[发明专利]一种恶意web基础设施检测方法

说明书

本发明属于计算机网络安全技术领域，具体涉及一种恶意web基础设施检测方法，包括下列步骤：流量处理：将HTTP流量处理为图数据的形式，节点表示HTTP流量中发现的服务器，边表示服务器之间的重定向；可见性检测：对得到的图数据进行可见性检测，标记出可见节点和不可见节点，得到标记好可见与不可见节点的图数据；恶意入口检测：使用基于规则的判定方法判断出恶意web基础设施入口。本发明通过对HTTP流量进行分析处理得到web基础设施之间的重定向关系，并通过多种规则协同检测的手段对图数据中的可见到不可见服务器之间的关系进行判定，找出其中的恶意web基础设施的入口，丰富了恶意web基础设施的特征。本发明用于恶意web基础设施的检测。

技术领域

本发明属于计算机网络安全技术领域，具体涉及一种恶意web基础设施检测方法。

背景技术

目前网络犯罪通过构建web基础设施而不是单一服务器来实行网络犯罪，为了使恶意活动不被检测，网络罪犯将恶意web基础设施上的核心服务隐藏起来，使其变为不可见，而规避探测。

存在问题或缺陷的原因：传统的方法使用端口扫描或黑名单的方式进行探测，这些探测手段很难探测故意隐藏自身的恶意web基础设施，缺少恶意web基础设施的新检测手段以及恶意web基础设施的特征。

发明内容

针对上述传统的方法难以探测故意隐藏自身的恶意web基础设施的技术问题，本发明提供了一种准确率高、误差小、效率高的恶意web基础设施检测方法。

为了解决上述技术问题，本发明采用的技术方案为：

一种恶意web基础设施检测方法，包括下列步骤：

S1、流量处理：将HTTP流量处理为图数据的形式，节点表示HTTP流量中发现的服务器，边表示服务器之间的重定向；

S2、可见性检测：对得到的图数据进行可见性检测，标记出可见节点和不可见节点，得到标记好可见与不可见节点的图数据；

S3、恶意入口检测：使用基于规则的判定方法判断出恶意web基础设施入口。

所述S1中流量处理的方法为：输入为HTTP流量，HTTP流量经过流量处理后得到重定向图数据，节点之间存在多个重定向关系。

所述S2中可见性检测的方法为：输入重定向的图数据会，用来标记一个web基础设施是否可见，所述标记的判断规则如下：如果一个域名是流行度很高的，则认为是可见的；对于剩余域名，如果搜索引擎中不存在则视为不可见的；如果网站所有者阻止了内容的访问，则视为不可见的；如果请求结果不在top100里面，则视为不可见的；所有的IP地址都是不可见的。

所述S3中恶意入口检测的方法为：输入标记好的图数据，找出其中的恶意web基础设施入口，使用规则如下：

基于地理位置的规则：通过使用IP地址、Whois信息和自主系统号来描述位置差异，不同位置间的重定向，如果它的可见和不可见的服务器不定位在相同的IP子网下，不共享相同的Whois信息，没有相同的ASNs，则这两个服务器位于同一位置；

基于图结构的规则：使用图结构的节点入度和出度判定，如果入度比出度结果小于1，则说明是恶意的情况更大；

基于角色的判定规则：有些重定向行为产生于合法的情况；

基于关系的规则：判断是否有CDN，CDN通常是非恶意的，判断重定向次数，如果两个服务器之间的重定向次数很多，且稳定发生，则认为这两个服务器是非恶意的，同时在搜索引擎中查询两个涉及重定向的服务器，如果这两个服务器都出现在相同的搜索结果中，则认为这两个服务器之间的重定向是非恶意的。

本发明与现有技术相比，具有的有益效果是：