[发明专利]恶意网址数据库的建立方法、恶意网址的识别方法和装置

说明书

【技术领域】

本发明涉及计算机安全技术领域，特别涉及一种恶意网址数据库的建立方法、恶意网址的识别方法和装置。

【背景技术】

随着计算机及网络技术的不断发展，互联网对人们越来越重要，已经深入到了人们的工作和生活的各个方面。但是随之而来的，针对互联网的恶意行为也越来越多，各种安全问题极大地困扰了网络用户。目前互联网上用于欺诈等恶意行为的网站数量众多，这些非法盈利的网站因其盈利渠道的隐蔽性，威胁着用户安全。然而这些非法的网站生存周期短暂，通常一经发现，常常会被取缔或被取消，为了保障效果，非法网站经营者通常持有大量的类似站群用于随时替换，这些站群之间有密切的关联，逐渐细化并形成了一个巨大的黑色产业链，常被称为“互联网地下产业链”。

现有的恶意网址检测手段有：静态特征检测和模拟浏览器检测。静态检测是利用预先收集的恶意代码特征，通过检查网页HTML(Hypertext Markup Language，超文本标记语言)代码中是否包含该些特征码来进行判断，如果包含，则判断为恶意网址。这种检测方法的识别率通常较低，易被各种脚本加密和编码方式绕开。模拟浏览器检测是利用预先构建好的浏览器环境，模拟用户访问网址，如果出现非法的行为特征时，则将其识别为恶意网址。这种方式的检测效率较低，当遇到恶意网址后，浏览器环境还可能需要重新恢复，而且较难构建完全真实的浏览器环境，容易导致漏报。对于非法网站经营者随时替换的网址库，需要逐个执行后才能进行判断，无法提前发现恶意网址，时效性较差。

【发明内容】

有鉴于此，本发明提供了一种恶意网址数据库的建立方法、恶意网址的识别方法和装置，以便于提高检测的及时性和准确性，减少漏报。

具体技术方案如下：

一种恶意网址数据库的建立方法，该方法包括以下步骤：

S1、预先将各网站域名与对应的站点属性信息进行关联，构建站点信息关联数据库；

S2、预先构建反链关联数据库，保存各url之间的链接关系；

S3、获取已知恶意网址的url，添加到待检测队列中，逐个从待检测队列中取出url并对取出的当前url分别执行步骤S4，直至待检测队列为空，并利用所有添加到待检测队列中的url或网站域名构建恶意网址数据库；

S4、查询所述反链关联数据库，确定当前url的所有反链url，将与已知恶意网址的url之间的关联程度满足预设要求的反链url添加到待检测队列中；或者

解析当前url的站点属性信息，查询所述站点信息关联数据库，确定与当前url具有相同站点属性信息的网站域名，将与已知恶意网址的url之间的关联程度满足预设要求的网站域名添加到待检测队列中。

根据本发明一优选实施例，所述站点属性信息包括以下所列的至少一种：网站名，网站所有人，网站所有人联络信息，公司信息，IP地址信息，ICP信息。

根据本发明一优选实施例，在所述步骤S3中还包括：为所述恶意网址的url赋予初始权值，为存在反链关系的各url之间设定反链因子，针对网站域名之间共有的站点属性信息的类型设定影响因子，所述反链因子和影响因子的取值范围为区间(0，1)；

反链url与已知恶意网址的url之间关联程度的计算包括：将当前url的权值乘以反链因子，得到反链url的权值；

网站域名与已知恶意网址的url之间关联程度的计算包括：将当前url的权值乘以网站域名与当前url所共有站点属性信息的类型对应的影响因子，得到网站域名的权值；

所述关联程度满足预设要求为：所述反链url或网站域名的权值超过预设阈值。

根据本发明一优选实施例，所述恶意网址数据库还包括：所有添加到待检测队列中的url或网站域名对应的站点属性信息和权值。

一种恶意网址的识别方法，该方法包括：

获取待检测url，查询恶意网址数据库中是否包含所述待检测url，如果是，则确定所述待检测url为恶意网址；

其中所述恶意网址数据库是采用所述恶意网址数据库的建立方法建立的。

一种恶意网址的识别方法，该方法包括以下步骤：

S201、获取待检测url，解析该url的站点属性信息；

S202、利用解析得到的站点属性信息，在恶意网址数据库中查找与所述待检测url具有相同属性信息的恶意网址，所述恶意网址数据库是采用所述恶意网址数据库的建立的方法建立的；

S203、利用查找到的恶意网址的权值计算待检测url的权值；