恶意代码存在，根据预设操作进行相应处理；否则监控模块继续监控。

5.如权利要求4所述的基于统一资源定位符的恶意代码检测系统，其特征在于，还包括特征数据模块，所述特征数据模块具体包括：

仿真单元，用于在模拟用户环境的仿真系统中运行同一病毒家族的恶意代码；

分析单元，用网络协议分析工具捕获和分析运行所述恶意代码之后产生的网络通信数据，获取所述网络通信数据中的URL；

过滤单元，用URL白名单过滤所获取的URL，将所获取的URL划分为可信URL和恶意URL，所述URL白名单是周期性的通过手工或通过工具自动收集的正常无害URL；

提取单元，用于提取所述恶意URL的Query域中相同的数据或数据格式，作为检测所述病毒家族恶意代码的特征数据；

Query域病毒特征库，用于存储提取单元获取的特征数据。

6.如权利要求4所述的基于统一资源定位符的恶意代码检测系统，其特征在于，处理模块的预设操作包括：进行日志记录和/或阻断所述URL访问网络和/或展示恶意代码报警信息。