一種網(wǎng)絡威脅的跟蹤識別方法及裝置的制作方法

文檔序號：7889172閱讀：158來源：國知局

專利名稱：一種網(wǎng)絡威脅的跟蹤識別方法及裝置的制作方法
技術領域：
本發(fā)明涉及計算機網(wǎng)絡技術領域，特別涉及一種網(wǎng)絡威脅的跟蹤識別方法及裝置。
背景技術：
隨著計算機技術和網(wǎng)絡技術的不斷發(fā)展和應用，計算機和網(wǎng)絡已成為人們生活和工作中所必須的工具。與此同時，計算機病毒對計算機及網(wǎng)絡的攻擊也與日俱增，破壞性日
益嚴重。目前，針對計算機病毒的防護，一種是需要在用戶端(如計算機，智能手機等)安裝病毒防護軟件，病毒防護軟件對運行在計算機上的惡意軟件或代碼進行查殺，主要是通過病毒特征匹配技術來查找已知病毒，而對于匹配不成功的病毒特征(即可能是未知的新病毒)，只能向用戶提示，用戶需要提取該病毒特征的可疑樣本，并將可疑樣本提交給防病毒廠商進行分析處理，如果防病毒廠商經過處理確認是病毒，則由防病毒廠商提取該病毒特征，并提交到病毒庫中，再通過病毒庫升級的方式將新的病毒特征更新到該用戶本地，進行新病毒的查殺。但是，在對未知新病毒的樣本提取方面，由于用戶沒有相關領域的知識，提交的未知病毒樣本的質量通常情況下都會存在問題。因此，安裝防病毒軟件只對受到威脅的用戶終端的安全進行防護，并不能對病毒傳染源進行有效的跟蹤處理。另一種是蜜罐技術，通過在互聯(lián)網(wǎng)上部署一些蜜罐，被動的等待攻擊者對其發(fā)動攻擊。在捕獲到攻擊信息時，進行記錄與分析。最后，將各個蜜罐收集到的攻擊信息加以匯總，從而形成僵尸網(wǎng)絡的拓撲信息。但是，這種被動的等待攻擊者對蜜罐發(fā)動攻擊，同時受蜜罐數(shù)量，部署位置的影響。因此，在對現(xiàn)有技術的研究和實踐過程中，本發(fā)明的發(fā)明人發(fā)現(xiàn)，現(xiàn)有的實現(xiàn)方式中，只保護受保護對象免受威脅，但不對威脅來源，以及該威脅對其他用戶終端可能產生的危害進行跟蹤分析。

發(fā)明內容
本發(fā)明實施例提供一種網(wǎng)絡威脅的跟蹤識別方法及裝置，以解決現(xiàn)有技術中只保護受保護對象免受威脅，不對威脅來源進行跟蹤分析，導致其他用戶網(wǎng)絡訪問不安全的技術問題。為解決上述技術問題，本發(fā)明實施例提供一種網(wǎng)絡威脅的跟蹤識別方法，所述方法包括獲取網(wǎng)絡數(shù)據(jù)；
獲取所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，獲取所述網(wǎng)絡數(shù)據(jù)中的訪問URL的源端IP地址；將所獲取的網(wǎng)絡數(shù)據(jù)中的URL及所述源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配；其中，所述預置的威脅跟蹤列表中保存有已知的被感染IP地址及惡意URL ；若在所述獲取的URL中匹配到有相同的URL，則將訪問過所述匹配到的URL的源端 IP地址確定為被感染IP地址；若在所述獲取的源端IP地址中匹配到有相同的IP地址，則將匹配到的源端IP地址所訪問的URL進行是否是威脅URL的分析，得到存在威脅的URL。本發(fā)明實施例還提供一種網(wǎng)絡威脅的跟蹤識別方法，所述方法包括獲取網(wǎng)絡數(shù)據(jù)；獲取所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL ；將所述獲取的URL與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，如果所述獲取的 URL匹配到有相同的URL，將訪問過所述存在威脅的URL的源端IP地址確定為被感染IP地址；其中，所述預置的威脅跟蹤列表中保存有已知的惡意URL。相應的，本發(fā)明實施例提供一種網(wǎng)絡威脅的跟蹤識別裝置，所述裝置包括獲取單元，用于獲取網(wǎng)絡數(shù)據(jù)；第一確定單元，用于獲取所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，獲取所述網(wǎng)絡數(shù)據(jù)中的訪問URL的源端IP地址；匹配單元，用于將所獲取的網(wǎng)絡數(shù)據(jù)中的URL及所述源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，其中，所述預置的威脅跟蹤列表中保存有已知的被感染IP地址及惡意URL ；第二確定單元，用于在所述匹配單元匹配到有相同的URL時，將訪問過所述匹配到的URL的源端IP地址確定為被感染IP地址；檢測單元，用于在所述匹配單元匹配到有相同的IP地址時，將匹配到的源端IP地址所訪問的URL進行是否是威脅URL的分析，得到存在威脅的URL。由上述公開的技術方案可知，本發(fā)明實施例依據(jù)對已掌握的傳染源(馬源，被掛馬網(wǎng)站等)進行跟蹤，找出網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，以及訪問所述URL的源端IP 地址，對所述URL和訪問所述URL的源端IP地址進行跟蹤、排查，發(fā)現(xiàn)新的傳染源和被感染者。重復上述過程，就可以形成一張龐大的威脅網(wǎng)絡。通過對該威脅網(wǎng)絡的持續(xù)跟蹤，獲得當前網(wǎng)絡威脅狀態(tài)，即發(fā)現(xiàn)已知和未知的威脅，從而形成網(wǎng)絡威脅的整體安全態(tài)勢和發(fā)展趨勢，為安全廠商和普通用戶提供幫助。

圖1為本發(fā)明實施例提供的一種網(wǎng)絡威脅的跟蹤識別方法的流程圖；圖2為本發(fā)明實施例提供的一種網(wǎng)絡威脅的跟蹤識別方法的應用實例的流程圖；圖3為本發(fā)明實施例提供的一種網(wǎng)絡威脅的跟蹤識別裝置的結構示意圖；圖4為本發(fā)明實施例提供的一種檢測系統(tǒng)的結構示意圖；圖5為本發(fā)明提供的一種以木馬類威脅為例的示意圖。
具體實施例方式為了使本技術領域的人員更好地理解本發(fā)明實施例的方案，下面結合附圖和實施方式對本發(fā)明實施例作進一步的詳細說明。請參閱圖1，為本發(fā)明實施例提供的一種網(wǎng)絡威脅的跟蹤識別方法的流程圖；所述方法包括步驟101 獲取網(wǎng)絡數(shù)據(jù)；該步驟中，檢測系統(tǒng)或者檢測系統(tǒng)中的分析服務器可以捕獲網(wǎng)絡設備(比如路由器或網(wǎng)關)上的網(wǎng)絡數(shù)據(jù)，但并不限于此，也可以是終端、服務器上的網(wǎng)絡數(shù)據(jù)等?；蛘撸捎苗R像的方式，從網(wǎng)絡設備(比如路由器，網(wǎng)關等)處獲取網(wǎng)絡數(shù)據(jù)包。步驟102 獲取所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，獲取所述網(wǎng)絡數(shù)據(jù)中的訪問URL的源端IP地址；其中，獲取的所述網(wǎng)絡數(shù)據(jù)訪問的URL的源端IP地址，可以是訪問所獲取的網(wǎng)絡數(shù)據(jù)包中的URL的源端IP地址，也可以不是，本發(fā)明實施例對此不做限定。可以對所述網(wǎng)絡數(shù)據(jù)進行提取，去重，得到URL，以及訪問所述URL的用戶IP地址，即源端IP地址。在步驟102中，得到的URL，可能是惡意URL，也可能是正常的URL，而得到的源端IP地址，可能是被感染者的IP地址，也可能是正常用戶的IP地址。然后，對所述URL以及訪問所述URL的源端IP地址與已知的威脅跟蹤列表中的傳染源(例如被掛馬網(wǎng)站等)進行關聯(lián)分析，找出被感染者。其中，已知的威脅跟蹤列表中，可以包括被感染的源端IP地址，也可以包括惡意URL，還可以包括惡意URL所屬的網(wǎng)站的域名等，也就是說，已知的威脅跟蹤列表中可以至少包括被感染的源端IP地址、惡意URL和惡意URL所屬的網(wǎng)站的域名之一，還可以所述三個要素都包括，或只包括其中兩個要素。S卩，對已掌握的傳染源(比如馬源，被掛馬網(wǎng)站等)進行跟蹤，找出被感染者，具體如步驟103所述。步驟103 將所獲取的網(wǎng)絡數(shù)據(jù)中的URL及所述源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配；其中，所述預置的威脅跟蹤列表中保存有已知的被感染IP地址及惡意 URL ；步驟104 若在所述獲取的URL中匹配到有相同的URL，則將訪問過所述匹配到的 URL的源端IP地址確定為被感染IP地址；若在所述獲取的源端IP地址中匹配到有相同的 IP地址，則將匹配到的源端IP地址所訪問的URL進行是否是威脅URL的檢測分析，得到存在威脅的URL。其中，在該步驟103和步驟104中，在實際引用中，可以將獲取網(wǎng)絡數(shù)據(jù)中的URL 與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，如果匹配到有相同的URL，則將訪問過所述匹配到的URL的源端IP地址確定為被感染IP地址；也可以將獲取網(wǎng)絡數(shù)據(jù)中的訪問所述URL的源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，如果匹配到有相同的IP地址，將匹配到的源端IP地址所訪問的URL進行檢測分析，得到存在威脅的URL ；當然，也可以同時執(zhí)行上述兩個過程，本實施例不作限制。其中，在上述過程中，所述將匹配到的源端IP地址所訪問的URL進行是否是威脅 URL的檢測分析，包括若所述匹配到的源端IP地址所訪問的URL，在所述威脅跟蹤列表中已經存在，則判斷在所述威脅跟蹤列表中，是否存在所述匹配到的源端IP地址所訪問的 URL的上線鏈接Referr URL,如果否，則對所述Referr URL進行安全檢測分析，得到存在威脅的URL。其中，在該實施例中，對于URL的上線鏈接Referr URL，可以理解為如果用戶A 先訪問網(wǎng)頁地址1，并通過網(wǎng)頁地址1的超鏈接訪問網(wǎng)頁地址2，在該過程中，網(wǎng)頁地址2為 URL,網(wǎng)頁地址1為所述URL的上線鏈接Referr URL。在上述過程中，所述將匹配到的源端IP地址所訪問的URL進行是否是威脅URL的檢測分析，還可以包括若所述匹配到的源端IP地址所訪問的URL在所述威脅跟蹤列表中不存在，則將匹配到的源端IP地址所訪問的URL進行安全檢測分析，得到存在威脅的URL。優(yōu)選的，所述方法還可以包括若所述匹配到的源端IP地址所訪問的URL，在所述威脅跟蹤列表中已經存在，則更新所述匹配到的源端IP地址所訪問的URL在所述威脅跟蹤列表中的統(tǒng)計次數(shù)，統(tǒng)計信息是為了管理員很明顯的看到網(wǎng)絡病毒的發(fā)展態(tài)勢，知道哪個病毒最近傳播很厲害等情況。其中，對所述Referr URL或URL進行安全檢測分析，得到存在威脅的URL，包括向檢測服務器發(fā)送對所述URL或所述URL的上線鏈接Referr URL進行安全檢測分析的請求，以便于檢測服務器利用殺毒軟件對所述URL或所述上線鏈接Referr URL中的URL進行深度檢測分析，得到存在威脅的URL ；接收所述檢測服務器發(fā)送的包括存在威脅的URL的響應。在上述實施例中，為了能更好的跟蹤和排查傳染源和被感染者，所述方法還可以包括將所述得到的存在威脅的URL添加到所述威脅跟蹤列表中；將確定為被感染IP地址添加到所述威脅跟蹤列表中。本發(fā)明實施例中，依據(jù)對已掌握的傳染源(馬源，被掛馬網(wǎng)站等)進行跟蹤，找出網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，以及訪問所述URL的源端IP地址，對所述URL和訪問所述URL的源端IP地址進行跟蹤、排查，發(fā)現(xiàn)新的傳染源和被感染者。重復上述過程，就可以形成一張龐大的威脅網(wǎng)絡。通過對該威脅網(wǎng)絡的持續(xù)跟蹤，獲得當前網(wǎng)絡威脅狀態(tài)，即發(fā)現(xiàn)已知和未知的威脅，從而形成網(wǎng)絡威脅的整體安全態(tài)勢和發(fā)展趨勢，為安全廠商和普通用戶提供幫助。進一步，為了使威脅跟蹤列表的傳染源和被感染者處于最新狀態(tài)，在對這些被感染者的訪問或惡意URL的被訪問行為進行跟蹤，排查后，發(fā)現(xiàn)新的傳染源和被感染者，并將得到新的傳染源和被感染者記錄在威脅跟蹤列表中。從而為安全廠商和普通用戶提供幫助。另外，本發(fā)明實施例還提供一種網(wǎng)絡威脅的跟蹤識別方法，所述方法包括獲取網(wǎng)絡數(shù)據(jù)；獲取所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL ；將所述獲取的URL與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，如果所述獲取的URL匹配到有相同的URL，將訪問過所述存在威脅的URL的源端IP地址確定為被感染IP地址；其中，所述預置的威脅跟蹤列表中保存有已知的惡意URL。相應的，本發(fā)明實施例還提供一種網(wǎng)絡威脅的跟蹤識別方法，所述方法包括獲取網(wǎng)絡數(shù)據(jù)；確定所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，以及訪問所述URL的源端IP地址；將所述URL與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，如果所述URL存在威脅跟蹤列表中，則通過對所述URL的上線鏈接Referr URL進行安全檢測分析，獲取存在威脅的URL ；和/ 或，將所述源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，如果所述源端IP地址存在威脅跟蹤列表中，則通過對所述源端IP地址訪問的所述URL或訪問的所述URL的上線鏈接Referr URL進行檢測，獲取存在威脅的URL。其中，在該實施例中，對于URL的上線鏈接Referr URL，可以理解為如果用戶A 先訪問網(wǎng)頁地址1，并通過網(wǎng)頁地址1的超鏈接訪問網(wǎng)頁地址2，在該過程中，網(wǎng)頁地址2為 URL,網(wǎng)頁地址1為所述URL的上線鏈接Referr URL。也就是說，該步驟中，對這些被感染者的訪問或惡意URL的被訪問行為進行跟蹤，排查，從而發(fā)現(xiàn)新的傳染源和被感染者，并將新的傳染源和被感染者的URL添加到所述威脅跟蹤列表中，其中，跟蹤。排查分析的過程包括多種情況，本實施例以下述情況為例，但并不限于此第一情況為如果所述源端IP地址存在威脅跟蹤列表的被感染者列表中，且所述 URL不存在威脅跟蹤列表的惡意列表中，則通過檢測服務器對所述URL進行檢測分析，獲取存在威脅的URL ；第二情況為如果所述源端IP地址存在威脅跟蹤列表的被感染者列表中，且所述 URL存在威脅跟蹤列表的惡意列表中，則更新所述惡意列表中的URL的統(tǒng)計次數(shù)，并在惡意列表中判定不存在所述URL的上線鏈接Referr URL時，通過檢測服務器對所述Referr URL 中的URL進行安全檢測分析，獲取存在威脅的URL ；第三情況為如果所述源端IP地址不存在威脅跟蹤列表的被感染者列表中，且所述URL存在威脅跟蹤列表的惡意列表中，則將所述源端IP地址添加到所述被感染者列表中，并在所述惡意列表中判定不存在所述URL的上線鏈接Referr URL時，通過檢測服務器對上線鏈接Referr URL中的URL進行安全檢測分析，獲取存在威脅的URL。優(yōu)選的，在上述三種情況中，所述通過檢測服務器對所述URL進行安全檢測分析或者對所述URL的上線鏈接Referr URL進行安全檢測分析，獲取存在威脅的URL，具體包括向所述檢測服務器發(fā)送對所述URL或所述URL的上線鏈接Referr URL進行安全檢測分析的請求，以便于檢測服務器利用殺毒軟件對所述URL或所述上線鏈接Referr URL中的 URL進行深度檢測分析，得到存在威脅的URL ；接收所述檢測服務器發(fā)送的包括存在威脅的 URL的響應。優(yōu)選的，在上述實施例中，為了判斷存在URL是否為惡意的URL，所述方法還可以進一步包括判定所述存在威脅的URL是否為惡意URL，如果是，則將所述存在威脅的URL 添加到所述惡意列表中。優(yōu)選的，在上述實施例中，為了能更好的跟蹤和排查傳染源和被感染者，所述方法還可以包括將所述存在威脅的URL所屬的網(wǎng)站的域名添加到所述威脅跟蹤列表中的被感染域名列表中。也就是說，威脅跟蹤列表除了包括被感染者列表和惡意列表，還可以包括被感染域名列表。也就是說，當有用戶訪問該存在威脅的URL所屬的網(wǎng)站時，就對訪問該網(wǎng)站的每位用戶的IP地址和URL分別進行跟蹤和排查，從而發(fā)現(xiàn)新的傳染源和被感染者。本發(fā)明實施例中，依據(jù)對已掌握的傳染源(馬源，被掛馬網(wǎng)站等)進行跟蹤，找出網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，以及訪問所述URL的源端IP地址，對所述URL和訪問所述URL的源端IP地址進行跟蹤、排查，發(fā)現(xiàn)新的傳染源和被感染者。重復上述過程，就可以形成一張龐大的威脅網(wǎng)絡。通過對該威脅網(wǎng)絡的持續(xù)跟蹤，獲得當前網(wǎng)絡威脅狀態(tài)，即發(fā)現(xiàn)已知和未知的威脅，從而形成網(wǎng)絡威脅的整體安全態(tài)勢和發(fā)展趨勢，為安全廠商和普通用戶提供幫助。進一步，為了使威脅跟蹤列表的傳染源和被感染者處于最新狀態(tài)，在對這些被感染者的訪問或惡意URL的被訪問行為進行跟蹤，排查后，發(fā)現(xiàn)新的傳染源和被感染者，并將得到新的傳染源和被感染者記錄在威脅跟蹤列表中。從而為安全廠商和普通用戶提供幫助。還請參閱圖2，為本發(fā)明實施例提供的一種網(wǎng)絡威脅的跟蹤識別方法的應用實例的流程圖，包括步驟201 捕獲網(wǎng)絡數(shù)據(jù)；可以捕獲網(wǎng)絡設備(比如路由器或網(wǎng)關)上的網(wǎng)絡數(shù)據(jù)；步驟202 提取所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，以及訪問所述URL的源端 IP地址；其中，源端IP地址，即為訪問所述URL用戶的IP地址，比如A訪問B，即源端IP地址為A側的IP地址。步驟203 判斷所述源端IP地址是否在被感染者列表中，如果是，執(zhí)行步驟204 ；否則，執(zhí)行步驟212;也就是說，在該步驟中，判斷確定所述網(wǎng)絡數(shù)據(jù)中的訪問所述URL的源端IP地址是否與在預置的威脅跟蹤列表中。步驟204 判斷所述URL是否在惡意列表中，如果是，執(zhí)行步驟205 ；否則，執(zhí)行步驟 208 ；步驟205 更新所述惡意列表中的URL的統(tǒng)計信息；步驟206 繼續(xù)判斷在惡意列表中是否存在所述URL的上線鏈接(Referr URL)；如果否，執(zhí)行步驟207 ；如果是則執(zhí)行步驟211，即結束；步驟207 通過檢測服務器對所述URL的上線鏈接(Referr URL)的URL進行深度檢測分析，獲取存在威脅的URL ；在該步驟中，可以向所述檢測服務器發(fā)送對所述URL的上線鏈接進行安全檢測分析的請求，所述檢測服務器再接收到該請求時，利用殺毒軟件對所述上線鏈接Referr URL 中的URL進行深度檢測分析，得到存在威脅的URL ；并將存儲威脅的URL發(fā)送給檢測系統(tǒng)中的分析服務器，即分析服務器接收所述檢測服務器發(fā)送的包括存在威脅的URL的響應。步驟208 通過檢測服務器對所述URL進行深度檢測分析，獲取存在威脅的URL ；在該步驟中，可以向所述檢測服務器發(fā)送對所述URL進行安全檢測分析的請求，所述檢測服務器再接收到該請求時，利用殺毒軟件對所述URL進行深度檢測分析，得到存在威脅的URL ；并將存儲威脅的URL發(fā)送給檢測系統(tǒng)中的分析服務器，即分析服務器接收所述檢測服務器發(fā)送的包括存在威脅的URL的響應。步驟209 判斷所述存在威脅的URL是否為惡意URL，如果是，執(zhí)行步驟210 ；否則執(zhí)行步驟211 ；該步驟209中，對分別判斷步驟207和步驟208中的存在威脅的URL是否為惡意URL。步驟210 將所述存在威脅的URL添加到惡意列表中，結束；步驟211:結束；步驟212 判斷所述URL是否在惡意列表中，如果是，執(zhí)行步驟213 ；否則，執(zhí)行步驟 218 ；步驟213 將所述源端IP地址添加到被感染者列表中；步驟214 判斷惡意列表中是否存在所述URL的上線鏈接(Referr URL)，如果否，執(zhí)行步驟215 ；如果是，則執(zhí)行步驟218 ；步驟215 通過檢測服務器對所述Referr URL中的URL進行深度檢測分析，獲取存在威脅的URL ；步驟216 判斷所述存在威脅的URL是否為惡意URL，如果是，執(zhí)行步驟217 ；否則執(zhí)行步驟218 ；其中，步驟216中存在威脅的URL為步驟215中所述Referr URL中的URL。步驟217 將所述存在威脅的URL加入到惡意列表中；步驟218:結束。在上述實施例中，在步驟217和步驟210之后，為了能更好的跟蹤和排查傳染源和被感染者，所述方法還可以包括將所述存在威脅的URL所屬的網(wǎng)站的域名添加到所述威脅跟蹤列表中的被感染域名列表中。也就是說，威脅跟蹤列表至少可以包括下述之一被感染者列表，用來存儲被感染者的IP地址；惡意列表，用于存儲惡意的URL ；被感染域名列表，用于存儲惡意的URL所屬網(wǎng)站的域名，當然，也可以存儲感染網(wǎng)站的域名。但并不限于此，也可以根據(jù)情況適應增加其他的列表，本實施例不作限制?；谏鲜龇椒ǖ膶崿F(xiàn)過程，本發(fā)明實施例還提供一種網(wǎng)絡威脅的跟蹤識別裝置，其結構示意圖詳見圖3，所述裝置包括獲取單元31，第一確定單元32，匹配單元33、第二確定單元34和檢測單元35。其中，所述獲取單元31，用于獲取網(wǎng)絡數(shù)據(jù)；所述第一確定單元32，用于獲取所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，獲取所述網(wǎng)絡數(shù)據(jù)中的訪問URL的源端IP地址；所述匹配單元33，用于將所獲取的網(wǎng)絡數(shù)據(jù)中的URL及所述源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，其中，所述預置的威脅跟蹤列表中保存有已知的被感染IP地址及惡意URL ；所述第二確定單元34，用于在所述匹配單元匹配到有相同的URL時，將訪問過所述匹配到的URL的源端IP地址確定為被感染IP地址；所述檢測單元35，用于在所述匹配單元匹配到有相同的IP地址時，將匹配到的源端IP地址所訪問的URL進行是否是威脅URL的分析，得到存在威脅的URL。其中，所述檢測單元包括第一判斷單元，第二判斷單元和第一安全檢測分析單元，其中，所述第一判斷單元，用判斷所述威脅跟蹤列表是否存在匹配到源端IP地址所訪問的URL，并發(fā)送判斷結果；所述第二判斷單元，用于在接收到所述第一判斷單元發(fā)送的存在匹配到源端IP地址所訪問的URL的判斷結果時，繼續(xù)判斷所述威脅跟蹤列表中是否存在所述匹配到的源端IP地址所訪問的URL的上線鏈接Referr URL,并發(fā)送判斷結果；所述第一安全檢測分析單元，用于在接收到所述第二判斷單元發(fā)送的不存在所述上線鏈接ReferrURL的判斷結果時，對所述Referr URL進行安全檢測分析，得到存在威脅的URL。優(yōu)選的，所述檢測單元還可以包括第二安全檢測分析單元，用于在接收到所述第一判斷單元發(fā)送的不存在源端IP地址所訪問的URL的判斷結果時，將匹配到的源端IP地址所訪問的URL進行檢測，得到存在威脅的URL。優(yōu)選的，所述裝置還可以包括更新單元，用于在接收到所述第一判斷單元發(fā)送的存在匹配到源端IP地址所訪問的URL的判斷結果時，更新所述匹配到的源端IP地址所訪問的URL在所述威脅跟蹤列表中的統(tǒng)計次數(shù)。優(yōu)選的，所述裝置還可以包括添加單元，用于將所述檢測單元、第一安全檢測分析單元和/或第二安全檢測分析單元得到的存在威脅的URL添加到所述威脅跟蹤列表中；以及，將所述第二確定單元確定為被感染IP地址添加到所述威脅跟蹤列表中。所述裝置中各個單元的功能和作用的實現(xiàn)過程詳見上述，在此不再贅述。相應的，本發(fā)明實施例還提供一種網(wǎng)絡威脅的跟蹤識別裝置，所述裝置包括獲取單元、確定單元、第一匹配單元和第一檢測單元；或者，獲取單元、確定單元、第二匹配單元和第二檢測單元；或者，獲取單元、確定單元、第一匹配單元、第一檢測單元、第二匹配單元和第二檢測單元，其中，所述獲取單元，用于獲取網(wǎng)絡數(shù)據(jù)；所述確定單元，用于確定所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，以及訪問所述URL的源端IP地址；所述第一匹配單元，用于將所述確定單元確定的URL與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，并發(fā)送匹配結果；所述第一檢測單元，用于在接收到所述第一匹配單元發(fā)送的所述URL存在威脅跟蹤列表中的判斷結果時，通過對所述URL的上線鏈接Referr URL進行檢測分析，獲取存在威脅的URL ；所述第二匹配單元，用于將所述確定單元確定的源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，并發(fā)送匹配結果；所述第二檢測單元，用于在接收到所述第二匹配單元發(fā)送的所述源端IP地址存在威脅跟蹤列表中的判斷結果時，通過對所述源端IP地址訪問的所述URL或訪問的所述URL的上線鏈接Referr URL進行檢測，獲取存在威脅的URL。優(yōu)選的，在上述實施例中，所述裝置還可以包括更新單元，用于將所述第一檢測單元和第二檢測單元獲取存在威脅的URL添加到所述惡意列表中。優(yōu)選的，在上述實施例中，為了能更好的跟蹤和排查傳染源和被感染者，所述更新單元，還用于將所述存在威脅的URL所屬的網(wǎng)站的域名添加到所述威脅跟蹤列表中的被感染域名列表中。相應的，本發(fā)明實施例還提供一種檢測系統(tǒng)，其結構示意圖詳見圖4，所述系統(tǒng)包括分析服務器41和檢測服務器42，其中，所述分析服務器41，用于獲取網(wǎng)絡數(shù)據(jù)；確定所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符 URL,以及訪問所述URL的源端IP地址；將所獲取的網(wǎng)絡數(shù)據(jù)中的URL及訪問所述URL的源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配；其中，所述預置的威脅跟蹤列表中保存有已知的被感染IP地址及惡意URL ；若在所述獲取的URL中匹配到有相同的URL，則將訪問過所述匹配到的URL的源端IP地址確定為被感染IP地址，若在所述獲取的源端IP地址中匹配到有相同的IP地址，則將匹配到的源端IP地址所訪問的URL發(fā)送給檢測服務器，以及在接收所述檢測服務器反饋的存在威脅的URL時，得到存在威脅的URL ；所述檢測服務器42，用于在接收到所述分析服務器發(fā)送的匹配到的源端IP地址所訪問的URL時，對所述匹配到的源端IP地址所訪問的URL或所述URL的上線鏈接的URL 進行安全檢測分析，得到存在威脅的URL，并將存在威脅的URL發(fā)送給所述分析服務器。優(yōu)選的，所述分析服務器41包括網(wǎng)絡威脅的跟蹤識別裝置，所述網(wǎng)絡威脅的跟蹤識別裝置獲取單元411，第一確定單元412，匹配單元413、第二確定單元414和檢測單元 415，其具體的功能和作用詳見上述，在此不在贅述。當然，所述網(wǎng)絡威脅的跟蹤識別裝置除了包括上述單元外，還可以包括判斷單元，用于判定所述存在威脅的URL是否為惡意URL，并將是惡意URL的判斷結果發(fā)送給更新單元；所述更新單元，還用于在接收到判斷單元發(fā)送的是惡意URL的判斷結果時，將所述存在威脅的URL添加到所述惡意列表中。優(yōu)選的，在另一實施例中，所述分析服務器和所述檢測服務器可以集成在一起，當然，可以獨立部署，本實施例不作限制。本發(fā)明通過重現(xiàn)威脅網(wǎng)絡后，可通過持續(xù)跟蹤分析，獲取網(wǎng)絡中的當前威脅狀態(tài)，新威脅情況，以及威脅發(fā)展趨勢，并可通過與其他安全設備聯(lián)動，阻斷用戶對惡意URL的訪問，協(xié)助被掛馬網(wǎng)站清除惡意代碼，協(xié)助用戶清除木馬等方式，提高用戶網(wǎng)絡訪問的安全性。為了便于理解，下面以具體的實例來說明。本發(fā)明實施例是針對現(xiàn)有的威脅防護技術，只用于直接保護受保護對象免受威脅，但不對威脅來源，以及該威脅對其他用戶可能產生的危害，以及該威脅同其他威脅之間可能存在的聯(lián)系進行分析和處理，而從病毒、木馬(尤其是下載器類)等行業(yè)的經驗，以及在前期惡意代碼查殺方面的經驗可知，新的病毒，木馬，惡意代碼為了快速達到廣泛傳播的目的，會盡可能利用已有的病毒或木馬傳播途徑?；诖?，本發(fā)明通過對網(wǎng)絡威脅的特點，傳播方式的深入分析，提出了一種全新的網(wǎng)絡威脅的跟蹤識別方法、裝置和系統(tǒng)。并以記錄的威脅跟蹤列表(包括被感染者列表和惡意列表)建立一個威脅跟蹤網(wǎng)絡。通過對該威脅網(wǎng)絡的持續(xù)跟蹤，獲得當前網(wǎng)絡威脅狀態(tài)，新威脅的傳播，從而形成網(wǎng)絡威脅的整體安全態(tài)勢和發(fā)展趨勢，不但提高了用戶訪問網(wǎng)絡的安全性，同時也為安全廠商和普通用戶提供幫助。也就是說，本發(fā)明實施例中，依據(jù)對已掌握的傳染源(馬源，被掛馬網(wǎng)站等)進行跟蹤，找出被感染者，再對這些被感染者的訪問或被訪問行為進行跟蹤，排查，發(fā)現(xiàn)新的傳染源和被感染者。周而復始，就可以形成一張龐大的威脅網(wǎng)絡。通過對該威脅網(wǎng)絡的持續(xù)跟蹤，可以發(fā)現(xiàn)已知和未知的威脅，以及威脅的發(fā)展趨勢。其中，如圖5為本發(fā)明提供的一種以木馬類威脅為例的示意圖，如圖所示，通過木馬類威脅來闡釋本實例所述技術方案在一個木馬的生命周期中，通常存在以下階段或行為。1、木馬被放置在馬源網(wǎng)站，并被關聯(lián)到被掛馬網(wǎng)站；2、普通用戶訪問被掛馬網(wǎng)站時，從馬源下載木馬；3、木馬獲取用戶信息，發(fā)送到指定的位置或者接收攻擊者的指令，實時控制被感染的計算機；4、木馬從馬源網(wǎng)站下載其他木馬。如圖所示，在該實施例中，危險訪問用標號①表示，關聯(lián)危險訪問用戶標號②表示，可疑訪問用標號③表示，正常訪問用標號④表示，數(shù)據(jù)鏡像或獲取用標號⑤表示。其中，危險訪問為直接對已確定為馬源或被掛馬網(wǎng)頁的訪問關聯(lián)危險訪問為用戶訪問馬源或被掛馬網(wǎng)頁A時，如果http請求頭的referr字段為網(wǎng)頁B，A、B不屬于同一網(wǎng)站，則B極可能是被掛馬網(wǎng)頁，用戶對B網(wǎng)頁的訪問稱為關聯(lián)危險訪問可疑訪問為被感染者訪問的網(wǎng)頁，除去已確定為危險訪問和關聯(lián)危險訪問的，都稱為可疑訪問。正常訪問為不屬于前述三種訪問類型的都稱為正常訪問。(此處的正常訪問是相對于本系統(tǒng)而言，并不說明該訪問一定不存在問題，只是說明該訪問的客體和主題沒有被本系統(tǒng)確定為傳染源或被感染者)。攻擊者編寫木馬的最終目標是為了獲取更多的信息，并因此獲利，他會想盡辦法讓更多的人被感染。而與其他木馬合作，相互下載是其擴大感染范圍的傳播方式之一?；谏鲜銮闆r，可以從已知的一部分馬源網(wǎng)站和被感染者為起始點，對它們的可疑行為進行深入分析，就可以找出一些新的馬源或者被感染者，周而復始，我們就可以復現(xiàn)一個龐大的威脅網(wǎng)絡。如果我們對這個威脅網(wǎng)絡加以跟蹤分析，不但能掌握當前的網(wǎng)絡威脅類別及狀況，加以防范，也可以對一些正在形成中的威脅進行預測并防范。本實施例中，可以實時捕獲的網(wǎng)站數(shù)據(jù)進行，也可以對捕獲的數(shù)據(jù)進行定時判斷，并根據(jù)判斷結果確定是否進行安全檢測分析，可以對捕獲的網(wǎng)絡數(shù)據(jù)進行定期判斷，并根據(jù)判斷結果確定是否進行定期的安全檢測分析。需要說明的是，在本文中，諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備
所固有的要素。在沒有更多限制的情況下，由語句“包括一個......”限定的要素，并不排
除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)，當然也可以通過硬件，但很多情況下前者是更佳的實施方式?；谶@樣的理解，本發(fā)明的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產品的形式體現(xiàn)出來，該計算機軟件產品可以存儲在存儲介質中，如ROM/ RAM、磁碟、光盤等，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。以上所述僅是本發(fā)明的優(yōu)選實施方式，應當指出，對于本技術領域的普通技術人員來說，在不脫離本發(fā)明原理的前提下，還可以作出若干改進和潤飾，這些改進和潤飾也應視為本發(fā)明的保護范圍。
權利要求
1.一種網(wǎng)絡威脅的跟蹤識別方法，其特征在于，包括獲取網(wǎng)絡數(shù)據(jù)；獲取所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，獲取所述網(wǎng)絡數(shù)據(jù)中的訪問URL的源端 IP地址；將所獲取的網(wǎng)絡數(shù)據(jù)中的URL及所述源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配；其中，所述預置的威脅跟蹤列表中保存有已知的被感染IP地址及惡意URL ；若在所述獲取的URL中匹配到有相同的URL，則將訪問過所述匹配到的URL的源端IP 地址確定為被感染IP地址；若在所述獲取的源端IP地址中匹配到有相同的IP地址，則將匹配到的源端IP地址所訪問的URL進行是否是威脅URL的分析，得到存在威脅的URL。
2.根據(jù)權利要求1所述的方法，其特征在于，所述將匹配到的源端IP地址所訪問的 URL進行是否是威脅URL的分析，包括若所述匹配到的源端IP地址所訪問的URL，在所述威脅跟蹤列表中已經存在，則判斷在所述威脅跟蹤列表中，是否存在所述匹配到的源端IP地址所訪問的URL的上線鏈接 Referr URL,如果否，則對所述Referr URL進行安全檢測分析，得到存在威脅的URL。
3.根據(jù)權利要求2所述的方法，其特征在于，所述將匹配到的源端IP地址所訪問的 URL進行是否是威脅URL的分析，還包括若所述匹配到的源端IP地址所訪問的URL在所述威脅跟蹤列表中不存在，則將匹配到的源端IP地址所訪問的URL進行安全檢測分析，得到存在威脅的URL。
4.根據(jù)權利要求2任一所述的方法，其特征在于，其中，對所述ReferrURL或URL進行安全檢測分析，得到存在威脅的URL，包括向檢測服務器發(fā)送對所述URL或所述URL的上線鏈接Referr URL進行安全檢測分析的請求，以便于檢測服務器利用殺毒軟件對所述URL或所述上線鏈接Referr URL中的URL 進行深度檢測分析，得到存在威脅的URL ；接收所述檢測服務器發(fā)送的包括存在威脅的URL的響應。
5.根據(jù)權利要求1至4任一項所述的方法，其特征在于，還包括將所述得到的存在威脅的URL添加到所述威脅跟蹤列表中；將確定為被感染IP地址添加到所述威脅跟蹤列表中。
6.根據(jù)權利要求1至4任一項所述的方法，其特征在于，還包括將所述存在威脅的 URL所屬的網(wǎng)站的域名添加到所述威脅跟蹤列表中的被感染域名列表中。
7.—種網(wǎng)絡威脅的跟蹤識別方法，其特征在于，包括獲取網(wǎng)絡數(shù)據(jù)；獲取所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL ；將所述獲取的URL與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，如果所述獲取的URL匹配到有相同的URL，將訪問過所述存在威脅的URL的源端IP地址確定為被感染IP地址；其中，所述預置的威脅跟蹤列表中保存有已知的惡意URL。
8.—種網(wǎng)絡威脅的跟蹤識別裝置，其特征在于，包括獲取單元，用于獲取網(wǎng)絡數(shù)據(jù)；第一確定單元，用于獲取所述網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，獲取所述網(wǎng)絡數(shù)據(jù)中的訪問URL的源端IP地址；匹配單元，用于將所獲取的網(wǎng)絡數(shù)據(jù)中的URL及所述源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配，其中，所述預置的威脅跟蹤列表中保存有已知的被感染IP地址及惡意 URL ；第二確定單元，用于在所述匹配單元匹配到有相同的URL時，將訪問過所述匹配到的 URL的源端IP地址確定為被感染IP地址；檢測單元，用于在所述匹配單元匹配到有相同的IP地址時，將匹配到的源端IP地址所訪問的URL進行是否是威脅URL的分析，得到存在威脅的URL。
9.根據(jù)權利要求8所述的裝置，其特征在于，所述檢測單元包括第一判斷單元，用判斷所述威脅跟蹤列表是否存在匹配到源端IP地址所訪問的URL，并發(fā)送判斷結果；第二判斷單元，用于在接收到所述第一判斷單元發(fā)送的存在匹配到源端IP地址所訪問的URL的判斷結果時，繼續(xù)判斷所述威脅跟蹤列表中是否存在所述匹配到的源端IP地址所訪問的URL的上線鏈接Iteferr URL,并發(fā)送判斷結果；第一安全檢測分析單元，用于在接收到所述第二判斷單元發(fā)送的不存在所述上線鏈接 Referr URL的判斷結果時，對所述Referr URL進行安全檢測分析，得到存在威脅的URL。
10.根據(jù)權利要求9所述的裝置，其特征在于，所述檢測單元還包括第二安全檢測分析單元，用于在接收到所述第一判斷單元發(fā)送的不存在源端IP地址所訪問的URL的判斷結果時，將匹配到的源端IP地址所訪問的URL進行檢測，得到存在威脅的URL。
11.根據(jù)權利要求8至10任一項所述的裝置，其特征在于，還包括第一添加單元，用于將所述檢測單元、第一安全檢測分析單元和/或第二安全檢測分析單元得到的存在威脅的URL添加到所述威脅跟蹤列表中；以及，將所述第二確定單元確定為被感染IP地址添加到所述威脅跟蹤列表中。
12.根據(jù)權利要求8至10任一項所述的裝置，其特征在于，還包括第二添加單元，用于將所述檢測單元、第一安全檢測分析單元和/或第二安全檢測分析單元得到的存在威脅的URL所屬的網(wǎng)站的域名添加到所述威脅跟蹤列表中的被感染域名列表中。
全文摘要
本發(fā)明實施例提供一種網(wǎng)絡威脅的跟蹤識別方法及裝置，所述方法包括獲取網(wǎng)絡數(shù)據(jù)；確定網(wǎng)絡數(shù)據(jù)中的統(tǒng)一資源定位符URL，以及訪問URL的源端IP地址；將所獲取的網(wǎng)絡數(shù)據(jù)中的URL及訪問URL的源端IP地址與預置的威脅跟蹤列表中的數(shù)據(jù)進行匹配；其中，預置的威脅跟蹤列表中保存有已知的被感染IP地址及惡意URL；若在獲取的URL中匹配到有相同的URL，則將訪問過匹配到的URL的源端IP地址確定為被感染IP地址；若在獲取的源端IP地址中匹配到有相同的IP地址，則將匹配到的源端IP地址所訪問的URL進行檢測分析，得到存在威脅的URL。本發(fā)明解決用戶網(wǎng)絡訪問不安全的技術問題，提高了用戶訪問網(wǎng)絡數(shù)據(jù)的安全性。
文檔編號H04L12/26GK102571812SQ20121002915
公開日2012年7月11日申請日期2012年2月9日優(yōu)先權日2011年12月31日
發(fā)明者周宏斌申請人:成都市華為賽門鐵克科技有限公司

完整全部詳細技術資料下載