識(shí)別惡意網(wǎng)站的方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種識(shí)別惡意網(wǎng)站的方法及裝置,屬于互聯(lián)網(wǎng)領(lǐng)域。所述方法包括:接收終端發(fā)送的查詢請(qǐng)求,所述查詢請(qǐng)求中攜帶待識(shí)別網(wǎng)站的網(wǎng)址信息;根據(jù)所述網(wǎng)址信息,獲取所述待識(shí)別網(wǎng)站的網(wǎng)絡(luò)互連協(xié)議IP地址所在的IP地址段■’如果惡意地址段數(shù)據(jù)庫(kù)中存在所述IP地址段,則確定所述待識(shí)別網(wǎng)站為惡意網(wǎng)站。所述裝置包括:接收模塊、第一獲取模塊和確定模塊。本發(fā)明通過惡意地址段數(shù)據(jù)庫(kù)識(shí)別出該惡意網(wǎng)站,無需下載新網(wǎng)址信息對(duì)應(yīng)的網(wǎng)站的頁面內(nèi)容,更無需對(duì)下載的頁面內(nèi)容進(jìn)行分析,節(jié)省了大量的帶寬和處理資源,并且可以有效地識(shí)別惡意網(wǎng)站。
【專利說明】識(shí)別惡意網(wǎng)站的方法及裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域,特別涉及一種識(shí)別惡意網(wǎng)站的方法及裝置。
【背景技術(shù)】
[0002] 互聯(lián)網(wǎng)技術(shù)的快速發(fā)展給人們的生活帶來越來越多的便利,比如,人們可以通過 互聯(lián)網(wǎng)下載各類資料、進(jìn)行網(wǎng)絡(luò)購(gòu)物等。與此同時(shí),出現(xiàn)了將各類木馬病毒偽裝成正常文件 來肆意傳播、釣魚網(wǎng)站模仿正常網(wǎng)站盜取用戶賬號(hào)和密碼等惡意行為,因此,識(shí)別惡意網(wǎng)站 的方法受到了廣泛地關(guān)注。
[0003] 其中,相關(guān)技術(shù)中是通過云安全服務(wù)器根據(jù)網(wǎng)站的網(wǎng)址信息來識(shí)別惡意網(wǎng)站,所 以,當(dāng)惡意分子發(fā)現(xiàn)某個(gè)網(wǎng)址信息被攔截時(shí),該惡意分子可以通過新網(wǎng)址信息來進(jìn)行惡意 行為。此時(shí),信息數(shù)據(jù)庫(kù)中不包括該新網(wǎng)址信息的記錄,所以,云安全服務(wù)器就不會(huì)識(shí)別出 該網(wǎng)站為惡意網(wǎng)站。為了解決該問題,云安全服務(wù)器需要下載該網(wǎng)站的頁面內(nèi)容,并對(duì)該網(wǎng) 站的頁面內(nèi)容進(jìn)行分析,如果分析結(jié)果指示該網(wǎng)站為惡意網(wǎng)站,則在信息數(shù)據(jù)庫(kù)中存儲(chǔ)該 新網(wǎng)址信息的記錄,以便下次可以識(shí)別出該新網(wǎng)址信息對(duì)應(yīng)的網(wǎng)站為惡意網(wǎng)站。
[0004] 然而,當(dāng)云安全服務(wù)器執(zhí)行上述的下載頁面內(nèi)容操作和分析頁面內(nèi)容操作時(shí),會(huì) 浪費(fèi)大量的帶寬和處理資源,并且花費(fèi)的時(shí)間較長(zhǎng),不利于快速有效地識(shí)別惡意網(wǎng)站。
【發(fā)明內(nèi)容】
[0005] 為了解決現(xiàn)有技術(shù)的問題,本發(fā)明實(shí)施例提供了一種識(shí)別惡意網(wǎng)站的方法及裝 置。所述技術(shù)方案如下:
[0006] -方面,提供了一種識(shí)別惡意網(wǎng)站的方法,所述方法包括:
[0007] 接收終端發(fā)送的查詢請(qǐng)求,所述查詢請(qǐng)求中攜帶待識(shí)別網(wǎng)站的網(wǎng)址信息;
[0008] 根據(jù)所述網(wǎng)址信息,獲取所述待識(shí)別網(wǎng)站的網(wǎng)絡(luò)互連協(xié)議IP地址所在的IP地址 段;
[0009] 如果惡意地址段數(shù)據(jù)庫(kù)中存在所述IP地址段,則確定所述待識(shí)別網(wǎng)站為惡意網(wǎng) 站。
[0010] 另一方面,提供了一種識(shí)別惡意網(wǎng)站的裝置,所述裝置包括:
[0011] 接收模塊,用于接收終端發(fā)送的查詢請(qǐng)求,所述查詢請(qǐng)求中攜帶待識(shí)別網(wǎng)站的網(wǎng) 址信息;
[0012] 第一獲取模塊,用于根據(jù)所述網(wǎng)址信息,獲取所述待識(shí)別網(wǎng)站的網(wǎng)絡(luò)互連協(xié)議IP 地址所在的IP地址段;
[0013] 確定模塊,用于如果惡意地址段數(shù)據(jù)庫(kù)中存在所述IP地址段,則確定所述待識(shí)別 網(wǎng)站為惡意網(wǎng)站。
[0014] 在本發(fā)明實(shí)施例中,當(dāng)接收到終端發(fā)送的查詢請(qǐng)求時(shí),根據(jù)該查詢請(qǐng)求中攜帶的 待識(shí)別網(wǎng)站的網(wǎng)址信息,獲取待識(shí)別網(wǎng)站的IP地址所在的IP地址段,如果惡意地址段數(shù)據(jù) 庫(kù)中存在該IP地址段,則確定待識(shí)別網(wǎng)站為惡意網(wǎng)站。其中,一些惡意網(wǎng)站的IP地址比較 相似,也即是,惡意網(wǎng)站的IP地址基本上是位于同一 IP地址段,所以,本發(fā)明實(shí)施例根據(jù)IP 地址段識(shí)別惡意網(wǎng)站,這樣,當(dāng)惡意分子注冊(cè)新網(wǎng)址信息之后,這個(gè)新網(wǎng)址信息對(duì)應(yīng)的IP 地址與原來的舊網(wǎng)址信息對(duì)應(yīng)的IP地址位于同一個(gè)IP地址段上,也可以根據(jù)惡意地址段 數(shù)據(jù)庫(kù)識(shí)別出該惡意網(wǎng)站,無需下載新網(wǎng)址信息對(duì)應(yīng)的網(wǎng)站的頁面內(nèi)容,更無需對(duì)下載的 頁面內(nèi)容進(jìn)行分析,節(jié)省了大量的帶寬和處理資源,并且可以有效地識(shí)別惡意網(wǎng)站。
【專利附圖】
【附圖說明】
[0015] 為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使 用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于 本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他 的附圖。
[0016] 圖1是本發(fā)明實(shí)施例提供的一種識(shí)別惡意網(wǎng)站的方法流程圖;
[0017] 圖2是本發(fā)明實(shí)施例提供的另一種識(shí)別惡意網(wǎng)站的方法流程圖;
[0018] 圖3是本發(fā)明實(shí)施例提供的一種顯示提示信息的界面示意圖;
[0019] 圖4是本發(fā)明實(shí)施例提供的一種識(shí)別惡意網(wǎng)站的裝置結(jié)構(gòu)示意圖;
[0020] 圖5是本發(fā)明實(shí)施例提供的另一種識(shí)別惡意網(wǎng)站的裝置結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0021] 為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方 式作進(jìn)一步地詳細(xì)描述。
[0022] 圖1是本發(fā)明實(shí)施例提供的一種識(shí)別惡意網(wǎng)站的方法流程圖。參見圖1,該方法包 括:
[0023] 步驟101 :接收終端發(fā)送的查詢請(qǐng)求,該查詢請(qǐng)求中攜帶待識(shí)別網(wǎng)站的網(wǎng)址信息。
[0024] 步驟102 :根據(jù)待識(shí)別網(wǎng)站的網(wǎng)址信息,獲取待識(shí)別網(wǎng)站的IP (Internet Protocol,網(wǎng)絡(luò)互連協(xié)議)地址所在的IP地址段。
[0025] 步驟103 :如果惡意地址段數(shù)據(jù)庫(kù)中存在該IP地址段,則確定待識(shí)別網(wǎng)站為惡意 網(wǎng)站。
[0026] 在本發(fā)明實(shí)施例中,當(dāng)接收到終端發(fā)送的查詢請(qǐng)求時(shí),根據(jù)該查詢請(qǐng)求中攜帶的 待識(shí)別網(wǎng)站的網(wǎng)址信息,獲取待識(shí)別網(wǎng)站的IP地址所在的IP地址段,如果惡意地址段數(shù)據(jù) 庫(kù)中存在該IP地址段,則確定待識(shí)別網(wǎng)站為惡意網(wǎng)站。其中,一些惡意網(wǎng)站的IP地址比較 相似,也即是,惡意網(wǎng)站的IP地址基本上是位于同一 IP地址段,所以,本發(fā)明實(shí)施例根據(jù)IP 地址段識(shí)別惡意網(wǎng)站,這樣,當(dāng)惡意分子注冊(cè)新網(wǎng)址信息之后,這個(gè)新網(wǎng)址信息對(duì)應(yīng)的IP 地址與原來的舊網(wǎng)址信息對(duì)應(yīng)的IP地址位于同一個(gè)IP地址段上,也可以根據(jù)惡意地址段 數(shù)據(jù)庫(kù)識(shí)別出該惡意網(wǎng)站,無需下載新網(wǎng)址信息對(duì)應(yīng)的網(wǎng)站的頁面內(nèi)容,更無需對(duì)下載的 頁面內(nèi)容進(jìn)行分析,節(jié)省了大量的帶寬和處理資源,并且可以有效地識(shí)別惡意網(wǎng)站。
[0027] 可選地,根據(jù)待識(shí)別網(wǎng)站的網(wǎng)址信息,獲取待識(shí)別網(wǎng)站的網(wǎng)絡(luò)互連協(xié)議IP地址所 在的IP地址段,包括:
[0028] 從待識(shí)別網(wǎng)站的網(wǎng)址信息中,獲取待識(shí)別網(wǎng)站的域名;
[0029] 根據(jù)待識(shí)別網(wǎng)站的域名,從存儲(chǔ)的域名與IP地址之間的對(duì)應(yīng)關(guān)系中獲取對(duì)應(yīng)的 IP地址;
[0030] 根據(jù)地址段分類方式,確定該IP地址所在的IP地址段,該地址段分類方式包括字 節(jié)分類、地理位置和歸屬機(jī)構(gòu)分類。
[0031] 可選地,接收終端發(fā)送的查詢請(qǐng)求之前,還包括:
[0032] 根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,獲取惡意IP地址;
[0033] 根據(jù)地址段分類方式,對(duì)該惡意IP地址進(jìn)行地址段分類,得到多個(gè)IP地址段;
[0034] 根據(jù)惡意IP地址,從該多個(gè)IP地址段中選擇惡意IP地址段;
[0035] 將惡意IP地址段存儲(chǔ)在惡意地址段數(shù)據(jù)庫(kù)中。
[0036] 可選地,根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,獲取惡意IP地址,包括:
[0037] 根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,判斷惡意網(wǎng)站是否包括跳轉(zhuǎn)目的網(wǎng)站;
[0038] 如果存在跳轉(zhuǎn)目的網(wǎng)站,則將跳轉(zhuǎn)目的網(wǎng)站的IP地址確定為惡意IP地址。
[0039] 可選地,根據(jù)惡意地址信息,從該多個(gè)IP地址段中選擇惡意IP地址段,包括:
[0040] 對(duì)于該多個(gè)IP地址段中的任一 IP地址段,統(tǒng)計(jì)該IP地址段包括的惡意地址信息 的個(gè)數(shù);
[0041] 如果統(tǒng)計(jì)的惡意地址信息的個(gè)數(shù)大于或等于指定閾值,則確定該IP地址段為惡 意IP地址段。
[0042] 上述所有可選技術(shù)方案,均可按照任意結(jié)合形成本發(fā)明的可選實(shí)施例,本發(fā)明實(shí) 施例對(duì)此不再-贅述。
[0043] 圖2是本發(fā)明實(shí)施例提供的一種識(shí)別惡意網(wǎng)站的方法流程圖,該方法的執(zhí)行主體 為云安全服務(wù)器。參見圖2,該方法包括:
[0044] 步驟201 :根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,獲取惡意IP地址。
[0045] 惡意分子為了防止惡意行為被攔截,經(jīng)常會(huì)將惡意網(wǎng)站作為一些正常網(wǎng)站的跳轉(zhuǎn) 目的網(wǎng)站,所以,云安全服務(wù)器根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,獲取惡意IP地址的操作 可以為:云安全服務(wù)器根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,判斷該惡意網(wǎng)站是否包括跳轉(zhuǎn)目 的網(wǎng)站。如果存在跳轉(zhuǎn)目的網(wǎng)站,則將跳轉(zhuǎn)目的網(wǎng)站的IP地址確定為惡意IP地址。
[0046] 進(jìn)一步地,如果統(tǒng)計(jì)的惡意網(wǎng)站不存在跳轉(zhuǎn)目的網(wǎng)站,則直接將該惡意網(wǎng)站的IP 地址確定為惡意IP地址。
[0047] 其中,云安全服務(wù)器根據(jù)上述的方法,確定惡意網(wǎng)站包括的跳轉(zhuǎn)目的網(wǎng)站的IP地 址為惡意IP地址,可以避免將一些正常網(wǎng)站的IP地址確定為惡意IP地址,提高了確定惡 意IP地址的準(zhǔn)確性。比如,正常網(wǎng)站的網(wǎng)址信息為http:z7t.cn/xxx,該正常網(wǎng)站的跳轉(zhuǎn)目 的網(wǎng)站的網(wǎng)址信息為http://evil, com,而正常網(wǎng)站http://t. cn/xxx的IP地址為正常IP 地址,只有跳轉(zhuǎn)目的網(wǎng)站http://evil, com的IP地址才是惡意的。
[0048] 其中,云安全服務(wù)器統(tǒng)計(jì)的惡意網(wǎng)站可以是云安全服務(wù)器檢測(cè)得到的,還可以是 接收用戶舉報(bào)的,本發(fā)明實(shí)施例對(duì)此不做具體限定。另外,惡意網(wǎng)站的網(wǎng)址信息可以為該網(wǎng) 站的URL (Uniform Resource Locator,統(tǒng)一資源定位符),還可以為其他的信息,本發(fā)明實(shí) 施例同樣對(duì)此不做具體限定。
[0049] 步驟202 :根據(jù)地址段分類方式,對(duì)惡意IP地址進(jìn)行地址段分類,得到多個(gè)IP地 址段,該地址段分類方式包括字節(jié)分類、地理位置和歸屬機(jī)構(gòu)分類。
[0050] 在本發(fā)明實(shí)施例中,云安全服務(wù)器至少可以按照兩種方式,對(duì)惡意IP地址進(jìn)行地 址段分類,即可以按照字節(jié)分類,也可以按照地理位置和歸屬機(jī)構(gòu)分類,包括:
[0051] 第一種方式,當(dāng)?shù)刂范畏诸惙绞綖樽止?jié)分類時(shí),云安全服務(wù)器可以按照IP地址的 字節(jié)從前到后的順序,將前預(yù)設(shè)數(shù)值個(gè)字節(jié)相同的IP地址劃分為一類,根據(jù)劃分的多個(gè)類 另IJ,確定IP地址段。
[0052] 如,云安全服務(wù)器獲取到6個(gè)惡意IP地址,S卩119. 147.78. 150,119. 147.78.64, 119. 147. 78. 3,119. 147. 78. 32,124. 114. 175. 22,124. 114. 175. 130。預(yù)設(shè)數(shù)值為 3,此時(shí), 云安全服務(wù)器按照IP地址的字節(jié)從前到后的順序,將這6個(gè)惡意IP地址中前3個(gè)字節(jié)相 同的 IP 地址為 119. 147. 78. 150,119. 147. 78. 64,119. 147. 78. 3,119. 147. 78. 32 劃分為第 一類,以及將124. 114. 175. 22,124. 114. 175. 130劃分第二類,確定第一類IP地址所在的 IP地址段為119. 147. 75. 0-119. 147. 75. 255,以及確定第二類IP地址所在的IP地址段為 124. 114. 175. 0-124. 114. 175. 255。
[0053] 第二種方式,當(dāng)按照地理位置和歸屬機(jī)構(gòu)分類時(shí),云安全服務(wù)器獲取惡意IP地址 所在的地理位置和歸屬機(jī)構(gòu),將地址位置和歸屬機(jī)構(gòu)均相同的惡意IP地址劃分為一類,根 據(jù)劃分的多個(gè)類別,確定IP地址段。
[0054] 比如,119. 147. 78. 150,119. 147. 78. 64,119. 147. 78. 3,119. 147. 78. 32 的地理位 置均為廣東省深圳市,歸屬機(jī)構(gòu)均為電信,而124. 114. 175. 22,124. 114. 175. 130的地理位 置均為陜西省西安市,歸屬機(jī)構(gòu)均為電信,所以,根據(jù)地理位置廣東省深圳市且歸屬機(jī)構(gòu)電 信,確定IP地址段為119. 147. 75. 0-119. 147. 75. 255,根據(jù)地理位置陜西省西安市且歸屬 機(jī)構(gòu)電信,確定 IP 地址段為 124. 114. 175. 0-124. 114. 175. 255。
[0055] 需要說明的是,在本發(fā)明實(shí)施例中,地址段分類方式不僅可以包括字節(jié)分類、地理 位置和歸屬機(jī)構(gòu)分類,還可以包括其他的分類,本發(fā)明實(shí)施例對(duì)此不做具體限定。
[0056] 步驟203 :根據(jù)獲取的惡意IP地址,從該多個(gè)IP地址段中選擇惡意IP地址段。
[0057] 步驟202中對(duì)惡意IP地址進(jìn)行地址段分類之后,得到多個(gè)IP地址段,該多個(gè)IP 地址段有的可能是惡意IP地址段,而有的可能是正常IP地址段,所以,云安全服務(wù)器需要 從該多個(gè)IP地址段中獲取惡意IP地址。
[0058] 其中,云安全服務(wù)器根據(jù)獲取的惡意IP地址,從該多個(gè)IP地址段中選擇惡意IP 地址段的操作可以為:對(duì)于該多個(gè)IP地址段中的任一 IP地址段,統(tǒng)計(jì)該IP地址段包括 的惡意IP地址的個(gè)數(shù)。將統(tǒng)計(jì)的惡意IP地址的個(gè)數(shù)與指定閾值進(jìn)行比較,如果統(tǒng)計(jì)的惡 意IP地址的個(gè)數(shù)大于或等于指定閾值,則確定該IP地址段為惡意IP地址段。比如,對(duì)于 IP地址段119. 147. 75. 0-119. 147. 75. 255,該IP地址段中包括的惡意IP地址的個(gè)數(shù)為 4,指定閾值為3,則確定該IP地址段為惡意IP地址段。對(duì)于IP地址段124. 114. 175. 0- 124. 114. 175. 255,該IP地址段中包括的惡意IP地址的個(gè)數(shù)為2,則確定該IP地址段不為 惡意IP地址段。
[0059] 進(jìn)一步地,如果統(tǒng)計(jì)的惡意IP地址的個(gè)數(shù)小于指定閾值,則確定該IP地址段不為 惡意IP地址段。
[0060] 由于惡意網(wǎng)站的IP地址具有明顯的聚集效應(yīng),即,惡意網(wǎng)站的IP地址基本上是位 于同一個(gè)IP地址段,所以,本發(fā)明實(shí)施例利用這一特點(diǎn),獲取惡意IP地址段,根據(jù)惡意IP 地址段來識(shí)別惡意網(wǎng)站,可以快速有效地識(shí)別惡意網(wǎng)站。
[0061] 步驟204 :將惡意IP地址段存儲(chǔ)在惡意地址段數(shù)據(jù)庫(kù)中。
[0062] 例如,云安全服務(wù)器將惡意IP地址段存儲(chǔ)在如下表1所示的惡意地址段數(shù)據(jù)庫(kù) 中。
[0063] 表 1
[0064]
【權(quán)利要求】
1. 一種識(shí)別惡意網(wǎng)站的方法,其特征在于,所述方法包括: 接收終端發(fā)送的查詢請(qǐng)求,所述查詢請(qǐng)求中攜帶待識(shí)別網(wǎng)站的網(wǎng)址信息; 根據(jù)所述網(wǎng)址信息,獲取所述待識(shí)別網(wǎng)站的網(wǎng)絡(luò)互連協(xié)議IP地址所在的IP地址段; 如果惡意地址段數(shù)據(jù)庫(kù)中存在所述IP地址段,則確定所述待識(shí)別網(wǎng)站為惡意網(wǎng)站。
2. 如權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述網(wǎng)址信息,獲取所述待識(shí)別網(wǎng) 站的網(wǎng)絡(luò)互連協(xié)議IP地址所在的IP地址段,包括: 從所述網(wǎng)址信息中,獲取所述待識(shí)別網(wǎng)站的域名; 根據(jù)所述待識(shí)別網(wǎng)站的域名,從存儲(chǔ)的域名與IP地址之間的對(duì)應(yīng)關(guān)系中獲取對(duì)應(yīng)的 IP地址; 根據(jù)地址段分類方式,確定所述IP地址所在的IP地址段,所述地址段分類方式包括字 節(jié)分類、地理位置和歸屬機(jī)構(gòu)分類。
3. 如權(quán)利要求1所述的方法,其特征在于,所述接收終端發(fā)送的查詢請(qǐng)求之前,還包 括: 根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,獲取惡意IP地址; 根據(jù)地址段分類方式,對(duì)所述惡意IP地址進(jìn)行地址段分類,得到多個(gè)IP地址段; 根據(jù)所述惡意IP地址,從所述多個(gè)IP地址段中選擇惡意IP地址段; 將所述惡意IP地址段存儲(chǔ)在惡意地址段數(shù)據(jù)庫(kù)中。
4. 如權(quán)利要求3所述的方法,其特征在于,所述根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,獲取 惡意IP地址,包括: 根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,判斷所述惡意網(wǎng)站是否包括跳轉(zhuǎn)目的網(wǎng)站; 如果存在跳轉(zhuǎn)目的網(wǎng)站,則將所述跳轉(zhuǎn)目的網(wǎng)站的IP地址確定為惡意IP地址。
5. 如權(quán)利要求3所述的方法,其特征在于,所述根據(jù)所述惡意地址信息,從所述多個(gè)IP 地址段中選擇惡意IP地址段,包括: 對(duì)于所述多個(gè)IP地址段中的任一 IP地址段,統(tǒng)計(jì)所述IP地址段包括的惡意地址信息 的個(gè)數(shù); 如果統(tǒng)計(jì)的惡意地址信息的個(gè)數(shù)大于或等于指定閾值,則確定所述IP地址段為惡意 IP地址段。
6. -種識(shí)別惡意網(wǎng)站的裝置,其特征在于,所述裝置包括: 接收模塊,用于接收終端發(fā)送的查詢請(qǐng)求,所述查詢請(qǐng)求中攜帶待識(shí)別網(wǎng)站的網(wǎng)址信 息; 第一獲取模塊,用于根據(jù)所述網(wǎng)址信息,獲取所述待識(shí)別網(wǎng)站的網(wǎng)絡(luò)互連協(xié)議IP地址 所在的IP地址段; 確定模塊,用于如果惡意地址段數(shù)據(jù)庫(kù)中存在所述IP地址段,則確定所述待識(shí)別網(wǎng)站 為惡意網(wǎng)站。
7. 如權(quán)利要求6所述的裝置,其特征在于,所述第一獲取模塊包括: 第一獲取單元,用于從所述網(wǎng)址信息中,獲取所述待識(shí)別網(wǎng)站的域名; 第二獲取單元,用于根據(jù)所述待識(shí)別網(wǎng)站的域名,從存儲(chǔ)的域名與IP地址之間的對(duì)應(yīng) 關(guān)系中獲取對(duì)應(yīng)的IP地址; 第一確定單元,用于根據(jù)地址段分類方式,確定所述IP地址所在的IP地址段,所述地 址段分類方式包括字節(jié)分類、地理位置和歸屬機(jī)構(gòu)分類。
8. 如權(quán)利要求6所述的裝置,其特征在于,所述裝置還包括: 第二獲取模塊,用于根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,獲取惡意IP地址; 分類模塊,用于根據(jù)地址段分類方式,對(duì)所述惡意IP地址進(jìn)行地址段分類,得到多個(gè) IP地址段; 選擇模塊,用于根據(jù)所述惡意IP地址,從所述多個(gè)IP地址段中選擇惡意IP地址段; 存儲(chǔ)模塊,用于將所述惡意IP地址段存儲(chǔ)在惡意地址段數(shù)據(jù)庫(kù)中。
9. 如權(quán)利要求8所述的裝置,其特征在于,所述第二獲取模塊包括: 判斷單元,用于根據(jù)統(tǒng)計(jì)的惡意網(wǎng)站的網(wǎng)址信息,判斷所述惡意網(wǎng)站是否包括跳轉(zhuǎn)目 的網(wǎng)站; 第二確定單元,用于如果存在跳轉(zhuǎn)目的網(wǎng)站,則將所述跳轉(zhuǎn)目的網(wǎng)站的IP地址確定為 惡意IP地址。
10. 如權(quán)利要求8所述的裝置,其特征在于,所述選擇模塊包括: 統(tǒng)計(jì)單元,用于對(duì)于所述多個(gè)IP地址段中的任一 IP地址段,統(tǒng)計(jì)所述IP地址段包括 的惡意地址信息的個(gè)數(shù); 第三確定單元,用于如果統(tǒng)計(jì)的惡意地址信息的個(gè)數(shù)大于或等于指定閾值,則確定所 述IP地址段為惡意IP地址段。
【文檔編號(hào)】H04L29/06GK104219230SQ201410416103
【公開日】2014年12月17日 申請(qǐng)日期:2014年8月21日 優(yōu)先權(quán)日:2014年8月21日
【發(fā)明者】劉健 申請(qǐng)人:騰訊科技(深圳)有限公司