惡意特征數(shù)據(jù)庫(kù)的建立方法����、惡意對(duì)象檢測(cè)方法及其裝置制造方法
【專利摘要】本發(fā)明提供了一種惡意特征數(shù)據(jù)庫(kù)的建立方法、惡意對(duì)象檢測(cè)方法及其裝置�,其中建立方法包括:S1、獲取惡意對(duì)象樣本�����;S2�����、從樣本中的惡意對(duì)象中提取惡意特征����,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表;S3�、利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配,將匹配得到的對(duì)象確定為惡意對(duì)象����。通過本發(fā)明能夠擴(kuò)大惡意對(duì)象檢測(cè)的覆蓋面,對(duì)新出現(xiàn)的惡意對(duì)象做出及時(shí)地反應(yīng)�。
【專利說明】惡意特征數(shù)據(jù)庫(kù)的建立方法、惡意對(duì)象檢測(cè)方法及其裝置
【【技術(shù)領(lǐng)域】】
[0001]本發(fā)明涉及計(jì)算機(jī)【技術(shù)領(lǐng)域】���,特別涉及一種惡意特征數(shù)據(jù)庫(kù)的建立方法��、惡意對(duì)象檢測(cè)方法及其裝置��。
【【背景技術(shù)】】
[0002]隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用和黑客潛在可得利益的迅速膨脹��,對(duì)于網(wǎng)絡(luò)中用戶隨時(shí)提交的新的網(wǎng)頁(yè)和軟件包都需要安全性驗(yàn)證���。當(dāng)今的安全解決方案需要深層的面向應(yīng)用的掃描和過濾功能。為保障在面對(duì)所有威脅的同時(shí)能夠集中資源輕松保持業(yè)務(wù)步伐��,需要建立有效的惡意特征數(shù)據(jù)庫(kù)并經(jīng)常更新�。具有全面覆蓋安全威脅,同時(shí)滿足性能需求的惡意特征數(shù)據(jù)庫(kù)建立方案����,是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重點(diǎn)����。
[0003]現(xiàn)有技術(shù)通常是通過網(wǎng)絡(luò)抓取系統(tǒng)收集各種網(wǎng)站和軟件���,并分別對(duì)其是否為掛馬網(wǎng)站�����、是否為釣魚網(wǎng)站���、是否包含黑鏈、是否為惡意軟件��、是否為作弊器�����、是否具有惡意行為進(jìn)行逐一分析���,每一塊都有專門的工具或軟件進(jìn)行檢測(cè)��,當(dāng)檢測(cè)出來以后報(bào)告給客戶��。也就是說��,現(xiàn)有技術(shù)通常建立具有某種特征的惡意軟件或惡意網(wǎng)站的數(shù)據(jù)庫(kù)���,例如現(xiàn)在常用的病毒數(shù)據(jù)庫(kù),這種方式具備以下缺點(diǎn):
[0004]其一����、覆蓋面很小,僅能夠識(shí)別出病毒數(shù)據(jù)庫(kù)中列出的惡意軟件或惡意網(wǎng)站����。
[0005]其二、缺乏有效的更新機(jī)制�,對(duì)于新出現(xiàn)的惡意軟件或惡意網(wǎng)站則無法做出及時(shí)地反應(yīng)。
【
【發(fā)明內(nèi)容】
】
[0006]有鑒于此�����, 本發(fā)明提供了一種惡意特征數(shù)據(jù)庫(kù)的建立方法�����、惡意對(duì)象檢測(cè)方法及其裝置��,以便于擴(kuò)大惡意對(duì)象檢測(cè)的覆蓋面,對(duì)新出現(xiàn)的惡意對(duì)象做出及時(shí)地反應(yīng)�����。
[0007]具體技術(shù)方案如下:
[0008]一種惡意特征數(shù)據(jù)庫(kù)的建立方法�,該建立方法包括:
[0009]S1、獲取惡意對(duì)象樣本�;
[0010]S2、從樣本中的惡意對(duì)象中提取惡意特征���,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表�����;
[0011]S3��、利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配�����,將匹配得到的對(duì)象確定為惡意對(duì)象��。
[0012]根據(jù)本發(fā)明一優(yōu)選實(shí)施例�,在所述步驟S3之后還包括:
[0013]S4��、從步驟S3確定出的惡意對(duì)象中提取惡意特征,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表��。
[0014]根據(jù)本發(fā)明一優(yōu)選實(shí)施例���,所述惡意特征包括:掛馬源、域名信息��、注冊(cè)信息��、鏈接關(guān)系信息���、網(wǎng)絡(luò)內(nèi)容提供商ICP信息或者關(guān)鍵詞索引�。
[0015]根據(jù)本發(fā)明一優(yōu)選實(shí)施例���,所述利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配����,將匹配得到的對(duì)象確定為惡意對(duì)象具體包括:[0016]判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象包含的超鏈接是否為惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象����,如果是,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象����;或者��,
[0017]將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象進(jìn)行相似度計(jì)算�����,如果相似度超過預(yù)設(shè)的相似度閾值��,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象�;或者��,
[0018]將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中的惡意特征進(jìn)行匹配���,如果滿足匹配條件�����,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象�;或者���,
[0019]判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象是否是惡意特征數(shù)據(jù)庫(kù)的黑名單列表中惡意對(duì)象所引用的對(duì)象����,如果是,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象���。
[0020]根據(jù)本發(fā)明一優(yōu)選實(shí)施例���,該建立方法還包括:
[0021]定時(shí)對(duì)惡意特征數(shù)據(jù)庫(kù)中的黑名單列表中的惡意對(duì)象和惡意特征列表中的惡意特征進(jìn)行有效性驗(yàn)證��,保留驗(yàn)證有效的惡意對(duì)象和惡意特征�,刪除驗(yàn)證無效的惡意對(duì)象和惡意特征。
[0022]根據(jù)本發(fā)明一優(yōu)選實(shí)施例�,所述有效性驗(yàn)證具體包括:
[0023]向所述黑名單列表中的對(duì)象發(fā)出請(qǐng)求,根據(jù)響應(yīng)結(jié)果確定該對(duì)象是否失效���,在所述黑名單列表中保留仍然有效的惡意對(duì)象�,將失效的惡意對(duì)象從所述黑名單列表中刪除���;
[0024]對(duì)于仍然有效的惡意對(duì)象進(jìn)一步進(jìn)行惡意對(duì)象檢測(cè)�����,如果檢測(cè)結(jié)果仍為惡意�,則在所述惡意特征列表中保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征;如果檢測(cè)結(jié)果為非惡意�,則將該惡意對(duì)象以及該惡意對(duì)象對(duì)應(yīng)的惡意特征分別從所述黑名單列表和惡意特征列表中刪除。
[0025]根據(jù)本發(fā)明一優(yōu)選實(shí)施例����,在所述惡意特征列表中保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征具體包括:判斷所述仍然有效的惡意對(duì)象的惡意特征是否發(fā)生變更,如果是����,則更新惡意特征列表中所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征;否則保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征�。
[0026]一種惡意對(duì)象檢測(cè)方法,該檢測(cè)方法包括:
[0027]Al����、判斷待檢測(cè)對(duì)象是否包含在惡意特征數(shù)據(jù)庫(kù)的黑名單列表中,如果是���,確定所述待檢測(cè)對(duì)象為惡意對(duì)象�����,結(jié)束對(duì)所述待檢測(cè)對(duì)象的檢測(cè)�����;否則���,執(zhí)行步驟A2 �;
[0028]A2、將所述待檢測(cè)對(duì)象在惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中進(jìn)行匹配,如果滿足匹配條件��,則確定所述待檢測(cè)對(duì)象為惡意對(duì)象;否則,確定所述待檢測(cè)對(duì)象為非惡意對(duì)象;
[0029]其中所述惡意特征數(shù)據(jù)庫(kù)是采用上述建立方法得到的���。
[0030]根據(jù)本發(fā)明一優(yōu)選實(shí)施例���,在所述步驟A2中如果確定所述待檢測(cè)對(duì)象為惡意對(duì)象�����,則進(jìn)一步從惡意對(duì)象中提取惡意特征���,分別將該惡意對(duì)象以及對(duì)應(yīng)的惡意特征加入所述惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表。
[0031]一種惡意特征數(shù)據(jù)庫(kù)的建立裝置�����,該建立裝置包括:
[0032]樣本獲取單元,用于獲取惡意對(duì)象樣本���,將惡意對(duì)象樣本中的各惡意對(duì)象分別提供給特征提取單元��;
[0033]特征提取單元�����,用于從惡意對(duì)象中提取惡意特征��,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表����;
[0034]反挖掘單元�����,用于利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配�����,將匹配得到的對(duì)象確定為惡意對(duì)象�����。[0035]所述反挖掘單元,還用于將確定出的惡意對(duì)象分別提供給所述特征提取單元�;
[0036]所述特征提取單元從所述反挖掘單元提供的惡意對(duì)象中提取惡意特征,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表��。
[0037]根據(jù)本發(fā)明一優(yōu)選實(shí)施例�����,所述惡意特征包括:掛馬源��、域名信息�、注冊(cè)信息、鏈接關(guān)系信息��、網(wǎng)絡(luò)內(nèi)容提供商ICP信息或者關(guān)鍵詞索引���。
[0038]根據(jù)本發(fā)明一優(yōu)選實(shí)施例,所述反挖掘單元在利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配時(shí)�,具體執(zhí)行:
[0039]判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象包含的超鏈接是否為惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象,如果是�����,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象�����;或者,
[0040]將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象進(jìn)行相似度計(jì)算����,如果相似度超過預(yù)設(shè)的相似度閾值,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象�;或者,
[0041]將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中的惡意特征進(jìn)行匹配�����,如果滿足匹配條件���,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象����;或者�,
[0042]判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象是否是惡意特征數(shù)據(jù)庫(kù)的黑名單列表中惡意對(duì)象所引用的對(duì)象,如果是���,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象����。
[0043]根據(jù)本發(fā)明一優(yōu)選實(shí)施例,該建立裝置還包括:
[0044]有效性驗(yàn)證單元��,用于定時(shí)對(duì)惡意特征數(shù)據(jù)庫(kù)中的黑名單列表中的惡意對(duì)象和惡意特征列表中的惡意特征進(jìn)行有效性驗(yàn)證�,保留驗(yàn)證有效的惡意對(duì)象和惡意特征,刪除驗(yàn)證無效的惡意對(duì)象和惡意特征��。
[0045]根據(jù)本發(fā)明一優(yōu)選實(shí)施例���,所述有效性驗(yàn)證單元在進(jìn)行有效性驗(yàn)證時(shí)�,具體執(zhí)行:
[0046]向所述黑名單列表中的對(duì)象發(fā)出請(qǐng)求����,根據(jù)響應(yīng)結(jié)果確定該對(duì)象是否失效,在所述黑名單列表中保留仍然有效的惡意對(duì)象�,將失效的惡意對(duì)象從所述黑名單列表中刪除;
[0047]對(duì)于仍然有效的惡意對(duì)象進(jìn)一步進(jìn)行惡意對(duì)象檢測(cè)�,如果檢測(cè)結(jié)果仍為惡意,則在所述惡意特征列表中保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征�����;如果檢測(cè)結(jié)果為非惡意��,則將該惡意對(duì)象以及該惡意對(duì)象對(duì)應(yīng)的惡意特征分別從所述黑名單列表和惡意特征列表中刪除�����。
[0048]根據(jù)本發(fā)明一優(yōu)選實(shí)施例����,所述有效性驗(yàn)證單元在惡意特征列表中保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征時(shí),具體執(zhí)行:判斷所述仍然有效的惡意對(duì)象的惡意特征是否發(fā)生變更����,如果是,則更新惡意特征列表中所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征�����;否則保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征�。
[0049]一種惡意對(duì)象檢測(cè)裝置,該檢測(cè)裝置包括:
[0050]對(duì)象判斷單元���,用于判斷待檢測(cè)對(duì)象是否包含在惡意特征數(shù)據(jù)庫(kù)的黑名單列表中����,如果是��,確定所述待檢測(cè)對(duì)象為惡意對(duì)象����,否則觸發(fā)特征匹配單元�����;
[0051]特征匹配單元����,用于將所述待檢測(cè)對(duì)象在惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中進(jìn)行匹配�,如果滿足匹配條件,則確定所述待檢測(cè)對(duì)象為惡意對(duì)象�;否則,確定所述待檢測(cè)對(duì)象為非惡意對(duì)象�����;
[0052]其中所述惡意特征數(shù)據(jù)庫(kù)是由上述建立裝置得到的���。
[0053]根據(jù)本發(fā)明一優(yōu)選實(shí)施例�����,該裝置還包括:特征提取單元����,用于在所述特征匹配單元確定所述待檢測(cè)對(duì)象為惡意對(duì)象時(shí)����,從惡意對(duì)象中提取惡意特征,分別將該惡意對(duì)象以及對(duì)應(yīng)的惡意特征加入所述惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表�����。
[0054]由以上技術(shù)方案可以看出���,本發(fā)明基于惡意對(duì)象樣本抽取惡意特征后建立初步的惡意特征數(shù)據(jù)庫(kù)��,再通過利用搜索數(shù)據(jù)庫(kù)對(duì)惡意特征數(shù)據(jù)庫(kù)進(jìn)行反挖掘的方式形成一個(gè)迭代��,逐步豐富惡意特征數(shù)據(jù)庫(kù)����。這種方式并不限制單一特征的惡意對(duì)象�,能夠包容各種惡意特征,顯然擴(kuò)大了惡意對(duì)象檢測(cè)的覆蓋面��,并且這種迭代更新的方式能夠便于對(duì)新出現(xiàn)的惡意軟件或惡意網(wǎng)站做出及時(shí)地反應(yīng)�。
【【專利附圖】
【附圖說明】】
[0055]圖1為本發(fā)明實(shí)施例一提供的惡意特征數(shù)據(jù)庫(kù)的建立方法的主要流程圖;
[0056]圖2為本發(fā)明實(shí)施例二提供的利用惡意特征數(shù)據(jù)庫(kù)的惡意對(duì)象檢測(cè)過程流程圖;
[0057]圖3為本發(fā)明實(shí)施例三提供的惡意特征數(shù)據(jù)庫(kù)的建立裝置結(jié)構(gòu)圖���;
[0058]圖4為本發(fā)明實(shí)施例四提供的惡意對(duì)象檢測(cè)裝置結(jié)構(gòu)圖����。
【【具體實(shí)施方式】】
[0059]為了使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。
[0060]實(shí)施例一�、
[0061]圖1為本發(fā)明實(shí)施例一提供的惡意特征數(shù)據(jù)庫(kù)的建立方法的主要流程圖,該方法的主要思想是��,首先利用現(xiàn)有的惡意對(duì)象檢測(cè)技術(shù)對(duì)小規(guī)模的對(duì)象進(jìn)行檢測(cè)�����,將檢測(cè)出的惡意對(duì)象作為樣本�,利用樣本建立惡意特征數(shù)據(jù)庫(kù);然后再利用惡意特征數(shù)據(jù)庫(kù)對(duì)大規(guī)模的對(duì)象進(jìn)行反挖掘����,從而確定出惡意對(duì)象反饋至惡意特征數(shù)據(jù)庫(kù)�,從而完成惡意特征數(shù)據(jù)庫(kù)的建立過程�����。需要說明的是��,本發(fā)明各實(shí)施例中涉及的對(duì)象包括但不限于網(wǎng)頁(yè)�、軟件����、鏈接等,相應(yīng)地�����,惡意對(duì)象包括但不限于惡意網(wǎng)頁(yè)���、惡意軟件��、惡意鏈接等�����。如圖1所示�����,該方法可以主要包括以下步驟:
[0062]步驟101:犾取惡意對(duì)象樣本����。
[0063]本步驟中惡意對(duì)象樣本的獲取可以采用現(xiàn)有的惡意對(duì)象檢測(cè)技術(shù)對(duì)小規(guī)模的網(wǎng)站或軟件等對(duì)象進(jìn)行檢測(cè),即調(diào)用現(xiàn)有的檢測(cè)模塊進(jìn)行檢測(cè)���,這些檢測(cè)模塊可以是一個(gè)以上獨(dú)立的檢測(cè)模塊���,每個(gè)檢測(cè)模塊可以采用不同的檢測(cè)方式或檢測(cè)條件,并發(fā)明并不限于惡意對(duì)象樣本的確定方式��。
[0064]步驟102:從樣本中的惡意對(duì)象中提取惡意特征�,分別將惡意對(duì)象及其惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表。
[0065]本發(fā)明實(shí)施例建立的惡意特征數(shù)據(jù)庫(kù)包含兩個(gè)部分:黑名單列表和惡意特征列表�,其中黑名單列表中包含惡意對(duì)象的信息,惡意特征列表中包含惡意對(duì)象對(duì)應(yīng)的惡意特征的信息�����。
[0066]對(duì)于確定出的惡意對(duì)象����,諸如`掛馬網(wǎng)站�����、黑鏈���、色情網(wǎng)站、惡意軟件����、作弊器等等�����,將這些惡意對(duì)象加入黑名單列表�����,例如將惡意網(wǎng)站的url����、惡意軟件的名稱等加入黑名單列表。
[0067]在對(duì)惡意對(duì)象提取惡意特征時(shí)����,可以提取但不限于以下特征:掛馬源����、域名信息�����、注冊(cè)信息�����、鏈接關(guān)系信息����、網(wǎng)絡(luò)內(nèi)容提供商(ICP)信息或者關(guān)鍵詞索引。其中����,掛馬源是指網(wǎng)頁(yè)掛馬鏈中,最終發(fā)起攻擊的頁(yè)面���;域名信息是指域名的ip地址信息����;注冊(cè)信息包括注冊(cè)郵箱����、注冊(cè)公司�、聯(lián)系電話����、QQ、MSN等���;鏈接關(guān)系信息是指如反鏈等反映網(wǎng)頁(yè)之間鏈接關(guān)系的信息����。關(guān)鍵詞索引是指如果一個(gè)關(guān)鍵詞得到的前N個(gè)搜索結(jié)果中包含該惡意對(duì)象�,則該關(guān)鍵詞就可以作為該惡意對(duì)象的關(guān)鍵詞索引�。
[0068]除此之外,主機(jī)(Host)�、域名、ip地址�、國(guó)家、whois信息可以為附加特征��,用于后續(xù)統(tǒng)計(jì)惡意站點(diǎn)的域名����、ip地址�����、地域分布情況�。
[0069]步驟103:利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配���,將匹配得到的對(duì)象確定為惡意對(duì)象��。
[0070]步驟104:從惡意對(duì)象中提取惡意特征�,分別將惡意對(duì)象及其惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表���。
[0071]本步驟實(shí)際上是利用惡意特征數(shù)據(jù)庫(kù)在搜索數(shù)據(jù)庫(kù)進(jìn)行反挖掘的過程��,將匹配得到的對(duì)象確定為惡意對(duì)象�����,再利用以此確定出的惡意對(duì)象以及從中提取出的惡意特征來更新惡意特征數(shù)據(jù)庫(kù)�。
[0072]在本發(fā)明實(shí)施例中涉及到的搜索數(shù)據(jù)庫(kù)實(shí)際上是一個(gè)包含大規(guī)模網(wǎng)站��、軟件等對(duì)象信息的數(shù)據(jù)庫(kù)�����,用戶可以隨時(shí)提交自己網(wǎng)站的超鏈接、上傳開發(fā)的軟件等至搜索數(shù)據(jù)庫(kù)�,也可以通過爬蟲抓取網(wǎng)頁(yè)或者搜索引擎通過關(guān)鍵字查詢到的網(wǎng)頁(yè)等存至搜索數(shù)據(jù)庫(kù),等
坐寸ο
[0073]搜索數(shù)據(jù)庫(kù)反挖掘過程的加入��,使本發(fā)明提出的惡意特征數(shù)據(jù)庫(kù)建立方法形成了一個(gè)迭代�����,搜索數(shù)據(jù)庫(kù)可以利用惡意特征數(shù)據(jù)庫(kù)進(jìn)一步挖掘�,而挖掘到的惡意對(duì)象又被加入到惡意特征數(shù)據(jù)庫(kù),對(duì)新出現(xiàn)的惡意對(duì)象能夠迅速更新在惡意特征數(shù)據(jù)庫(kù)中�����。
[0074]下面對(duì)上述反挖掘的方式即利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中各對(duì)象進(jìn)行匹配的過程進(jìn)行描述�����,可以采用但不限于以下方式:
[0075]方式一�����、反向挖掘���。即判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象包含的超鏈接是否為惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象����,如果是�����,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象���。例如����,搜索數(shù)據(jù)庫(kù)中的網(wǎng)頁(yè)urll包含的超鏈接為惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的網(wǎng)頁(yè)url2���,則認(rèn)為urll為惡意對(duì)象���。
[0076]方式二、相似性挖掘���。由于在批量掛馬網(wǎng)站中��,很多掛馬網(wǎng)頁(yè)頁(yè)面內(nèi)容基本一致��,因此��,將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象進(jìn)行相似度計(jì)算�����,如果相似度超過預(yù)設(shè)的相似度閾值�����,則認(rèn)為搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象��,或者認(rèn)為其為可疑對(duì)象�����,可以結(jié)合其他檢測(cè)方式進(jìn)行進(jìn)一步檢測(cè)來確定是否為惡意對(duì)象��。例如�,搜索數(shù)據(jù)庫(kù)中的網(wǎng)頁(yè)urll與惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的網(wǎng)頁(yè)url2之間的相似度超過預(yù)設(shè)的相似度閾值,則認(rèn)為urll為惡意對(duì)象�。
[0077]方式三、特征挖掘�����。將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中的惡意特征匹配��,如果滿足匹配條件�����,則認(rèn)為搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象�。
[0078]例如,掛馬者為了增大用戶影響面��,希望更多的受害者能夠中馬���,往往會(huì)選擇最近的熱門關(guān)鍵詞網(wǎng)站異或是用戶訪問頻度較高的網(wǎng)站����,挖掘同樣內(nèi)容或關(guān)鍵詞的疑似網(wǎng)頁(yè)�,因此可以將搜索數(shù)據(jù)庫(kù)中的網(wǎng)頁(yè)urll與惡意特征列表中的關(guān)鍵詞進(jìn)行匹配,如果滿足關(guān)鍵詞數(shù)量的匹配要求�����,則認(rèn)為該urll為惡意對(duì)象��。[0079]再例如��,目前惡意網(wǎng)站大多采用動(dòng)態(tài)域名和免費(fèi)域名的方式,在同一個(gè)服務(wù)器上假設(shè)多個(gè)站點(diǎn)�����,如果其中一個(gè)站點(diǎn)為惡意對(duì)象�,則其他站點(diǎn)很大可能也是惡意對(duì)象,因此�,可以將搜索數(shù)據(jù)庫(kù)中的網(wǎng)頁(yè)urll與惡意特征列表中的IP地址信息進(jìn)行匹配,如果屬于同一 IP地址,則認(rèn)為該urll為惡意對(duì)象���。
[0080]再例如��,具有相同域名的站點(diǎn)���,如果其中一個(gè)站點(diǎn)為惡意對(duì)象,則其他站點(diǎn)也可能為惡意對(duì)象��,因此可以將搜索數(shù)據(jù)庫(kù)中的網(wǎng)頁(yè)urll與惡意特征列表中的域名信息進(jìn)行匹配����,如果具有相同域名,則認(rèn)為該urll為惡意對(duì)象����。
[0081]再例如���,具有相同注冊(cè)信息的站點(diǎn)��,如果其中一個(gè)站點(diǎn)為惡意對(duì)象�����,則其他站點(diǎn)也可能為惡意對(duì)象�,因此可以將搜索數(shù)據(jù)庫(kù)中的網(wǎng)頁(yè)urll與惡意特征列表中的注冊(cè)信息進(jìn)行匹配,如果具有相同注冊(cè)信息�,則認(rèn)為該urll為惡意對(duì)象。
[0082]再例如�����,相同ICP的站點(diǎn)���,如果其中一個(gè)站點(diǎn)為惡意對(duì)象�,則屬于同一 ICP的其他站點(diǎn)也可能為惡意對(duì)象�����,因此可以將搜索數(shù)據(jù)庫(kù)中的網(wǎng)頁(yè)urll與惡意特征列表中的ICP信息進(jìn)行匹配���,如果具有相同ICP信息�����,則認(rèn)為該urll為惡意對(duì)象�。
[0083]方式四、鏈接引用關(guān)系挖掘�����。判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象是否是惡意特征數(shù)據(jù)庫(kù)的黑名單列表中惡意對(duì)象所引用的對(duì)象�,如果是,則認(rèn)為搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象���。
[0084]由于惡意特征數(shù)據(jù)庫(kù)的存儲(chǔ)空間有限��,網(wǎng)絡(luò)中惡意對(duì)象又是動(dòng)態(tài)變化的���,例如網(wǎng)絡(luò)攻擊者利用一臺(tái)服務(wù)器進(jìn)行攻擊被發(fā)現(xiàn)后,很可能關(guān)閉該服務(wù)器����,其對(duì)應(yīng)的所有URL就無法訪問了。因此�����,優(yōu)選地,本發(fā)明實(shí)施例中可以進(jìn)一步通過定時(shí)的有效性驗(yàn)證來對(duì)惡意特征數(shù)據(jù)庫(kù)進(jìn)行維護(hù)���。即定時(shí)對(duì)惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的惡意對(duì)象和惡意特征列表中的惡意特征進(jìn)行有效性驗(yàn)證,如果驗(yàn)證有效�����,則保留��,如果驗(yàn)證無效�����,則將無效的惡意對(duì)象和惡意特征從惡意特征數(shù)據(jù)庫(kù)中刪除�。
[0085]具體地,可以預(yù)先設(shè)置一個(gè)驗(yàn)證周期�,例如24小時(shí),該驗(yàn)證周期可以根據(jù)具體需求進(jìn)行設(shè)置和變更�。當(dāng)驗(yàn)證周期到達(dá)時(shí),向惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的惡意對(duì)象進(jìn)行訪問以驗(yàn)證該惡意對(duì)象是否失效��,例如���,可以向黑名單列表中的URL發(fā)出請(qǐng)求�,或者,向黑名單列表中惡意軟件對(duì)應(yīng)的服務(wù)器發(fā)出請(qǐng)求��,根據(jù)響應(yīng)結(jié)果確定是否失效���,如果仍然有效����,則在黑名單列表中予以保留��;如果失效��,則將該惡意對(duì)象從黑名單列表中刪除�����。
[0086]如果在上述過程中驗(yàn)證惡意對(duì)象仍然有效可以進(jìn)一步對(duì)該惡意對(duì)象進(jìn)行檢測(cè)���,該檢測(cè)方式可以如步驟101中所述采用現(xiàn)有技術(shù)中的檢測(cè)方式���,如果檢測(cè)結(jié)果仍然為惡意,則保留該惡意對(duì)象對(duì)應(yīng)的惡意特征,如果檢測(cè)結(jié)果為非惡意�����,則將該惡意對(duì)象及其對(duì)應(yīng)的惡意特征分別從惡意對(duì)象和惡意特征列表中刪除��。其中�,在保留惡意對(duì)象對(duì)應(yīng)的惡意特征之前,可以首先判斷該惡意對(duì)象的惡意特征是否發(fā)生變更�����,如果發(fā)生變更���,則更新惡意特征列表中該惡意對(duì)象對(duì)應(yīng)的惡意特征;否則直接保留該惡意對(duì)象對(duì)應(yīng)的惡意特征����。
[0087]在本實(shí)施例中對(duì)于從惡意特征數(shù)據(jù)庫(kù)中刪除的惡意對(duì)象及其惡意特征,可以記錄在歷史惡意庫(kù)中��,記錄的內(nèi)容除了刪除的惡意對(duì)象及其惡意特征之外�����,還可以包括但不限于:刪除時(shí)間、刪除原因等���,以備誤刪或者將來查閱���。
[0088]在采用實(shí)施例一所示方法建立了惡意特征數(shù)據(jù)庫(kù)之后,就可以利用惡意特征數(shù)據(jù)庫(kù)進(jìn)行惡意對(duì)象的檢測(cè)��,該檢測(cè)可以是實(shí)時(shí)的檢測(cè)方式����。下面通過實(shí)施例二對(duì)利用惡意特征數(shù)據(jù)庫(kù)的惡意對(duì)象檢測(cè)過程進(jìn)行描述。
[0089]實(shí)施例二�、[0090]圖2為本發(fā)明實(shí)施例二提供的利用惡意特征數(shù)據(jù)庫(kù)的惡意對(duì)象檢測(cè)過程流程圖,如圖2所示���,該過程可以包括以下步驟:
[0091]步驟201:判斷待檢測(cè)對(duì)象是否包含在惡意特征數(shù)據(jù)庫(kù)的黑名單列表中��,如果是�����,則確定該待檢測(cè)對(duì)象為惡意對(duì)象����,結(jié)束對(duì)該待檢測(cè)對(duì)象的檢測(cè);否則�,執(zhí)行步驟202。
[0092]如果待檢測(cè)對(duì)象就是惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的惡意對(duì)象�����,則顯然可以直接確定待檢測(cè)對(duì)象為惡意對(duì)象�����;如果不能夠直接確定�����,則進(jìn)一步通過以下步驟進(jìn)行惡意特征匹配的方式檢測(cè)其是否為惡意對(duì)象����。
[0093]在本實(shí)施例中�,一旦確定待檢測(cè)對(duì)象為惡意對(duì)象,則可以拒絕該惡意對(duì)象的執(zhí)行�����,防止其對(duì)主機(jī)造成破壞�,還可以發(fā)出告警等。
[0094]步驟202:將該待檢測(cè)對(duì)象在惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中進(jìn)行匹配。
[0095]步驟203:判斷是否滿足匹配條件���,如果是�����,則執(zhí)行步驟204 ;否則���,確定該待檢測(cè)對(duì)象為非惡意對(duì)象,結(jié)束對(duì)該待檢測(cè)對(duì)象的檢測(cè)�。
[0096]在匹配時(shí),如果待檢測(cè)對(duì)象匹配上惡意特征列表中的一個(gè)或者多個(gè)惡意特征����,則可以認(rèn)為該待檢測(cè)對(duì)象為惡意對(duì)象。
[0097]步驟204:確定該待檢測(cè)對(duì)象為惡意對(duì)象�,可以進(jìn)一步執(zhí)行步驟205。
[0098]步驟205:從惡意對(duì)象中提取惡意特征�,分別將惡意對(duì)象及其惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表。
[0099]通過該檢測(cè)方式檢測(cè)得到的惡意對(duì)象��,可以用于反饋給惡意特征數(shù)據(jù)庫(kù)�,本步驟的執(zhí)行與實(shí)施例一中的步驟102相同,在此不再贅述��。
[0100]以上是對(duì)本發(fā)明所提供的方法進(jìn)行的詳細(xì)描述,下面結(jié)合實(shí)施例三和實(shí)施例四對(duì)本發(fā)明提供的裝置進(jìn)行詳細(xì)描述�。
[0101]實(shí)施例三、
[0102]圖3為本發(fā)明實(shí)施例三提供的惡意特征數(shù)據(jù)庫(kù)的建立裝置結(jié)構(gòu)圖�,如圖3所示,該裝置可以包括:樣本獲取單元301����、特征提取單元302、特征提取單元302和反挖掘單元303�����。
[0103]樣本獲取單元301�����,用于獲取惡意對(duì)象樣本�����,將惡意對(duì)象樣本中的各惡意對(duì)象分別提供給特征提取單元302����。
[0104]其中惡意對(duì)象樣本的獲取可以采用現(xiàn)有的惡意對(duì)象檢測(cè)技術(shù)對(duì)小規(guī)模的網(wǎng)站或軟件等對(duì)象進(jìn)行檢測(cè)���,即調(diào)用現(xiàn)有的檢測(cè)模塊進(jìn)行檢測(cè)�����,這些檢測(cè)模塊可以是一個(gè)以上獨(dú)立的檢測(cè)模塊�,每個(gè)檢測(cè)模塊可以采用不同的檢測(cè)方式或檢測(cè)條件,并發(fā)明并不限于惡意對(duì)象樣本的確定方式�����。
[0105]特征提取單元302����,用于從惡意對(duì)象中提取惡意特征,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表����。
[0106]對(duì)于確定出的惡意對(duì)象,諸如掛馬網(wǎng)站���、黑鏈����、色情網(wǎng)站�、惡意軟件�、作弊器等等��,將這些惡意對(duì)象加入黑名單列表���,例如將惡意網(wǎng)站的url���、惡意軟件的名稱等加入黑名單列表。
[0107]在對(duì)惡意對(duì)象提取惡意特征時(shí)�����,可以提取但不限于以下特征:掛馬源��、域名信息���、注冊(cè)信息��、鏈接關(guān)系信息����、網(wǎng)絡(luò)內(nèi)容提供商(ICP)信息或者關(guān)鍵詞索引���。
[0108]反挖掘單元303����,用于利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配�����,將匹配得到的對(duì)象確定為惡意對(duì)象����。
[0109]反挖掘單元303還用于將確定出的惡意對(duì)象分別提供給特征提取單元302。
[0110]特征提取單元302從所述反挖掘單元提供的惡意對(duì)象中提取惡意特征��,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表���。
[0111]具體地����,反挖掘單元303在利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配時(shí)�����,具體可以但不限于以下方式:
[0112]方式一����、反向挖掘:判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象包含的超鏈接是否為惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象����,如果是��,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象�。
[0113]方式二、相似性挖掘:將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象進(jìn)行相似度計(jì)算���,如果相似度超過預(yù)設(shè)的相似度閾值���,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象。
[0114]方式三�����、特征挖掘:將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中的惡意特征進(jìn)行匹配����,如果滿足匹配條件,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象�。
[0115]其中特征挖掘的方式可以采用但不限于以下方式中的至少一個(gè):
[0116]I)將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征列表中的關(guān)鍵詞進(jìn)行匹配,如果滿足關(guān)鍵詞數(shù)量的匹配要求�,則認(rèn)為搜索數(shù)據(jù)庫(kù)中的對(duì)象為惡意對(duì)象。
[0117]2)將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征列表中的IP地址信息進(jìn)行匹配,如果屬于同一 IP地址����,則認(rèn)為該對(duì)象為惡意對(duì)象����。
[0118]3)將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征列表中的域名信息進(jìn)行匹配,如果具有相同域名����,則認(rèn)為該對(duì)象為惡意對(duì)象。
[0119]4)將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征列表中的注冊(cè)信息進(jìn)行匹配�����,如果具有相同注冊(cè)信息��,則認(rèn)為該對(duì)象為惡意對(duì)象���。
[0120]5)將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征列表中的ICP信息進(jìn)行匹配��,如果具有相同ICP信息�����,則認(rèn)為該對(duì)象為惡意對(duì)象����。
[0121]方式四、鏈接引用關(guān)系挖掘:判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象是否是惡意特征數(shù)據(jù)庫(kù)的黑名單列表中惡意對(duì)象所引用的對(duì)象����,如果是,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象�。
[0122]由于惡意特征數(shù)據(jù)庫(kù)的存儲(chǔ)空間有限,網(wǎng)絡(luò)中惡意對(duì)象又是動(dòng)態(tài)變化的�,例如網(wǎng)絡(luò)攻擊者利用一臺(tái)服務(wù)器進(jìn)行攻擊被發(fā)現(xiàn)后,很可能關(guān)閉該服務(wù)器��,其對(duì)應(yīng)的所有URL就無法訪問了���。因此�����,優(yōu)選地��,該建立裝置還包括:有效性驗(yàn)證單元304�����,用于定時(shí)對(duì)惡意特征數(shù)據(jù)庫(kù)中的黑名單列表中的惡意對(duì)象和惡意特征列表中的惡意特征進(jìn)行有效性驗(yàn)證����,保留驗(yàn)證有效的惡意對(duì)象和惡意特征,刪除驗(yàn)證無效的惡意對(duì)象和惡意特征��。
[0123]其中有效性驗(yàn)證單元304在進(jìn)行有效性驗(yàn)證時(shí)�����,具體執(zhí)行:向黑名單列表中的對(duì)象發(fā)出請(qǐng)求�,根據(jù)響應(yīng)結(jié)果確定該對(duì)象是否失效�,在黑名單列表中保留仍然有效的惡意對(duì)象,將失效的惡意對(duì)象從黑名單列表中刪除��;對(duì)于仍然有效的惡意對(duì)象進(jìn)一步進(jìn)行惡意對(duì)象檢測(cè)����,如果檢測(cè)結(jié)果仍為惡意,則在惡意特征列表中保留仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征�;如果檢測(cè)結(jié)果為非惡意,則將該惡意對(duì)象以及該惡意對(duì)象對(duì)應(yīng)的惡意特征分別從黑名單列表和惡意特征列表中刪除�。
[0124]其中,在進(jìn)行惡意對(duì)象檢測(cè)時(shí)�,有效性驗(yàn)證單元304可以通過調(diào)用已有的檢測(cè)模塊對(duì)仍然有效的惡意對(duì)象進(jìn)行惡意對(duì)象檢測(cè)�����,并獲取檢測(cè)結(jié)果����,此處已有的檢測(cè)模塊可以是一個(gè)以上獨(dú)立的檢測(cè)模塊����,每個(gè)檢測(cè)模塊可以采用不同的檢測(cè)方式或檢測(cè)條件,并發(fā)明并不限于此處惡意對(duì)象檢測(cè)的具體方式���。
[0125]優(yōu)選地,有效性驗(yàn)證單元304在惡意特征列表中保留仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征時(shí)�,具體執(zhí)行:判斷仍然有效的惡意對(duì)象的惡意特征是否發(fā)生變更�,如果是,則更新惡意特征列表中仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征�;否則保留仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征。
[0126]在本實(shí)施例中對(duì)于從惡意特征數(shù)據(jù)庫(kù)中刪除的惡意對(duì)象及其惡意特征����,可以記錄在歷史惡意庫(kù)中,記錄的內(nèi)容除了刪除的惡意對(duì)象及其惡意特征之外����,還可以包括但不限于:刪除時(shí)間�、刪除原因等�����,以備誤刪或者將來查閱����。
[0127]實(shí)施例四、
[0128]圖4為本發(fā)明實(shí)施例四提供的惡意對(duì)象檢測(cè)裝置的結(jié)構(gòu)圖����,該惡意對(duì)象檢測(cè)裝置所采用的惡意特征數(shù)據(jù)庫(kù)是由實(shí)施例三所提供的建立裝置得到的�����,如圖4所示�����,該檢測(cè)裝置包括:對(duì)象判斷單元401和特征匹配單元402�。
[0129]對(duì)象判斷單元401,用于判斷待檢測(cè)對(duì)象是否包含在惡意特征數(shù)據(jù)庫(kù)的黑名單列表中�����,如果是,確定待檢測(cè)對(duì)象為惡意對(duì)象��,否則觸發(fā)特征匹配單元402����。
[0130]特征匹配單元402,用于將待檢測(cè)對(duì)象在惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中進(jìn)行匹配�,如果滿足匹配條件,則確定待檢測(cè)對(duì)象為惡意對(duì)象�����;否則���,確定待檢測(cè)對(duì)象為非惡意對(duì)象�����。
[0131]更進(jìn)一步地�,該裝置還包括:特征提取單元403�����,用于在特征匹配單元402確定待檢測(cè)對(duì)象為惡意對(duì)象時(shí)����,從惡意對(duì)象中提取惡意特征�,分別將該惡意對(duì)象以及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表����。也就是說,檢測(cè)出來的惡意對(duì)象還可以用于反饋給惡意特征數(shù)據(jù)庫(kù)���,對(duì)新出現(xiàn)的惡意對(duì)象能夠迅速更新在惡意特征數(shù)據(jù)庫(kù)中����。
[0132]在該檢測(cè)裝置中還可以包括用于設(shè)定主機(jī)安全策略���、接收或發(fā)送安全報(bào)告的控制單元(圖中未示出)�,例如在本實(shí)施例中����,一旦確定待檢測(cè)對(duì)象為惡意對(duì)象����,則可以拒絕該惡意對(duì)象的執(zhí)行,防止其對(duì)主機(jī)造成破壞���,還可以發(fā)出告警等�。
[0133]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)��,所做的任何修改�����、等同替換��、改進(jìn)等�,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
【權(quán)利要求】
1.一種惡意特征數(shù)據(jù)庫(kù)的建立方法��,其特征在于�����,該建立方法包括: S1�����、犾取惡意對(duì)象樣本; S2�、從樣本中的惡意對(duì)象中提取惡意特征,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表�; S3、利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配�����,將匹配得到的對(duì)象確定為惡意對(duì)象����。
2.根據(jù)權(quán)利要求1所述的建立方法,其特征在于��,在所述步驟S3之后還包括: S4���、從步驟S3確定出的惡意對(duì)象中提取惡意特征�,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表��。
3.根據(jù)權(quán)利要求1所述的建立方法���,其特征在于,所述惡意特征包括:掛馬源��、域名信息�����、注冊(cè)信息、鏈接關(guān)系信息�����、網(wǎng)絡(luò)內(nèi)容提供商ICP信息或者關(guān)鍵詞索引����。
4.根據(jù)權(quán)利要求1所述的建立方法,其特征在于���,所述利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配����,將匹配得到的對(duì)象確定為惡意對(duì)象具體包括: 判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象包含的超鏈接是否為惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象���,如果是����,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象��;或者, 將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象進(jìn)行相似度計(jì)算��,如果相似度超過預(yù)設(shè)的相似度閾值�����,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象�;或者, 將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中的惡意特征進(jìn)行匹配�,如果滿足匹配條件,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象���;或者�����, 判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象是否是惡意特征數(shù)據(jù)庫(kù)的黑名單列表中惡意對(duì)象所引用的對(duì)象���,如果是,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象�。
5.根據(jù)權(quán)利要求1所述的建立方法,其特征在于��,該建立方法還包括: 定時(shí)對(duì)惡意特征數(shù)據(jù)庫(kù)中的黑名單列表中的惡意對(duì)象和惡意特征列表中的惡意特征進(jìn)行有效性驗(yàn)證���,保留驗(yàn)證有效的惡意對(duì)象和惡意特征���,刪除驗(yàn)證無效的惡意對(duì)象和惡意特征。
6.根據(jù)權(quán)利要求5所述的建立方法�,其特征在于,所述有效性驗(yàn)證具體包括: 向所述黑名單列表中的對(duì)象發(fā)出請(qǐng)求����,根據(jù)響應(yīng)結(jié)果確定該對(duì)象是否失效,在所述黑名單列表中保留仍然有效的惡意對(duì)象����,將失效的惡意對(duì)象從所述黑名單列表中刪除; 對(duì)于仍然有效的惡意對(duì)象進(jìn)一步進(jìn)行惡意對(duì)象檢測(cè)�����,如果檢測(cè)結(jié)果仍為惡意��,則在所述惡意特征列表中保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征�����;如果檢測(cè)結(jié)果為非惡意����,則將該惡意對(duì)象以及該惡意對(duì)象對(duì)應(yīng)的惡意特征分別從所述黑名單列表和惡意特征列表中刪除�����。
7.根據(jù)權(quán)利要求6所述的建立方法���,其特征在于,在所述惡意特征列表中保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征具體包括:判斷所述仍然有效的惡意對(duì)象的惡意特征是否發(fā)生變更�,如果是,則更新惡意特征列表中所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征�;否則保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征。
8.—種惡意對(duì)象檢測(cè)方法���,其特征在于��,該檢測(cè)方法包括: Al����、判斷待檢測(cè)對(duì)象是否包含在惡意特征數(shù)據(jù)庫(kù)的黑名單列表中�����,如果是����,確定所述待檢測(cè)對(duì)象為惡意對(duì)象����,結(jié)束對(duì)所述待檢測(cè)對(duì)象的檢測(cè)���;否則,執(zhí)行步驟A2 ��;A2���、將所述待檢測(cè)對(duì)象在惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中進(jìn)行匹配���,如果滿足匹配條件,則確定所述待檢測(cè)對(duì)象為惡意對(duì)象�;否則,確定所述待檢測(cè)對(duì)象為非惡意對(duì)象��; 其中所述惡意特征數(shù)據(jù)庫(kù)是采用如權(quán)利要求1至7任一權(quán)項(xiàng)所述建立方法得到的��。
9.根據(jù)權(quán)利要求8所述的檢測(cè)方法����,其特征在于���,在所述步驟A2中如果確定所述待檢測(cè)對(duì)象為惡意對(duì)象,則進(jìn)一步從惡意對(duì)象中提取惡意特征����,分別將該惡意對(duì)象以及對(duì)應(yīng)的惡意特征加入所述惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表。
10.一種惡意特征數(shù)據(jù)庫(kù)的建立裝置�,其特征在于,該建立裝置包括: 樣本獲取單元�����,用于獲取惡意對(duì)象樣本����; 特征提取單元,用于從樣本中的惡意對(duì)象中提取惡意特征�����,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表����; 反挖掘單元,用于利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配�,將匹配得到的對(duì)象確定為惡意對(duì)象���。
11.根據(jù)權(quán)利要求10所述的建立裝置,其特征在于�����,所述反挖掘單元���,還用于將確定出的惡意對(duì)象分別提供給所述特征提取單元; 所述特征提取單元從所述反挖掘單元提供的惡意對(duì)象中提取惡意特征���,分別將惡意對(duì)象及對(duì)應(yīng)的惡意特征加入惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表�。
12.根據(jù)權(quán)利要求10所述的建立裝置�����,其特征在于��,所述惡意特征包括:掛馬源����、域名信息、注冊(cè)信息��、鏈接關(guān)系信息、網(wǎng)絡(luò)內(nèi)容提供商ICP信息或者關(guān)鍵詞索引��。
13.根據(jù)權(quán)利要求10所述的建立裝置�����,其特征在于��,所述反挖掘單元在利用惡意特征數(shù)據(jù)庫(kù)對(duì)搜索數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行匹配時(shí)����,具體執(zhí)行: 判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象包含的超鏈接是否為惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象,如果是����,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象;或者�����, 將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的黑名單列表中的對(duì)象進(jìn)行相似度計(jì)算����,如果相似度超過預(yù)設(shè)的相似度閾值,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象;或者�, 將搜索數(shù)據(jù)庫(kù)中的對(duì)象與惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中的惡意特征進(jìn)行匹配,如果滿足匹配條件�,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象;或者��, 判斷搜索數(shù)據(jù)庫(kù)中的對(duì)象是否是惡意特征數(shù)據(jù)庫(kù)的黑名單列表中惡意對(duì)象所引用的對(duì)象����,如果是,則確定搜索數(shù)據(jù)庫(kù)中的該對(duì)象為惡意對(duì)象���。
14.根據(jù)權(quán)利要求10所述的建立裝置���,其特征在于�,該建立裝置還包括: 有效性驗(yàn)證單元,用于定時(shí)對(duì)惡意特征數(shù)據(jù)庫(kù)中的黑名單列表中的惡意對(duì)象和惡意特征列表中的惡意特征進(jìn)行有效性驗(yàn)證���,保留驗(yàn)證有效的惡意對(duì)象和惡意特征����,刪除驗(yàn)證無效的惡意對(duì)象和惡意特征�。
15.根據(jù)權(quán)利要求14所述的建立裝置,其特征在于,所述有效性驗(yàn)證單元在進(jìn)行有效性驗(yàn)證時(shí)�����, 具體執(zhí)行: 向所述黑名單列表中的對(duì)象發(fā)出請(qǐng)求�����,根據(jù)響應(yīng)結(jié)果確定該對(duì)象是否失效�,在所述黑名單列表中保留仍然有效的惡意對(duì)象,將失效的惡意對(duì)象從所述黑名單列表中刪除�; 對(duì)于仍然有效的惡意對(duì)象進(jìn)一步進(jìn)行惡意對(duì)象檢測(cè),如果檢測(cè)結(jié)果仍為惡意����,則在所述惡意特征列表中保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征;如果檢測(cè)結(jié)果為非惡意��,則將該惡意對(duì)象以及該惡意對(duì)象對(duì)應(yīng)的惡意特征分別從所述黑名單列表和惡意特征列表中刪除�。
16.根據(jù)權(quán)利要求15所述的建立裝置,其特征在于�����,所述有效性驗(yàn)證單元在惡意特征列表中保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征時(shí)�����,具體執(zhí)行:判斷所述仍然有效的惡意對(duì)象的惡意特征是否發(fā)生變更,如果是�����,則更新惡意特征列表中所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征�����;否則保留所述仍然有效的惡意對(duì)象對(duì)應(yīng)的惡意特征�����。
17.一種惡意對(duì)象檢測(cè)裝置�����,其特征在于�,該檢測(cè)裝置包括: 對(duì)象判斷單元�,用于判斷待檢測(cè)對(duì)象是否包含在惡意特征數(shù)據(jù)庫(kù)的黑名單列表中,如果是����,確定所述待檢測(cè)對(duì)象為惡意對(duì)象,否則觸發(fā)特征匹配單元; 特征匹配單元��,用于將所述待檢測(cè)對(duì)象在惡意特征數(shù)據(jù)庫(kù)的惡意特征列表中進(jìn)行匹配����,如果滿足匹配條件,則確定所述待檢測(cè)對(duì)象為惡意對(duì)象����;否則,確定所述待檢測(cè)對(duì)象為非惡意對(duì)象��; 其中所述惡意特征數(shù)據(jù)庫(kù)是由如權(quán)利要求10至16任一權(quán)項(xiàng)所述建立裝置得到的�����。
18.根據(jù)權(quán)利要求17所述的檢測(cè)裝置���,其特征在于�,該裝置還包括:特征提取單元����,用于在所述特征匹配單元確定所述待檢測(cè)對(duì)象為惡意對(duì)象時(shí),從惡意對(duì)象中提取惡意特征��,分別將該惡意對(duì)象以及對(duì)應(yīng)的惡意特征加入所述惡意特征數(shù)據(jù)庫(kù)的黑名單列表和惡意特征列表。
【文檔編號(hào)】G06F21/50GK103632084SQ201210297350
【公開日】2014年3月12日 申請(qǐng)日期:2012年8月20日 優(yōu)先權(quán)日:2012年8月20日
【發(fā)明者】周向榮 申請(qǐng)人:百度在線網(wǎng)絡(luò)技術(shù)(北京)有限公司