專利名稱:發(fā)現(xiàn)疑似惡意信息、追蹤惡意文件的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域,特別是涉及發(fā)現(xiàn)疑似惡意信息、追蹤惡意文件的方法及裝置。
背景技術(shù):
為了更好地保障用戶在瀏覽網(wǎng)頁、下載文件等過程中避免將帶有病毒的文件或者木馬文件等惡意文件帶到本地,一些瀏覽器具備以下功能當(dāng)用戶使用這種瀏覽器瀏覽訪問網(wǎng)頁時(shí),瀏覽器會(huì)將被訪問網(wǎng)頁URL的HASH值發(fā)送給服務(wù)器的惡意網(wǎng)址庫,查詢?cè)擁撁媸欠袷菕祚R頁面、惡意網(wǎng)址、釣魚網(wǎng)站等,然后根據(jù)查詢結(jié)果向用戶發(fā)出危險(xiǎn)告警或者攔截;同時(shí),還可以對(duì)下載的文件進(jìn)行分析,如果是惡意也會(huì)標(biāo)示出來,或者向用戶發(fā)出警告。但是,殺毒技術(shù)基本上都是基于病毒庫來防護(hù)和查殺的,也就是俗稱的黑名單,并且黑名單中的記錄基本上需要通過人工的方式發(fā)現(xiàn)并進(jìn)行添加,使得從產(chǎn)生一個(gè)新的病毒或木馬,到全面地有效攔截存在延遲,因此,也就很難第一時(shí)間對(duì)付新的木馬或病毒。因此,迫切需要本領(lǐng)域技術(shù)人員解決的技術(shù)問題就在于,如何更加快速地發(fā)現(xiàn)惡意文件,縮短病毒或木馬等惡意程序從產(chǎn)生到被攔截之間的延遲。
發(fā)明內(nèi)容
本發(fā)明提供了發(fā)現(xiàn)疑似惡意信息、追蹤惡意文件的方法及裝置,能夠更加快速地發(fā)現(xiàn)惡意文件,縮短病毒或木馬等惡意程序從產(chǎn)生到被攔截之間的延遲。本發(fā)明提供了如下方案
一種發(fā)現(xiàn)疑似惡意信息的方法,包括
統(tǒng)計(jì)文件下載鏈接、文件下載鏈接網(wǎng)站域名、文件下載鏈接所在的父頁面以及父頁面的網(wǎng)站域名之間的對(duì)應(yīng)關(guān)系;
獲取各個(gè)文件下載鏈接對(duì)應(yīng)的文件的特征信息;
根據(jù)所述對(duì)應(yīng)關(guān)系以及所述特征信息進(jìn)行分析,判斷是否存在特定的異常情況,如果是,且未被標(biāo)識(shí)為惡意信息,則發(fā)出用以表示存在疑似惡意信息的報(bào)警消息;其中,所述疑似惡意信息包括疑似新的惡意文件,和/或疑似新的惡意文件的下載鏈接,和/或疑似新的惡意文件下載鏈接的父頁面。其中,所述根據(jù)所述對(duì)應(yīng)關(guān)系以及所述特征信息進(jìn)行分析,判斷是否存在特定的異常情況包括
如果同一文件下載鏈接網(wǎng)站域名下存在多個(gè)不同的文件下載鏈接,并且不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件,則存在異常情況。其中,通過以下方式判斷不同的文件下載鏈接對(duì)應(yīng)的文件是否為同一個(gè)文件
如果不同的文件下載鏈接對(duì)應(yīng)的文件具有相同的文件名、MD5值,并且文件大小相等, 則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件; 或者,如果不同的文件下載鏈接對(duì)應(yīng)的文件具有不同的文件名及MD5值,但文件大小相等, 則取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件; 或者,
如果不同的文件下載鏈接對(duì)應(yīng)的文件具有不同的文件名、MD5值及文件大小,則取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件。一種追蹤惡意文件的方法,包括
根據(jù)按照權(quán)利要求1至3任一項(xiàng)所述的發(fā)現(xiàn)疑似惡意信息的方法發(fā)出的疑似惡意信息的報(bào)警消息,對(duì)惡意文件進(jìn)行歸類,形成惡意文件家族;
分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接以及文件下載鏈接的網(wǎng)站域名包含的第一特征信息;
分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接父頁面以及父頁面的網(wǎng)站域名包含的第二特征信息;
根據(jù)所述第一特征信息以及第二特征信息,分析出惡意文件家族中的惡意文件在傳播方式上的發(fā)展變化趨勢(shì)信息;
根據(jù)所述在傳播方式上的發(fā)展變化趨勢(shì)信息對(duì)惡意家族中的惡意文件進(jìn)行追蹤。其中,所述第一特征信息包括所述文件下載鏈接的網(wǎng)站域名的持有人以及指向的 IP地址;所述第二特征信息包括所述文件下載鏈接的父頁面的網(wǎng)站域名的持有人、指向的 IP地址以及是否為所述父頁面自身傳播,或借助所述父頁面?zhèn)鞑?。其中,所述分析出惡意文件家族中的惡意文件在傳播方式上的的發(fā)展變化趨勢(shì)信息包括
分析出惡意文件家族中的惡意文件是否固定在特定域名持有人的站點(diǎn)進(jìn)行傳播; 所述根據(jù)所述在傳播方式上的發(fā)展變化趨勢(shì)信息對(duì)惡意家族中的惡意文件進(jìn)行追蹤包括
在域名持有人為所述特定持有人的站點(diǎn),對(duì)所述惡意文件家族中的惡意文件進(jìn)行追
S示O一種發(fā)現(xiàn)疑似惡意信息的裝置,包括
統(tǒng)計(jì)單元,用于統(tǒng)計(jì)文件下載鏈接、文件下載鏈接網(wǎng)站域名、文件下載鏈接所在的父頁面以及父頁面的網(wǎng)站域名之間的對(duì)應(yīng)關(guān)系;
特征信息獲取單元,用于獲取各個(gè)文件下載鏈接對(duì)應(yīng)的文件的特征信息; 判斷單元,用于根據(jù)所述對(duì)應(yīng)關(guān)系以及所述特征信息進(jìn)行分析,判斷是否存在特定的異常情況,如果是,且未被標(biāo)識(shí)為惡意信息,則發(fā)出用以表示存在疑似惡意信息的報(bào)警消息;其中,所述疑似惡意信息包括疑似新的惡意文件,和/或疑似新的惡意文件的下載鏈接,和/或疑似新的惡意文件下載鏈接的父頁面。其中,所述判斷單元具體用于如果同一文件下載鏈接網(wǎng)站域名下存在多個(gè)不同的文件下載鏈接,并且不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件,則存在異常情況。其中,所述判斷單元通過以下方式判斷不同的文件下載鏈接對(duì)應(yīng)的文件是否為同一個(gè)文件如果不同的文件下載鏈接對(duì)應(yīng)的文件具有相同的文件名、MD5值,并且文件大小相等, 則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件; 或者,
如果不同的文件下載鏈接對(duì)應(yīng)的文件具有不同的文件名及MD5值,但文件大小相等, 則取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件; 或者,
如果不同的文件下載鏈接對(duì)應(yīng)的文件具有不同的文件名、MD5值及文件大小,則取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件。一種追蹤惡意文件的裝置,包括
歸類單元,用于根據(jù)權(quán)利要求8至10任一項(xiàng)所述的發(fā)現(xiàn)疑似惡意信息的裝置發(fā)出的疑似惡意信息的報(bào)警消息,對(duì)惡意文件進(jìn)行歸類,形成惡意文件家族;
第一特征分析單元,用于分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接以及文件下載鏈接的網(wǎng)站域名包含的第一特征信息;
第二特征分析單元,用于分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接父頁面以及父頁面的網(wǎng)站域名包含的第二特征信息;
變化趨勢(shì)獲取單元,用于根據(jù)所述第一特征信息以及第二特征信息,分析出惡意文件家族中的各惡意文件的發(fā)展變化趨勢(shì)信息;
追蹤單元,用于根據(jù)所述發(fā)展變化趨勢(shì)信息對(duì)惡意家族中的惡意文件進(jìn)行追蹤。其中,所述第一特征信息包括所述文件下載鏈接的網(wǎng)站域名的持有人以及指向的 IP地址;所述第二特征信息包括所述文件下載鏈接的父頁面的網(wǎng)站域名的持有人、指向的 IP地址以及是否為所述父頁面自身傳播,或借助所述父頁面?zhèn)鞑?。其中?br>
所述變化趨勢(shì)獲取單元具體用于分析出惡意文件家族中的惡意文件是否固定在特定域名持有人的站點(diǎn)進(jìn)行傳播;
所述追蹤單元具體用于在域名持有人為所述特定持有人的站點(diǎn),對(duì)所述惡意文件家族中的惡意文件進(jìn)行追蹤。根據(jù)本發(fā)明提供的具體實(shí)施例,本發(fā)明公開了以下技術(shù)效果
通過本發(fā)明,可以通過對(duì)文件下載鏈接、文件下載鏈接網(wǎng)站域名、文件下載鏈接所在的父頁面以及父頁面的網(wǎng)站域名之間的對(duì)應(yīng)關(guān)系,以及各個(gè)文件下載鏈接對(duì)應(yīng)的文件的特征信息,能夠判斷出是否存在異常情況,如果存在,可以提出報(bào)警。需要說明的是,該報(bào)警信息通常是向安全體系的運(yùn)營維護(hù)人員發(fā)出的。也就是說,通過這種方式,可以引起運(yùn)營維護(hù)人員對(duì)這些文件或者下載鏈接的注意,進(jìn)而就可以通過人工分析等方式,來進(jìn)一步確定對(duì)應(yīng)的文件是否為新的惡意文件,下載鏈接是否為某惡意文件的新的下載鏈接,等等,如果是, 就可以將新的惡意文件。新的惡意文件下載鏈接等加入到安全體系的數(shù)據(jù)庫中,以此來實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的更新。這樣,能夠更加快速地發(fā)現(xiàn)惡意文件,縮短病毒或木馬等惡意程序從產(chǎn)生到被攔截之間的延遲時(shí)間。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1是帶有木馬下載鏈接的網(wǎng)頁示意圖2是本發(fā)明實(shí)施例提供的發(fā)現(xiàn)疑似惡意信息的方法的流程圖; 圖3是本發(fā)明實(shí)施例提供的追蹤惡意文件的方法的流程圖; 圖4是本發(fā)明實(shí)施例提供的發(fā)現(xiàn)疑似惡意信息的裝置的示意圖; 圖5是本發(fā)明實(shí)施例提供的追蹤惡意文件的裝置的示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。首先需要說明的是,本發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)病毒、木馬等惡意程序在傳播時(shí),通常具有以下特點(diǎn)首先,必須依賴一個(gè)文件下載鏈接,為便于描述及區(qū)分,可以將其稱為DownloadUrl,與該文件加載鏈接對(duì)應(yīng)的網(wǎng)站域名稱為DownloadHost ;并且該文件下載鏈接會(huì)依賴一個(gè)下載頁面,可以將該頁面稱為ParentPagetol,對(duì)應(yīng)的網(wǎng)頁域名為 ParentPageHost。例如,在圖1所示的頁面中,其中文本顯示為“播放”的鏈接就是一個(gè)木馬的文件下載鏈接,如果用戶點(diǎn)擊該鏈接,就會(huì)下載到一個(gè)木馬文件,此時(shí),該鏈接的tol就是前文所述的文件下載鏈接DownloadUrl,該鏈接的網(wǎng)站域名就是DownloadHost,相應(yīng)的, 由于該鏈接是在網(wǎng)址為http ://aaa. info/vip. htm www. zbfda. gov. cn(也即圖1地址欄中的網(wǎng)址)的網(wǎng)頁中出現(xiàn)的,因此,父頁面的Url就是http ://aaa. info/vip. htm www. zbfda. gov. cn,該父頁面的網(wǎng)站域名就是aaa. info。惡意文件在傳播的過程中,為了防止被殺毒軟件等安全體系發(fā)現(xiàn),通常會(huì)存在多種變形,例如,在不同的頁面中投放多個(gè)不同的文件下載鏈接,在傳播一段時(shí)間之后,再改用其他的文件下載鏈接或者轉(zhuǎn)移到其他的站點(diǎn)中投放等等。因此,當(dāng)發(fā)現(xiàn)一個(gè)惡意文件并且發(fā)現(xiàn)了該惡意文件的下載鏈接之后,如果僅僅將該鏈接進(jìn)行攔截,并不能阻止惡意文件通過其他的鏈接或站點(diǎn)進(jìn)行傳播。因此,如何對(duì)惡意文件進(jìn)行追蹤,以防止惡意文件通過一些變形來逃脫安全體系的監(jiān)控,是需要解決的問題。在以上分析的基礎(chǔ)上,本發(fā)明實(shí)施例首先提供了一種發(fā)現(xiàn)疑似惡意信息的方法, 參見圖2,該方法包括以下步驟
S201 統(tǒng)計(jì)文件下載鏈接、文件下載鏈接網(wǎng)站域名、文件下載鏈接所在的父頁面以及父頁面的網(wǎng)站域名之間的對(duì)應(yīng)關(guān)系;
可以在全網(wǎng)范圍內(nèi),對(duì)所有的文件下載鏈接進(jìn)行監(jiān)控,獲取各個(gè)文件下載鏈接的tol、 該鏈接本身的網(wǎng)站域名,文件下載鏈接所在的父頁面的tol以及父頁面的網(wǎng)站域名,這四者之間的對(duì)應(yīng)關(guān)系,以便后續(xù)所用。
S202 獲取各個(gè)文件下載鏈接對(duì)應(yīng)的文件的特征信息;
每個(gè)文件下載鏈接都會(huì)對(duì)應(yīng)著一個(gè)文件或者文件包,可以獲取到這些文件的特征信息。這種特征信息可以包括文件的文件特征(包括文件名、MD5值、文件大小等),還可以包括文件的行為特征(包括程序運(yùn)行之后會(huì)執(zhí)行何種操作,例如是不是修改瀏覽器首頁等等)。 具體的獲取文件特征或者行為特征的方法可以參見已有技術(shù),這里不再贅述。S203:根據(jù)所述對(duì)應(yīng)關(guān)系以及所述特征信息進(jìn)行分析,判斷是否存在特定的異常情況,如果是,且未被標(biāo)識(shí)為惡意信息,則發(fā)出用以表示存在疑似惡意信息的報(bào)警消息;其中,所述疑似惡意信息包括疑似新的惡意文件,和/或疑似新的惡意文件的下載鏈接,和/ 或疑似新的惡意文件下載鏈接的父頁面。由于在正常情況下,一個(gè)文件在同一個(gè)網(wǎng)站域名下通常只有一個(gè)網(wǎng)站鏈接,因此, 如果發(fā)現(xiàn)一些異常情況,安全體系卻沒有報(bào)警,就可能是還沒有被收錄到安全體系的數(shù)據(jù)庫中的惡意文件,或者可能是已知惡意文件的尚未被收錄到安全體系數(shù)據(jù)庫中的下載鏈接。例如,同一文件下載鏈接網(wǎng)站域名下存在多個(gè)不同的文件下載鏈接,但不同的文件下載鏈接對(duì)應(yīng)的卻是同一個(gè)文件,此時(shí),這些文件就可能是惡意文件,不同的鏈接僅僅是用于偽裝的,因此,就應(yīng)該提出報(bào)警。其中,在判斷同一文件下載鏈接網(wǎng)站域名下存在的多個(gè)不同的文件下載鏈接對(duì)應(yīng)的文件,是不是同一個(gè)文件時(shí),可以如下進(jìn)行如果各個(gè)文件的文件名、MD5值以及文件大小都一樣,則證明這些文件是同一文件。也就是說,如果在同一個(gè)網(wǎng)站域名下發(fā)現(xiàn)多個(gè)文件下載鏈接,并且這些文件下載鏈接對(duì)應(yīng)的文件,不管是文件名,還是MD5值,以及文件大小都完全一樣,則證明這些文件都是同一個(gè)文件,這種情況其實(shí)是不正常的,通常只有惡意文件為了偽裝自己或者避免被安全體系查出而采用的一種手段。因此,就對(duì)應(yīng)的文件就有可能是惡意文件,各個(gè)鏈接也有可能是惡意文件的下載鏈接。此時(shí),就應(yīng)該提出報(bào)警,例如,用以標(biāo)識(shí)對(duì)應(yīng)的文件為疑似惡意文件,或者文件下載鏈接為疑似惡意的鏈接,等等。當(dāng)然,在實(shí)際應(yīng)用中,為了更好地避免被安全體系查出,惡意文件可能會(huì)采用改變文件名以及MD5值的方式來進(jìn)行偽裝,因此,如果在同一個(gè)網(wǎng)站域名下發(fā)現(xiàn)多個(gè)文件下載鏈接,并且這些文件下載鏈接對(duì)應(yīng)的文件的文件名和MD5值不同,此時(shí),可以進(jìn)一步判斷各個(gè)文件的大小是否相同,如果相同,則可以證明這些文件是同一文件的可能性很大,當(dāng)然, 為了進(jìn)一步進(jìn)行驗(yàn)證,還可以取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則可以進(jìn)一步證明這些文件是同一文件。因此,也可以給出報(bào)警信息,用以表示對(duì)應(yīng)的文件和/或文件下載鏈接為疑似惡意?;蛘?,惡意文件的制作者還可能對(duì)各個(gè)文件下載鏈接對(duì)應(yīng)的文件略作改動(dòng),使得各個(gè)文件除了文件名以及MD5值不同之后,文件大小也不同。此時(shí),為了判斷這些同一網(wǎng)站域名中的不同下載鏈接對(duì)應(yīng)的文件是不是同一個(gè)文件,就可以取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件。同樣的,也可以給出報(bào)警信息,用以表示對(duì)應(yīng)的文件和/或文件下載鏈接為疑似惡意。當(dāng)然,在實(shí)際應(yīng)用中,還可以采用其他的方式進(jìn)行判斷,例如,通過比對(duì)各個(gè)文件的行為特征(例如在運(yùn)行之后是否都是將瀏覽器首頁修改為某特定頁面,等等),來判斷各個(gè)下載鏈接對(duì)應(yīng)的文件是否為同一文件,進(jìn)而判斷對(duì)應(yīng)的文件或者文件下載鏈接是否為惡意信息。此外,除了判斷同一文件下載鏈接網(wǎng)站域名下的多個(gè)不同的文件下載鏈接對(duì)應(yīng)的文件是否為同一文件以外,還可以通過其他的特征來確定是否存在異常,這里不再一一列舉??傊?,在本發(fā)明實(shí)施例中,通過對(duì)文件下載鏈接、文件下載鏈接網(wǎng)站域名、文件下載鏈接所在的父頁面以及父頁面的網(wǎng)站域名之間的對(duì)應(yīng)關(guān)系,以及各個(gè)文件下載鏈接對(duì)應(yīng)的文件的特征信息,能夠判斷出是否存在異常情況,如果存在,可以提出報(bào)警。需要說明的是,該報(bào)警信息通常是向安全體系的運(yùn)營維護(hù)人員發(fā)出的。也就是說,通過這種方式,可以引起運(yùn)營維護(hù)人員對(duì)這些文件或者下載鏈接的注意,進(jìn)而就可以通過人工分析等方式,來進(jìn)一步確定對(duì)應(yīng)的文件是否為新的惡意文件,下載鏈接是否為某惡意文件的新的下載鏈接,等等,如果是,就可以將新的惡意文件。新的惡意文件下載鏈接等加入到安全體系的數(shù)據(jù)庫中,以此來實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的更新。這樣,能夠更加快速地發(fā)現(xiàn)惡意文件,縮短病毒或木馬等惡意程序從產(chǎn)生到被攔截之間的延遲時(shí)間。進(jìn)一步地,為了更好地實(shí)現(xiàn)對(duì)木馬、病毒等惡意文件的追蹤,本發(fā)明實(shí)施例還提供了一種追蹤惡意文件的方法,參見圖3,該方法包括以下步驟
S301 根據(jù)按照前文所述的發(fā)現(xiàn)疑似惡意信息的方法發(fā)出的疑似惡意信息的報(bào)警消息,對(duì)惡意文件進(jìn)行歸類,形成惡意文件家族;
在本發(fā)明實(shí)施例中,為了更好地對(duì)惡意文件進(jìn)行追蹤,首先對(duì)惡意文件進(jìn)行分類,形成多個(gè)不同的“惡意文件家族”,以便通過對(duì)同一惡意文件家族中的惡意文件進(jìn)行分析,來或者惡意文件在傳播方式上的發(fā)展變化趨勢(shì)信息,以此作為追蹤的依據(jù),或者對(duì)惡意文件未來的傳播方式進(jìn)行預(yù)測(cè),以便發(fā)現(xiàn)新的惡意文件,或者惡意文件下載鏈接。因此,當(dāng)接收到報(bào)警消息之后,就可以對(duì)對(duì)應(yīng)的文件以及下載鏈接進(jìn)行進(jìn)一步地分析,獲知對(duì)應(yīng)的文件是否為惡意文件,如果是,可以根據(jù)文件的具體的特征,將對(duì)應(yīng)的文件歸類到某已知的惡意文件家族,或者形成新的惡意文件家族,等等。S302:分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接以及文件下載鏈接的網(wǎng)站域名包含的第一特征信息;
例如,第一特征信息可以包括文件下載鏈接的網(wǎng)站域名的持有人以及指向的IP地址,等等。S303 分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接父頁面以及父頁面的網(wǎng)站域名包含的第二特征信息;
第二特征信息包括文件下載鏈接的父頁面的網(wǎng)站域名的持有人、指向的IP地址,還可以包括是否是該父頁面自身進(jìn)行傳播,還是其他的傳播源借助父頁面的廣告位等進(jìn)行惡意文件的傳播,等等。S304:根據(jù)所述第一特征信息以及第二特征信息,分析出惡意文件家族中的惡意文件在傳播方式上的發(fā)展變化趨勢(shì)信息;
S305 根據(jù)所述在傳播方式上的發(fā)展變化趨勢(shì)信息對(duì)惡意家族中的惡意文件進(jìn)行追蹤。如前文所述,可以對(duì)惡意文件家族中的惡意文件進(jìn)行分析,以便從中獲取惡意文件在傳播方式上的發(fā)展變化趨勢(shì)信息,具體的,就可以根據(jù)步驟S302及S303中獲取到的第一特征信息以及第二特征信息進(jìn)行分析。例如,分析出惡意文件家族中的惡意文件是否固定在特定域名持有人的站點(diǎn)中進(jìn)行傳播,進(jìn)而,就可以在域名持有人為所述特定持有人的站點(diǎn),對(duì)所述惡意文件家族中的惡意文件進(jìn)行追蹤。也就是說,如果發(fā)現(xiàn)傳播某惡意文件的網(wǎng)站都對(duì)應(yīng)同一域名持有人,則可以認(rèn)為該域名持有人的其他站點(diǎn)也可能會(huì)傳播該惡意文件,因此,就可以對(duì)該域名持有人的所有站點(diǎn)都進(jìn)行監(jiān)控,以便從中發(fā)現(xiàn)惡意文件的可能的其他下載鏈接?;蛘撸€可能是發(fā)現(xiàn)傳播某惡意文件的網(wǎng)站都對(duì)應(yīng)同一 IP地址,因此,也可以對(duì)該IP地址對(duì)應(yīng)的所有站點(diǎn)都進(jìn)行監(jiān)控,其中也可能會(huì)包含惡意文件的其他下載鏈接??傊?,在本發(fā)明實(shí)施例提供的追蹤惡意文件的方法中,通過對(duì)惡意文件進(jìn)行分類, 形成惡意文件家族,并通過對(duì)惡意文件家族中的惡意文件的分析,或者惡意文件在傳播方式上的發(fā)展變化趨勢(shì),以此,實(shí)現(xiàn)對(duì)惡意程序的追蹤,因此,可以更快速地發(fā)現(xiàn)惡意文件,縮短病毒或木馬等惡意程序從產(chǎn)生到被攔截之間的延遲。與本發(fā)明實(shí)施例提供的發(fā)現(xiàn)疑似惡意信息的方法相對(duì)應(yīng),本發(fā)明實(shí)施例還提供了一種發(fā)現(xiàn)疑似惡意信息的裝置,參見圖4,該裝置包括
統(tǒng)計(jì)單元401,用于統(tǒng)計(jì)文件下載鏈接、文件下載鏈接網(wǎng)站域名、文件下載鏈接所在的父頁面以及父頁面的網(wǎng)站域名之間的對(duì)應(yīng)關(guān)系;
特征信息獲取單元402,用于獲取各個(gè)文件下載鏈接對(duì)應(yīng)的文件的特征信息; 判斷單元403,用于根據(jù)所述對(duì)應(yīng)關(guān)系以及所述特征信息進(jìn)行分析,判斷是否存在特定的異常情況,如果是,且未被標(biāo)識(shí)為惡意信息,則發(fā)出用以表示存在疑似惡意信息的報(bào)警消息;其中,所述疑似惡意信息包括疑似新的惡意文件,和/或疑似新的惡意文件的下載鏈接,和/或疑似新的惡意文件下載鏈接的父頁面。其中,判斷單元403具體可以用于如果同一文件下載鏈接網(wǎng)站域名下存在多個(gè)不同的文件下載鏈接,并且不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件,則存在異常情況。具體實(shí)現(xiàn)時(shí),判斷單元403具體可以通過以下方式判斷不同的文件下載鏈接對(duì)應(yīng)的文件是否為同一個(gè)文件
如果不同的文件下載鏈接對(duì)應(yīng)的文件具有相同的文件名、MD5值,并且文件大小相等, 則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件; 或者,
如果不同的文件下載鏈接對(duì)應(yīng)的文件具有不同的文件名及MD5值,但文件大小相等, 則取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件; 或者,
如果不同的文件下載鏈接對(duì)應(yīng)的文件具有不同的文件名、MD5值及文件大小,則取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件??傊诒景l(fā)明實(shí)施例提供的追蹤惡意文件的裝置中,通過對(duì)惡意文件進(jìn)行分類, 形成惡意文件家族,并通過對(duì)惡意文件家族中的惡意文件的分析,或者惡意文件在傳播方式上的發(fā)展變化趨勢(shì),以此,實(shí)現(xiàn)對(duì)惡意程序的追蹤,因此,可以更快速地發(fā)現(xiàn)惡意文件,縮短病毒或木馬等惡意程序從產(chǎn)生到被攔截之間的延遲。與本發(fā)明實(shí)施例提供的追蹤惡意文件的方法相對(duì)應(yīng),本發(fā)明實(shí)施例還提供了一種追蹤惡意文件的裝置,參見圖5,該裝置包括
歸類單元501,用于根據(jù)權(quán)利要求8至10任一項(xiàng)所述的發(fā)現(xiàn)疑似惡意信息的裝置發(fā)出的疑似惡意信息的報(bào)警消息,對(duì)惡意文件進(jìn)行歸類,形成惡意文件家族;
第一特征分析單元502,用于分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接以及文件下載鏈接的網(wǎng)站域名包含的第一特征信息;
第二特征分析單元503,用于分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接父頁面以及父頁面的網(wǎng)站域名包含的第二特征信息;
變化趨勢(shì)獲取單元504,用于根據(jù)所述第一特征信息以及第二特征信息,分析出惡意文件家族中的各惡意文件的發(fā)展變化趨勢(shì)信息;
追蹤單元505,用于根據(jù)所述發(fā)展變化趨勢(shì)信息對(duì)惡意家族中的惡意文件進(jìn)行追蹤。其中,所述第一特征信息可以包括所述文件下載鏈接的網(wǎng)站域名的持有人以及指向的IP地址;所述第二特征信息可以包括所述文件下載鏈接的父頁面的網(wǎng)站域名的持有人、指向的IP地址以及是否為所述父頁面自身傳播,或借助所述父頁面?zhèn)鞑?。具體實(shí)現(xiàn)時(shí),變化趨勢(shì)獲取單元504具體可以用于分析出惡意文件家族中的惡意文件是否固定在特定域名持有人的站點(diǎn)進(jìn)行傳播;相應(yīng)的,追蹤單元505具體可以用于 在域名持有人為所述特定持有人的站點(diǎn),對(duì)所述惡意文件家族中的惡意文件進(jìn)行追蹤??傊?,在本發(fā)明實(shí)施例提供的追蹤惡意文件的裝置中,通過對(duì)惡意文件進(jìn)行分類, 形成惡意文件家族,并通過對(duì)惡意文件家族中的惡意文件的分析,或者惡意文件在傳播方式上的發(fā)展變化趨勢(shì),以此,實(shí)現(xiàn)對(duì)惡意程序的追蹤,因此,可以更快速地發(fā)現(xiàn)惡意文件,縮短病毒或木馬等惡意程序從產(chǎn)生到被攔截之間的延遲。通過以上的實(shí)施方式的描述可知,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,如ROM/RAM、磁碟、光盤等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備 (可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見即可,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其對(duì)于裝置或系統(tǒng)實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述得比較簡單,相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置及系統(tǒng)實(shí)施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施。以上對(duì)本發(fā)明所提供的發(fā)現(xiàn)疑似惡意信息、追蹤惡意文件的方法及裝置,進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時(shí),對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處。綜上所述,本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
權(quán)利要求
1.一種發(fā)現(xiàn)疑似惡意信息的方法,其特征在于,包括統(tǒng)計(jì)文件下載鏈接、文件下載鏈接網(wǎng)站域名、文件下載鏈接所在的父頁面以及父頁面的網(wǎng)站域名之間的對(duì)應(yīng)關(guān)系;獲取各個(gè)文件下載鏈接對(duì)應(yīng)的文件的特征信息;根據(jù)所述對(duì)應(yīng)關(guān)系以及所述特征信息進(jìn)行分析,判斷是否存在特定的異常情況,如果是,且未被標(biāo)識(shí)為惡意信息,則發(fā)出用以表示存在疑似惡意信息的報(bào)警消息;其中,所述疑似惡意信息包括疑似新的惡意文件,和/或疑似新的惡意文件的下載鏈接,和/或疑似新的惡意文件下載鏈接的父頁面。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述對(duì)應(yīng)關(guān)系以及所述特征信息進(jìn)行分析,判斷是否存在特定的異常情況包括如果同一文件下載鏈接網(wǎng)站域名下存在多個(gè)不同的文件下載鏈接,并且不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件,則存在異常情況。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,通過以下方式判斷不同的文件下載鏈接對(duì)應(yīng)的文件是否為同一個(gè)文件如果不同的文件下載鏈接對(duì)應(yīng)的文件具有相同的文件名、MD5值,并且文件大小相等, 則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件; 或者,如果不同的文件下載鏈接對(duì)應(yīng)的文件具有不同的文件名及MD5值,但文件大小相等, 則取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件; 或者,如果不同的文件下載鏈接對(duì)應(yīng)的文件具有不同的文件名、MD5值及文件大小,則取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件。
4.一種追蹤惡意文件的方法,其特征在于,包括根據(jù)按照權(quán)利要求1至3任一項(xiàng)所述的發(fā)現(xiàn)疑似惡意信息的方法發(fā)出的疑似惡意信息的報(bào)警消息,對(duì)惡意文件進(jìn)行歸類,形成惡意文件家族;分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接以及文件下載鏈接的網(wǎng)站域名包含的第一特征信息;分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接父頁面以及父頁面的網(wǎng)站域名包含的第二特征信息;根據(jù)所述第一特征信息以及第二特征信息,分析出惡意文件家族中的惡意文件在傳播方式上的發(fā)展變化趨勢(shì)信息;根據(jù)所述在傳播方式上的發(fā)展變化趨勢(shì)信息對(duì)惡意家族中的惡意文件進(jìn)行追蹤。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述第一特征信息包括所述文件下載鏈接的網(wǎng)站域名的持有人以及指向的IP地址;所述第二特征信息包括所述文件下載鏈接的父頁面的網(wǎng)站域名的持有人、指向的IP地址以及是否為所述父頁面自身傳播,或借助所述父頁面?zhèn)鞑ァ?br>
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述分析出惡意文件家族中的惡意文件在傳播方式上的的發(fā)展變化趨勢(shì)信息包括分析出惡意文件家族中的惡意文件是否固定在特定域名持有人的站點(diǎn)進(jìn)行傳播; 所述根據(jù)所述在傳播方式上的發(fā)展變化趨勢(shì)信息對(duì)惡意家族中的惡意文件進(jìn)行追蹤包括在域名持有人為所述特定持有人的站點(diǎn),對(duì)所述惡意文件家族中的惡意文件進(jìn)行追S示ο
7.一種發(fā)現(xiàn)疑似惡意信息的裝置,其特征在于,包括統(tǒng)計(jì)單元,用于統(tǒng)計(jì)文件下載鏈接、文件下載鏈接網(wǎng)站域名、文件下載鏈接所在的父頁面以及父頁面的網(wǎng)站域名之間的對(duì)應(yīng)關(guān)系;特征信息獲取單元,用于獲取各個(gè)文件下載鏈接對(duì)應(yīng)的文件的特征信息; 判斷單元,用于根據(jù)所述對(duì)應(yīng)關(guān)系以及所述特征信息進(jìn)行分析,判斷是否存在特定的異常情況,如果是,且未被標(biāo)識(shí)為惡意信息,則發(fā)出用以表示存在疑似惡意信息的報(bào)警消息;其中,所述疑似惡意信息包括疑似新的惡意文件,和/或疑似新的惡意文件的下載鏈接,和/或疑似新的惡意文件下載鏈接的父頁面。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述判斷單元具體用于如果同一文件下載鏈接網(wǎng)站域名下存在多個(gè)不同的文件下載鏈接,并且不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件,則存在異常情況。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述判斷單元通過以下方式判斷不同的文件下載鏈接對(duì)應(yīng)的文件是否為同一個(gè)文件如果不同的文件下載鏈接對(duì)應(yīng)的文件具有相同的文件名、MD5值,并且文件大小相等, 則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件; 或者,如果不同的文件下載鏈接對(duì)應(yīng)的文件具有不同的文件名及MD5值,但文件大小相等, 則取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件; 或者,如果不同的文件下載鏈接對(duì)應(yīng)的文件具有不同的文件名、MD5值及文件大小,則取各個(gè)文件中相同位置處的數(shù)據(jù)進(jìn)行比較,如果相同,則不同的文件下載鏈接對(duì)應(yīng)的是同一個(gè)文件。
10.一種追蹤惡意文件的裝置,其特征在于,包括歸類單元,用于根據(jù)權(quán)利要求8至10任一項(xiàng)所述的發(fā)現(xiàn)疑似惡意信息的裝置發(fā)出的疑似惡意信息的報(bào)警消息,對(duì)惡意文件進(jìn)行歸類,形成惡意文件家族;第一特征分析單元,用于分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接以及文件下載鏈接的網(wǎng)站域名包含的第一特征信息;第二特征分析單元,用于分析出惡意文件家族中的各文件對(duì)應(yīng)的文件下載鏈接父頁面以及父頁面的網(wǎng)站域名包含的第二特征信息;變化趨勢(shì)獲取單元,用于根據(jù)所述第一特征信息以及第二特征信息,分析出惡意文件家族中的各惡意文件的發(fā)展變化趨勢(shì)信息;追蹤單元,用于根據(jù)所述發(fā)展變化趨勢(shì)信息對(duì)惡意家族中的惡意文件進(jìn)行追蹤。
11.根據(jù)權(quán)利要求10所述的裝置,其特征在于,所述第一特征信息包括所述文件下載鏈接的網(wǎng)站域名的持有人以及指向的IP地址;所述第二特征信息包括所述文件下載鏈接的父頁面的網(wǎng)站域名的持有人、指向的IP地址以及是否為所述父頁面自身傳播,或借助所述父頁面?zhèn)鞑ァ?br>
12.根據(jù)權(quán)利要求11所述的裝置,其特征在于,所述變化趨勢(shì)獲取單元具體用于分析出惡意文件家族中的惡意文件是否固定在特定域名持有人的站點(diǎn)進(jìn)行傳播;所述追蹤單元具體用于在域名持有人為所述特定持有人的站點(diǎn),對(duì)所述惡意文件家族中的惡意文件進(jìn)行追蹤。
全文摘要
本發(fā)明公開了發(fā)現(xiàn)疑似惡意信息、追蹤惡意文件的方法及裝置,其中,所述發(fā)現(xiàn)疑似惡意信息的方法包括統(tǒng)計(jì)文件下載鏈接、文件下載鏈接網(wǎng)站域名、文件下載鏈接所在的父頁面以及父頁面的網(wǎng)站域名之間的對(duì)應(yīng)關(guān)系;獲取各個(gè)文件下載鏈接對(duì)應(yīng)的文件的特征信息;根據(jù)所述對(duì)應(yīng)關(guān)系以及所述特征信息進(jìn)行分析,判斷是否存在特定的異常情況,如果是,且未被標(biāo)識(shí)為惡意信息,則發(fā)出用以表示存在疑似惡意信息的報(bào)警消息;其中,所述疑似惡意信息包括疑似新的惡意文件,和/或疑似新的惡意文件的下載鏈接,和/或疑似新的惡意文件下載鏈接的父頁面。通過本發(fā)明,能夠更加快速地發(fā)現(xiàn)惡意文件,縮短病毒或木馬等惡意程序從產(chǎn)生到被攔截之間的延遲。
文檔編號(hào)G06F21/00GK102332071SQ201110301138
公開日2012年1月25日 申請(qǐng)日期2011年9月30日 優(yōu)先權(quán)日2011年9月30日
發(fā)明者萬仁國, 張聰, 范紀(jì)鍠, 鄭文彬 申請(qǐng)人:奇智軟件(北京)有限公司