專利名稱：一種Internet惡意代碼的發(fā)現(xiàn)和追蹤方法
一種Internet惡意代碼的發(fā)現(xiàn)和鵬方法S^領域本發(fā)明屬^i十穀幾防病毒技術領域。
背景獄隨著互聯(lián)網(wǎng)的1 ^展，Internet惡意代碼M^多，而且危害^^越嚴重。當前， 反病毒方法大多局限于防御，即防止惡意代碼對本地計tm系統(tǒng)的滲透、攻擊和破壞。由于Internet 中隱 大量的惡意代碼，如何主動地發(fā)現(xiàn)這^意代碼，如何il5宗惡意代碼的源頭是一個必須 要解決的問題。
發(fā)明內(nèi)容I本發(fā)明目的是，艦主動發(fā)現(xiàn)前娃識另娜些隱藏在Internet中的惡意代碼，并根 據(jù)惡意代碼的拓撲分布圖進^mt蹤，以此定位惡意代碼的源頭，并iff古此惡意代碼的影響范圍。 一、本發(fā)明涉及的與互聯(lián)網(wǎng)有關的一^8* ::
(1) Internet惡意代碼本專利中的Internet惡意代碼是指隱藏在Internet中的計#^幾病毒和 惡意軟件，當用戶在不知情的情況下訪問了含有Internet惡意代碼的網(wǎng)站時，計S^幾病毒或者惡意 軟件就會發(fā)作。
在《中華人民共和國計嶽幾信息系統(tǒng)娃做絲ij》第二十八條中明確定義"計^t幾病毒， 是t識制或者在計穀/lf呈序中插入的破壞計穀幾功能或者破壞數(shù)據(jù)，影響計^^頓并且倉辦自
我復制的一組計^ia指令或者禾M^(戈碼"。微軟公司定義計^^幾病毒為"m設計的一種軟件程
序，它旨在干擾計嶽幾操作，記錄、飄^ 除 ，或者自行傳播到其他計對幾和齡Internet, 中國互聯(lián)網(wǎng)協(xié)會定義惡意軟件是指 明確^用戶或未經(jīng)用戶許可的情況下，在用戶計算
機或其他終端上安裝運行，侵3師戶合法權益的軟件，但已被我國現(xiàn)有法衛(wèi)封見規(guī)定的計^m病
毒除外。
(2) Internet文件(以下簡稱為文件)Internet中各類信息的載體，包括網(wǎng)頁文件(如html)、 可執(zhí)行文件(如exe)、文檔文件(如doc)和多媒體文件(如mp3、 rmvb)等。Internet文件與傳 統(tǒng)文件的不同在于，旨Internet文件都和一個Internet i魁止相對應，即都有一個唯一的uri ，并可 以艦url定位到所對應的Internet文件。
(3) 間接關聯(lián) 一個文件7中包含其它文件{/"/2"'","}的鏈接，當用戶訪問文件Z時， (/"/2，…，/J只是以鏈接的形式存在于用戶的系統(tǒng)中，只有當用戶選擇了其中的文件乂
(y;eW,/2，…，/j)的鏈接后，乂才下載歪,戶的系統(tǒng)中。因此，定義/到乂之間的關聯(lián)為間
接關聯(lián)，且,和乂所對應的uri也稱為間接關聯(lián)。例如，瀏覽新聞網(wǎng)站，用戶看至啲是各種新聞的 標題，,標題都對應著一4^l接，這，接定位到Internet中包含新聞內(nèi)容的文件，只有當用戶 點擊了其中一個新聞標題后，這個新聞標題的鏈接所對應的文件才下載至,戶的系統(tǒng)中，用戶就
可以瀏覽新聞的內(nèi)容了。
(4) 直接關聯(lián): 一個文件/中包含其它文件(/i,/2,...,/ }的鏈接，如果當用戶訪問文件/時，
乂 (/;e(y;,/2，…,yj)在沒有得至,戶認可盼瞎況下就自動地下載至,戶的系統(tǒng)中，那么稱/
到/是直接關聯(lián)的，且/和/所對應的url也稱為直接關聯(lián)的。例如，當用戶瀏覽某一網(wǎng)頁時，
計穀幾病毒文fj^自動地下載到用戶的計對幾中，夷p么這個網(wǎng)頁和下載的計嶽幾病毒文件就超 接關聯(lián)。
(5) 根據(jù)url所定位的文件的可疑度，將url的優(yōu)先級分成3個等級高、中、低。 高優(yōu)先級的url所對應的文件包含未知的惡意代碼，且當前還沒有針對該惡意代碼的解決方案。中 優(yōu)先級的url所對應的文件包含已知的惡意代碼，且當前己經(jīng)有針對該惡意代碼的解決方案。低優(yōu) 先級的url所對應的文件為未發(fā)現(xiàn)惡意代碼的文件或者未進行檢測的文件。艦設置優(yōu)先級,使得對 惡意url進衍罙度優(yōu)先搜索,對普通uri進行廣度優(yōu)先皿,以jth^短惡意代碼的發(fā)現(xiàn)時間。
(6) 拓撲信息是J射己錄url之間關l^系(包括直接關聯(lián)關系和間接關M系)的信息， 它反映了url間的邏輯拓撲關系。
二、 Internet惡意代碼的發(fā),法
本發(fā)明 的Internet惡意代碼的發(fā)現(xiàn)方法，包括如下步驟
第一、將可疑的111"1添加到惡意代碼搜索隊列丄={11111,1^2,...,加1 }中的低優(yōu)先級子隊列中， url,(B"w)e丄是用于發(fā)現(xiàn)惡意代碼的原始點。Z為多優(yōu)先級隊列，包括高、中、低三個優(yōu)先
級子隊列，分別為Zv4,A。從丄中取翻時先從A中取，如果^為空則從4中 ^,如果A 也為空則從丄,中取繊，子隊列內(nèi)部則按照5feA先出的原則取i^;
第二 i^U:步生成的惡意代碼搜索隊列丄中取出優(yōu)先級最高的url,，l S ""，傳遞纟紐激莫塊;
第三、超賺塊中，向上步傳艦來的url,錢HEAD請求，根據(jù)B向應信息內(nèi)容中的屬性 Status-Code、 Content-type、 Last-modified和Content-length等進行過濾，刪l^滿;SJi濾規(guī)則的urli ， 以提高惡意代碼的發(fā)現(xiàn)效率并斷氐網(wǎng)絡摘；
第四、將上步不滿題濾規(guī)則的url,傳遞給下謝莫塊，下謝對刺頓GET請求將url,所對應 的文件乂下載至體地，并將文件乂傳遞給惡意代碼掃描引擎，同時提取文件乂中的url,;
第五、根據(jù)上步所提取的文件/中的url，包括直接關聯(lián)的和間接關聯(lián)的url，得到集合 丄,={url),U《,...，urin，然后將集合丄,中的url添加至咧表丄的低優(yōu)先級子隊列A中，并將關聯(lián) 信息存儲到拓撲信息M庫中；
第六、禾傭現(xiàn)有的反病毒引擎對第四步下載的文件/進行檢測；當發(fā)現(xiàn)惡意代碼，分析惡意 代碼的結構，計算文件乂的MD5和SHA-1校驗和，將惡意代蹄言息存入惡意代碼,庫中，并
將集合4={1^，1 "1,2,...，^1;"}從￡/中刪除，然后將丄,添加到丄的中優(yōu)先級子隊列丄 中。
高丄,的優(yōu)先級，對丄,進W罙度優(yōu)先搜索。當沒有檢測到惡意代碼，貝i將url,傳遞給蜜罐系!艦行 檢測；
第七、蜜罐系統(tǒng)根據(jù)瀏覽url,和運行文件/過程中的行為，判斷是否含有惡意代碼；當檢測 到惡意行為，貝lj根據(jù)惡意行為分析惡意代碼的結構，計算文件乂的MD5和SHA-1校驗和，將惡 意代碼信息存入惡意代碼翻庫中，并將集合A^url!,u^，…,urin從丄,中刪除，然后將丄,添 加到丄的高優(yōu)先級子隊列^中。并腿出未知惡意代碼的警報，對惡意代碼進行緊急響應；并返 回第一步，進份盾環(huán)操作；
發(fā)出警報是指向國家計嶽幾病毒應急處理中心上,知惡意代碼；緊急響應是指病毒分析員 根據(jù)計^^幾病毒緊急響應禾ii^對惡意代碼進fi^細分析并及,出解決方案的過禾呈。
以±^三步中戶腿的過濾規(guī)則是
根據(jù)Status-Code屬'Murl的當前狀態(tài)進《斑濾；根據(jù)Content-type屬艦url所對應的文件 的類型進行過濾根據(jù)Last-modified屬',url的最后修改時間進纟f3l濾和根據(jù)Content-length屬 艦url所對應文件的長度謝斑濾。
三、Internet惡意代碼的i^^
本發(fā)明 的Internet惡意代碼的iUg方法，具體步驟如下 第一、粒關 系圖^=(丌,￡)
其中，r是有限個頂點v的集合，每個頂點表示，發(fā)現(xiàn)方法中所述的拓撲信息數(shù)據(jù)庫中的 一個url;五是r中頂點對(v,，".)的有限集，頂點對(v,A)我們稱之為邊，每條邊{樣一對 url間的關K^系，因為url間的關聯(lián)^m是有方向的，所以邊也是有方向的；
ffiiit歷拓撲信息i^庫，將所有的url加入至瞧合r中，將所有的直接關^^加入歪瞧合 A中，將所有的間接關 ^力口入到集合￡,中，￡ = ^U￡,，集合r和&就組成了直接關麟 系圖C^ =(F，￡d)，集合卩和￡,就纟賊了間接關 系圖0,，集合r和五就組成了關聯(lián) 關系圖G;
第二、提取惡意代碼的線索
jfcbl禾翻到K、 f、 ^'、 ￡,、《、《六賴合；其中K是與v,有關^^的頂點集合，^ 是與v,有直接關,系的頂點集合，1>7是與"有間接關 系的頂點集合；五,是^中各頂點之間 所，的邊的集合，《是^中各頂點之間所存在的邊的集合，f,'是fT中各頂點之間所存在的邊 的集合；集合K、 C、 K'、《、￡,、五;初始時為空集；
首先找到包含惡意代碼的文件/所對應的url,在集合r中對應的頂點v,，并將"依據(jù)不同的
關聯(lián)關系加入到集合K、 ^、 K'中，然^1歷直接關 系圖<^，將所有倉辦直接關聯(lián)到url,的 頂點加入集合"，將直接關聯(lián)到url,的邊加入集合《，再次遍歷直接關^^圖C^，將所有能 夠直接關聯(lián)到集合C中的頂點，且不包含于I^的頂點"(即("g C)D(v, e r))添加到c中， 將新添加的頂點與集合^中的頂點之間的邊 (即(^g五,勺n(^eA))添加到《中；循環(huán)遍 歷直接關聯(lián)關系圖C^，直到集合^和《中的元素不再增加為止，便得到url,的直接關,系圖 《氣^《)；以同樣的方法，可以得到url,的間接關S^系圖G,' =07,五,')；直接關 系圖《 和間接關^t系圖《為惡意代碼的ii^M共了線索； 第三、定位惡意代碼的源頭
遍歷直接關麟系圖Gf中的所有頂點，如果避幅Gf中的環(huán)，就將!賊環(huán)的各個頂點抽象 成一個頂點，直到直接關^系圖G,中的出度為0的頂點不再增加為止，這些出度為零的頂點所 代表的url就是惡意代碼的源頭。
四、評估惡意代碼的影響范圍
本發(fā)明戶皿惡意代碼的影響范圍的刑古包括
直接關 系圖中的頂點所^f，的url是受惡意代碼影響Sm接的url ，只要訪問這些url 就肯定要遭受惡意代碼的攻擊。他們受到Internet惡意代碼的影響度為"0";
當直接關K^圖Gf和間接關聯(lián)^^圖G,'中的頂點有相同的，將間接關i^圖G,'中所有 與這些相同的頂點相膽不屬于直接關麟系圖Gf的點和邊添力倒直接關K^圖Gf中形成新 的關聯(lián)關系圖G1，這些新添加的頂點所代表的url存在遭受惡意代碼攻擊的可能，但不會直git 至吸擊，他們與受到Internet惡意代碼攻剖娃一個間接關聯(lián)，他們受到Inteinet惡意代碼的影響 度為"1";
當間接關 系圖《和關聯(lián)關系圖G1中有相同的頂點，將間接關聯(lián)關系圖G,'中所有與這些 相同的頂點相連且不屬于關聯(lián)關系圖G1的點和邊添加到關聯(lián)關系圖G1中形成新的關聯(lián)關系圖 G2，新添加的頂點所代表的url^f受惡意代碼攻擊的可能性要低于圖G沖的頂點，它們受到 Internet惡意代碼的影響度為"2";
采用同樣的方法可以得到關 系圖<^,....，0" (&cG2cG3…c:G")，訪問S^^m 圖的頂點時都有受到惡意代碼攻擊的可能性，但訪問新增加的頂點時受到惡意代碼攻擊的可能性 相應減低，受到Internet惡意代碼的影響度依次升高。
本發(fā)明的優(yōu)點和積極郷
1. 及時發(fā)現(xiàn)Internet中的惡意代碼。
2. iti認意代碼的源頭。
3. 確定惡意代碼的擴散范圍。
4.評估正常網(wǎng)頁受惡意代碼的影響度。


圖1 ，意代碼的發(fā)現(xiàn)i^^呈圖。
圖2是惡意代碼的iigtmf呈圖。
圖3是根據(jù)拓撲信息庫粒的關麟系圖，圖中圓圈標url，纖標url間的關麟系，虛 線箭頭標間接關聯(lián)，實線箭頭標直接關聯(lián)。
圖4 ，意代碼的關 系圖，圖中灰色的節(jié)點細戎了 Intern改惡意代碼的直接關^系圖。
具鵬1&^;
實施例l: Internet惡意代碼的發(fā)現(xiàn)
http://www.ahzi,m (請不要訪問該網(wǎng)站，否則會受至lj惡意代碼的攻擊)是一M有Internet 惡意代碼的網(wǎng)站，當用戶訪問這個網(wǎng)站時會受到惡意代碼的攻擊。利用本方法能夠主動的發(fā)現(xiàn)該
網(wǎng)站所包含的惡意代碼，具體處理流程如下
1. 將http:〃www.ah^jsp.com添加到Internet惡意代碼的搜索隊列中。
2. 從Internet惡意代碼搜索隊列中取出http://www.ah23'sp.com傳3H^aM^塊。
3. 向http:〃www.ah^sp.com HEAD i青求，《導到Status^Code: 200、 Content-type: text/html、 Content國length:2705,不滿齟激見則，將其傳微下載模塊。
4. 向http://www.ah2jsp.com腿GET請求，得到其所對應的文ft^f專遞給惡意代碼掃描弓|
擎進行檢測，同時提取文件中包含的url，得到url列表
攀 http://qqhaomm.cn
參 http://www.ah^jsp.com/gbook/index.asp
參 http://www.ah^sp.com/product.asp bigclassname=%B4%BF%BE%BB%CB%AE%C9 %E8%B1%B8
參 http:〃www.ah^sp.com/productasp bigclassnan^/0B90/oCF%D7%D3%BB%FA
參 http://www.ah^sp.com/product.asp bigclassname=%B9%FB%B6%B3%Bl%AD
參 http:〃www.ahg'sp.com/product.asp bigclassname=%B90/0FB%B6%B30/0BB0/oFA
參 http://www.ah^sp.com/product.asp bigclassname=^/0CA%B3%C6%B7%CF%B5%Cl% DO
肇 htQ)://www.ah^jsp.com/shownews.asp id=46
參 ht^)://www.ah^sp.com/shownews.asp id=47
參 http:〃www.ah^jsp.com/shownews.asp id=48
參 http://www.ah^jsp.com/shownews.asp id=49
攀 http:〃www.ahg'sp.com/zhujia.css
http://www.macromedia com/go/getflashplayer 參 http://yyhaomm.cn
將提取出的url添加到Internet惡意代碼體對列中。拓撲信息 庫如下表:
http://qqhaomm.cn http://ww，ahzjsp.com/ 1 script
http://www.ahzjsp.com/ origin 0 origin
http://www.ahzjsp■ com/gbook/index,asp http://www■ ahzjsp.com/ 0 a
http://www■ ahzjsp■ com/product■ asp bigclassnarne-%B4%BF%BE%BB%CB%AE%C9%E8%B1 %B8 http:Oww,ahzjsp■ com亍 0 a
http:/^rtW,ahzisp.com〖product.asp bigdas5name=。/。B9。/oCF%D7%D3%B8%FA http://www,ahzjsp.com/ 0 a
http://www.ahzjsp,com/produrt.asp bigclassname=%B9%FB%B6。/。B3%Bl%AD http://www.ahzjsp.com/ 0 a
http: //www.ahzjsp.com/product,asp bigdassname=%B9%FB%B6%B3%B8%FA http://www.ahzjsp■ com/ 0 a
http:,/www.ahzjsp,com/procb:t.asp bigdassname-%CA%B3%C6%B7%CF%B5%Cl%D0 http://www.ah2jsp.com/ 0 a
http://ww,ahzjsp,com/shownews,asp id=*l6 http://www.ahzjsp.com/ 0 a
http:〃www,ahzjsp,com/shown洲s■ asp id=47 http:w.ahzjsp■ com/ 0 a
http://www■ ahzjsp.com,shownews■ asp id=48 http:;/www.ah2jsp.com/ 0 a
http://wvw.ah2jsp.c。m/sh。wnews.asp id-49 http://ww.ah2jsp.com/ 0 a
http:〃vww,ahzjsp.com/zhujia.css http://www,ahzjsp.com/ 0 link
http://www.macromedia■ com/go/getflashplayer http://簡w.ahzjsp■ com/ 0 embed
http: //yyhaomm ■ cn http: "www. ahz jsp. com/ 1 scrig^
第一列為提取出的url,第二列為url的關謝言息，第三列為關^M， l為直接關聯(lián)，O為間 接關聯(lián)，第四列為關聯(lián)的fe^t息，t^t息，來判斷關聯(lián)類型的。 6.根據(jù)Internet惡意代碼體隊列中的url信息，繼續(xù)進行發(fā)現(xiàn)，最對導至U拓撲信息娜庫 如下表http他mO 15, cn/flink. htmlhttp: //yyhaomm.cn1ifr抓6
http//jzmO 15,卬/ilink, html http: /〖yyh3omm.cn1
http//jzmO 15. cn/sina, htm http: //user 1, hxg008. cn/a2/f .htm1script
http//jzmO 15. cn/swf object. jshttp: //jzmOlS.cn/flink.html1script
http//qqhaomm' cn http: //www,ahzjsp,com/1script
http//user 1 hxg008.cn/32/fx, htm http: //userl .hxg008,cn/a2/fxx.htm1script
http//user 1. hxgOOS cn/a2/f xx, htm http: //www ■ hxg006. cn/b2 ， htm1
http//user 1, hxg008, cn/s2/ss, html http: //user 1. hxg008. cn/a2/f xx ■ htm1script
http//www ahs jsp com/ origin0origin
http■ ahz jsp com/gbook/index, ssphttp: //www,ahzjsp.com/0
http//w, ■ ahzjsp. com/product. asp bigclassn5 http: //www.ahzjsp.com/03
http//w需.ahzjsp. com/product ■ asp bigclassns http: //w,， ahzjsp.com/03
http//www,ahzjsp.com/product， asp bigcl股r^ http:j/,w,ahzjsp,com/03
http//www. ahzjsp. com/product. asp bigda5sn￡ http: /ahzjsp.com/03
http//www. ahzjsp. com/product asp bigclassn5 http: //www,ahzjsp.com/0
http//www, 3hzjsp ■ com/shownews. 3sp7id=46 http: //www, ahsjsp, corn/0
http//www, ahzjsp. com/shown洲s. asp id=47 http: j/,w,ahzjsp,com/03
http//w,. ahzjsp. com/shownews ，asp id=48 http: j/www, ahzjsp.com/03
http//w額.ahzjsp. com/shownews ■ asp id=49 http: //w剛，ahzjsp.com/0
http//,w. ahzjsp. com/zhu jia. ess http: //w簡，ahsjsp.com/0link
http//www, hxg006. cn/b2, htm http: j/yyhaomm,cn1
http//,w. macromedia. com/go/getflashplayer http: //w,. ahzjsp.com/0embed
http//w,. zmj jjyy, cn/new/a2. ess http: //user 1. hxg008 ■ cn/32/ss, html1script
http//yyh30睡.cn http://簡w.ahzjspxom/1script
7.惡意代^M弓l對n蜜4l^纟l^:現(xiàn)http://www.zmiijyy.cn/new/a2.css為惡意代碼。
實施例2: Internet惡意代碼的鵬
1.建立關l^圖
根據(jù)Internet惡意代碼發(fā)現(xiàn)步驟后得到的拓撲信息M庫粒關聯(lián)關系圖 粉石撲信息i^庫中的uri抽象成一個點，針節(jié)點定義一個編號，如下表:匿http//jzm015.cn/flink,htmlhttp://yyh3omm.cn1
3http//jsm015,cn/ilink,htmlhttp://yyh3omm.cn1ifr抓s
4http他mO 15 ■ cn/sina, htmhttp: //user 1. hxg008.cn/a2/fxx. htm1script
5http他mO 15. cn/swf object. jshttp://jzm015.cn/flink,html1script
6http//qqhaomm.cnhttp: //冊w. ahz jsp ■ com/1script
7http//user 1. hxg008. cn/32/f >:' htmhttp: //user 1' hxg008 ■ cn/a2/fxx, htm1script
8http//user 1. hxg008. cn/32/f , htmhttp: //w簡.hxg006. cn/b2. htm1
9http//user 1. hxg008. cn/s2/ss. htmlhttp: //user 1. hxg008 ■ cn/a2/to htm1script
10http//www, ahzjsp.com/origin0origin
11http//w簡■ ahz jsp. com/gbook/index ■鄰http: //w,. ahsjsp. com/03
12http//w,.ahzjsp,com/product.asp bigdassn5http: //需w, ahz jsp, com/0
13http//■w. ahz]sp ■ com/product, asp bigclassnEhttp: //需w ahzjsp, com/0
14http//w,.ahzjsp.com(prodLid:,asp bigclassn5http: / /www. ahz jsp. com/03
15http//■w. ahsjsp. com/product. asp bjgdassn5http: //, w, ahz jsp ■ com/0
16http//,w. ahzjsp. com/product. asp bigclassnehttp: //w, ahzjsp ■ com/0
17http//www.ah2jsp.com/shownews,asp idM6http: //w剛.ahzjsp, com/03
18http//www ■ ahzjsp ■ com/shownews. asp id=47http: //w剛,ahs jsp, com/0
19http//剛w. ahzjsp. com/showne . asp id=48http: //,w, ahz jsp ■ com/03
20http//剛w, shzjsp. com/shownews. asp7id-49http: //www. ahzjsp .com/0
21http//剛w ■ ahs jsp. com/zhujia. esshttp: //,w. ahs jsp com/0link
22http//www ■ hxg006 ■ cn/b2 ■ htmhttp://yyh3omm.cn1iframe
23http〃,w. macromedia. com/go/getHashplayer http: //w,. ahzjsp ■ com/0embed
1http//www. zm j jjyy. cn/new/a2. esshttp://userl.hxg008,cn/a2/ss.html1script
24http//yyhaomm,cnhttp: //www. ahs jsp. com/1script
關系圖見圖3、圖4，
圖中灰色的節(jié)點會賊了 Internet惡意代碼的直接關聯(lián)^^、圖。由此可以發(fā)現(xiàn)惡意代碼的源頭為 節(jié)點l。
實施例3:惡意代碼影響范圍的i啊古
當用戶訪問了 Internet惡意代碼的直接關^系圖中的節(jié)點后會穀隨意代碼的直接攻擊，所 以上圖中的灰色節(jié)點都是危險的。訪問那些與灰色節(jié)點有間接關聯(lián)的網(wǎng)站也有受到惡意代碼攻擊 的可能性的，但不會，喧接攻擊。這些灰色節(jié)點受惡意代碼的影響度為O。
權利要求
1、一種Internet惡意代碼的發(fā)現(xiàn)方法，其特征在于該方法包括如下步驟第一、將可疑的url添加到惡意代碼搜索隊列L＝{url1，url2，…，urln}中的低優(yōu)先級子隊列中，urli(1≤i≤n)∈L是用于發(fā)現(xiàn)惡意代碼的原始點；L為多優(yōu)先級隊列，包括高、中、低三個優(yōu)先級子隊列，分別為Lh，Ln，Ll；從L中取數(shù)據(jù)時先從Lh中取，當Lh為空則從Ln中取數(shù)據(jù)，當Ln也為空則從Ll中取數(shù)據(jù)，子隊列內(nèi)部則按照先入先出的原則取數(shù)據(jù)；第二、從上步生成的惡意代碼搜索隊列L中取出urli，1≤i≤n，傳遞給過濾模塊；第三、在過濾模塊中，向上步傳遞過來的urli發(fā)送HEAD請求，根據(jù)響應信息內(nèi)容中的屬性Status-Code、Content-type、Last-modified和Content-length進行過濾，刪除滿足過濾規(guī)則的url，以提高惡意代碼的發(fā)現(xiàn)效率并降低網(wǎng)絡開銷；第四、將上步不滿足過濾規(guī)則的urli傳遞給下載模塊，下載模塊使用GET請求將urli所對應的文件fi下載到本地，并將文件fi傳遞給惡意代碼掃描引擎，同時解析文件fi并從中提取url信息；第五、根據(jù)上步所提取的文件fi中的url，包括直接關聯(lián)的和間接關聯(lián)的url，得到集合<maths id="math0001" num="0001" ><math><![CDATA[ <mrow><msub> <mi>L</mi> <mi>i</mi></msub><mo>=</mo><mrow> <mo>{</mo> <msubsup><mi>url</mi><mi>i</mi><mn>1</mn> </msubsup> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mn>2</mn> </msubsup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mi>m</mi> </msubsup> <mo>}</mo></mrow><mo>,</mo> </mrow>]]></math> id="icf0001" file="A2008101512570002C1.tif" wi="41" he="4" top= "140" left = "22" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>然后將集合Li中的url添加到列表L的低優(yōu)先級子隊列Ll中，并將關聯(lián)信息存儲到拓撲信息數(shù)據(jù)庫中；第六、利用現(xiàn)有的反病毒引擎對第四步下載的文件fi進行檢測；當發(fā)現(xiàn)惡意代碼，分析惡意代碼的結構，計算文件fi的MD5和SHA-1校驗和，將惡意代碼信息存入惡意代碼數(shù)據(jù)庫中，并將集合<maths id="math0002" num="0002" ><math><![CDATA[ <mrow><msub> <mi>L</mi> <mi>i</mi></msub><mo>=</mo><mrow> <mo>{</mo> <msubsup><mi>url</mi><mi>i</mi><mn>1</mn> </msubsup> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mn>2</mn> </msubsup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mi>m</mi> </msubsup> <mo>}</mo></mrow> </mrow>]]></math> id="icf0002" file="A2008101512570002C2.tif" wi="39" he="4" top= "171" left = "34" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>從Ll中刪除，然后將Li添加到L的中優(yōu)先級子隊列Ln中。通過提高Li的優(yōu)先級，對Li進行深度優(yōu)先搜索；當沒有檢測到惡意代碼，則將urli傳遞給蜜罐系統(tǒng)進行檢測；第七、蜜罐系統(tǒng)根據(jù)瀏覽urli和運行文件fi過程中的行為，判斷是否含有惡意代碼；當檢測到惡意行為，則根據(jù)惡意行為分析惡意代碼的結構，計算文件fi的MD5和SHA-1校驗和，將惡意代碼信息存入惡意代碼數(shù)據(jù)庫中，并將集合<maths id="math0003" num="0003" ><math><![CDATA[ <mrow><msub> <mi>L</mi> <mi>i</mi></msub><mo>=</mo><mrow> <mo>{</mo> <msubsup><mi>url</mi><mi>i</mi><mn>1</mn> </msubsup> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mn>2</mn> </msubsup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msubsup><mi>url</mi><mi>i</mi><mi>m</mi> </msubsup> <mo>}</mo></mrow> </mrow>]]></math> id="icf0003" file="A2008101512570002C3.tif" wi="39" he="4" top= "209" left = "101" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>從Ll中刪除，然后將Li添加到L的高優(yōu)先級子隊列Lh中，并且發(fā)出未知惡意代碼的警報，對惡意代碼進行緊急響應；并返回第一步，進行循環(huán)操作；發(fā)出警報是指向國家計算機病毒應急處理中心上報未知惡意代碼；緊急響應是指病毒分析員根據(jù)緊急響應步驟對惡意代碼進行分析并提出解決方案的過程。
2、 根據(jù)權利要求1戶腿的發(fā)現(xiàn)方法，辦征在于第三步中戶腿的過濾規(guī)貝提根據(jù)Status-Code嵐性對url的當前狀態(tài)進《Til濾；根據(jù)Content-type嵐性對url所對應的文件 的類型進行過濾；根據(jù)Last-modified廣性對url的最后修改時間進fi^濾和根據(jù)Content-length屬艦url所對應文件的長度進行過濾。
3、 一種Internet惡意代碼的超f^法，，征在于該方法的具體步驟如下 第一、^關^^圖G氣F,五)其中，F(xiàn)是有限個頂點v的集合，齡頂點^^權利要求1中臓的拓撲信息,庫中的一 個url; 5是F中頂點對(v,，")的有限集，頂點對(v,.,")謝門稱之為邊，每條邊f(xié)^""對url 間的關 系，因為url間的關i^是有方向的，所以邊也是有方向的；ffi3i^歷拓撲信息i^庫，將所有的uri加入到集合r中，將所有的直接關麟系加入到集合 A中，將所有的間接關^^加入到集合五,中，￡ = ^U《，集合r和A就纟賊了直接關聯(lián)關 系圖& 集合r和g就纟U戎了間接關i^系圖G, ，集合r和五就組成了關聯(lián)關系圖G ;第二提取惡意代碼的線索鵬娜化、C、 K'、五,、五,、五;六賴合；其中"是與v,有關聯(lián)絲的頂點集合，e是與"有直接關 系的頂點集合，p;'是與"有間接關i^系的頂點集合；g是^中各頂點之間 所存在的邊的集合，五f是c中各頂點之間所存在的邊的集合，g是K中各頂點之間所，的邊的集合；集合^、 6 K'、 ￡,、 ￡,、五;初始時為空集；首先找到包含惡意代碼的文件乂所對應的url,在集合r中對應的頂點v,，并將v,依據(jù)不同的 關^^加入到集合K、 ^、 K'中，然后遍歷直接關^^圖(^，將所有眘,直接關聯(lián)到url,的 頂點加入集合"，將直接關聯(lián)到url,的邊加入集合《，再次遍歷直接關 系圖<^，將所有能 夠直接關聯(lián)到集合^中的頂點，且不包含于^的頂點"添加到^中，即("g^)門("e JO將新添加的頂點與集合^中的頂點之間的邊^(qū)添加到《中，即h g《)n(e, e a);循環(huán)艦圖Gd，直到集合C和《中的元素不再增加為止，便得到url,的直接關麟系圖G;SC五,"；以 同樣的方法，可以得到url,的間接關^系圖G,'直接關聯(lián)關系圖G,和間接關^^ 圖G,'為惡意代碼的il^if共了線索； 第三、定位惡意代碼的源頭遍歷直接關麟系圖Gf中的所有頂點，當遇到圖Gf中的環(huán)，就將艦環(huán)的於頂點抽象成 一個頂點，直到直接關麟系圖《中的出度働0的頂點不再增加為止，這些出度為零的頂點所 代表的url就是惡意代碼的源頭。
4、 根據(jù)權利要求3臓的鵬方法，期寺征在于惡意代碼的影響范圍的i糊包括 直接關 系圖<^中的頂點所f^的url是受惡意代碼影響:St接的uri ，只要訪問,url就肯定要遭受惡意代碼的攻擊。他們受到Internet惡意代碼的影響度為0;當直接關M系圖(^和間接關^系圖G;中的頂點有相同的，將間接關^系圖G,'中所有 與這些相同的頂點相皿不屬于直接關^系圖Gf的點和邊添加到直接關^系圖Gf中形成新 的關聯(lián)關系圖G1，這些新添加的頂點所代表的url^I受惡意代碼攻擊的可能，但不會直接遭 到攻擊，他們與Internet惡意代碼相距一個間接關聯(lián)，他們穀U Internet惡意代碼的影響度為1;當間接關^系圖G,'和關聯(lián)關系圖G1中有相同的頂點，將間接關^系圖G;中所有與這些 相同的頂點相連且不屬于關聯(lián)關系圖G1的點和邊添加到關聯(lián)關系圖G1中形成新的關聯(lián)關系圖 G2，新添加的頂點所代表的url存在遭受惡意代碼攻擊的可能性要低于圖&中的頂點，它們與 Internet惡意代碼相距兩個間接關聯(lián)，受到Internet惡意代碼的影響度為2;采用同樣的方法可以得到關 ^圖(53,...,(^ (G'cG2cG3…czG")，訪問這^ 系 圖的頂點時皿受到惡意代碼攻擊的可能性，但訪問新增加的頂點時受到惡意代碼攻擊的可能性 相應減低，受到Internet惡意代碼的影響度依次升高。
全文摘要
一種Internet惡意代碼的發(fā)現(xiàn)和追蹤方法。本發(fā)明主動地去發(fā)現(xiàn)隱藏在Internet中的惡意代碼，并根據(jù)惡意代碼在Internet中的拓撲分布信息進行追蹤，定位惡意代碼的源頭，評估此惡意代碼的影響。本方法首先對用戶提交的可疑網(wǎng)頁進行解析，提取文件中的鏈接信息進行廣度優(yōu)先搜索。對搜索過程中發(fā)現(xiàn)的文件進行多反病毒引擎的交叉檢測來發(fā)現(xiàn)已知的惡意代碼和蜜罐檢測來發(fā)現(xiàn)未知的惡意代碼。如果發(fā)現(xiàn)惡意代碼則通過提升優(yōu)先級進行深度優(yōu)先的追蹤。建立惡意代碼的Internet拓撲圖，定位惡意代碼的源頭，評估對正常網(wǎng)頁的影響度。
文檔編號G06F21/00GK101350822SQ20081015125
公開日2009年1月21日 申請日期2008年9月8日 優(yōu)先權日2008年9月8日
發(fā)明者志 王, 賈春福 申請人:南開大學