[发明专利]恶意特征数据库的建立方法、恶意对象检测方法及其装置

说明书

【技术领域】

本发明涉及计算机技术领域，特别涉及一种恶意特征数据库的建立方法、恶意对象检测方法及其装置。

【背景技术】

随着网络技术的广泛应用和黑客潜在可得利益的迅速膨胀，对于网络中用户随时提交的新的网页和软件包都需要安全性验证。当今的安全解决方案需要深层的面向应用的扫描和过滤功能。为保障在面对所有威胁的同时能够集中资源轻松保持业务步伐，需要建立有效的恶意特征数据库并经常更新。具有全面覆盖安全威胁，同时满足性能需求的恶意特征数据库建立方案，是实现网络安全的重点。

现有技术通常是通过网络抓取系统收集各种网站和软件，并分别对其是否为挂马网站、是否为钓鱼网站、是否包含黑链、是否为恶意软件、是否为作弊器、是否具有恶意行为进行逐一分析，每一块都有专门的工具或软件进行检测，当检测出来以后报告给客户。也就是说，现有技术通常建立具有某种特征的恶意软件或恶意网站的数据库，例如现在常用的病毒数据库，这种方式具备以下缺点：

其一、覆盖面很小，仅能够识别出病毒数据库中列出的恶意软件或恶意网站。

其二、缺乏有效的更新机制，对于新出现的恶意软件或恶意网站则无法做出及时地反应。

【发明内容】

有鉴于此，本发明提供了一种恶意特征数据库的建立方法、恶意对象检测方法及其装置，以便于扩大恶意对象检测的覆盖面，对新出现的恶意对象做出及时地反应。

具体技术方案如下：

一种恶意特征数据库的建立方法，该建立方法包括：

S1、获取恶意对象样本；

S2、从样本中的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表；

S3、利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象。

根据本发明一优选实施例，在所述步骤S3之后还包括：

S4、从步骤S3确定出的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。

根据本发明一优选实施例，所述恶意特征包括：挂马源、域名信息、注册信息、链接关系信息、网络内容提供商ICP信息或者关键词索引。

根据本发明一优选实施例，所述利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象具体包括：

判断搜索数据库中的对象包含的超链接是否为恶意特征数据库的黑名单列表中的对象，如果是，则确定搜索数据库中的该对象为恶意对象；或者，

将搜索数据库中的对象与恶意特征数据库的黑名单列表中的对象进行相似度计算，如果相似度超过预设的相似度阈值，则确定搜索数据库中的该对象为恶意对象；或者，

将搜索数据库中的对象与恶意特征数据库的恶意特征列表中的恶意特征进行匹配，如果满足匹配条件，则确定搜索数据库中的该对象为恶意对象；或者，

判断搜索数据库中的对象是否是恶意特征数据库的黑名单列表中恶意对象所引用的对象，如果是，则确定搜索数据库中的该对象为恶意对象。

根据本发明一优选实施例，该建立方法还包括：

定时对恶意特征数据库中的黑名单列表中的恶意对象和恶意特征列表中的恶意特征进行有效性验证，保留验证有效的恶意对象和恶意特征，删除验证无效的恶意对象和恶意特征。

根据本发明一优选实施例，所述有效性验证具体包括：

向所述黑名单列表中的对象发出请求，根据响应结果确定该对象是否失效，在所述黑名单列表中保留仍然有效的恶意对象，将失效的恶意对象从所述黑名单列表中删除；

对于仍然有效的恶意对象进一步进行恶意对象检测，如果检测结果仍为恶意，则在所述恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征；如果检测结果为非恶意，则将该恶意对象以及该恶意对象对应的恶意特征分别从所述黑名单列表和恶意特征列表中删除。

根据本发明一优选实施例，在所述恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征具体包括：判断所述仍然有效的恶意对象的恶意特征是否发生变更，如果是，则更新恶意特征列表中所述仍然有效的恶意对象对应的恶意特征；否则保留所述仍然有效的恶意对象对应的恶意特征。

一种恶意对象检测方法，该检测方法包括：

A1、判断待检测对象是否包含在恶意特征数据库的黑名单列表中，如果是，确定所述待检测对象为恶意对象，结束对所述待检测对象的检测；否则，执行步骤A2；