[发明专利]恶意资源地址检测方法和装置

权利要求书

1.一种恶意资源地址检测方法，所述方法包括：

获取待检测资源地址；

通过过滤分类器从所述待检测资源地址中过滤掉非恶意资源地址，保留属于可疑资源地址的待检测资源地址；所述可疑资源地址，是存在一定概率是恶意资源地址的资源地址；

获取保留的所述待检测资源地址的字符特征；

获取保留的所述待检测资源地址的相关属性，查询所述相关属性所属的相关属性类型对应的恶意相关属性库，判断所述相关属性是否命中所述恶意相关属性库，根据是否命中所述恶意相关属性库的查询结果，生成与所述相关属性相应的相关属性特征；所述恶意相关属性库是恶意资源地址所具有的该种类型的相关属性构成的集合；所述相关属性特征，是表征查询待检测资源地址的相关属性是否属于相应的恶意相关属性库的查询结果的二值化的数值；

获取当前检测的恶意资源地址类型；在所述字符特征和所述相关属性特征中选择与所述恶意资源地址类型适配的特征；将选择的特征组合得到多维度特征；

根据所述多维度特征，采用机器学习分类器判断所述保留的待检测资源地址是否为恶意资源地址；

收集在采用所述机器学习分类器判断所述待检测资源地址是否为恶意资源地址时漏报或误报的恶意资源地址，包括：采用不同的机器学习分类器，针对相同待检测资源地址的恶意资源地址检测结果进行交叉比对，得到漏报的恶意资源地址；

获取所述漏报或误报的恶意资源地址的相关属性；

根据采集的所述漏报或误报的恶意资源地址的相关属性更新相应的所述恶意相关属性库；

获取所述漏报或误报的恶意资源地址的字符特征；

查询所述漏报或误报的恶意资源地址的相关属性是否属于相应的恶意相关属性库，得到相应的相关属性特征；

将漏报或误报的恶意资源地址的所述字符特征以及与所述漏报或误报的恶意资源地址相应的所述相关属性特征组合得到相应的多维度特征；

根据与所述漏报或误报的恶意资源地址相应的所述多维度特征更新所述机器学习分类器。

2.根据权利要求1所述的方法，其特征在于，所述字符特征包括所述待检测资源地址的总长度，所述待检测资源地址中的单词总数，所述待检测资源地址是否包括预设可疑关键词，所述待检测资源地址中主机地址的长度与所述待检测资源地址的总长度的比值，以及，所述待检测资源地址中字符出现频率与恶意资源地址库中相应字符出现频率之间的KL散度中的一种或几种的组合。

3.根据权利要求1所述的方法，其特征在于，所述待检测资源地址的相关属性包括所述待检测资源地址的传播渠道信息、网页模板信息、网站注册人信息以及网际协议地址中的一种或几种的组合。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述待检测资源地址被判断为恶意资源地址时，将所述待检测资源地址加入恶意资源地址库中；

其中，所述恶意资源地址库用于对针对所述恶意资源地址库中的恶意资源地址的资源访问请求进行拦截。