| 发明名称 | 一种基于统一资源定位符的恶意代码检测方法和系统 | ||
| 摘要 | 本发明提供了一种基于统一资源定位符的恶意代码检测方法,包括:监控计算机操作系统,获取系统访问网络的URL;通过解析所述URL得到所述URL的Query域信息;将所述的Query域信息和预先存储在Query域病毒特征库中的特征数据进行模式匹配;如果匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则继续监控。本发明还提供了一种基于统一资源定位符的恶意代码检测系统。本发明使用方式简单,不必使用庞大的病毒特征数据,针对盗号类恶意代码具有非常好的检出率。 | ||
| 申请公布号 | CN102841990B | 申请公布日期 | 2015.07.22 |
| 申请号 | CN201110357893.1 | 申请日期 | 2011.11.14 |
| 申请人 | 哈尔滨安天科技股份有限公司 | 发明人 | 刘佳男;苏培旺;胡星儒;李柏松;童志明;张栗伟 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 代理人 | ||
| 主权项 | 一种基于统一资源定位符的恶意代码检测方法,其特征在于,包括:监控计算机操作系统,获取系统访问网络的URL;通过解析所述URL得到所述URL的Query域信息,并进一步提取Query域信息中的字段名;在模拟用户环境的仿真系统中运行同一病毒家族的恶意代码;用网络协议分析工具捕获和分析运行所述恶意代码之后产生的网络通信数据,获取所述网络通信数据中的URL;用URL白名单过滤所获取的URL,将所获取的URL划分为可信URL和恶意URL,所述URL白名单是周期性的通过手工或通过工具自动收集的正常无害URL;提取所述恶意URL的Query域中相同的字段名,作为检测所述病毒家族恶意代码的特征数据存入Query域病毒特征库;将所述的Query域信息中的字段名和预先存储在Query域病毒特征库中的特征数据进行模式匹配;如果匹配成功,则判断恶意代码存在,根据预设操作进行相应处理;否则继续监控。 | ||
| 地址 | 150090 黑龙江省哈尔滨市开发区南岗集中区红旗大街162号506室 | ||