一种Internet恶意代码的发现和追踪方法

摘要

一种Internet恶意代码的发现和追踪方法。本发明主动地去发现隐藏在Internet中的恶意代码，并根据恶意代码在Internet中的拓扑分布信息进行追踪，定位恶意代码的源头，评估此恶意代码的影响。本方法首先对用户提交的可疑网页进行解析，提取文件中的链接信息进行广度优先搜索。对搜索过程中发现的文件进行多反病毒引擎的交叉检测来发现已知的恶意代码和蜜罐检测来发现未知的恶意代码。如果发现恶意代码则通过提升优先级进行深度优先的追踪。建立恶意代码的Internet拓扑图，定位恶意代码的源头，评估对正常网页的影响度。

主权项

1、一种Internet恶意代码的发现方法，其特征在于该方法包括如下步骤：第一、将可疑的url添加到恶意代码搜索队列L＝{url1，url2，…，urln}中的低优先级子队列中，urli(1≤i≤n)∈L是用于发现恶意代码的原始点；L为多优先级队列，包括高、中、低三个优先级子队列，分别为Lh，Ln，Ll；从L中取数据时先从Lh中取，当Lh为空则从Ln中取数据，当Ln也为空则从Ll中取数据，子队列内部则按照先入先出的原则取数据；第二、从上步生成的恶意代码搜索队列L中取出urli，1≤i≤n，传递给过滤模块；第三、在过滤模块中，向上步传递过来的urli发送HEAD请求，根据响应信息内容中的属性Status-Code、Content-type、Last-modified和Content-length进行过滤，删除满足过滤规则的url，以提高恶意代码的发现效率并降低网络开销；第四、将上步不满足过滤规则的urli传递给下载模块，下载模块使用GET请求将urli所对应的文件fi下载到本地，并将文件fi传递给恶意代码扫描引擎，同时解析文件fi并从中提取url信息；第五、根据上步所提取的文件fi中的url，包括直接关联的和间接关联的url，得到集合$L_i=\{{\mathrm{url}}_i^1,{\mathrm{url}}_i^2,...,{\mathrm{url}}_i^m\},信息存储到拓扑信息数据库中；第六、利用现有的反病毒引擎对第四步下载的文件fi进行检测；当发现恶意代码，分析恶意代码的结构，计算文件fi的MD5和SHA-1校验和，将恶意代码信息存入恶意代码数据库中，并将集合$ L_i=\{{\mathrm{url}}_i^1,{\mathrm{url}}_i^2,...,{\mathrm{url}}_i^m\}高Li的优先级，对Li进行深度优先搜索；当没有检测到恶意代码，则将urli传递给蜜罐系统进行检测；第七、蜜罐系统根据浏览urli和运行文件fi过程中的行为，判断是否含有恶意代码；当检测到恶意行为，则根据恶意行为分析恶意代码的结构，计算文件fi的MD5和SHA-1校验和，将恶意代码信息存入恶意代码数据库中，并将集合$ L_i=\{{\mathrm{url}}_i^1,{\mathrm{url}}_i^2,...,{\mathrm{url}}_i^m\}加到L的高优先级子队列Lh中，并且发出未知恶意代码的警报，对恶意代码进行紧急响应；并返回第一步，进行循环操作；发出警报是指向国家计算机病毒应急处理中心上报未知恶意代码；紧急响应是指病毒分析员根据紧急响应步骤对恶意代码进行分析并提出解决方案的过程。$$$