一种基于异常端口的恶意url启发式检测方法及系统的制作方法

文档序号:9306693阅读:465来源:国知局
一种基于异常端口的恶意url启发式检测方法及系统的制作方法
【技术领域】
[0001]本发明涉及计算机网络安全技术领域,尤其涉及一种基于异常端口的恶意URL启发式检测方法及系统。
【背景技术】
[0002]目前网络资源不断的丰富与扩充,人们每天通过浏览大量的URL来获取网络信息,与此同时,很多网络攻击与恶意行为也同样通过URL进行释放。现有的恶意URL检测技术主要有两种,一种是完整URL检测,另一种是部分URL检测,完整URL检测是将整条URL进行匹配,部分URL检测是提取URL主机、端口等位置的信息进行匹配。无论哪种检测方式,都需要用以匹配的特征库的支持,随着目前恶意代码制作工具的简单化、批量化,使得恶意URL也在大量的增长,这势必会造成URL病毒特征库的膨胀,特征库负载过重不但需要更多的系统存储资源进行支持,更影响了 URL的检测效率。

【发明内容】

[0003]针对现有URL检测技术中,病毒特征库存储的特征信息过多,特征库负载过重的不足,本发明提出了一种基于异常端口的恶意URL启发式检测方法及系统。利用已知的恶意URL作为训练数据,获取恶意URL的端口数据,由于常规端口下出现恶意URL的概率很小,恶意URL通常存在于非常规端口下,所以将获取的端口信息进行处理,过滤掉常规端口数据保留非常规端口数据,将非常规端口的数据作为特征标识并形成特征库,在检测URL时,获取待检测URL的端口数据,将其与特征库中的特征标识进行匹配,最后返回检测结果。
[0004]本发明公开了一种基于异常端口的恶意URL启发式检测方法,包括:
解析已知恶意URL,获取端口数据;
判断获取的端口数据是否为满足规定的端口数据,根据判断结果过滤掉满足规定的端口数据,收集不满足规定的端口数据;
将不满足规定的端口数据作为特征标识,形成特征库;
解析待检测URL,获取端口数据;
判断获取的端口数据是否为满足规定的端口数据,若是,则报告未发现威胁;若不是,则将获取的端口数据与特征库中的特征标识进行匹配,若匹配成功则向用户告警;若匹配失败,则报告未发现威胁。
[0005]进一步地,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口。
[0006]本发明还公开了一种基于异常端口的恶意URL启发式检测系统,包括:
数据采集模块,用于解析已知恶意URL,获取端口数据;
特征提取模块,用于判断获取的端口数据是否为满足规定的端口数据,根据判断结果过滤掉满足规定的端口数据,收集不满足规定的端口数据,将不满足规定的端口数据作为特征标识,形成特征库;
URL检测模块,用于解析待检测URL,获取端口数据,判断获取的端口数据是否为满足规定的端口数据,若是,则报告未发现威胁;若不是,则将获取的端口数据与特征库中的特征标识进行匹配,若匹配成功则向用户告警;若匹配失败,则报告未发现威胁。
[0007]进一步地,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口。
[0008]本发明的有益效果是:
随着恶意URL的生成简单化和批量化,网络上恶意URL的数量大幅增加,而现有的检测URL的技术多是将URL主机、端口等信息进行组合作为特征,甚至是将整条URL进行匹配,这势必会导致URL病毒特征库存储的特征数据膨胀,特征库负载过重,严重的影响了 URL检测效率。针对上述现有技术中的不足,本发明提出一种基于异常端口的恶意URL启发式检测方法及系统,利用恶意URL多出现在非常规端口下这一特点,将端口信息作为检测特征,有效减少了病毒特征库中的特征存储数据量,减轻特征库负载,节省系统资源,有效提高URL检测效率。
【附图说明】
[0009]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0010]图1为本发明基于异常端口的恶意URL启发式检测的特征提取方法流程图;
图2为本发明基于异常端口的恶意URL启发式检测的检测方法流程图;
图3为本发明基于异常端口的恶意URL启发式检测的系统结构图。
【具体实施方式】
[0011 ] 为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0012]本发明给出了一种基于异常端口的恶意URL启发式检测的方法实施例,包括特征提取方法和URL检测方法,其中特征提取方法流程图如图1所示,包括:
5101:解析已知恶意URL,获取端口数据;
5102:判断获取的端口数据是否为满足规定的端口数据,若是,则进入步骤S103,若不是,则进入步骤S104;
5103:过滤掉满足规定的端口数据;
5104:收集不满足规定的端口数据;
5105:将不满足规定的端口数据作为特征标识,形成特征库;
URL检测方法流程图如图2所示,包括:
5201:解析待检测URL,获取端口数据;
5202:判断获取的端口数据是否为满足规定的端口数据,若是,则进入步骤S206,若不是,则进入步骤S203 ;
5203:将获取的端口数据与特征库中的特征标识进行匹配;
5204:根据步骤S203的匹配结果,若匹配成功,则进入步骤S205,若匹配失败,则进入步骤S206 ;
5205:向用户告警;
5206:报告未发现威胁。
[0013]优选地,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口,这些端口都是网络资源的首选常规端口,而恶意URL常出现在不常用端口,即非常规端口下,常规端口下产生的恶意URL数量很少,所以将URL标准规定的保留端口,即常规端口,进行过滤,将非常规端口作为匹配特征,能有效的对恶意URL进行检出。
[0014]本发明还给出了一种基于异常端口的恶意URL启发式检测的系统实施例,如图3所示,包括:
数据采集模块301,用于解析已知恶意URL,获取端口数据;
特征提取模块302,用于判断获取的端口数据是否为满足规定的端口数据,根据判断结果过滤掉满足规定的端口数据,收集不满足规定的端口数据,将不满足规定的端口数据作为特征标识,形成特征库;
URL检测模块303,用于解析待检测URL,获取端口数据,判断获取的端口数据是否为满足规定的端口数据,若是,则报告未发现威胁;若不是,则将获取的端口数据与特征库中的特征标识进行匹配,若匹配成功则向用户告警;若匹配失败,则报告未发现威胁。
[0015]优选地,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口。
[0016]本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明公开了一种基于异常端口的恶意URL启发式检测方法及系统,利用恶意URL多出现在非常规端口下这一特点,将端口信息作为检测特征,有效减少了病毒特征库中的特征存储数据量,减轻特征库负载,节省系统资源,有效提高URL检测效率。
[0017]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种基于异常端口的恶意URL启发式检测方法,其特征在于,包括: 解析已知恶意URL,获取端口数据; 判断获取的端口数据是否为满足规定的端口数据,根据判断结果过滤掉满足规定的端口数据,收集不满足规定的端口数据; 将不满足规定的端口数据作为特征标识,形成特征库; 解析待检测URL,获取端口数据; 判断获取的端口数据是否为满足规定的端口数据,若是,则报告未发现威胁;若不是,则将获取的端口数据与特征库中的特征标识进行匹配,若匹配成功则向用户告警;若匹配失败,则报告未发现威胁。2.如权利要求1所述的方法,其特征在于,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口。3.一种基于异常端口的恶意URL启发式检测系统,其特征在于,包括: 数据采集模块,用于解析已知恶意URL,获取端口数据; 特征提取模块,用于判断获取的端口数据是否为满足规定的端口数据,根据判断结果过滤掉满足规定的端口数据,收集不满足规定的端口数据,将不满足规定的端口数据作为特征标识,形成特征库; URL检测模块,用于解析待检测URL,获取端口数据,判断获取的端口数据是否为满足规定的端口数据,若是,则报告未发现威胁;若不是,则将获取的端口数据与特征库中的特征标识进行匹配,若匹配成功则向用户告警;若匹配失败,则报告未发现威胁。4.如权利要求3所述的系统,其特征在于,所述满足规定的端口数据为URL标准规定的保留端口,包括HTTP服务的80端口,FTP服务的21端口。
【专利摘要】本发明提出了一种基于异常端口的恶意URL启发式检测方法,在特征提取阶段利用已知恶意URL作为训练数据,获取恶意URL端口数据,过滤满足规定的常规端口数据,将保留的非常规端口数据作为特征标识,并形成特征库,在URL检测阶段,先获取待检测URL端口数据,然后将获取的端口数据与特征库中的特征标识进行匹配,最后返回检测结果,本发明还提出了一种基于异常端口的恶意URL启发式检测系统。本发明以端口数据作为匹配特征,利用启发式思想对URL进行检测,弥补了现有URL检测技术中,病毒特征库数据量过大、占用系统资源过多、不能很好的保证检测效率的不足。
【IPC分类】H04L29/06
【公开号】CN105024989
【申请号】CN201410688920
【发明人】童志明, 于爽, 沈长伟, 张栗伟
【申请人】哈尔滨安天科技股份有限公司
【公开日】2015年11月4日
【申请日】2014年11月26日
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1