惡意網(wǎng)址的識(shí)別方法和裝置制造方法
【專利摘要】本發(fā)明公開了一種惡意網(wǎng)址的識(shí)別方法和裝置。本發(fā)明實(shí)施例提供的惡意網(wǎng)址的識(shí)別方法包括:對出現(xiàn)在設(shè)備中的消息數(shù)據(jù)實(shí)時(shí)進(jìn)行捕獲�,該消息包括IM消息、郵件����、網(wǎng)頁等數(shù)據(jù)形式;提取所捕獲的消息中的URL�;當(dāng)判斷所述URL為可疑URL時(shí),根據(jù)該URL所在的消息內(nèi)容和該URL對應(yīng)的頁面資源識(shí)別出惡意網(wǎng)址����。本方案能夠?qū)崟r(shí)識(shí)別出新出現(xiàn)的惡意網(wǎng)站,在惡意網(wǎng)址傳播的初期切斷其傳播能力���,及時(shí)阻止惡意網(wǎng)址的傳播和危害�����。
【專利說明】惡意網(wǎng)址的識(shí)別方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信網(wǎng)絡(luò)【技術(shù)領(lǐng)域】���,特別涉及一種惡意網(wǎng)址的識(shí)別方法和裝置���。
【背景技術(shù)】
[0002]為了確保網(wǎng)絡(luò)安全�,必須對網(wǎng)絡(luò)中的惡意網(wǎng)址進(jìn)行識(shí)別。現(xiàn)在業(yè)界的惡意網(wǎng)址識(shí)別方法主要基于靜態(tài),一種方法為基于靜態(tài)(如hosts)文件的惡意地址判斷��,其將惡意網(wǎng)址存放在文本型文件(如HOSTS)中后���,對瀏覽器或聊天工具中的數(shù)據(jù)進(jìn)行匹配判斷��;另一種方法為基于散列值的惡意地址判斷�,其將提取惡意網(wǎng)址的散列值并保存�,利用散列值對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹配判斷。
[0003]上述現(xiàn)有的惡意網(wǎng)址識(shí)別技術(shù)至少存在如下缺點(diǎn):
[0004]現(xiàn)有方案都是將惡意網(wǎng)址的信息預(yù)先保存在固定的特征庫(如黑白名單)中�,特征庫需要人工進(jìn)行識(shí)別和更新,更新時(shí)間長���,速度慢����,導(dǎo)致特征庫中存在大量無效數(shù)據(jù)���,既容易封殺合法無害的網(wǎng)站����,造成“誤殺”,也無法應(yīng)付快速出現(xiàn)的惡意網(wǎng)站�����,易于產(chǎn)生“漏殺”現(xiàn)象��。
[0005]然而����,惡意網(wǎng)站傳播在最開始時(shí)間段,最具破壞能力和傳播能力����,通常掛馬網(wǎng)站或釣魚網(wǎng)站的存活時(shí)間,大多只有幾小時(shí)或幾天�����,現(xiàn)有固定黑白名單的靜態(tài)識(shí)別模式�����,已經(jīng)無法阻止現(xiàn)實(shí)中惡意網(wǎng)址的快速傳播根本無法達(dá)到預(yù)期安全目標(biāo)�。
【發(fā)明內(nèi)容】
[0006]本發(fā)明提供了一種惡意網(wǎng)址的識(shí)別方法和裝置,以解決現(xiàn)有業(yè)界方案特征庫更新緩慢而導(dǎo)致無法及時(shí)識(shí)別快速出現(xiàn)的惡意網(wǎng)站的問題�。
[0007]為達(dá)到上述目的����,本發(fā)明實(shí)施例采用了如下技術(shù)方案:
[0008]本發(fā)明實(shí)施例提供了一種惡意網(wǎng)址的識(shí)別方法����,所述方法包括:
[0009]對出現(xiàn)在設(shè)備中的消息實(shí)時(shí)進(jìn)行捕獲����,所述消息包括即時(shí)通信IM消息、郵件和網(wǎng)頁中的一種或多種���;
[0010]提取所捕獲的消息的統(tǒng)一資源定位符URL ����;
[0011]當(dāng)判斷所述URL為可疑URL時(shí)�����,根據(jù)該URL所在的消息的內(nèi)容和該URL對應(yīng)的頁面資源識(shí)別出惡意網(wǎng)址����。
[0012]本發(fā)明實(shí)施例還提供了一種惡意網(wǎng)址的識(shí)別裝置,所述裝置包括:
[0013]實(shí)時(shí)捕獲單元�,用于對出現(xiàn)在設(shè)備中的消息實(shí)時(shí)進(jìn)行捕獲�,所述消息包括即時(shí)通信頂消息����、郵件和網(wǎng)頁中的一種或多種;
[0014]URL提取單元����,用于提取所捕獲消息中的統(tǒng)一資源定位符URL ;
[0015]識(shí)別單元��,用于當(dāng)判斷所述URL為可疑URL時(shí)�,根據(jù)該URL所在的消息的內(nèi)容和該URL對應(yīng)的頁面資源識(shí)別出惡意網(wǎng)址。
[0016]本發(fā)明實(shí)施例的有益效果是:
[0017]本發(fā)明實(shí)施例能夠?qū)阂饩W(wǎng)址的特征庫自動(dòng)快速地更新�����,提高了對惡意網(wǎng)址識(shí)別的準(zhǔn)確性和有效性�。且本方案能夠?qū)崟r(shí)識(shí)別出新出現(xiàn)的惡意網(wǎng)站,在惡意網(wǎng)址傳播的初期切斷其傳播能力�,及時(shí)阻止惡意網(wǎng)址的傳播和危害。
【專利附圖】
【附圖說明】
[0018]圖1為本發(fā)明實(shí)施例一提供的一種惡意網(wǎng)址的識(shí)別方法流程圖��;
[0019]圖2為本發(fā)明實(shí)施例二提供的一種惡意網(wǎng)址的識(shí)別方法流程圖����;
[0020]圖3為本發(fā)明實(shí)施例三提供的一種惡意網(wǎng)址的識(shí)別裝置結(jié)構(gòu)示意圖���。
【具體實(shí)施方式】
[0021]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面將結(jié)合附圖對本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述���。
[0022]參見圖1,為本發(fā)明實(shí)施例一提供的一種惡意網(wǎng)址的識(shí)別方法���,該方法包括:
[0023]11:對出現(xiàn)在設(shè)備中的消息實(shí)時(shí)進(jìn)行捕獲���,消息可為即時(shí)通信(頂)消息、郵件��、網(wǎng)頁等多種形式�����。
[0024]上述設(shè)備為網(wǎng)絡(luò)或系統(tǒng)中具有集中處理(如集中轉(zhuǎn)發(fā))大量消息能力的設(shè)備�����,如該服務(wù)器可以為用于轉(zhuǎn)發(fā)網(wǎng)頁數(shù)據(jù)或郵件的網(wǎng)關(guān)服務(wù)器/核心交換機(jī),每當(dāng)有消息經(jīng)過該服務(wù)器時(shí)���,對該消息進(jìn)行捕獲���。
[0025]根據(jù)設(shè)備所位于的網(wǎng)絡(luò)平臺(tái)的不同,上述消息也不同�,例如上述消息可以為即時(shí)通信聊天消息、論壇�、郵件或微博消息等。
[0026]12:提取所捕獲的消息中的統(tǒng)一資源定位符(Uniform/Universal ResourceLocator, URL)����。
[0027]本實(shí)施例中主要對消息中攜帶的URL進(jìn)行提取,并根據(jù)提取的URL進(jìn)行惡意網(wǎng)址的識(shí)別�����,可以理解�,需要時(shí),也可以基于消息發(fā)送端和接收端的URL對惡意網(wǎng)址進(jìn)行識(shí)別���。
[0028]13:判斷所述URL是否為可疑URL�,若否��,執(zhí)行步驟14,若是���,執(zhí)行步驟15�����。
[0029]14:確認(rèn)該URL為正常網(wǎng)址,允許該URL����。
[0030]15:當(dāng)判斷出所述URL為可疑URL時(shí)���,根據(jù)該URL所在的消息的內(nèi)容和該URL對應(yīng)的頁面資源識(shí)別出惡意網(wǎng)址。
[0031]由上所述�����,本發(fā)明實(shí)施例能夠?qū)阂饩W(wǎng)址的特征庫自動(dòng)快速地更新�,提高了對惡意網(wǎng)址識(shí)別的準(zhǔn)確性和有效性。且本方案能夠?qū)崟r(shí)識(shí)別出新出現(xiàn)的惡意網(wǎng)站���,在惡意網(wǎng)址傳播的初期切斷其傳播能力����,及時(shí)阻止惡意網(wǎng)址的傳播和危害。
[0032]下面對本發(fā)明實(shí)施例二提供的一種惡意網(wǎng)址的識(shí)別方法進(jìn)行說明����。本實(shí)施例以對即時(shí)通訊類應(yīng)用的頂聊天消息處理的場景為例進(jìn)行說明,參見圖2��,包括如下處理:
[0033]21:在服務(wù)器后臺(tái)捕獲消息��。該服務(wù)器可以為即時(shí)通訊應(yīng)用服務(wù)器�。
[0034]22:提取 URL 數(shù)據(jù)。
[0035]對聊天消息中攜帶的UR進(jìn)行提取�,并判斷所提取的URL是否為可疑URL,是否需要進(jìn)行URL信息分析���。
[0036]本實(shí)施例中對同一個(gè)URL的發(fā)送次數(shù)進(jìn)行統(tǒng)計(jì)�����,判斷同一 URL的發(fā)送次數(shù)是否大于發(fā)送量閾值�,若是���,則該URL為可疑網(wǎng)址��。
[0037]進(jìn)一步的���,本實(shí)施例對以前識(shí)別過程中識(shí)別出的惡意網(wǎng)址和正常網(wǎng)址進(jìn)行記錄��,如建立惡意網(wǎng)址庫記錄所識(shí)別出的惡意網(wǎng)址�����,以及建立正常網(wǎng)址庫記錄所識(shí)別出的正常網(wǎng)址列表����。結(jié)合所記錄的惡意網(wǎng)址和正常網(wǎng)址判斷是否為可疑網(wǎng)址�����,從而避免重復(fù)執(zhí)行判斷操作���,既提高了識(shí)別效率,又節(jié)省了系統(tǒng)資源�。
[0038]具體的,判斷同一 URL的發(fā)送次數(shù)是否大于發(fā)送量閾值��,若否�����,該URL為正常URL,若是�,查詢該URL是否在已記錄的網(wǎng)址中,若在�����,根據(jù)對該URL的記錄確認(rèn)該URL為惡意網(wǎng)址或正常網(wǎng)址(若已將該URL記錄為惡意網(wǎng)址��,則確認(rèn)該URL為惡意網(wǎng)址����;若已將該URL記錄為正常網(wǎng)址,則確認(rèn)該URL為正常網(wǎng)址)���,若不在����,確認(rèn)該URL為可疑網(wǎng)址�。
[0039]上述發(fā)送量閾值的具體大小可以根據(jù)網(wǎng)絡(luò)平臺(tái)的特點(diǎn)、消息所對應(yīng)事件的類型進(jìn)行設(shè)定����。
[0040]進(jìn)一步的,本實(shí)施例當(dāng)記錄為惡意網(wǎng)址的URL的發(fā)送次數(shù)在預(yù)定時(shí)間段內(nèi)未出現(xiàn)大于發(fā)送量閾值時(shí)��,將該URL從惡意網(wǎng)址的記錄中移除,從而實(shí)現(xiàn)了對惡意網(wǎng)址特征庫中無效信息的自動(dòng)及時(shí)刪除����,避免了封殺合法無害網(wǎng)站的“誤殺”現(xiàn)象的出現(xiàn)。對從惡意網(wǎng)址的記錄中移除的URL����,建立一個(gè)歷史惡意網(wǎng)址庫來記錄,并標(biāo)記該庫中的URL曾經(jīng)作為惡意網(wǎng)站的次數(shù)��。
[0041]本實(shí)施例中主要從兩個(gè)方面對URL信息進(jìn)行分析�,一方面是文本內(nèi)容分析,對消息文本內(nèi)容進(jìn)行分析,一方面是URL頁面代碼分析��,對URL所指向的頁面資源進(jìn)行分析��。
[0042]23:識(shí)別消息內(nèi)容�。
[0043]在進(jìn)行文本內(nèi)容分析時(shí),對URL所在消息內(nèi)容進(jìn)行指紋比對��,得到URL特征值�����。
[0044]消息指紋比對專于識(shí)別消息內(nèi)容出現(xiàn)的敏感關(guān)鍵詞�����,從而判斷此消息屬于的類另IJ���。如某些色情���、詐騙類消息群發(fā)傳播時(shí),往往在內(nèi)容中隨機(jī)插入一些數(shù)字或符號(hào)����,導(dǎo)致消息哈希(HASH)值并不完全相同,傳統(tǒng)的精確匹配算法認(rèn)為這些消息并不相同��,但利用消息指紋比對即可以將此類消息篩選出來��,標(biāo)識(shí)為同一條惡意消息����。一種替換的方式下,也可以使用正則表達(dá)式準(zhǔn)確匹配關(guān)鍵詞來識(shí)別消息內(nèi)容��,也能達(dá)到很好效果����。
[0045]24:根據(jù)URL特征值判斷URL是否包括惡意內(nèi)容��。
[0046]例如�����,當(dāng)消息指紋(URL特征值)屬于詐騙類時(shí)����,則確認(rèn)URL為包括惡意內(nèi)容的詐騙類惡意網(wǎng)址�����,當(dāng)消息指紋(URL特征值)屬于色情類時(shí)���,則確認(rèn)URL為包括惡意內(nèi)容的色情類惡意網(wǎng)址���。
[0047]25:下載URL頁面資源并分析。
[0048]在進(jìn)行URL頁面分析時(shí)��,下載URL所指向的頁面資源����,對URL對應(yīng)的頁面資源中的頁面內(nèi)容和頁面代碼進(jìn)行判斷,得到頁面資源判斷結(jié)果���。
[0049]頁面內(nèi)容的類型不同時(shí)����,所采用的判斷方式也不同����,例如,當(dāng)頁面內(nèi)容為文本類內(nèi)容時(shí)�,如頁面內(nèi)容為超文本標(biāo)記語言(HTML)數(shù)據(jù),或文本(TXT)數(shù)據(jù)時(shí)�����,提取該頁面內(nèi)容的指紋特征值以進(jìn)行判斷�����;或者�����,當(dāng)頁面內(nèi)容為二進(jìn)制內(nèi)容時(shí)����,提取該頁面內(nèi)容的哈希特征值以進(jìn)行判斷�。
[0050]26:頁面中是否有惡意軟件�����。
[0051]本實(shí)施還對頁面代碼進(jìn)行檢測����,調(diào)用第三方應(yīng)用程序接口(API),該API接口可以為殺毒應(yīng)用軟件的接口�����,檢測頁面資源中是否存在掛馬���、病毒等惡意插件����,或其它可疑調(diào)用����。
[0052]當(dāng)所述指紋特征值或哈希特征值標(biāo)記頁面內(nèi)容中包含惡意內(nèi)容,且所述頁面插件中包含惡意插件時(shí)���,得到的頁面資源判斷結(jié)果標(biāo)記相應(yīng)URL包括惡意內(nèi)容����。該惡意內(nèi)容可以為詐騙、色情等法律禁止的內(nèi)容,也可以為自行設(shè)定的敏感內(nèi)容�����。
[0053]27:將惡意網(wǎng)址加入惡意網(wǎng)址庫��。
[0054]當(dāng)上述URL特征值和頁面資源判斷結(jié)果都標(biāo)記該URL包括惡意內(nèi)容時(shí)�����,確定該URL為惡意網(wǎng)址并加入惡意網(wǎng)址庫��,該URL所在網(wǎng)站為惡意網(wǎng)站���。
[0055]28:人工審核。
[0056]為了確保不會(huì)“誤殺”合法網(wǎng)站和“漏殺”非法網(wǎng)站����,本實(shí)施例還可以進(jìn)一步設(shè)置了人工審核的步驟,對步驟24�、26中確認(rèn)為不包括惡意內(nèi)容的可疑URL進(jìn)行人工審核,對步驟27中加入惡意網(wǎng)址庫的惡意網(wǎng)址也進(jìn)行人工審核,以對所確定的惡意網(wǎng)址和正常網(wǎng)址進(jìn)行驗(yàn)證���,保存通過驗(yàn)證的惡意網(wǎng)址和正常網(wǎng)址���,并以此進(jìn)行網(wǎng)址識(shí)別。
[0057]通過上述處理�,即可在最短時(shí)間內(nèi)提取出詐騙與惡意程序類的網(wǎng)址,在傳播初期即自動(dòng)識(shí)別出來�,切斷惡意網(wǎng)址傳播能力;并能夠在最短時(shí)間內(nèi)�����,得到最新活動(dòng)的惡意網(wǎng)站��,惡意程序樣本�����,可以將這些信息提交給第三方(如殺毒廠家)使用�,并且也可在自有業(yè)務(wù)安全相關(guān)系統(tǒng)中,作為精確參數(shù)直接使用����,從而有助于提高惡意網(wǎng)址識(shí)別的準(zhǔn)確率��,保證了網(wǎng)絡(luò)安全�����。
[0058]本發(fā)明實(shí)施例三還提供了一種惡意網(wǎng)址的識(shí)別裝置��,參見圖3�,所述裝置包括:
[0059]實(shí)時(shí)捕獲單元31��,用于對出現(xiàn)在網(wǎng)絡(luò)和系統(tǒng)中的消息實(shí)時(shí)進(jìn)行捕獲���,消息可為IM消息、郵件�����、網(wǎng)頁等多種形式��;
[0060]URL提取單元32���,用于提取所捕獲的消息中的統(tǒng)一資源定位符(URL)�����;
[0061]識(shí)別單元33����,用于當(dāng)判斷所述URL為可疑URL時(shí),根據(jù)該URL所在的消息的內(nèi)容和該URL對應(yīng)的頁面資源識(shí)別出惡意網(wǎng)址���。
[0062]進(jìn)一步的�����,所述裝置還包括記錄單元��,用于對識(shí)別出的惡意網(wǎng)址和正常網(wǎng)址進(jìn)行記錄����,
[0063]所述識(shí)別單元33包括判斷模塊��,用于判斷同一 URL的發(fā)送次數(shù)是否大于發(fā)送量閾值�����,若否����,該URL為正常URL�����,若是����,查詢該URL是否在已記錄的網(wǎng)址中����,若在,根據(jù)對該URL的記錄確認(rèn)該URL為惡意網(wǎng)址或正常網(wǎng)址�,若不在,確認(rèn)該URL為可疑網(wǎng)址��。
[0064]進(jìn)一步的���,所述裝置還包括維護(hù)單元,當(dāng)記錄為惡意網(wǎng)址的URL的發(fā)送次數(shù)在預(yù)定時(shí)間內(nèi)未出現(xiàn)大于發(fā)送量閾值時(shí)����,將該URL從惡意網(wǎng)址的記錄中移除,進(jìn)行維護(hù)操作��。
[0065]所述識(shí)別單元33還包括如下模塊:
[0066]消息識(shí)別模塊�����,用于對URL所在消息的內(nèi)容進(jìn)行指紋比對,得到URL特征值��;
[0067]頁面識(shí)別模塊�,用于對URL對應(yīng)的頁面資源中的頁面內(nèi)容和頁面插件進(jìn)行判斷,得到頁面資源判斷結(jié)果�����;
[0068]確認(rèn)模塊��,用于當(dāng)所述URL特征值和頁面資源判斷結(jié)果都標(biāo)記該URL包括惡意內(nèi)容時(shí)�,確定該URL為惡意網(wǎng)址,該URL所在網(wǎng)站為惡意網(wǎng)站��。
[0069]其中�,所述頁面識(shí)別模塊,用于當(dāng)頁面內(nèi)容為文本類內(nèi)容時(shí)����,提取該頁面內(nèi)容的指紋特征值,或者���,當(dāng)頁面內(nèi)容為二進(jìn)制內(nèi)容時(shí)�����,提取該頁面內(nèi)容的哈希特征值��;以及���,調(diào)用第三方API接口判斷頁面插件中是否包含惡意插件��;當(dāng)所述指紋特征值或哈希特征值標(biāo)記頁面內(nèi)容中包含惡意內(nèi)容���,且所述頁面插件中包含惡意插件時(shí),得到的頁面資源判斷結(jié)果標(biāo)記相應(yīng)URL包括惡意內(nèi)容��。[0070]本發(fā)明裝置實(shí)施例中各單元和模塊的具體工作方式參見本發(fā)明的方法實(shí)施例����。
[0071]本發(fā)明實(shí)施例至少具有如下優(yōu)點(diǎn):
[0072]1:實(shí)時(shí)識(shí)別惡意網(wǎng)站���,尤其最具破壞性的新惡意網(wǎng)站����,能在最短時(shí)間內(nèi)控制其影響����。
[0073]2:在設(shè)備捕獲消息后采用指紋模式識(shí)別���,大大提高了識(shí)別速度;
[0074]3:特征庫能夠自動(dòng)快速更新�����,實(shí)時(shí)提取惡意網(wǎng)址�����,可有效控制其危害����。
[0075]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍��。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�、等同替換、改進(jìn)等�,均包含在本發(fā)明的保護(hù)范圍內(nèi)。
【權(quán)利要求】
1.一種惡意網(wǎng)址的識(shí)別方法��,其特征在于,所述方法包括: 對出現(xiàn)在設(shè)備中的消息實(shí)時(shí)進(jìn)行捕獲����,所述消息包括即時(shí)通信IM消息、郵件和網(wǎng)頁中的一種或多種�; 提取所捕獲的消息的統(tǒng)一資源定位符URL ; 當(dāng)判斷所述URL為可疑URL時(shí)�,根據(jù)該URL所在的消息的內(nèi)容和該URL對應(yīng)的頁面資源識(shí)別出惡意網(wǎng)址。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述方法還包括對識(shí)別出的惡意網(wǎng)址和正常網(wǎng)址進(jìn)行記錄���,所述判斷所述URL為可疑URL包括: 判斷同一 URL的發(fā)送次數(shù)是否大于發(fā)送量閾值����,若否����,該URL為正常URL��,若是,查詢該URL是否在已記錄的網(wǎng)址中���,若在��,根據(jù)對該URL的記錄確認(rèn)該URL為惡意網(wǎng)址或正常網(wǎng)址���,若不在,確認(rèn)該URL為可疑網(wǎng)址����。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于����,所述方法還包括: 當(dāng)記錄為惡意網(wǎng)址的URL的發(fā)送次數(shù)在預(yù)定時(shí)間段內(nèi)未出現(xiàn)大于發(fā)送量閾值時(shí),將該URL從惡意網(wǎng)址的記錄中移除��。
4.根據(jù)權(quán)利要求1所述的方法�,其特征在于,根據(jù)該URL所在的消息的內(nèi)容和該URL對應(yīng)的頁面資源識(shí)別出惡意網(wǎng)址包括: 對URL所在消息內(nèi)容進(jìn)行指紋比對���,得到URL特征值����; 對URL對應(yīng)的頁面資源中的頁面內(nèi)容和頁面代碼進(jìn)行判斷,得到頁面資源判斷結(jié)果��; 當(dāng)所述URL特征值和頁面資源判斷結(jié)果都標(biāo)記該URL包括惡意內(nèi)容時(shí)�����,則確定該URL為惡意網(wǎng)址��,該URL所在網(wǎng)站為惡意網(wǎng)站�。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于��,所述對URL對應(yīng)的頁面資源中的頁面內(nèi)容和頁面代碼進(jìn)行判斷����,得到頁面資源判斷結(jié)果包括: 當(dāng)頁面內(nèi)容為文本類內(nèi)容時(shí),提取該頁面內(nèi)容的指紋特征值�,或者,當(dāng)頁面內(nèi)容為二進(jìn)制內(nèi)容時(shí)��,提取該頁面內(nèi)容的哈希特征值�����;以及�, 調(diào)用第三方API接口判斷頁面代碼中是否包含惡意代碼����; 當(dāng)所述指紋特征值或哈希特征值標(biāo)記頁面內(nèi)容中包含惡意內(nèi)容�����,且所述頁面代碼中包含惡意代碼時(shí)���,得到的頁面資源判斷結(jié)果標(biāo)記相應(yīng)URL包括惡意內(nèi)容。
6.一種惡意網(wǎng)址的識(shí)別裝置�����,其特征在于����,所述裝置包括: 實(shí)時(shí)捕獲單元,用于對出現(xiàn)在設(shè)備中的消息實(shí)時(shí)進(jìn)行捕獲����,所述消息包括即時(shí)通信頂消息、郵件和網(wǎng)頁中的一種或多種���; URL提取單元���,用于提取所捕獲消息中的統(tǒng)一資源定位符URL ���; 識(shí)別單元,用于當(dāng)判斷所述URL為可疑URL時(shí)�,根據(jù)該URL所在的消息的內(nèi)容和該URL對應(yīng)的頁面資源識(shí)別出惡意網(wǎng)址。
7.根據(jù)權(quán)利要求6所述的裝置�,其特征在于,所述裝置還包括記錄單元���,用于對識(shí)別出的惡意網(wǎng)址和正常網(wǎng)址進(jìn)行記錄�, 所述識(shí)別單元包括判斷模塊�����,用于判斷同一 URL的發(fā)送次數(shù)是否大于發(fā)送量閾值�,若否,該URL為正常URL���,若是�����,查詢該URL是否在已記錄的網(wǎng)址中��,若在����,根據(jù)對該URL的記錄確認(rèn)該URL為惡意網(wǎng)址或正常網(wǎng)址,若不在�����,確認(rèn)該URL為可疑網(wǎng)址���。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于���,所述裝置還包括維護(hù)單元�����,當(dāng)記錄為惡意網(wǎng)址的URL的發(fā)送次數(shù)在預(yù)定時(shí)間段內(nèi)未出現(xiàn)大于發(fā)送量閾值時(shí)�����,將該URL從惡意網(wǎng)址的記錄中移除�����,進(jìn)行維護(hù)操作�����。
9.根據(jù)權(quán)利要求6所述的裝置���,其特征在于�,所述識(shí)別單元還包括: 消息識(shí)別模塊��,用于對URL所在消息的內(nèi)容進(jìn)行指紋比對��,得到URL特征值�; 頁面識(shí)別模塊,用于對URL對應(yīng)的頁面資源中的頁面內(nèi)容和頁面代碼進(jìn)行判斷����,得到頁面資源判斷結(jié)果; 確認(rèn)模塊�,用于當(dāng)所述URL特征值和頁面資源判斷結(jié)果都標(biāo)記該URL包括惡意內(nèi)容時(shí),確定該URL為惡意網(wǎng)址��,該URL所在的網(wǎng)站為惡意網(wǎng)站�����。
10.根據(jù)權(quán)利要求6所述的裝置,其特征在于���, 所述頁面識(shí)別模塊�,用于當(dāng)頁面內(nèi)容為文本類內(nèi)容時(shí)��,提取該頁面內(nèi)容的指紋特征值��,或者���,當(dāng)頁面內(nèi)容為二進(jìn)制內(nèi)容時(shí),提取該頁面內(nèi)容的哈希特征值����;以及,調(diào)用第三方API接口判斷頁面代碼中是否包含惡意代碼���;當(dāng)所述指紋特征值或哈希特征值標(biāo)記頁面內(nèi)容中包含惡意內(nèi)容���,且所述頁面代碼中包含惡意代碼時(shí),得到的頁面資源判斷結(jié)果標(biāo)記相應(yīng)URL包括惡意內(nèi)容��,該URL所在的網(wǎng)站 為惡意網(wǎng)站�。
【文檔編號(hào)】H04L29/06GK103428183SQ201210163298
【公開日】2013年12月4日 申請日期:2012年5月23日 優(yōu)先權(quán)日:2012年5月23日
【發(fā)明者】咸德玉, 劉建東, 田旭東 申請人:北京新媒傳信科技有限公司