專利名稱:一種Internet惡意代碼的發(fā)現(xiàn)和追蹤方法
一種Internet惡意代碼的發(fā)現(xiàn)和鵬方法S^領(lǐng)域本發(fā)明屬^i十穀幾防病毒技術(shù)領(lǐng)域。
背景獄隨著互聯(lián)網(wǎng)的1 ^展,Internet惡意代碼M^多,而且危害^^越嚴(yán)重。當(dāng)前, 反病毒方法大多局限于防御,即防止惡意代碼對本地計(jì)tm系統(tǒng)的滲透、攻擊和破壞。由于Internet 中隱 大量的惡意代碼,如何主動(dòng)地發(fā)現(xiàn)這^意代碼,如何il5宗惡意代碼的源頭是一個(gè)必須 要解決的問題。
發(fā)明內(nèi)容I本發(fā)明目的是,艦主動(dòng)發(fā)現(xiàn)前娃識另娜些隱藏在Internet中的惡意代碼,并根 據(jù)惡意代碼的拓?fù)浞植紙D進(jìn)^mt蹤,以此定位惡意代碼的源頭,并iff古此惡意代碼的影響范圍。 一、本發(fā)明涉及的與互聯(lián)網(wǎng)有關(guān)的一^8* ::
(1) Internet惡意代碼本專利中的Internet惡意代碼是指隱藏在Internet中的計(jì)#^幾病毒和 惡意軟件,當(dāng)用戶在不知情的情況下訪問了含有Internet惡意代碼的網(wǎng)站時(shí),計(jì)S^幾病毒或者惡意 軟件就會發(fā)作。
在《中華人民共和國計(jì)嶽幾信息系統(tǒng)娃做絲ij》第二十八條中明確定義"計(jì)^t幾病毒, 是t識制或者在計(jì)穀/lf呈序中插入的破壞計(jì)穀幾功能或者破壞數(shù)據(jù),影響計(jì)^^頓并且倉辦自
我復(fù)制的一組計(jì)^ia指令或者禾M^(戈碼"。微軟公司定義計(jì)^^幾病毒為"m設(shè)計(jì)的一種軟件程
序,它旨在干擾計(jì)嶽幾操作,記錄、飄^ 除 ,或者自行傳播到其他計(jì)對幾和齡Internet, 中國互聯(lián)網(wǎng)協(xié)會定義惡意軟件是指 明確^用戶或未經(jīng)用戶許可的情況下,在用戶計(jì)算
機(jī)或其他終端上安裝運(yùn)行,侵3師戶合法權(quán)益的軟件,但已被我國現(xiàn)有法衛(wèi)封見規(guī)定的計(jì)^m病
毒除外。
(2) Internet文件(以下簡稱為文件)Internet中各類信息的載體,包括網(wǎng)頁文件(如html)、 可執(zhí)行文件(如exe)、文檔文件(如doc)和多媒體文件(如mp3、 rmvb)等。Internet文件與傳 統(tǒng)文件的不同在于,旨Internet文件都和一個(gè)Internet i魁止相對應(yīng),即都有一個(gè)唯一的uri ,并可 以艦url定位到所對應(yīng)的Internet文件。
(3) 間接關(guān)聯(lián) 一個(gè)文件7中包含其它文件{/"/2"'","}的鏈接,當(dāng)用戶訪問文件Z時(shí), (/"/2,…,/J只是以鏈接的形式存在于用戶的系統(tǒng)中,只有當(dāng)用戶選擇了其中的文件乂
(y;eW,/2,…,/j)的鏈接后,乂才下載歪,戶的系統(tǒng)中。因此,定義/到乂之間的關(guān)聯(lián)為間
接關(guān)聯(lián),且,和乂所對應(yīng)的uri也稱為間接關(guān)聯(lián)。例如,瀏覽新聞網(wǎng)站,用戶看至啲是各種新聞的 標(biāo)題,,標(biāo)題都對應(yīng)著一4^l接,這,接定位到Internet中包含新聞內(nèi)容的文件,只有當(dāng)用戶 點(diǎn)擊了其中一個(gè)新聞標(biāo)題后,這個(gè)新聞標(biāo)題的鏈接所對應(yīng)的文件才下載至,戶的系統(tǒng)中,用戶就
可以瀏覽新聞的內(nèi)容了。
(4) 直接關(guān)聯(lián): 一個(gè)文件/中包含其它文件(/i,/2,...,/ }的鏈接,如果當(dāng)用戶訪問文件/時(shí),
乂 (/;e(y;,/2,…,yj)在沒有得至,戶認(rèn)可盼瞎況下就自動(dòng)地下載至,戶的系統(tǒng)中,那么稱/
到/是直接關(guān)聯(lián)的,且/和/所對應(yīng)的url也稱為直接關(guān)聯(lián)的。例如,當(dāng)用戶瀏覽某一網(wǎng)頁時(shí),
計(jì)穀幾病毒文fj^自動(dòng)地下載到用戶的計(jì)對幾中,夷p么這個(gè)網(wǎng)頁和下載的計(jì)嶽幾病毒文件就超 接關(guān)聯(lián)。
(5) 根據(jù)url所定位的文件的可疑度,將url的優(yōu)先級分成3個(gè)等級高、中、低。 高優(yōu)先級的url所對應(yīng)的文件包含未知的惡意代碼,且當(dāng)前還沒有針對該惡意代碼的解決方案。中 優(yōu)先級的url所對應(yīng)的文件包含已知的惡意代碼,且當(dāng)前己經(jīng)有針對該惡意代碼的解決方案。低優(yōu) 先級的url所對應(yīng)的文件為未發(fā)現(xiàn)惡意代碼的文件或者未進(jìn)行檢測的文件。艦設(shè)置優(yōu)先級,使得對 惡意url進(jìn)衍罙度優(yōu)先搜索,對普通uri進(jìn)行廣度優(yōu)先皿,以jth^短惡意代碼的發(fā)現(xiàn)時(shí)間。
(6) 拓?fù)湫畔⑹荍射己錄url之間關(guān)l^系(包括直接關(guān)聯(lián)關(guān)系和間接關(guān)M系)的信息, 它反映了url間的邏輯拓?fù)潢P(guān)系。
二、 Internet惡意代碼的發(fā),法
本發(fā)明 的Internet惡意代碼的發(fā)現(xiàn)方法,包括如下步驟
第一、將可疑的111"1添加到惡意代碼搜索隊(duì)列丄={11111,1^2,...,加1 }中的低優(yōu)先級子隊(duì)列中, url,(B"w)e丄是用于發(fā)現(xiàn)惡意代碼的原始點(diǎn)。Z為多優(yōu)先級隊(duì)列,包括高、中、低三個(gè)優(yōu)先
級子隊(duì)列,分別為Zv4,A。從丄中取翻時(shí)先從A中取,如果^為空則從4中 ^,如果A 也為空則從丄,中取繊,子隊(duì)列內(nèi)部則按照5feA先出的原則取i^;
第二 i^U:步生成的惡意代碼搜索隊(duì)列丄中取出優(yōu)先級最高的url,,l S "",傳遞纟紐激莫塊;
第三、超賺塊中,向上步傳艦來的url,錢HEAD請求,根據(jù)B向應(yīng)信息內(nèi)容中的屬性 Status-Code、 Content-type、 Last-modified和Content-length等進(jìn)行過濾,刪l^滿;SJi濾規(guī)則的urli , 以提高惡意代碼的發(fā)現(xiàn)效率并斷氐網(wǎng)絡(luò)摘;
第四、將上步不滿題濾規(guī)則的url,傳遞給下謝莫塊,下謝對刺頓GET請求將url,所對應(yīng) 的文件乂下載至體地,并將文件乂傳遞給惡意代碼掃描引擎,同時(shí)提取文件乂中的url,;
第五、根據(jù)上步所提取的文件/中的url,包括直接關(guān)聯(lián)的和間接關(guān)聯(lián)的url,得到集合 丄,={url),U《,...,urin,然后將集合丄,中的url添加至咧表丄的低優(yōu)先級子隊(duì)列A中,并將關(guān)聯(lián) 信息存儲到拓?fù)湫畔庫中;
第六、禾傭現(xiàn)有的反病毒引擎對第四步下載的文件/進(jìn)行檢測;當(dāng)發(fā)現(xiàn)惡意代碼,分析惡意 代碼的結(jié)構(gòu),計(jì)算文件乂的MD5和SHA-1校驗(yàn)和,將惡意代蹄言息存入惡意代碼,庫中,并
將集合4={1^,1 "1,2,...,^1;"}從£/中刪除,然后將丄,添加到丄的中優(yōu)先級子隊(duì)列丄 中。
高丄,的優(yōu)先級,對丄,進(jìn)W罙度優(yōu)先搜索。當(dāng)沒有檢測到惡意代碼,貝i將url,傳遞給蜜罐系!艦行 檢測;
第七、蜜罐系統(tǒng)根據(jù)瀏覽url,和運(yùn)行文件/過程中的行為,判斷是否含有惡意代碼;當(dāng)檢測 到惡意行為,貝lj根據(jù)惡意行為分析惡意代碼的結(jié)構(gòu),計(jì)算文件乂的MD5和SHA-1校驗(yàn)和,將惡 意代碼信息存入惡意代碼翻庫中,并將集合A^url!,u^,…,urin從丄,中刪除,然后將丄,添 加到丄的高優(yōu)先級子隊(duì)列^中。并腿出未知惡意代碼的警報(bào),對惡意代碼進(jìn)行緊急響應(yīng);并返 回第一步,進(jìn)份盾環(huán)操作;
發(fā)出警報(bào)是指向國家計(jì)嶽幾病毒應(yīng)急處理中心上,知惡意代碼;緊急響應(yīng)是指病毒分析員 根據(jù)計(jì)^^幾病毒緊急響應(yīng)禾ii^對惡意代碼進(jìn)fi^細(xì)分析并及,出解決方案的過禾呈。
以±^三步中戶腿的過濾規(guī)則是
根據(jù)Status-Code屬'Murl的當(dāng)前狀態(tài)進(jìn)《斑濾;根據(jù)Content-type屬艦url所對應(yīng)的文件 的類型進(jìn)行過濾根據(jù)Last-modified屬',url的最后修改時(shí)間進(jìn)纟f3l濾和根據(jù)Content-length屬 艦url所對應(yīng)文件的長度謝斑濾。
三、Internet惡意代碼的i^^
本發(fā)明 的Internet惡意代碼的iUg方法,具體步驟如下 第一、粒關(guān) 系圖^=(丌,£)
其中,r是有限個(gè)頂點(diǎn)v的集合,每個(gè)頂點(diǎn)表示,發(fā)現(xiàn)方法中所述的拓?fù)湫畔?shù)據(jù)庫中的 一個(gè)url;五是r中頂點(diǎn)對(v,,".)的有限集,頂點(diǎn)對(v,A)我們稱之為邊,每條邊{樣一對 url間的關(guān)K^系,因?yàn)閡rl間的關(guān)聯(lián)^m是有方向的,所以邊也是有方向的;
ffiiit歷拓?fù)湫畔^庫,將所有的url加入至瞧合r中,將所有的直接關(guān)^^加入歪瞧合 A中,將所有的間接關(guān) ^力口入到集合£,中,£ = ^U£,,集合r和&就組成了直接關(guān)麟 系圖C^ =(F,£d),集合卩和£,就纟賊了間接關(guān) 系圖0,,集合r和五就組成了關(guān)聯(lián) 關(guān)系圖G;
第二、提取惡意代碼的線索
jfcbl禾翻到K、 f、 ^'、 £,、《、《六賴合;其中K是與v,有關(guān)^^的頂點(diǎn)集合,^ 是與v,有直接關(guān),系的頂點(diǎn)集合,1>7是與"有間接關(guān) 系的頂點(diǎn)集合;五,是^中各頂點(diǎn)之間 所,的邊的集合,《是^中各頂點(diǎn)之間所存在的邊的集合,f,'是fT中各頂點(diǎn)之間所存在的邊 的集合;集合K、 C、 K'、《、£,、五;初始時(shí)為空集;
首先找到包含惡意代碼的文件/所對應(yīng)的url,在集合r中對應(yīng)的頂點(diǎn)v,,并將"依據(jù)不同的
關(guān)聯(lián)關(guān)系加入到集合K、 ^、 K'中,然^1歷直接關(guān) 系圖<^,將所有倉辦直接關(guān)聯(lián)到url,的 頂點(diǎn)加入集合",將直接關(guān)聯(lián)到url,的邊加入集合《,再次遍歷直接關(guān)^^圖C^,將所有能 夠直接關(guān)聯(lián)到集合C中的頂點(diǎn),且不包含于I^的頂點(diǎn)"(即("g C)D(v, e r))添加到c中, 將新添加的頂點(diǎn)與集合^中的頂點(diǎn)之間的邊 (即(^g五,勺n(^eA))添加到《中;循環(huán)遍 歷直接關(guān)聯(lián)關(guān)系圖C^,直到集合^和《中的元素不再增加為止,便得到url,的直接關(guān),系圖 《氣^《);以同樣的方法,可以得到url,的間接關(guān)S^系圖G,' =07,五,');直接關(guān) 系圖《 和間接關(guān)^t系圖《為惡意代碼的ii^M共了線索; 第三、定位惡意代碼的源頭
遍歷直接關(guān)麟系圖Gf中的所有頂點(diǎn),如果避幅Gf中的環(huán),就將!賊環(huán)的各個(gè)頂點(diǎn)抽象 成一個(gè)頂點(diǎn),直到直接關(guān)^系圖G,中的出度為0的頂點(diǎn)不再增加為止,這些出度為零的頂點(diǎn)所 代表的url就是惡意代碼的源頭。
四、評估惡意代碼的影響范圍
本發(fā)明戶皿惡意代碼的影響范圍的刑古包括
直接關(guān) 系圖中的頂點(diǎn)所^f,的url是受惡意代碼影響Sm接的url ,只要訪問這些url 就肯定要遭受惡意代碼的攻擊。他們受到Internet惡意代碼的影響度為"0";
當(dāng)直接關(guān)K^圖Gf和間接關(guān)聯(lián)^^圖G,'中的頂點(diǎn)有相同的,將間接關(guān)i^圖G,'中所有 與這些相同的頂點(diǎn)相膽不屬于直接關(guān)麟系圖Gf的點(diǎn)和邊添力倒直接關(guān)K^圖Gf中形成新 的關(guān)聯(lián)關(guān)系圖G1,這些新添加的頂點(diǎn)所代表的url存在遭受惡意代碼攻擊的可能,但不會直git 至吸擊,他們與受到Internet惡意代碼攻剖娃一個(gè)間接關(guān)聯(lián),他們受到Inteinet惡意代碼的影響 度為"1";
當(dāng)間接關(guān) 系圖《和關(guān)聯(lián)關(guān)系圖G1中有相同的頂點(diǎn),將間接關(guān)聯(lián)關(guān)系圖G,'中所有與這些 相同的頂點(diǎn)相連且不屬于關(guān)聯(lián)關(guān)系圖G1的點(diǎn)和邊添加到關(guān)聯(lián)關(guān)系圖G1中形成新的關(guān)聯(lián)關(guān)系圖 G2,新添加的頂點(diǎn)所代表的url^f受惡意代碼攻擊的可能性要低于圖G沖的頂點(diǎn),它們受到 Internet惡意代碼的影響度為"2";
采用同樣的方法可以得到關(guān) 系圖<^,....,0" (&cG2cG3…c:G"),訪問S^^m 圖的頂點(diǎn)時(shí)都有受到惡意代碼攻擊的可能性,但訪問新增加的頂點(diǎn)時(shí)受到惡意代碼攻擊的可能性 相應(yīng)減低,受到Internet惡意代碼的影響度依次升高。
本發(fā)明的優(yōu)點(diǎn)和積極郷
1. 及時(shí)發(fā)現(xiàn)Internet中的惡意代碼。
2. iti認(rèn)意代碼的源頭。
3. 確定惡意代碼的擴(kuò)散范圍。
4.評估正常網(wǎng)頁受惡意代碼的影響度。
圖1 ,意代碼的發(fā)現(xiàn)i^^呈圖。
圖2是惡意代碼的iigtmf呈圖。
圖3是根據(jù)拓?fù)湫畔炝5年P(guān)麟系圖,圖中圓圈標(biāo)url,纖標(biāo)url間的關(guān)麟系,虛 線箭頭標(biāo)間接關(guān)聯(lián),實(shí)線箭頭標(biāo)直接關(guān)聯(lián)。
圖4 ,意代碼的關(guān) 系圖,圖中灰色的節(jié)點(diǎn)細(xì)戎了 Intern改惡意代碼的直接關(guān)^系圖。
具鵬1&^;
實(shí)施例l: Internet惡意代碼的發(fā)現(xiàn)
http://www.ahzi,m (請不要訪問該網(wǎng)站,否則會受至lj惡意代碼的攻擊)是一M有Internet 惡意代碼的網(wǎng)站,當(dāng)用戶訪問這個(gè)網(wǎng)站時(shí)會受到惡意代碼的攻擊。利用本方法能夠主動(dòng)的發(fā)現(xiàn)該
網(wǎng)站所包含的惡意代碼,具體處理流程如下
1. 將http:〃www.ah^jsp.com添加到Internet惡意代碼的搜索隊(duì)列中。
2. 從Internet惡意代碼搜索隊(duì)列中取出http://www.ah23'sp.com傳3H^aM^塊。
3. 向http:〃www.ah^sp.com HEAD i青求,《導(dǎo)到Status^Code: 200、 Content-type: text/html、 Content國length:2705,不滿齟激見則,將其傳微下載模塊。
4. 向http://www.ah2jsp.com腿GET請求,得到其所對應(yīng)的文ft^f專遞給惡意代碼掃描弓|
擎進(jìn)行檢測,同時(shí)提取文件中包含的url,得到url列表
攀 http://qqhaomm.cn
參 http://www.ah^jsp.com/gbook/index.asp
參 http://www.ah^sp.com/product.asp bigclassname=%B4%BF%BE%BB%CB%AE%C9 %E8%B1%B8
參 http:〃www.ah^sp.com/productasp bigclassnan^/0B90/oCF%D7%D3%BB%FA
參 http://www.ah^sp.com/product.asp bigclassname=%B9%FB%B6%B3%Bl%AD
參 http:〃www.ahg'sp.com/product.asp bigclassname=%B90/0FB%B6%B30/0BB0/oFA
參 http://www.ah^sp.com/product.asp bigclassname=^/0CA%B3%C6%B7%CF%B5%Cl% DO
肇 htQ)://www.ah^jsp.com/shownews.asp id=46
參 ht^)://www.ah^sp.com/shownews.asp id=47
參 http:〃www.ah^jsp.com/shownews.asp id=48
參 http://www.ah^jsp.com/shownews.asp id=49
攀 http:〃www.ahg'sp.com/zhujia.css
http://www.macromedia com/go/getflashplayer 參 http://yyhaomm.cn
將提取出的url添加到Internet惡意代碼體對列中。拓?fù)湫畔?庫如下表:
http://qqhaomm.cn http://ww,ahzjsp.com/ 1 script
http://www.ahzjsp.com/ origin 0 origin
http://www.ahzjsp■ com/gbook/index,asp http://www■ ahzjsp.com/ 0 a
http://www■ ahzjsp■ com/product■ asp bigclassnarne-%B4%BF%BE%BB%CB%AE%C9%E8%B1 %B8 http:Oww,ahzjsp■ com亍 0 a
http:/^rtW,ahzisp.com〖product.asp bigdas5name=。/。B9。/oCF%D7%D3%B8%FA http://www,ahzjsp.com/ 0 a
http://www.ahzjsp,com/produrt.asp bigclassname=%B9%FB%B6。/。B3%Bl%AD http://www.ahzjsp.com/ 0 a
http: //www.ahzjsp.com/product,asp bigdassname=%B9%FB%B6%B3%B8%FA http://www.ahzjsp■ com/ 0 a
http:,/www.ahzjsp,com/procb:t.asp bigdassname-%CA%B3%C6%B7%CF%B5%Cl%D0 http://www.ah2jsp.com/ 0 a
http://ww,ahzjsp,com/shownews,asp id=*l6 http://www.ahzjsp.com/ 0 a
http:〃www,ahzjsp,com/shown洲s■ asp id=47 http:w.ahzjsp■ com/ 0 a
http://www■ ahzjsp.com,shownews■ asp id=48 http:;/www.ah2jsp.com/ 0 a
http://wvw.ah2jsp.c。m/sh。wnews.asp id-49 http://ww.ah2jsp.com/ 0 a
http:〃vww,ahzjsp.com/zhujia.css http://www,ahzjsp.com/ 0 link
http://www.macromedia■ com/go/getflashplayer http://簡w.ahzjsp■ com/ 0 embed
http: //yyhaomm ■ cn http: "www. ahz jsp. com/ 1 scrig^
第一列為提取出的url,第二列為url的關(guān)謝言息,第三列為關(guān)^M, l為直接關(guān)聯(lián),O為間 接關(guān)聯(lián),第四列為關(guān)聯(lián)的fe^t息,t^t息,來判斷關(guān)聯(lián)類型的。 6.根據(jù)Internet惡意代碼體隊(duì)列中的url信息,繼續(xù)進(jìn)行發(fā)現(xiàn),最對導(dǎo)至U拓?fù)湫畔⒛葞?如下表http他mO 15, cn/flink. htmlhttp: //yyhaomm.cn1ifr抓6
http//jzmO 15,卬/ilink, html http: /〖yyh3omm.cn1
http//jzmO 15. cn/sina, htm http: //user 1, hxg008. cn/a2/f .htm1script
http//jzmO 15. cn/swf object. jshttp: //jzmOlS.cn/flink.html1script
http//qqhaomm' cn http: //www,ahzjsp,com/1script
http//user 1 hxg008.cn/32/fx, htm http: //userl .hxg008,cn/a2/fxx.htm1script
http//user 1. hxgOOS cn/a2/f xx, htm http: //www ■ hxg006. cn/b2 , htm1
http//user 1, hxg008, cn/s2/ss, html http: //user 1. hxg008. cn/a2/f xx ■ htm1script
http//www ahs jsp com/ origin0origin
http■ ahz jsp com/gbook/index, ssphttp: //www,ahzjsp.com/0
http//w, ■ ahzjsp. com/product. asp bigclassn5 http: //www.ahzjsp.com/03
http//w需.ahzjsp. com/product ■ asp bigclassns http: //w,, ahzjsp.com/03
http//www,ahzjsp.com/product, asp bigcl股r^ http:j/,w,ahzjsp,com/03
http//www. ahzjsp. com/product. asp bigda5sn£ http: /ahzjsp.com/03
http//www. ahzjsp. com/product asp bigclassn5 http: //www,ahzjsp.com/0
http//www, 3hzjsp ■ com/shownews. 3sp7id=46 http: //www, ahsjsp, corn/0
http//www, ahzjsp. com/shown洲s. asp id=47 http: j/,w,ahzjsp,com/03
http//w,. ahzjsp. com/shownews ,asp id=48 http: j/www, ahzjsp.com/03
http//w額.ahzjsp. com/shownews ■ asp id=49 http: //w剛,ahzjsp.com/0
http//,w. ahzjsp. com/zhu jia. ess http: //w簡,ahsjsp.com/0link
http//www, hxg006. cn/b2, htm http: j/yyhaomm,cn1
http//,w. macromedia. com/go/getflashplayer http: //w,. ahzjsp.com/0embed
http//w,. zmj jjyy, cn/new/a2. ess http: //user 1. hxg008 ■ cn/32/ss, html1script
http//yyh30睡.cn http://簡w.ahzjspxom/1script
7.惡意代^M弓l對n蜜4l^纟l^:現(xiàn)http://www.zmiijyy.cn/new/a2.css為惡意代碼。
實(shí)施例2: Internet惡意代碼的鵬
1.建立關(guān)l^圖
根據(jù)Internet惡意代碼發(fā)現(xiàn)步驟后得到的拓?fù)湫畔庫粒關(guān)聯(lián)關(guān)系圖 粉石撲信息i^庫中的uri抽象成一個(gè)點(diǎn),針節(jié)點(diǎn)定義一個(gè)編號,如下表:匿http//jzm015.cn/flink,htmlhttp://yyh3omm.cn1
3http//jsm015,cn/ilink,htmlhttp://yyh3omm.cn1ifr抓s
4http他mO 15 ■ cn/sina, htmhttp: //user 1. hxg008.cn/a2/fxx. htm1script
5http他mO 15. cn/swf object. jshttp://jzm015.cn/flink,html1script
6http//qqhaomm.cnhttp: //冊w. ahz jsp ■ com/1script
7http//user 1. hxg008. cn/32/f >:' htmhttp: //user 1' hxg008 ■ cn/a2/fxx, htm1script
8http//user 1. hxg008. cn/32/f , htmhttp: //w簡.hxg006. cn/b2. htm1
9http//user 1. hxg008. cn/s2/ss. htmlhttp: //user 1. hxg008 ■ cn/a2/to htm1script
10http//www, ahzjsp.com/origin0origin
11http//w簡■ ahz jsp. com/gbook/index ■鄰http: //w,. ahsjsp. com/03
12http//w,.ahzjsp,com/product.asp bigdassn5http: //需w, ahz jsp, com/0
13http//■w. ahz]sp ■ com/product, asp bigclassnEhttp: //需w ahzjsp, com/0
14http//w,.ahzjsp.com(prodLid:,asp bigclassn5http: / /www. ahz jsp. com/03
15http//■w. ahsjsp. com/product. asp bjgdassn5http: //, w, ahz jsp ■ com/0
16http//,w. ahzjsp. com/product. asp bigclassnehttp: //w, ahzjsp ■ com/0
17http//www.ah2jsp.com/shownews,asp idM6http: //w剛.ahzjsp, com/03
18http//www ■ ahzjsp ■ com/shownews. asp id=47http: //w剛,ahs jsp, com/0
19http//剛w. ahzjsp. com/showne . asp id=48http: //,w, ahz jsp ■ com/03
20http//剛w, shzjsp. com/shownews. asp7id-49http: //www. ahzjsp .com/0
21http//剛w ■ ahs jsp. com/zhujia. esshttp: //,w. ahs jsp com/0link
22http//www ■ hxg006 ■ cn/b2 ■ htmhttp://yyh3omm.cn1iframe
23http〃,w. macromedia. com/go/getHashplayer http: //w,. ahzjsp ■ com/0embed
1http//www. zm j jjyy. cn/new/a2. esshttp://userl.hxg008,cn/a2/ss.html1script
24http//yyhaomm,cnhttp: //www. ahs jsp. com/1script
關(guān)系圖見圖3、圖4,
圖中灰色的節(jié)點(diǎn)會賊了 Internet惡意代碼的直接關(guān)聯(lián)^^、圖。由此可以發(fā)現(xiàn)惡意代碼的源頭為 節(jié)點(diǎn)l。
實(shí)施例3:惡意代碼影響范圍的i啊古
當(dāng)用戶訪問了 Internet惡意代碼的直接關(guān)^系圖中的節(jié)點(diǎn)后會穀隨意代碼的直接攻擊,所 以上圖中的灰色節(jié)點(diǎn)都是危險(xiǎn)的。訪問那些與灰色節(jié)點(diǎn)有間接關(guān)聯(lián)的網(wǎng)站也有受到惡意代碼攻擊 的可能性的,但不會,喧接攻擊。這些灰色節(jié)點(diǎn)受惡意代碼的影響度為O。
權(quán)利要求
1、一種Internet惡意代碼的發(fā)現(xiàn)方法,其特征在于該方法包括如下步驟第一、將可疑的url添加到惡意代碼搜索隊(duì)列L={url1,url2,…,urln}中的低優(yōu)先級子隊(duì)列中,urli(1≤i≤n)∈L是用于發(fā)現(xiàn)惡意代碼的原始點(diǎn);L為多優(yōu)先級隊(duì)列,包括高、中、低三個(gè)優(yōu)先級子隊(duì)列,分別為Lh,Ln,Ll;從L中取數(shù)據(jù)時(shí)先從Lh中取,當(dāng)Lh為空則從Ln中取數(shù)據(jù),當(dāng)Ln也為空則從Ll中取數(shù)據(jù),子隊(duì)列內(nèi)部則按照先入先出的原則取數(shù)據(jù);第二、從上步生成的惡意代碼搜索隊(duì)列L中取出urli,1≤i≤n,傳遞給過濾模塊;第三、在過濾模塊中,向上步傳遞過來的urli發(fā)送HEAD請求,根據(jù)響應(yīng)信息內(nèi)容中的屬性Status-Code、Content-type、Last-modified和Content-length進(jìn)行過濾,刪除滿足過濾規(guī)則的url,以提高惡意代碼的發(fā)現(xiàn)效率并降低網(wǎng)絡(luò)開銷;第四、將上步不滿足過濾規(guī)則的urli傳遞給下載模塊,下載模塊使用GET請求將urli所對應(yīng)的文件fi下載到本地,并將文件fi傳遞給惡意代碼掃描引擎,同時(shí)解析文件fi并從中提取url信息;第五、根據(jù)上步所提取的文件fi中的url,包括直接關(guān)聯(lián)的和間接關(guān)聯(lián)的url,得到集合<maths id="math0001" num="0001" ><math><![CDATA[ <mrow><msub> <mi>L</mi> <mi>i</mi></msub><mo>=</mo><mrow> <mo>{</mo> <msubsup><mi>url</mi><mi>i</mi><mn>1</mn> </msubsup> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mn>2</mn> </msubsup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mi>m</mi> </msubsup> <mo>}</mo></mrow><mo>,</mo> </mrow>]]></math> id="icf0001" file="A2008101512570002C1.tif" wi="41" he="4" top= "140" left = "22" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>然后將集合Li中的url添加到列表L的低優(yōu)先級子隊(duì)列Ll中,并將關(guān)聯(lián)信息存儲到拓?fù)湫畔?shù)據(jù)庫中;第六、利用現(xiàn)有的反病毒引擎對第四步下載的文件fi進(jìn)行檢測;當(dāng)發(fā)現(xiàn)惡意代碼,分析惡意代碼的結(jié)構(gòu),計(jì)算文件fi的MD5和SHA-1校驗(yàn)和,將惡意代碼信息存入惡意代碼數(shù)據(jù)庫中,并將集合<maths id="math0002" num="0002" ><math><![CDATA[ <mrow><msub> <mi>L</mi> <mi>i</mi></msub><mo>=</mo><mrow> <mo>{</mo> <msubsup><mi>url</mi><mi>i</mi><mn>1</mn> </msubsup> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mn>2</mn> </msubsup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mi>m</mi> </msubsup> <mo>}</mo></mrow> </mrow>]]></math> id="icf0002" file="A2008101512570002C2.tif" wi="39" he="4" top= "171" left = "34" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>從Ll中刪除,然后將Li添加到L的中優(yōu)先級子隊(duì)列Ln中。通過提高Li的優(yōu)先級,對Li進(jìn)行深度優(yōu)先搜索;當(dāng)沒有檢測到惡意代碼,則將urli傳遞給蜜罐系統(tǒng)進(jìn)行檢測;第七、蜜罐系統(tǒng)根據(jù)瀏覽urli和運(yùn)行文件fi過程中的行為,判斷是否含有惡意代碼;當(dāng)檢測到惡意行為,則根據(jù)惡意行為分析惡意代碼的結(jié)構(gòu),計(jì)算文件fi的MD5和SHA-1校驗(yàn)和,將惡意代碼信息存入惡意代碼數(shù)據(jù)庫中,并將集合<maths id="math0003" num="0003" ><math><![CDATA[ <mrow><msub> <mi>L</mi> <mi>i</mi></msub><mo>=</mo><mrow> <mo>{</mo> <msubsup><mi>url</mi><mi>i</mi><mn>1</mn> </msubsup> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mn>2</mn> </msubsup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mi>m</mi> </msubsup> <mo>}</mo></mrow> </mrow>]]></math> id="icf0003" file="A2008101512570002C3.tif" wi="39" he="4" top= "209" left = "101" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>從Ll中刪除,然后將Li添加到L的高優(yōu)先級子隊(duì)列Lh中,并且發(fā)出未知惡意代碼的警報(bào),對惡意代碼進(jìn)行緊急響應(yīng);并返回第一步,進(jìn)行循環(huán)操作;發(fā)出警報(bào)是指向國家計(jì)算機(jī)病毒應(yīng)急處理中心上報(bào)未知惡意代碼;緊急響應(yīng)是指病毒分析員根據(jù)緊急響應(yīng)步驟對惡意代碼進(jìn)行分析并提出解決方案的過程。
2、 根據(jù)權(quán)利要求1戶腿的發(fā)現(xiàn)方法,辦征在于第三步中戶腿的過濾規(guī)貝提根據(jù)Status-Code嵐性對url的當(dāng)前狀態(tài)進(jìn)《Til濾;根據(jù)Content-type嵐性對url所對應(yīng)的文件 的類型進(jìn)行過濾;根據(jù)Last-modified廣性對url的最后修改時(shí)間進(jìn)fi^濾和根據(jù)Content-length屬艦url所對應(yīng)文件的長度進(jìn)行過濾。
3、 一種Internet惡意代碼的超f^法,,征在于該方法的具體步驟如下 第一、^關(guān)^^圖G氣F,五)其中,F(xiàn)是有限個(gè)頂點(diǎn)v的集合,齡頂點(diǎn)^^權(quán)利要求1中臓的拓?fù)湫畔?庫中的一 個(gè)url; 5是F中頂點(diǎn)對(v,,")的有限集,頂點(diǎn)對(v,.,")謝門稱之為邊,每條邊f(xié)^""對url 間的關(guān) 系,因?yàn)閡rl間的關(guān)i^是有方向的,所以邊也是有方向的;ffi3i^歷拓?fù)湫畔^庫,將所有的uri加入到集合r中,將所有的直接關(guān)麟系加入到集合 A中,將所有的間接關(guān)^^加入到集合五,中,£ = ^U《,集合r和A就纟賊了直接關(guān)聯(lián)關(guān) 系圖& 集合r和g就纟U戎了間接關(guān)i^系圖G, ,集合r和五就組成了關(guān)聯(lián)關(guān)系圖G ;第二提取惡意代碼的線索鵬娜化、C、 K'、五,、五,、五;六賴合;其中"是與v,有關(guān)聯(lián)絲的頂點(diǎn)集合,e是與"有直接關(guān) 系的頂點(diǎn)集合,p;'是與"有間接關(guān)i^系的頂點(diǎn)集合;g是^中各頂點(diǎn)之間 所存在的邊的集合,五f是c中各頂點(diǎn)之間所存在的邊的集合,g是K中各頂點(diǎn)之間所,的邊的集合;集合^、 6 K'、 £,、 £,、五;初始時(shí)為空集;首先找到包含惡意代碼的文件乂所對應(yīng)的url,在集合r中對應(yīng)的頂點(diǎn)v,,并將v,依據(jù)不同的 關(guān)^^加入到集合K、 ^、 K'中,然后遍歷直接關(guān)^^圖(^,將所有眘,直接關(guān)聯(lián)到url,的 頂點(diǎn)加入集合",將直接關(guān)聯(lián)到url,的邊加入集合《,再次遍歷直接關(guān) 系圖<^,將所有能 夠直接關(guān)聯(lián)到集合^中的頂點(diǎn),且不包含于^的頂點(diǎn)"添加到^中,即("g^)門("e JO將新添加的頂點(diǎn)與集合^中的頂點(diǎn)之間的邊^(qū)添加到《中,即h g《)n(e, e a);循環(huán)艦圖Gd,直到集合C和《中的元素不再增加為止,便得到url,的直接關(guān)麟系圖G;SC五,";以 同樣的方法,可以得到url,的間接關(guān)^系圖G,'直接關(guān)聯(lián)關(guān)系圖G,和間接關(guān)^^ 圖G,'為惡意代碼的il^if共了線索; 第三、定位惡意代碼的源頭遍歷直接關(guān)麟系圖Gf中的所有頂點(diǎn),當(dāng)遇到圖Gf中的環(huán),就將艦環(huán)的於頂點(diǎn)抽象成 一個(gè)頂點(diǎn),直到直接關(guān)麟系圖《中的出度働0的頂點(diǎn)不再增加為止,這些出度為零的頂點(diǎn)所 代表的url就是惡意代碼的源頭。
4、 根據(jù)權(quán)利要求3臓的鵬方法,期寺征在于惡意代碼的影響范圍的i糊包括 直接關(guān) 系圖<^中的頂點(diǎn)所f^的url是受惡意代碼影響:St接的uri ,只要訪問,url就肯定要遭受惡意代碼的攻擊。他們受到Internet惡意代碼的影響度為0;當(dāng)直接關(guān)M系圖(^和間接關(guān)^系圖G;中的頂點(diǎn)有相同的,將間接關(guān)^系圖G,'中所有 與這些相同的頂點(diǎn)相皿不屬于直接關(guān)^系圖Gf的點(diǎn)和邊添加到直接關(guān)^系圖Gf中形成新 的關(guān)聯(lián)關(guān)系圖G1,這些新添加的頂點(diǎn)所代表的url^I受惡意代碼攻擊的可能,但不會直接遭 到攻擊,他們與Internet惡意代碼相距一個(gè)間接關(guān)聯(lián),他們穀U Internet惡意代碼的影響度為1;當(dāng)間接關(guān)^系圖G,'和關(guān)聯(lián)關(guān)系圖G1中有相同的頂點(diǎn),將間接關(guān)^系圖G;中所有與這些 相同的頂點(diǎn)相連且不屬于關(guān)聯(lián)關(guān)系圖G1的點(diǎn)和邊添加到關(guān)聯(lián)關(guān)系圖G1中形成新的關(guān)聯(lián)關(guān)系圖 G2,新添加的頂點(diǎn)所代表的url存在遭受惡意代碼攻擊的可能性要低于圖&中的頂點(diǎn),它們與 Internet惡意代碼相距兩個(gè)間接關(guān)聯(lián),受到Internet惡意代碼的影響度為2;采用同樣的方法可以得到關(guān) ^圖(53,...,(^ (G'cG2cG3…czG"),訪問這^ 系 圖的頂點(diǎn)時(shí)皿受到惡意代碼攻擊的可能性,但訪問新增加的頂點(diǎn)時(shí)受到惡意代碼攻擊的可能性 相應(yīng)減低,受到Internet惡意代碼的影響度依次升高。
全文摘要
一種Internet惡意代碼的發(fā)現(xiàn)和追蹤方法。本發(fā)明主動(dòng)地去發(fā)現(xiàn)隱藏在Internet中的惡意代碼,并根據(jù)惡意代碼在Internet中的拓?fù)浞植夹畔⑦M(jìn)行追蹤,定位惡意代碼的源頭,評估此惡意代碼的影響。本方法首先對用戶提交的可疑網(wǎng)頁進(jìn)行解析,提取文件中的鏈接信息進(jìn)行廣度優(yōu)先搜索。對搜索過程中發(fā)現(xiàn)的文件進(jìn)行多反病毒引擎的交叉檢測來發(fā)現(xiàn)已知的惡意代碼和蜜罐檢測來發(fā)現(xiàn)未知的惡意代碼。如果發(fā)現(xiàn)惡意代碼則通過提升優(yōu)先級進(jìn)行深度優(yōu)先的追蹤。建立惡意代碼的Internet拓?fù)鋱D,定位惡意代碼的源頭,評估對正常網(wǎng)頁的影響度。
文檔編號G06F21/00GK101350822SQ20081015125
公開日2009年1月21日 申請日期2008年9月8日 優(yōu)先權(quán)日2008年9月8日
發(fā)明者志 王, 賈春福 申請人:南開大學(xué)