[发明专利]一种基于URL请求时序的恶意代码检测方法和系统有效
| 申请号: | 201110431041.2 | 申请日: | 2011-12-20 |
| 公开(公告)号: | CN102801698A | 公开(公告)日: | 2012-11-28 |
| 发明(设计)人: | 胡星儒;李柏松 | 申请(专利权)人: | 北京安天电子设备有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100084 北京市海*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于URL请求时序的恶意代码检测方法和系统。所述方法包括依照网络数据包的捕获时序对其做解析,提取客户端请求的URL和对应数据包时间。另外根据本发明应用场景的不同还可以记录客户端IP等;URL与特征数据库匹配,记录匹配成功的URL、时间和对应模型入缓存;后续包中的URL与缓存中的模型匹配;当模型中的所有特征都匹配成功则成功检出,输出相应结果。本发明还提供了一种基于URL请求时序的恶意代码检测系统。本发明的方法和系统有效地提高了对同族恶意代码的检出率和准确率。 | ||
| 搜索关键词: | 一种 基于 url 请求 时序 恶意代码 检测 方法 系统 | ||
【主权项】:
一种基于URL请求时序的恶意代码检测方法,其特征在于,包括:步骤a、按照捕获时序对网络数据包进行解析,提取请求的URL和对应数据包时间;步骤b、判断所述URL与模型数据库中模型的第一条特征是否匹配,如果匹配成功则将所述URL、对应数据包时间和所述模型记录到缓存中,标记所述模型中匹配成功的特征;所述模型数据库是通过捕获恶意代码产生的网络数据包进行解析,提取数据包中URL的请求时间顺序的序号、URL特征、间隔时间,所述时间间隔是指相邻两个URL请求时间的平均时间差扩大预设范围得到的时间值;否则回到步骤a按照捕获时序继续解析下一个网络数据包提取请求的URL;步骤c、如果所述缓存不为空,则按照时序将解析所述下一个网络数据包提取请求的URL与所述模型中时间顺序序号在先的未标记匹配成功的特征进行匹配,如果匹配成功则标记模型中的所述特征并将所述URL、对应数据包时间和所述模型更新记录到缓存中;否则回到步骤a按照捕获时序继续解析下一个网络数据包提取请求的URL;步骤d、如果所述模型中的URL特征全部标记成功,则判断存在恶意代码威胁。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安天电子设备有限公司,未经北京安天电子设备有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201110431041.2/,转载请声明来源钻瓜专利网。
