專(zhuān)利名稱(chēng):用于檢測(cè)惡意鏈接的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及一種用于檢測(cè)惡意鏈接的方法及系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)的發(fā)展,各種計(jì)算機(jī)惡意程序的攻擊方式變得越來(lái)越層出不窮。比如類(lèi)似掛馬類(lèi)的惡意程序攻擊手段多種多樣,比如,包括SQUStructuredQuery Language,結(jié)構(gòu)化查詢(xún)語(yǔ)言)注入,網(wǎng)站敏感文件掃描,服務(wù)器漏洞,網(wǎng)站程序Oday等各種方法獲得網(wǎng)站管理員賬號(hào),然后登陸網(wǎng)站后臺(tái),通過(guò)數(shù)據(jù)庫(kù)備份/恢復(fù)或者上傳漏洞獲得一個(gè)webshe I I(web入侵的腳本攻擊工具)。利用獲得的webshel I修改網(wǎng)站頁(yè)面的內(nèi)容,向頁(yè)面中加入惡意轉(zhuǎn)向代碼。也可以直接通過(guò)弱口令獲得服務(wù)器或者網(wǎng)站FTP(Fi Ie Transfer Protocal,文件傳輸協(xié)議),然后直接對(duì)網(wǎng)站頁(yè)面直接進(jìn)行修改。當(dāng)訪(fǎng)問(wèn)被加入惡意代碼的頁(yè)面時(shí),就會(huì)自動(dòng)的訪(fǎng)問(wèn)被轉(zhuǎn)向的地址或者下載木馬病毒。在整個(gè)掛馬檢測(cè)的防御體系中,關(guān)于惡意URL (Universal Resource Locator,統(tǒng)一資源定位符)的收集就是一^Is非常重要的環(huán)節(jié),如何能夠更快速更全面收集到惡意URL,將決定殺毒軟件查殺掛馬網(wǎng)站是否及時(shí),是否有效?,F(xiàn)有的一種檢測(cè)掛馬網(wǎng)站方案是,反掛馬蜘蛛從一些漏洞掃描后收集的高危網(wǎng)站作為種子開(kāi)始抓取,通過(guò)對(duì)新發(fā)現(xiàn)的頁(yè)面做鏈接分析,從中獲取新的URL,然后對(duì)新的URL進(jìn)行下載,下載后的內(nèi)容提交給掛馬識(shí)別系統(tǒng)。對(duì)于基于種子進(jìn)行抓取的檢測(cè)系統(tǒng),由于種子頁(yè)面僅僅是高危網(wǎng)站,但未必是被掛馬的網(wǎng)站,所以無(wú)法快速的檢測(cè)掛馬網(wǎng)站,同時(shí)覆蓋率也就不夠全面?,F(xiàn)有的另一種方案是,檢測(cè)系統(tǒng)通過(guò)客戶(hù)端軟件來(lái)探測(cè)發(fā)現(xiàn)高危網(wǎng)站,發(fā)現(xiàn)后將數(shù)據(jù)反饋到蜘蛛系統(tǒng),由蜘蛛系統(tǒng)進(jìn)行下載并遞交后續(xù)分析系統(tǒng)。對(duì)于這種基于客戶(hù)端探測(cè)的檢測(cè)系統(tǒng),由于黑客入侵后嵌入的惡意攻擊代碼可以隨時(shí)停止,所以經(jīng)常無(wú)法檢測(cè)到有惡意行為,也就無(wú)法將被攻擊的網(wǎng)址回傳到服務(wù)端檢測(cè)系統(tǒng),在檢測(cè)手法上比較被動(dòng)。因此,這種方案也無(wú)法快速發(fā)現(xiàn)檢測(cè)到盡量多的掛馬網(wǎng)站,并且也無(wú)法檢測(cè)到盡量多的掛馬網(wǎng)站。
發(fā)明內(nèi)容
鑒于上述問(wèn)題,提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的用于檢測(cè)惡意鏈接的系統(tǒng)和相應(yīng)的用于檢測(cè)惡意鏈接的方法。依據(jù)本發(fā)明的一個(gè)方面,提供了一種用于檢測(cè)惡意鏈接的系統(tǒng),包括服務(wù)器端設(shè)備和客戶(hù)端設(shè)備;所述服務(wù)器端設(shè)備包括網(wǎng)絡(luò)安全管理設(shè)備,所述客戶(hù)端設(shè)備包括檢測(cè)設(shè)備;所述惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址,其中,所述檢測(cè)設(shè)備包括第二行為檢測(cè)器,被配置為對(duì)網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測(cè),將檢測(cè)出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測(cè);第二獲取器,被配置為獲取所述服務(wù)器端設(shè)備基于所述第二行為檢測(cè)器提供的可疑鏈接確定的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合,所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合,所述危險(xiǎn)惡意鏈接集合是服務(wù)器端篩選出的所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合以外的其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的各惡意鏈接的集合;第二鏈接檢測(cè)器,被配置為根據(jù)所述第二獲取器獲取的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合檢測(cè)出新的可疑鏈接,并將所述新的可疑鏈接傳輸至所述服務(wù)器端設(shè)備進(jìn)行檢測(cè)及更新相關(guān)惡意值,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合;所述網(wǎng)絡(luò)安全管理設(shè)備包括第一行為檢測(cè)器,被配置為至少對(duì)客戶(hù)端設(shè)備檢測(cè)出的可疑鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)是否為惡意鏈接,以及對(duì)所述檢測(cè)為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)出所述惡意鏈接的內(nèi)嵌的其他惡意鏈接;第一行為評(píng)估器,被配置為至少根據(jù)所述第一行為檢測(cè)器檢測(cè)出的各惡意鏈接之間的內(nèi)嵌關(guān)系,對(duì)各惡意鏈接評(píng)估惡意值,并對(duì)各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評(píng)估惡意值,以及根據(jù)所述第一行為檢測(cè)器檢測(cè)出的新的惡意鏈接對(duì)相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新;第一篩選器,被配置為根據(jù)所述第一行為評(píng)估器評(píng)估出的結(jié)果,篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合,并將所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合的信息通知至所述客戶(hù)端設(shè)備;第一獲取器,被配置為獲取客戶(hù)端設(shè)備基于所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和所述危險(xiǎn)惡意鏈接集合檢測(cè)出的新的可疑鏈接,并將所述新的可疑鏈接傳輸至所述第一行為檢測(cè)器進(jìn)行檢測(cè),所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合??蛇x的,待評(píng)估惡意值的惡意鏈接為目標(biāo)惡意鏈接,目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接為目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接,每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目具體是以該內(nèi)嵌惡意鏈接作為內(nèi)嵌的鏈接的所有惡意鏈接的總數(shù),第一行為評(píng)估器包括第一識(shí)別模塊,被配置為根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識(shí)別出目標(biāo)惡意鏈接的所有內(nèi)嵌惡意鏈接以及每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目;第一評(píng)估模塊,被配置為根據(jù)第一識(shí)別模塊識(shí)別出的目標(biāo)惡意鏈接的各內(nèi)嵌惡意鏈接的最新惡意值,和每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目,評(píng)估目標(biāo)惡意鏈接的惡意值??蛇x的,待評(píng)估惡意值的惡意網(wǎng)站主機(jī)名為目標(biāo)惡意網(wǎng)站主機(jī)名,目標(biāo)惡意網(wǎng)站主機(jī)名下各惡意鏈接的內(nèi)嵌的其他惡意鏈接所屬的惡意網(wǎng)站主機(jī)名,是與目標(biāo)惡意網(wǎng)站主機(jī)名具有關(guān)聯(lián)關(guān)系的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名,每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目具體是該關(guān)聯(lián)惡意網(wǎng)站主機(jī)名下所有惡意鏈接的惡意外鏈數(shù)目之和,第一評(píng)估器包括第二識(shí)別模塊,被配置為根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識(shí)別出目標(biāo)惡意網(wǎng)站主機(jī)名的所有關(guān)聯(lián)惡意網(wǎng)站主機(jī)名,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目;第二評(píng)估模塊,被配置為根據(jù)目標(biāo)惡意網(wǎng)站主機(jī)名的各關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的最新惡意值,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目,評(píng)估目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值。可選的,第一評(píng)估模塊還被配置為通過(guò)多輪迭代方式獲得各目標(biāo)惡意鏈接的惡意值,在第一輪處理時(shí)為各目標(biāo)惡意鏈接設(shè)置初始惡意值;第二評(píng)估模塊還被配置為通過(guò)多輪迭代方式獲得各目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值,在第一輪處理時(shí)為各目標(biāo)惡意網(wǎng)站主機(jī)名設(shè)置初始惡意值??蛇x的,惡意鏈接或可疑鏈接的內(nèi)嵌的其他鏈接包括訪(fǎng)問(wèn)惡意鏈接或可疑鏈接時(shí)被自動(dòng)執(zhí)行的其他鏈接。
可選的,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合包括新的可疑鏈接的內(nèi)嵌的其他鏈接的網(wǎng)站主機(jī)名,至少是危險(xiǎn)惡意網(wǎng)站主機(jī)名集合中的一個(gè)網(wǎng)站主機(jī)名;或者,新的可疑鏈接的內(nèi)嵌的其他鏈接,至少是危險(xiǎn)惡意鏈接集合中的一個(gè)鏈接??蛇x的,第一行為檢測(cè)器具體是掛馬行為檢測(cè)器,的惡意行為檢測(cè)具體是掛馬惡意行為檢測(cè),惡意鏈接具體惡意掛馬鏈接,惡意鏈接的內(nèi)嵌的其他惡意鏈接具體為惡意掛馬鏈接的內(nèi)嵌的其他惡意掛馬鏈接。根據(jù)本發(fā)明的另一方面,提供了一種用于檢測(cè)惡意鏈接的方法,惡意鏈接包括互聯(lián)網(wǎng)中各種惡意的網(wǎng)絡(luò)資源的鏈接地址,包括至少對(duì)客戶(hù)端設(shè)備檢測(cè)出的可疑鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)是否為惡意鏈接,以及對(duì)檢測(cè)為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)出惡意鏈接的內(nèi)嵌的其他惡意鏈接;至少根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,對(duì)各惡意鏈接評(píng)估惡意值,并對(duì)各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評(píng)估惡意值,以及根據(jù)檢測(cè)出的新的惡意鏈接對(duì)相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新;篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合,并將危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合的信息通知至客戶(hù)端設(shè)備;獲取客戶(hù)端設(shè)備基于危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合檢測(cè)出的新的可疑鏈接,并將新的可疑鏈接進(jìn)行惡意行為檢測(cè),新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合;其中,所述惡意鏈接或可疑鏈接的內(nèi)嵌的其他鏈接包括訪(fǎng)問(wèn)所述惡意鏈接或可疑鏈接時(shí)被自動(dòng)執(zhí)行的其他鏈接。根據(jù)本發(fā)明的用于檢測(cè)惡意鏈接的系統(tǒng)及方法,可以快速檢測(cè)到更多的可疑鏈接、惡意鏈接,由此解決了現(xiàn)有技術(shù)無(wú)法快速檢測(cè)到盡量多的惡意鏈接的技術(shù)問(wèn)題,取得了能夠快速檢測(cè)到大量惡意鏈接的有益效果。上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的`具體實(shí)施方式
。
通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件。在附圖中圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測(cè)惡意鏈接的系統(tǒng)示意圖;圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意鏈接之間內(nèi)嵌關(guān)系的示意圖;圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意網(wǎng)站主機(jī)名之間關(guān)聯(lián)關(guān)系的示意圖;圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測(cè)惡意鏈接的方法流程圖;以及圖5示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測(cè)惡意鏈接的檢測(cè)方法流程圖。
具體實(shí)施例方式下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi),并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。本發(fā)明實(shí)施例可以應(yīng)用于計(jì)算機(jī)系統(tǒng)/服務(wù)器,其可與眾多其它通用或?qū)S糜?jì)算系統(tǒng)環(huán)境或配置一起操作。適于與計(jì)算機(jī)系統(tǒng)/服務(wù)器一起使用的眾所周知的計(jì)算系統(tǒng)、環(huán)境和/或配置的例子包括但不限于個(gè)人計(jì)算機(jī)系統(tǒng)、服務(wù)器計(jì)算機(jī)系統(tǒng)、瘦客戶(hù)機(jī)、厚客戶(hù)機(jī)、手持或膝上設(shè)備、基于微處理器的系統(tǒng)、機(jī)頂盒、可編程消費(fèi)電子產(chǎn)品、網(wǎng)絡(luò)個(gè)人電腦、小型計(jì)算機(jī)系統(tǒng)、大型計(jì)算機(jī)系統(tǒng)和包括上述任何系統(tǒng)的分布式云計(jì)算技術(shù)環(huán)境,等
坐寸ο計(jì)算機(jī)系統(tǒng)/服務(wù)器可以在由計(jì)算機(jī)系統(tǒng)執(zhí)行的計(jì)算機(jī)系統(tǒng)可執(zhí)行指令(諸如程序模塊)的一般語(yǔ)境下描述。通常,程序模塊可以包括例程、程序、目標(biāo)程序、組件、邏輯、數(shù)據(jù)結(jié)構(gòu)等等,它們執(zhí)行特定的任務(wù)或者實(shí)現(xiàn)特定的抽象數(shù)據(jù)類(lèi)型。計(jì)算機(jī)系統(tǒng)/服務(wù)器可以在分布式云計(jì)算環(huán)境中實(shí)施,分布式云計(jì)算環(huán)境中,任務(wù)是由通過(guò)通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行的。在分布式云計(jì)算環(huán)境中,程序模塊可以位于包括存儲(chǔ)設(shè)備的本地或遠(yuǎn)程計(jì)算系統(tǒng)存儲(chǔ)介質(zhì)上。請(qǐng)參閱圖1,其示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測(cè)惡意鏈接的系統(tǒng)示意圖,該系統(tǒng)包括服務(wù)器端設(shè)備100和客戶(hù)端設(shè)備200,其中,服務(wù)器端設(shè)備至少包括用于檢測(cè)惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備110,具體而言,網(wǎng)絡(luò)安全管理設(shè)備110包括第一行為檢測(cè)器112、第一行為評(píng)估器114、第一獲取器116以及第一篩選器118 ;客戶(hù)端設(shè)備至少包括用于檢測(cè)惡意鏈接的檢測(cè)設(shè)備210,具 體而言,檢測(cè)設(shè)備210包括第二行為檢測(cè)器212、第二獲取器214以及第二鏈接檢測(cè)器216。首先,客戶(hù)端側(cè)檢測(cè)設(shè)備200中的第二行為檢測(cè)器212對(duì)網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測(cè),網(wǎng)絡(luò)資源包括但不限于互聯(lián)網(wǎng)中的網(wǎng)頁(yè)、視頻及音頻等??蛻?hù)端側(cè)預(yù)先維護(hù)一個(gè)可疑行為特征庫(kù),在該特征庫(kù)中記錄有一些可疑行為的特征(可疑的程序行為的特征)包括但不限于在訪(fǎng)問(wèn)某個(gè)網(wǎng)頁(yè)過(guò)程中調(diào)用某些特定的系統(tǒng)函數(shù)、執(zhí)行加載了某些特定代碼、分配了可疑的內(nèi)存,將某些文件存放到可疑的位置、或者是產(chǎn)生了內(nèi)存溢出等,這些可疑行為可以是客戶(hù)端側(cè)的檢測(cè)設(shè)備200根據(jù)以往的加密后的歷史數(shù)據(jù)的特征值總結(jié)的,也可以是從服務(wù)器側(cè)獲取的加密后的特征值或程序行為,可疑行為的具體內(nèi)容可以不斷更新,種類(lèi)也可以不斷豐富,服務(wù)端可以利用類(lèi)似于決策樹(shù),貝葉斯算法,神經(jīng)網(wǎng)域計(jì)算等方法,或者使用簡(jiǎn)單的閾值分析進(jìn)行機(jī)器學(xué)習(xí)等,對(duì)客戶(hù)端側(cè)通過(guò)各種方式獲知的各種可疑行為以及各種可疑行為的檢測(cè)手段在本發(fā)明實(shí)施例中都是適用的,本發(fā)明對(duì)此并沒(méi)有限制。當(dāng)客戶(hù)端側(cè)訪(fǎng)問(wèn)某些鏈接地址的網(wǎng)絡(luò)資源時(shí),第二行為檢測(cè)器212就會(huì)根據(jù)已知的可疑行為特征庫(kù)對(duì)當(dāng)前的訪(fǎng)問(wèn)過(guò)程、行為進(jìn)行監(jiān)控檢測(cè)。由于客戶(hù)端側(cè)保存有用戶(hù)的各種私人文件,而且客戶(hù)端側(cè)的運(yùn)行分析能力也有限,因此第二行為檢測(cè)器212在檢測(cè)到可疑行為后,一般在征得用戶(hù)的同意后予以攔截,不會(huì)再繼續(xù)執(zhí)行當(dāng)前的操作,防止危害真正發(fā)生。比如,如果檢測(cè)到當(dāng)前登錄的某網(wǎng)頁(yè)鏈接在調(diào)用某種可疑的系統(tǒng)函數(shù),那么客戶(hù)端一般不會(huì)再讓該調(diào)用繼續(xù)下去,進(jìn)而也就無(wú)法知道后續(xù)調(diào)用完可疑函數(shù)之后還執(zhí)行了哪些程序或者下載了哪些文檔,因此客戶(hù)端無(wú)法準(zhǔn)確判斷該網(wǎng)頁(yè)鏈接是否真的是惡意鏈接,僅能確定為可疑鏈接,然后將該可疑鏈接上報(bào)至服務(wù)器端的網(wǎng)絡(luò)安全管理設(shè)備110做進(jìn)一步檢測(cè)確認(rèn)。服務(wù)器端與客戶(hù)端反饋聯(lián)動(dòng),并且保持多個(gè)服務(wù)器集群并聯(lián)進(jìn)行任務(wù)處理。
網(wǎng)絡(luò)安全管理設(shè)備110的第一行為檢測(cè)器112接收到來(lái)自客戶(hù)端側(cè)的可疑鏈接信息后,對(duì)這些可疑鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)是否為惡意鏈接。具體而言,由于服務(wù)器端的運(yùn)行分析能力更強(qiáng),因此有多種更先進(jìn)、權(quán)威的檢測(cè)手段以便對(duì)可疑鏈接做進(jìn)一步確認(rèn)。比如,在不影響服務(wù)器端整體網(wǎng)絡(luò)環(huán)境安全的情況下,可以在基于虛擬機(jī)等運(yùn)行環(huán)境中完成對(duì)可疑鏈接的整個(gè)訪(fǎng)問(wèn)或下載過(guò)程,讓程序執(zhí)行完畢,比如完成可疑系統(tǒng)函數(shù)的調(diào)用,加載完可疑代碼、分配可疑的內(nèi)存空間等,從而檢測(cè)在該鏈接訪(fǎng)問(wèn)或下載的整個(gè)過(guò)程中,究竟下載了哪些代碼、下載了哪些文件、調(diào)用可疑系統(tǒng)函數(shù)做了什么事情,甚至還可以繼續(xù)執(zhí)行該程序下載的各種代碼、運(yùn)行各種下載的文件等等,進(jìn)而通過(guò)這些檢測(cè)以及網(wǎng)絡(luò)側(cè)更強(qiáng)大的特征庫(kù),可以更準(zhǔn)確的確定該鏈接是否為真正的惡意鏈接。再比如,利用服務(wù)器端比客戶(hù)端更新更及時(shí)、全面的惡意特征數(shù)據(jù)庫(kù)、黑白名單等也可以對(duì)客戶(hù)端上報(bào)的可疑鏈接做進(jìn)一步判斷確認(rèn)。需要說(shuō)明的是,服務(wù)器端擁有比客戶(hù)端側(cè)更強(qiáng)大、更及時(shí)的檢測(cè)手段和資源,因此現(xiàn)有和將來(lái)各種服務(wù)器端用以確認(rèn)某個(gè)可疑鏈接是否為惡意鏈接的技術(shù),都適用于本發(fā)明,因此本發(fā)明對(duì)此并沒(méi)有限制??蛻?hù)端側(cè)告知的可疑鏈接經(jīng)過(guò)服務(wù)器側(cè)的第一行為檢測(cè)器112進(jìn)一步檢測(cè)后,可能檢測(cè)到全部是真正的惡意鏈接,但也有可能檢測(cè)到有一部分并不是真正的惡意鏈接。因此第一行為檢測(cè)器112的主要目的是從客戶(hù)端側(cè)告知的可疑鏈接中檢測(cè)出真正的惡意鏈接,以便后續(xù)操作。在第一行為檢測(cè)器112檢測(cè)出惡意鏈接之后,進(jìn)一步對(duì)這些惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)出這些惡意鏈接的內(nèi)嵌的其他惡意鏈接。惡意鏈接的內(nèi)嵌的其他鏈接,可以是訪(fǎng)問(wèn)、執(zhí)行該惡意鏈接的過(guò)程中自動(dòng)執(zhí)行的其他鏈接,或者說(shuō)自動(dòng)跳轉(zhuǎn)訪(fǎng)問(wèn)的其他鏈接。具體而言,第一行為檢測(cè)器112會(huì)監(jiān)控網(wǎng)絡(luò)端口,在訪(fǎng)問(wèn)某個(gè)惡意鏈接后,會(huì)通過(guò)網(wǎng)絡(luò)端口提供的數(shù)據(jù)信息獲知訪(fǎng)問(wèn)該惡意鏈接的同時(shí)自動(dòng)打開(kāi)(或稱(chēng)訪(fǎng)問(wèn))了哪些其他的鏈接,進(jìn)而這些其他的鏈接就是該惡意鏈接的內(nèi)嵌的鏈接。進(jìn)而第一行為檢測(cè)器112還會(huì)對(duì)這些內(nèi)嵌的鏈接訪(fǎng)問(wèn)、執(zhí)行一遍,以便判斷這些內(nèi)嵌的鏈接中哪些是惡意的鏈接。通過(guò)上述的操作,第一行為檢測(cè)器112就可以檢測(cè)出若干惡意鏈接,以及這些惡意鏈接之間的內(nèi)嵌關(guān)系。例如,第一行為檢測(cè)器112首先檢測(cè)某A鏈接是惡意鏈接,A 鏈接hxxp://www. cqcmc. cn/xxx/xxx/ list_5. html,同時(shí)通過(guò)監(jiān)控網(wǎng)絡(luò)端口的訪(fǎng)問(wèn)記錄檢測(cè)在訪(fǎng)問(wèn)該惡意鏈接A時(shí)會(huì)自動(dòng)訪(fǎng)問(wèn)B鏈接或者說(shuō)自動(dòng)下載B鏈接中的內(nèi)容,B 鏈接hxxp://vma. jkub.com: xx/3/maay. htm,由此可以確定B鏈接是A鏈接的內(nèi)嵌的鏈接,進(jìn)而第一行為檢測(cè)器12再通過(guò)前述的各種檢測(cè)手段檢測(cè)B鏈接是否為惡意鏈接,如果是,則可以確定B鏈接是惡意鏈接A鏈接的內(nèi)嵌的惡意鏈接。以此類(lèi)推,通過(guò)這種方式,第一行為檢測(cè)器112可以檢測(cè)出若干惡意鏈接以及他們內(nèi)嵌的惡意鏈接,進(jìn)而也就知道了各惡意鏈接之間的內(nèi)嵌關(guān)系。在一個(gè)實(shí)施例中,第一行為檢測(cè)器112在檢測(cè)出各惡意鏈接以及他們之間的內(nèi)嵌關(guān)系之后,第一行為評(píng)估器114根據(jù)第一行為檢測(cè)器112提供的各惡意鏈接之間的內(nèi)嵌關(guān)系,對(duì)各惡意鏈接評(píng)估惡意值。具體而言,為敘述方便,將待評(píng)估惡意值的惡意鏈接稱(chēng)為目標(biāo)惡意鏈接,將目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接稱(chēng)為該目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接,每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目是以該內(nèi)嵌惡意鏈接作為內(nèi)嵌的鏈接的所有惡意鏈接的總數(shù)。例如圖2,其示出了對(duì)惡意鏈接評(píng)估惡意值的鏈接關(guān)系示意圖。假設(shè)圖中的惡意鏈接A為待評(píng)估惡意值的目標(biāo)惡意鏈接,根據(jù)第一行為檢測(cè)器112獲知惡意鏈接A有3個(gè)內(nèi)嵌惡意鏈接,即鏈接B、鏈接C以及鏈接D是經(jīng)第一行為檢測(cè)器112檢測(cè)確認(rèn)的惡意鏈接。從圖中還可以看出,實(shí)際上鏈接E也是惡意鏈接A的內(nèi)嵌鏈接,但是由于鏈接E是非惡意鏈接,因此在評(píng)估目標(biāo)惡意鏈接A的惡意值時(shí)不予以參考;此外,假設(shè)訪(fǎng)問(wèn)鏈接A時(shí)會(huì)自動(dòng)執(zhí)行跳轉(zhuǎn)執(zhí)行鏈接F,但是鏈接F是與鏈接A屬于同一網(wǎng)站內(nèi)的鏈接,比如這兩個(gè)鏈接的域名相同,那么在評(píng)估目標(biāo)惡意鏈接A的惡意值時(shí),無(wú)論鏈接F是否為惡意鏈接,都不考慮鏈接F,即在評(píng)估惡意鏈接的惡意值時(shí)只考慮不同網(wǎng)站之間的內(nèi)嵌關(guān)系,不考慮同一網(wǎng)站內(nèi)各鏈接之間的內(nèi)嵌關(guān)系。即將目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接限定為非同一網(wǎng)站的惡意鏈接,換而言之,目標(biāo)惡意鏈接的內(nèi)嵌的非同一網(wǎng)站的惡意鏈接,為該目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接。對(duì)于目標(biāo)惡意鏈接內(nèi)嵌的同一網(wǎng)站的其他惡意鏈接雖然不用于計(jì)算目標(biāo)惡意鏈接的惡意值,但是還可以進(jìn)一步分析該內(nèi)嵌惡意鏈接是否還內(nèi)嵌了其他網(wǎng)站的惡意鏈接,即可以把目標(biāo)惡意網(wǎng)站內(nèi)嵌的同一網(wǎng)站的其他惡意鏈接當(dāng)做一個(gè)新的惡意鏈接去分析,并評(píng)估其惡意值。應(yīng)當(dāng)注意的是,也不完全排除在某種特殊應(yīng)用場(chǎng)景下,目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接不必限定為非同一網(wǎng)站的內(nèi)嵌惡意鏈接,即同一網(wǎng)站的內(nèi)嵌惡意鏈接也參與計(jì)算目標(biāo)惡意鏈接的惡意值,此種情況下,目標(biāo)惡意鏈接的內(nèi)嵌的各種惡意鏈接,包括非同一網(wǎng)站內(nèi)的,也可能包含同一網(wǎng)站內(nèi)的,均為該目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接。因此,以上兩種方案都在本發(fā)明的保護(hù)范圍內(nèi),根據(jù)實(shí)際應(yīng)用場(chǎng)景的不同可以采用不同的方案予以實(shí)現(xiàn)。在評(píng)估每個(gè)目標(biāo)惡意鏈接的惡意值時(shí),主要通過(guò)第一行為評(píng)估器114執(zhí)行。具體而言,第一行為評(píng)估器114可以包括第一識(shí)別模塊和第一評(píng)估模塊。首先,第一識(shí)別 模塊根據(jù)第一行為檢測(cè)器112提供的各惡意鏈接之間的內(nèi)嵌關(guān)系,識(shí)別出目標(biāo)惡意鏈接的所有內(nèi)嵌惡意鏈接以及每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目。仍然以圖2為例,第一識(shí)別模塊先根據(jù)第一檢測(cè)器112提供的信息,識(shí)別出目標(biāo)惡意鏈接A的所有內(nèi)嵌惡意鏈接分別是惡意鏈接B、C、D。進(jìn)而再統(tǒng)計(jì)每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目。從圖2可以看出,惡意鏈接B除了是惡意鏈接A的內(nèi)嵌惡意鏈接外,還是惡意鏈接G、H、I的內(nèi)嵌惡意鏈接,由此可知A的內(nèi)嵌惡意鏈接B的惡意外鏈數(shù)目是4 ;同理,知道A的內(nèi)嵌惡意鏈接C的惡意外鏈數(shù)目是3 (惡意外鏈分別是鏈接A、J、K),A的內(nèi)嵌惡意鏈接D的惡意外鏈數(shù)目是I (惡意外鏈只有鏈接A)。然后,第一識(shí)別模塊將統(tǒng)計(jì)出的上述信息告知第一評(píng)估模塊,第一評(píng)估模塊根據(jù)目標(biāo)惡意鏈接的各內(nèi)嵌惡意鏈接的最新惡意值,和每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目,評(píng)估目標(biāo)惡意鏈接的惡意值。在一個(gè)實(shí)施例中,第一評(píng)估模塊可以包括第一比值子模塊,用于獲得目標(biāo)惡意鏈接的每個(gè)內(nèi)嵌惡意鏈接的最新惡意值與該內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目的比值;第一累加子模塊,用于將目標(biāo)惡意鏈接的各內(nèi)嵌惡意鏈接的最新惡意值與對(duì)應(yīng)的惡意外鏈數(shù)目的比值進(jìn)行累加,獲得第一累加值;以及第一加權(quán)子模塊,用于將所述第一累加值乘以第一權(quán)值后與第二權(quán)值相加,得到目標(biāo)惡意鏈接的惡意值。仍然以圖2為例進(jìn)行詳細(xì)說(shuō)明。在一個(gè)實(shí)施例中,在評(píng)估目標(biāo)惡意鏈接A的惡意值時(shí)可以采用下述公式進(jìn)行評(píng)估PR (A) =a+b* (PR (B)/links (B) +PR (C)/links (C) +PR (D)/links (D) +......)其中,PR
()表示相關(guān)惡意鏈接的惡意值(也可稱(chēng)為rank值),links ()表示相關(guān)惡意鏈接的惡意外鏈數(shù)目,a相當(dāng)于前述的第一權(quán)值,b相當(dāng)于前述的第二權(quán)值。起始時(shí)可以給所有惡意鏈接的惡意值賦一初始值。應(yīng)當(dāng)注意,該初始值、權(quán)值a和權(quán)值b,均可以根據(jù)實(shí)際應(yīng)用場(chǎng)景需求或經(jīng)驗(yàn)設(shè)置不同的數(shù)值,本發(fā)明實(shí)施例對(duì)此并沒(méi)有限制。多數(shù)情況下,可以限制權(quán)值a和b之和等于I。當(dāng)然在某些情況下甚至也可以不給權(quán)值a和b設(shè)置實(shí)際意義的值。假設(shè)在一個(gè)實(shí)施例中,將a設(shè)置為O. 15,b設(shè)置為O. 85,各惡意鏈接的初始惡意值設(shè)置為I。通過(guò)前面第一識(shí)別模塊的描述可知,在圖2對(duì)應(yīng)的實(shí)施例中,links(B)=4,links (C) =3, links (D) =1,在第一輪計(jì)算各惡意鏈接的惡意值時(shí),相關(guān)惡意鏈接的惡意值均使用初始值,如 PR (B) =1,PR (C) =1,PR (D) =1,進(jìn)而 PR (A) =0. 15+0. 85* (1/4+1/3+1/1) =1. 4958于是,在第一輪計(jì)算各目標(biāo)惡意鏈接時(shí),惡意鏈接A的惡意值即為1. 4958,同理,按照同樣的方法,還可以評(píng)估出第一輪其他惡意鏈接的惡意值,如惡意鏈接B、C、D、G等的惡意值。
第一評(píng)估模塊可以通過(guò)多輪迭代方式獲得各目標(biāo)惡意鏈接的惡意值,在第一輪處理時(shí)為各目標(biāo)惡意鏈接設(shè)置初始惡意值,后續(xù)每輪處理時(shí)帶入的相關(guān)惡意鏈接惡意值都是上輪計(jì)算出的結(jié)果;當(dāng)經(jīng)過(guò)多輪迭代之后,在惡意鏈接數(shù)據(jù)量、以及各惡意鏈接之間的內(nèi)嵌關(guān)系沒(méi)有發(fā)生更新的情況下,每個(gè)目標(biāo)惡意鏈接的惡意值會(huì)趨于恒定,即能夠得出一個(gè)比較接近于實(shí)際的惡意值。當(dāng)有第一行為檢測(cè)器112檢測(cè)出新的惡意鏈接之后,第一行為評(píng)估器就可以及時(shí)或者定期重新計(jì)算相關(guān)惡意鏈接的惡意值,即進(jìn)行更新。惡意值越高說(shuō)明該惡意鏈接越有可能是一個(gè)掛馬源鏈接。該惡意鏈接可能會(huì)感染很多其他的鏈接或網(wǎng)站。在上一個(gè)實(shí)施例中,第一行為評(píng)估器114根據(jù)第一行為檢測(cè)器112檢測(cè)出的各惡意鏈接之間的內(nèi)嵌關(guān)系,對(duì)各惡意鏈接評(píng)估惡意值。在本發(fā)明的另一個(gè)實(shí)施例中,第一行為評(píng)估器114還可以根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,對(duì)各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評(píng)估惡意值,以及根據(jù)第一行為檢測(cè)器112檢測(cè)出的新的惡意鏈接對(duì)相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新。具體而言,第一行為評(píng)估器114可以包括第二識(shí)別模塊和第二評(píng)估模塊。待評(píng)估惡意值的惡意網(wǎng)站主機(jī)名為目標(biāo)惡意網(wǎng)站主機(jī)名,目標(biāo)惡意網(wǎng)站主機(jī)名下各惡意鏈接的內(nèi)嵌的其他惡意鏈接所屬的惡意網(wǎng)站主機(jī)名,是與目標(biāo)惡意網(wǎng)站主機(jī)名具有關(guān)聯(lián)關(guān)系的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名。如何確定某個(gè)惡意鏈接的內(nèi)嵌的其他惡意鏈接可以參看前述實(shí)施例中的相關(guān)描述,此處不再贅述。請(qǐng)參閱圖3,其為根據(jù)本發(fā)明一個(gè)實(shí)施例的各惡意網(wǎng)站主機(jī)名之間的關(guān)聯(lián)關(guān)系示意圖。第一行為評(píng)估器114檢測(cè)到第一行為檢測(cè)器112檢測(cè)出某網(wǎng)站主機(jī)名 aaa 下存在 4 個(gè)惡意鏈接,比如,www. aaa. com/a、www. aaa. com/b、www. aaa. com/c 以及www. aaa. com/d,其中,www. aaa. com/a 有個(gè)內(nèi)嵌惡意鏈接 www. bbb. com/h, www. aaa. com/c也有個(gè)內(nèi)嵌惡意鏈接www. ccc. com/g, www. aaa. com/b和www. aaa. com/d無(wú)內(nèi)嵌惡意鏈接。進(jìn)一步分析URL可知,惡意內(nèi)嵌鏈接www. bbb. com/h所屬的網(wǎng)站主機(jī)名是bbb,內(nèi)嵌惡意鏈接WWW. ccc. com/g所屬的網(wǎng)站主機(jī)名是ccc,由此可知,與目標(biāo)惡意網(wǎng)站主機(jī)名aaa具有關(guān)聯(lián)關(guān)系的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名分別是“bbb”和“ccc”。每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目具體是該關(guān)聯(lián)惡意網(wǎng)站主機(jī)名下所有惡意鏈接的惡意外鏈數(shù)目之和。例如,假設(shè)“bbb”網(wǎng)站主機(jī)名下共有3個(gè)惡意鏈接,分別是 ww. bbb. com/h、ww. bbb. com/i 以及 ww. bbb. com/k。其中,www. bbb. com/h 又分別是惡意鏈接G (www. aaa. com/a)、惡意鏈接H的內(nèi)嵌惡意鏈接,即說(shuō)明www. bbb. com/h的惡意外鏈數(shù)目是2 ;同理,www. bbb. com/i的惡意外鏈數(shù)目是3 ;www. bbb. com/k的惡意外鏈數(shù)目是O,那么“bbb”網(wǎng)站主機(jī)名的惡意外鏈數(shù)目就是2+3+0=5。根據(jù)相同的方式可以統(tǒng)計(jì)出與惡意網(wǎng)站主機(jī)名aaa相關(guān)聯(lián)的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名ccc的惡意外鏈數(shù)目,比如為2。第二識(shí)別模塊可以通過(guò)上述方式根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識(shí)別出各目標(biāo)惡意網(wǎng)站主機(jī)名的所有關(guān)聯(lián)惡意網(wǎng)站主機(jī)名,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目。然后,第二評(píng)估模塊,根據(jù)目標(biāo)惡意網(wǎng)站主機(jī)名的各關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的最新惡意值,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目,評(píng)估所述目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值。例如,在一個(gè)實(shí)施例中,第二評(píng)估模塊可以包括第二比值子模塊,用于獲得所述目標(biāo)惡意網(wǎng)站王機(jī)名的每個(gè)關(guān)聯(lián)惡意網(wǎng)站王機(jī)名的最新惡意值與該關(guān)聯(lián)惡意網(wǎng)站王機(jī)名的惡意外鏈數(shù)目的比值;第二累加子模塊,用于將目標(biāo)惡意網(wǎng)站主機(jī)名的各關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的最新惡意值與對(duì)應(yīng)的惡意外鏈數(shù)目的各比值累加,獲得第二累加值;第二加權(quán)子模塊,用于將第二累加值乘以第三權(quán)值后與第四權(quán)值相加,得到目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值。下面仍然以圖3中評(píng)估惡意網(wǎng)站主機(jī)名aaa為例進(jìn)行詳細(xì)說(shuō)明。在評(píng)估惡意網(wǎng)站主機(jī)名A的惡意值時(shí)可以采用下述公式PR (a) =A+B* (PR (b) /1 inks (b) +PR (c) /1 inks (c) +PR (d) /1 inks (d) +......)其中,PR
O表不相關(guān)惡意網(wǎng)站王機(jī)名的 惡意值(也可稱(chēng)為rank值),links O表不相關(guān)惡意網(wǎng)站王機(jī)名的惡意外鏈數(shù)目,A相當(dāng)于前述的第三權(quán)值,B相當(dāng)于前述的第四權(quán)值。起始時(shí)可以給所有惡意網(wǎng)站主機(jī)名的惡意值賦一初始值。應(yīng)當(dāng)注意,該初始值、權(quán)值A(chǔ)和權(quán)值B,均可以根據(jù)實(shí)際應(yīng)用場(chǎng)景需求或經(jīng)驗(yàn)設(shè)置不同的數(shù)值,本發(fā)明實(shí)施例對(duì)此并沒(méi)有限制。多數(shù)情況下,可以限制權(quán)值A(chǔ)和B之和等于I。當(dāng)然在某些情況下甚至也可以不給權(quán)值A(chǔ)和B設(shè)置實(shí)際意義的值。假設(shè)在一個(gè)實(shí)施例中,將A設(shè)置為0.15,B設(shè)置為0.85,各惡意網(wǎng)站主機(jī)名的初始惡意值設(shè)置為I。通過(guò)前面第二識(shí)別模塊的描述可知,在圖3對(duì)應(yīng)的實(shí)施例中,惡意網(wǎng)站主機(jī)名aaa總共有兩個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名,分別是bbb和ccc,而links (bbb)=5, links (ccc) =2,在第一輪計(jì)算各惡意鏈接的惡意值時(shí),關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意值均使用初始值,如PR (bbb) =1,PR (ccc) =1,進(jìn)而PR(aaa)=0. 15+0. 85*(1/5+1/2)=0. 745于是,在第一輪計(jì)算各目標(biāo)惡意網(wǎng)站主機(jī)名時(shí),惡意網(wǎng)站主機(jī)名aaa的惡意值即為0. 745,同理,按照同樣的方法,還可以評(píng)估出第一輪其他惡意網(wǎng)站主機(jī)名的惡意值,如惡意網(wǎng)站主機(jī)名bbb、ccc等的惡意值。一般網(wǎng)站主機(jī)名下具有惡意鏈接的,就可以稱(chēng)其為惡意網(wǎng)站主機(jī)名,進(jìn)而可以評(píng)估它的惡意值。在惡意鏈接數(shù)據(jù)量、以及各惡意鏈接之間的內(nèi)嵌關(guān)系沒(méi)有發(fā)生更新的情況下,每個(gè)目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值在經(jīng)過(guò)多輪迭代計(jì)算后會(huì)趨于恒定,即能夠得出一個(gè)比較接近于實(shí)際的惡意值。當(dāng)有第一行為檢測(cè)器112檢測(cè)出新的惡意鏈接之后,第一行為評(píng)估器就可以及時(shí)或者定期重新計(jì)算相關(guān)惡意網(wǎng)站主機(jī)名的惡意值,即進(jìn)行更新。惡意值越高說(shuō)明該惡意網(wǎng)站主機(jī)名越有可能是一個(gè)掛馬網(wǎng)站,可能會(huì)感染很多其他的網(wǎng)站或鏈接。應(yīng)當(dāng)注意的是,第一行為評(píng)估器114可以?xún)H對(duì)惡意鏈接評(píng)估惡意值,也可以?xún)H對(duì)惡意網(wǎng)站主機(jī)名評(píng)估惡意值,還可以同時(shí)對(duì)惡意鏈接和惡意網(wǎng)站主機(jī)名進(jìn)行評(píng)估,這幾種方案均在本發(fā)明的保護(hù)范圍內(nèi)。在第一行為評(píng)估器114評(píng)估出各惡意鏈接和/或各惡意網(wǎng)站主機(jī)名的惡意值之后,第一篩選器根據(jù)第一行為評(píng)估器114評(píng)估出的結(jié)果,篩選相關(guān)的在一個(gè)實(shí)施例中,如果第一評(píng)估器114既評(píng)估出了各惡意鏈接的惡意值,又評(píng)估出了各惡意網(wǎng)站主機(jī)名的惡意值,那么第一篩選器118篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合,以及其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合。例如,假設(shè)第一評(píng)估器評(píng)估出了 1000個(gè)惡意網(wǎng)站主機(jī)名的惡意值,其中惡意值在第一預(yù)置閾值以上的有700個(gè),那么第一篩選器118就將這700個(gè)網(wǎng)站主機(jī)名作為危險(xiǎn)惡意網(wǎng)站主機(jī)名集合,然后在剩余的這300個(gè)惡意網(wǎng)站主機(jī)名下的所有惡意鏈接中,挑選惡意值高于第二預(yù)置閾值的那些惡意鏈接,進(jìn)而這些惡意鏈接組成危險(xiǎn)惡意鏈接集在又一個(gè)實(shí)施例中,如果第一評(píng)估器114僅評(píng)估出了各惡意鏈接的惡意值,沒(méi)有評(píng)估各惡意網(wǎng)站主機(jī)名的惡意值,那么第一篩選器118會(huì)篩選出惡意值高于第三預(yù)置閾值的惡意鏈接,進(jìn)而將這些篩選出的惡意鏈接組成危險(xiǎn)惡意鏈接集合。同理,在又一個(gè)實(shí)施例中,如果第一評(píng)估器114僅評(píng)估出了各惡意網(wǎng)站主機(jī)名的惡意值,沒(méi)有評(píng)估各惡意鏈接的惡意值,那么第一篩選器118會(huì)篩選出惡意值高于第四預(yù)置閾值的惡意鏈接,進(jìn)而將這些篩選出的惡意網(wǎng)站主機(jī)名組成危險(xiǎn)惡意網(wǎng)站主機(jī)名集合。應(yīng)當(dāng)注意的是,以上第一、第二、第三及第四預(yù)置閾值的具體數(shù)值設(shè)置,可以根據(jù)經(jīng)驗(yàn)、實(shí)際需求指標(biāo)等多種因素綜合考慮,這四個(gè)值可能相同,也可能不同,本發(fā)明實(shí)施例對(duì)這些均沒(méi)有限制??梢钥闯?,本質(zhì)上第一篩選器118篩選出的各種集合是源于客戶(hù)端側(cè)第二行為檢測(cè)器212上報(bào)的可疑鏈接進(jìn)行分析處理后所得。在第一篩選器118篩選出相應(yīng)的集合后,將危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合的信息通知至客戶(hù)端設(shè)備100的第二獲取器214。進(jìn)而,第二獲取器214將獲得的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合告知第二鏈接檢測(cè)器216,第二鏈接檢測(cè)器216根據(jù)危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合檢測(cè)出新的可疑鏈接。具體而言,第二鏈接檢測(cè)器216通過(guò)監(jiān)控網(wǎng)絡(luò)端口檢測(cè)后續(xù)一些新鏈接的內(nèi)嵌的其他鏈接(簡(jiǎn)稱(chēng)內(nèi)嵌鏈接)具體是什么,并且將這些內(nèi)嵌鏈接與危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合中的內(nèi)容進(jìn)行對(duì)比,如果檢測(cè)命中,則將該新鏈接確定為新的可疑鏈接。例如,客戶(hù)端側(cè)的第二鏈接檢測(cè)器216檢測(cè)有一新鏈接A的內(nèi)嵌鏈接包括鏈接B、C和D,于是將內(nèi)嵌鏈接B、C、D與服務(wù)器端下發(fā)的危險(xiǎn)惡意鏈接集合中的鏈接信息對(duì)比,檢測(cè)危險(xiǎn)惡意鏈接集合中也有鏈接A的信息,于是第二鏈接檢測(cè)器216便將鏈接A確定為新的可疑鏈接。再例如,第二鏈接檢測(cè)器216檢測(cè)到一新鏈接E,其內(nèi)嵌鏈接是www. aaa. com.cn/XXX,于是將www. aaa. com. cn/XXX的主機(jī)名“aaa”與服務(wù)器端下發(fā)的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合中的信息對(duì)比,假如危險(xiǎn)網(wǎng)站主機(jī)名集合中包含“aaa”這個(gè)網(wǎng)站主機(jī)名,則表明新鏈接E的內(nèi)嵌鏈接命中危險(xiǎn)網(wǎng)站主機(jī)名集合,于是將新鏈接E確定為新的可疑鏈接。換而言之,所述新的可疑鏈接的內(nèi)嵌的其他鏈接的網(wǎng)站主機(jī)名,至少是危險(xiǎn)惡意網(wǎng)站主機(jī)名集合中的一個(gè)網(wǎng)站主機(jī)名;或者,新的可疑鏈接的內(nèi)嵌的其他鏈接,至少是危險(xiǎn)惡意鏈接集合中的一個(gè)鏈接。 由此可以看出,即便客戶(hù)端設(shè)備200無(wú)法通過(guò)其他的手段檢測(cè)出鏈接A和E具有前述的各種可疑行為,但是,通過(guò)服務(wù)器端提供的危險(xiǎn)惡意鏈接集合和/或危險(xiǎn)惡意網(wǎng)站主機(jī)名集合,也可以將這兩個(gè)鏈接確定為可疑鏈接。前面提過(guò),危險(xiǎn)惡意鏈接集合和危險(xiǎn)惡意網(wǎng)站主機(jī)名集合中的惡意鏈接或惡意網(wǎng)站主機(jī)名都是惡意值比較高的,也就是它們很可能是真正的感染源,比如是真正的掛馬源鏈接或掛馬源網(wǎng)站主機(jī)名,而不僅僅是被感染者,一個(gè)感染源通常會(huì)感染很多網(wǎng)站,因此,通過(guò)部分網(wǎng)站找出感染源,然后再通過(guò)這個(gè)感染源就可以檢測(cè)更多其他的被感染網(wǎng)站,通過(guò)這種方式,擴(kuò)大了客戶(hù)端設(shè)備200檢測(cè)可疑鏈接的網(wǎng)站數(shù)量,也提高了檢測(cè)可疑鏈接的效率,因此能夠很快收集到大量的惡意鏈接或惡意網(wǎng)站的信息,從而為網(wǎng)絡(luò)安全提供更好的保障。在第二鏈接檢測(cè)器216將基于危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合檢測(cè)出新的可疑鏈接之后,發(fā)送至服務(wù)器端設(shè)備100的第一獲取器116,進(jìn)而第一獲取器116將獲取到的新的可疑鏈接信息傳輸至第一行為檢測(cè)器112進(jìn)行惡意行為檢測(cè),如果第一行為檢測(cè)器112確認(rèn)為是惡意鏈接,則告知第一行為評(píng)估器114,第一行為評(píng)估器114如果檢測(cè)原有用于計(jì)算惡意鏈接或惡意網(wǎng)站主機(jī)名的數(shù)據(jù)庫(kù)中沒(méi)有這條惡意鏈接,該條惡意鏈接的加入導(dǎo)致原有惡意鏈接之間的內(nèi)嵌發(fā)生了變化,那么第一行為評(píng)估器114可以重新計(jì)算相關(guān)惡意鏈接和/或惡意網(wǎng)站主機(jī)名的惡意值,從而可以根據(jù)數(shù)據(jù)量的增加不斷修正相關(guān)惡意網(wǎng)站主機(jī)名或惡意鏈接的惡意值,從而使他們的惡意值更貼近真實(shí)的情況,能夠更準(zhǔn)確的通過(guò)惡意值反映出該惡意鏈接或惡意網(wǎng)站主機(jī)名是感染源還是被感染者,所謂的被感染者是指本身網(wǎng)站自身沒(méi)有問(wèn)題,只是受到感染源的惡意攻擊被感染了病毒,比如是被掛馬的正常網(wǎng)站,而非真正的掛馬源網(wǎng)站。前面各實(shí)施例提供的方案可以用于多種惡意鏈接或惡意網(wǎng)站的檢測(cè),比如可以是掛馬檢測(cè),相應(yīng)的,第一行為檢測(cè)器具體是掛馬行為檢測(cè)器,惡意行為檢測(cè)具體是掛馬惡意行為檢測(cè),惡意鏈接具體惡意掛馬鏈接,惡意鏈接的內(nèi)嵌的其他惡意鏈接具體為惡意掛馬鏈接的內(nèi)嵌的其他惡意掛馬鏈接。當(dāng)然,還可以是其他與掛馬類(lèi)似的病毒檢測(cè),只要是具有一個(gè)病毒感染源通常會(huì)感染一批正常網(wǎng)站的病毒傳播特征,基本都可以采用本發(fā)明的各種技術(shù)方案。請(qǐng)參閱圖4,其示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測(cè)惡意鏈接的方法,惡意鏈接包括互聯(lián)網(wǎng)中各種惡意的網(wǎng)絡(luò)資源的鏈接地址。該方法可以在服務(wù)器端予以實(shí)現(xiàn)。該方法始于步驟S410,在步驟S410中,至少對(duì)客戶(hù)端設(shè)備檢測(cè)出的可疑鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)是否為惡意鏈接,以及對(duì)檢測(cè)為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)出惡意鏈接的內(nèi)嵌的其他惡意鏈接,然后進(jìn)入步驟S420。在步驟S420中,至少根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,對(duì)各惡意鏈接評(píng)估惡意值和/或?qū)Ω鲪阂怄溄酉嚓P(guān)的惡意網(wǎng)站主機(jī)名評(píng)估惡意值,以及根據(jù)檢測(cè)出的新的惡意鏈接對(duì)相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新;然后進(jìn)入步驟S430。
在S430中,篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合,或者,僅篩選出惡意值高于第三預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合,再或者僅篩選出惡意值高于第四預(yù)置閾值的危險(xiǎn)惡意鏈接集合,然后將危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合的信息通知至客戶(hù)端設(shè)備。通過(guò)該步驟,可以找出比較可能是感染源的惡意鏈接或惡意鏈接主機(jī)名,以便讓客戶(hù)端根據(jù)這些最可能的病毒感染源再去檢測(cè)其他的被感染鏈接或網(wǎng)站。此后,進(jìn)入步驟S440。在步驟S440中,獲取客戶(hù)端設(shè)備基于危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合檢測(cè)出的新的可疑鏈接,并將新的可疑鏈接進(jìn)行惡意行為檢測(cè),新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合。通過(guò)該步驟,服務(wù)器端可以獲得更多的可疑鏈接,進(jìn)而經(jīng)過(guò)檢測(cè)后可以獲得更多的惡意鏈接信息。以上的步驟S410可以通過(guò)前述各實(shí)施例中的第一行為檢測(cè)器112予以執(zhí)行,步驟S420可以通過(guò)第一行為評(píng)估器114予以執(zhí)行,步驟S430可以通過(guò)第一篩選器118予以執(zhí)行,步驟S440可以通過(guò)第一獲取器116和第一行為檢測(cè)器112共同執(zhí)行。各步驟的具體實(shí)現(xiàn)可以參看前面相關(guān)部件的描述,此處不再贅述。以上檢測(cè)惡意鏈接的方法主要是從服務(wù)端角度描述的,下面從客戶(hù)端角度描述。請(qǐng)參閱圖5,其示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測(cè)惡意鏈接的檢測(cè)方法。該方法始于步驟S510,在步驟S510中,首先對(duì)網(wǎng)絡(luò)資源的惡意行為進(jìn)行檢測(cè),將檢測(cè)出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測(cè),然后進(jìn)入步驟S520,在步驟S520中,從服務(wù)器端設(shè)備獲取危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合。在一個(gè)實(shí)施例中,危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合,危險(xiǎn)惡意鏈接集合是服務(wù)器端篩選出的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合以外的其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的各惡意鏈接的集合。在另一個(gè)實(shí)施例中,危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第三預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合。在又一個(gè)實(shí)施例中,危險(xiǎn)惡意鏈接集合是服務(wù)器端設(shè)備篩選出的惡意值高于第四預(yù)置閾值的惡意鏈接集合。其中,第一、第二、第三及第四預(yù)置閾值可以根據(jù)實(shí)際需要或經(jīng)驗(yàn)設(shè)置,可以相同也可以不同,本發(fā)明實(shí)施例對(duì)此沒(méi)有限制。然后進(jìn)入步驟S530,根據(jù)危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合檢測(cè)出新的可疑鏈接,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合,進(jìn)而將新的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行檢測(cè)及更新相關(guān)惡意值,例如相關(guān)的惡意鏈接的惡意值,或相關(guān)的惡意網(wǎng)站主機(jī)名的惡意值。由于危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合中的鏈接或網(wǎng)站主機(jī)名都是惡意值較高的,即很可能是真正的病毒感染源,比如是真正的掛馬源鏈接或網(wǎng)站,而這些真正的病毒感染源一般不僅感染一兩個(gè)網(wǎng)站,往往會(huì)感染很多網(wǎng)站,即會(huì)成為很多原本正常網(wǎng)站的內(nèi)嵌鏈接,因此可以通過(guò)這些病毒感染源與其他網(wǎng)站、鏈接之間的內(nèi)嵌關(guān)系,檢測(cè)更多被感染的網(wǎng)站或惡意鏈接,從而擴(kuò)大了可疑鏈接的檢測(cè)效率和數(shù)量。以上的步驟S510可以通過(guò)前述各實(shí)施例中的第二行為檢測(cè)器212予以執(zhí)行,步驟S520可以通過(guò)第二獲取器214予以執(zhí)行,步驟S530可以通過(guò)第二鏈接檢測(cè)器118予以執(zhí)行。各步驟的具體實(shí)現(xiàn)可以參看前面相關(guān)部件的描述,此處不再贅述。
在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類(lèi)系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的。此外,本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白,可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。在此處所提供的說(shuō)明書(shū)中,說(shuō)明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對(duì)本說(shuō)明書(shū)的理解。類(lèi)似地,應(yīng)當(dāng)理解,為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而,并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō),如下面的權(quán)利要求書(shū)所反映的那樣,發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征。因此,遵循具體實(shí)施方式
的權(quán)利要求書(shū)由此明確地并入該具體實(shí)施方式
,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。本領(lǐng)域那些技術(shù)人員可以理解,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中。可以把實(shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外,可以采用任何組合對(duì)本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述,本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來(lái)代替。此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如,在下面的權(quán)利要求書(shū)中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用。本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的用于檢測(cè)惡意鏈接的系統(tǒng)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供,或者以任何其他形式提供。應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中,不應(yīng)將位于括號(hào)之間的任何參考符 號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱(chēng)。
權(quán)利要求
1.一種用于檢測(cè)惡意鏈接的系統(tǒng),包括服務(wù)器端設(shè)備和客戶(hù)端設(shè)備; 所述服務(wù)器端設(shè)備包括網(wǎng)絡(luò)安全管理設(shè)備,所述客戶(hù)端設(shè)備包括檢測(cè)設(shè)備;所述惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址,其中, 所述檢測(cè)設(shè)備包括 第二行為檢測(cè)器,被配置為對(duì)網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測(cè),將檢測(cè)出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測(cè); 第二獲取器,被配置為獲取所述服務(wù)器端設(shè)備基于所述第二行為檢測(cè)器提供的可疑鏈接確定的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合,所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合,所述危險(xiǎn)惡意鏈接集合是服務(wù)器端篩選出的所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合以外的其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的各惡意鏈接的集合; 第二鏈接檢測(cè)器,被配置為根據(jù)所述第二獲取器獲取的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合檢測(cè)出新的可疑鏈接,并將所述新的可疑鏈接傳輸至所述服務(wù)器端設(shè)備進(jìn)行檢測(cè)及更新相關(guān)惡意值,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合; 所述網(wǎng)絡(luò)安全管理設(shè)備包括 第一行為檢測(cè)器,被配置為至少對(duì)客戶(hù)端設(shè)備檢測(cè)出的可疑鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)是否為惡意鏈接,以及對(duì)所述檢測(cè)為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)出所述惡意鏈接的內(nèi)嵌的其他惡意鏈接; 第一行為評(píng)估器,被配置為至少根據(jù)所述第一行為檢測(cè)器檢測(cè)出的各惡意鏈接之間的內(nèi)嵌關(guān)系,對(duì)各惡意鏈接評(píng)估惡意值,并對(duì)各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評(píng)估惡意值,以及根據(jù)所述第一行為檢測(cè)器檢測(cè)出的新的惡意鏈接對(duì)相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新; 第一篩選器,被配置為根據(jù)所述第一行為評(píng)估器評(píng)估出的結(jié)果,篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合,并將所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合的信息通知至所述客戶(hù)端設(shè)備; 第一獲取器,被配置為獲取客戶(hù)端設(shè)備基于所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和所述危險(xiǎn)惡意鏈接集合檢測(cè)出的新的可疑鏈接,并將所述新的可疑鏈接傳輸至所述第一行為檢測(cè)器進(jìn)行檢測(cè),所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),所述待評(píng)估惡意值的惡意鏈接為目標(biāo)惡意鏈接,所述目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接為所述目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接,所述每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目具體是以該內(nèi)嵌惡意鏈接作為內(nèi)嵌的鏈接的所有惡意鏈接的總數(shù),所述第一行為評(píng)估器包括 第一識(shí)別模塊,被配置為根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識(shí)別出所述目標(biāo)惡意鏈接的所有內(nèi)嵌惡意鏈接以及每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目; 第一評(píng)估模塊,被配置為根據(jù)所述第一識(shí)別模塊識(shí)別出的目標(biāo)惡意鏈接的各內(nèi)嵌惡意鏈接的最新惡意值,和每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目,評(píng)估所述目標(biāo)惡意鏈接的惡意值。
3.根據(jù)權(quán)利要求1或2所述的系統(tǒng),所述待評(píng)估惡意值的惡意網(wǎng)站主機(jī)名為目標(biāo)惡意網(wǎng)站主機(jī)名,所述目標(biāo)惡意網(wǎng)站主機(jī)名下各惡意鏈接的內(nèi)嵌的其他惡意鏈接所屬的惡意網(wǎng)站主機(jī)名,是與所述目標(biāo)惡意網(wǎng)站主機(jī)名具有關(guān)聯(lián)關(guān)系的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名,所述每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目具體是該關(guān)聯(lián)惡意網(wǎng)站主機(jī)名下所有惡意鏈接的惡意外鏈數(shù)目之和,所述第一評(píng)估器包括 第二識(shí)別模塊,被配置為根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識(shí)別出所述目標(biāo)惡意網(wǎng)站主機(jī)名的所有關(guān)聯(lián)惡意網(wǎng)站主機(jī)名,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目; 第二評(píng)估模塊,被配置為根據(jù)所述目標(biāo)惡意網(wǎng)站主機(jī)名的各關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的最新惡意值,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目,評(píng)估所述目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值。
4.根據(jù)權(quán)利要求2或3所述的系統(tǒng), 所述第一評(píng)估模塊還被配置為通過(guò)多輪迭代方式獲得各目標(biāo)惡意鏈接的惡意值,在第一輪處理時(shí)為各目標(biāo)惡意鏈接設(shè)置初始惡意值; 所述第二評(píng)估模塊還被配置為通過(guò)多輪迭代方式獲得各目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值,在第一輪處理時(shí)為各目標(biāo)惡意網(wǎng)站主機(jī)名設(shè)置初始惡意值。
5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的系統(tǒng),所述惡意鏈接或可疑鏈接的內(nèi)嵌的其他鏈接包括訪(fǎng)問(wèn)所述惡意鏈接或可疑鏈接時(shí)被自動(dòng)執(zhí)行的其他鏈接。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的系統(tǒng),所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合包括 所述新的可疑鏈接的內(nèi)嵌的其他鏈接的網(wǎng)站主機(jī)名,至少是所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合中的一個(gè)網(wǎng)站主機(jī)名; 或者, 所述新的可疑鏈接的內(nèi)嵌的其他鏈接,至少是所述危險(xiǎn)惡意鏈接集合中的一個(gè)鏈接。
7.根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的系統(tǒng),所述第一行為檢測(cè)器具體是掛馬行為檢測(cè)器,所述的惡意行為檢測(cè)具體是掛馬惡意行為檢測(cè),所述惡意鏈接具體惡意掛馬鏈接,所述惡意鏈接的內(nèi)嵌的其他惡意鏈接具體為惡意掛馬鏈接的內(nèi)嵌的其他惡意掛馬鏈接。
8.一種用于檢測(cè)惡意鏈接的方法,所述惡意鏈接包括互聯(lián)網(wǎng)中各種惡意的網(wǎng)絡(luò)資源的鏈接地址,包括 至少對(duì)客戶(hù)端設(shè)備檢測(cè)出的可疑鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)是否為惡意鏈接,以及對(duì)所述檢測(cè)為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測(cè),檢測(cè)出所述惡意鏈接的內(nèi)嵌的其他惡意鏈接; 至少根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,對(duì)各惡意鏈接評(píng)估惡意值,并對(duì)各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評(píng)估惡意值,以及根據(jù)檢測(cè)出的新的惡意鏈接對(duì)相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新; 篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合,并將所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合的信息通知至所述客戶(hù)端設(shè)備; 獲取客戶(hù)端設(shè)備基于所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和所述危險(xiǎn)惡意鏈接集合檢測(cè)出的新的可疑鏈接,并將所述新的可疑鏈接進(jìn)行惡意行為檢測(cè),所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合; 其中,所述惡意鏈接或可疑鏈接的內(nèi)嵌的其他鏈接包括訪(fǎng)問(wèn)所述惡意鏈接或可疑鏈接時(shí)被自動(dòng)執(zhí)行的其他鏈接。
9.根據(jù)權(quán)利要求8所述的方法,所述待評(píng)估惡意值的惡意鏈接為目標(biāo)惡意鏈接,所述目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接為所述目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接,所述每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目具體是以該內(nèi)嵌惡意鏈接作為內(nèi)嵌的鏈接的所有惡意鏈接的總數(shù),所述根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,對(duì)各惡意鏈接評(píng)估惡意值包括 根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識(shí)別出所述目標(biāo)惡意鏈接的所有內(nèi)嵌惡意鏈接以及每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目; 根據(jù)所述目標(biāo)惡意鏈接的各內(nèi)嵌惡意鏈接的最新惡意值,和每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目,評(píng)估所述目標(biāo)惡意鏈接的惡意值。
10.根據(jù)權(quán)利要求8或9所述的方法,所述待評(píng)估惡意值的惡意網(wǎng)站主機(jī)名為目標(biāo)惡意網(wǎng)站主機(jī)名,所述目標(biāo)惡意網(wǎng)站主機(jī)名下各惡意鏈接的內(nèi)嵌的其他惡意鏈接所屬的惡意網(wǎng)站主機(jī)名,是與所述目標(biāo)惡意網(wǎng)站主機(jī)名具有關(guān)聯(lián)關(guān)系的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名,所述每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目具體是該關(guān)聯(lián)惡意網(wǎng)站主機(jī)名下所有惡意鏈接的惡意外鏈數(shù)目之和,所述根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,對(duì)各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評(píng)估惡意值包括 根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識(shí)別出所述目標(biāo)惡意網(wǎng)站主機(jī)名的所有關(guān)聯(lián)惡意網(wǎng)站主機(jī)名,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目; 根據(jù)所述目標(biāo)惡意網(wǎng)站主機(jī)名的各關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的最新惡意值,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目,評(píng)估所述目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值。
全文摘要
本發(fā)明公開(kāi)了一種用于檢測(cè)惡意鏈接的方法及系統(tǒng)。其中,該方法包括進(jìn)行惡意行為檢測(cè),以及對(duì)內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測(cè);對(duì)各惡意鏈接評(píng)估惡意值并對(duì)各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評(píng)估惡意值,以及對(duì)相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新;篩選出危險(xiǎn)惡意鏈接集合,并將所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合的信息通知至客戶(hù)端設(shè)備;獲取新的可疑鏈接并將新的可疑鏈接進(jìn)行惡意行為檢測(cè);其中,所述惡意鏈接或可疑鏈接的內(nèi)嵌的其他鏈接包括訪(fǎng)問(wèn)所述惡意鏈接或可疑鏈接時(shí)被自動(dòng)執(zhí)行的其他鏈接。
文檔編號(hào)H04L29/06GK103036896SQ20121056016
公開(kāi)日2013年4月10日 申請(qǐng)日期2012年12月20日 優(yōu)先權(quán)日2012年12月20日
發(fā)明者李曉波, 劉起 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司