公开(公告)号：CN102158499A

公开(公告)日：2011-08-17

申请号：CN201110146546.4

申请日：2011-06-02

Applicant: 国家计算机病毒应急处理中心

Inventor： 张健 ,  杜振华 ,  张津弟 ,  陈建民 ,  曹鹏 ,  王琚 ,  孟彬

IPC: H04L29/06 ,  H04L12/56 ,  H04L12/26

Abstract: 一种基于HTTP流量分析的挂马网站检测方法。其包括在广域网或局域网中抓取用户HTTP请求、还原HTTP Header、提取Referer域值、对HTTPHeader中的HOST属性和Get路径进行规则特征匹配及输出挂马URL和HTTP访问行为完整路径等阶段。本发明提供挂马网站检测方法可以充分利用客户端(普通用户)自主Web访问行为，通过已知挂马网页获得被挂马网站信息，并且能够比较全面、真实地掌握挂马攻击的影响范围、情况，从而在投入较少情况下，仍然能获得比较好的检测效果，而且可以得到大量线索和数据。还可以与传统的挂马网页检测方法相结合。本检测方法在应用中可以前置，从而为传统的挂马网页检测方法缩小检测范围，但仍能保持较好的召回率。

公开(公告)号：CN102158499B

公开(公告)日：2013-09-18

申请号：CN201110146546.4

申请日：2011-06-02

Applicant: 国家计算机病毒应急处理中心

Inventor： 张健 ,  杜振华 ,  张津弟 ,  陈建民 ,  曹鹏 ,  王琚 ,  孟彬

IPC: H04L29/06 ,  H04L12/70 ,  H04L12/26

Abstract: 一种基于HTTP流量分析的挂马网站检测方法。其包括在广域网或局域网中抓取用户HTTP请求、还原HTTP Header、提取Referer域值、对HTTPHeader中的HOST属性和Get路径进行规则特征匹配及输出挂马URL和HTTP访问行为完整路径等阶段。本发明提供挂马网站检测方法可以充分利用客户端(普通用户)自主Web访问行为，通过已知挂马网页获得被挂马网站信息，并且能够比较全面、真实地掌握挂马攻击的影响范围、情况，从而在投入较少情况下，仍然能获得比较好的检测效果，而且可以得到大量线索和数据。还可以与传统的挂马网页检测方法相结合。本检测方法在应用中可以前置，从而为传统的挂马网页检测方法缩小检测范围，但仍能保持较好的召回率。