惡意網(wǎng)址訪問(wèn)防護(hù)方法、客戶(hù)端���、安全服務(wù)器及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明實(shí)施例涉及云安全技術(shù)領(lǐng)域��,尤其涉及一種惡意網(wǎng)址訪問(wèn)防護(hù)方法���、客戶(hù)端、安全服務(wù)器及系統(tǒng)��。
【背景技術(shù)】
[0002]惡意網(wǎng)址是指惡意種植木馬�、病毒等惡意程序在網(wǎng)站內(nèi),通過(guò)“偽裝的網(wǎng)站服務(wù)內(nèi)容”誘導(dǎo)用戶(hù)訪問(wèn)該網(wǎng)站�����,一旦進(jìn)入這些網(wǎng)站�,便會(huì)觸發(fā)網(wǎng)站內(nèi)種植下的木馬、病毒等程序��,導(dǎo)致訪問(wèn)者計(jì)算機(jī)被感染�,面臨丟失帳號(hào)或者隱私信息等危險(xiǎn)。惡意網(wǎng)站容易出現(xiàn)在一些不知名的帶有銷(xiāo)售���、推薦性質(zhì)的網(wǎng)址中�。釣魚(yú)網(wǎng)站通常是指?jìng)窝b成銀行及電子商務(wù)等網(wǎng)站�,主要危害是竊取用戶(hù)提交的銀行帳號(hào)、密碼等私密信息�����。所謂“釣魚(yú)網(wǎng)站”是一種網(wǎng)絡(luò)欺詐行為����,指不法分子利用各種手段,仿冒真實(shí)網(wǎng)站的URL地址以及頁(yè)面內(nèi)容�����,或者利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁(yè)中插入危險(xiǎn)的HTML代碼�,以此來(lái)騙取用戶(hù)銀行或信用卡賬號(hào)、密碼等私人資料����。
[0003]各式各樣的惡意網(wǎng)站已經(jīng)成為影響用戶(hù)個(gè)人信息安全、國(guó)家信息安全和互聯(lián)網(wǎng)健康發(fā)展的嚴(yán)重威脅�,因此針對(duì)惡意網(wǎng)站的實(shí)時(shí)攔截是安全軟件必備的核心功能。
[0004]現(xiàn)有技術(shù)的惡意網(wǎng)址攔截都是通過(guò)對(duì)本地客戶(hù)端已有的惡意網(wǎng)址庫(kù)進(jìn)行查詢(xún)檢測(cè)的技術(shù)?���,F(xiàn)有技術(shù)針對(duì)惡意網(wǎng)址的攔截方法如下:通過(guò)對(duì)客戶(hù)端的瀏覽器等網(wǎng)頁(yè)瀏覽軟件進(jìn)行監(jiān)控�����,在瀏覽器等網(wǎng)頁(yè)瀏覽軟件訪問(wèn)網(wǎng)址(URL)前對(duì)網(wǎng)址(URL)進(jìn)行惡意網(wǎng)址檢測(cè)�,在本地客戶(hù)端的惡意網(wǎng)址庫(kù)中查詢(xún)檢測(cè)所要訪問(wèn)的URL�,如果瀏覽器等網(wǎng)頁(yè)瀏覽軟件所訪問(wèn)網(wǎng)址(URL)在惡意網(wǎng)址庫(kù)中查詢(xún)匹配到惡意網(wǎng)址,則對(duì)瀏覽器所訪問(wèn)的網(wǎng)址進(jìn)行阻斷并提示警告用戶(hù)�����,如果在本地客戶(hù)端的惡意網(wǎng)址庫(kù)中沒(méi)有查詢(xún)匹配到URL��,則為正常網(wǎng)址���,瀏覽器可以正常訪問(wèn)URL�����。
[0005]但是由于大量UGC(User Generated Content:用戶(hù)生成內(nèi)容)網(wǎng)站(博客����、論壇��、微博、空間)的存在�����、以及網(wǎng)頁(yè)發(fā)布的工具化�、專(zhuān)職化(如門(mén)戶(hù)網(wǎng)站的cms和編輯)�,導(dǎo)致網(wǎng)頁(yè)發(fā)布不需要專(zhuān)業(yè)技術(shù)能力,成本比文件編寫(xiě)低很多��,因此數(shù)量級(jí)遠(yuǎn)遠(yuǎn)大于文件�。又由于域名購(gòu)買(mǎi)、服務(wù)器空間等限制�����,發(fā)布釣魚(yú)網(wǎng)頁(yè)的成本偏高���。這就出現(xiàn)�,要在海量網(wǎng)頁(yè)中��,找為數(shù)不多的釣魚(yú)網(wǎng)頁(yè)����,誤報(bào)的概率大。
[0006]而且,現(xiàn)有技術(shù)的惡意網(wǎng)址庫(kù)都存在于本地客戶(hù)端����,而互聯(lián)網(wǎng)上的惡意網(wǎng)站在不斷更新變化,惡意網(wǎng)址庫(kù)的生成也需要不斷更新�,現(xiàn)有技術(shù)需要依靠客戶(hù)端不斷升級(jí)新的本地惡意網(wǎng)址庫(kù)才能保證惡意網(wǎng)址的攔截效果,然而本地惡意網(wǎng)址的升級(jí)時(shí)間周期過(guò)長(zhǎng)����,往往存在滯后性,無(wú)法及時(shí)更新互聯(lián)網(wǎng)上層出不窮的各類(lèi)惡意網(wǎng)址���,導(dǎo)致安全軟件無(wú)法快速有效地?cái)r截惡意網(wǎng)站�����。
【發(fā)明內(nèi)容】
[0007]為了解決上述技術(shù)問(wèn)題�,本發(fā)明實(shí)施例提供一種惡意網(wǎng)址訪問(wèn)防護(hù)方法��、安全應(yīng)用客戶(hù)端����、安全服務(wù)器及系統(tǒng),用以解決對(duì)釣魚(yú)網(wǎng)頁(yè)誤報(bào)概率大以及惡意網(wǎng)址庫(kù)的更新不及時(shí)而導(dǎo)致無(wú)法對(duì)惡意網(wǎng)址進(jìn)行有效控制的問(wèn)題��。
[0008]本發(fā)明實(shí)施例公開(kāi)如下技術(shù)方案:
[0009]—種惡意網(wǎng)址訪問(wèn)防護(hù)方法,包括:
[0010]安全應(yīng)用客戶(hù)端獲取瀏覽器訪問(wèn)網(wǎng)址的特征信息�,并將所述特征信息發(fā)送至安全服務(wù)器,所述特征信息至少包括網(wǎng)址特征信息和/或網(wǎng)頁(yè)特征信息�;
[0011]安全應(yīng)用客戶(hù)端接收所述安全服務(wù)器利用信息鑒別庫(kù)對(duì)于所述特征信息的查詢(xún)結(jié)果;
[0012]安全應(yīng)用客戶(hù)端若發(fā)現(xiàn)所述網(wǎng)址特征信息和/或所述網(wǎng)頁(yè)特征信息位于信息鑒別庫(kù)中的網(wǎng)址黑名單和/或網(wǎng)頁(yè)黑名單中�,則至少根據(jù)所述發(fā)現(xiàn)結(jié)果判定所述網(wǎng)址為惡意網(wǎng)址。
[0013]上述實(shí)施例中所述網(wǎng)址特征信息包括:IP地址和/或網(wǎng)址的domain����、host����、urI各自的哈希值,所述網(wǎng)址黑名單中包括IP地址和/或domain���、host����、ur I各自的哈希值�����。
[0014]進(jìn)一步地�����,上述惡意網(wǎng)址訪問(wèn)防護(hù)方法還包括:
[0015]安全應(yīng)用客戶(hù)端若發(fā)現(xiàn)所述domain、host�����、url各自的哈希值均位于信息鑒別庫(kù)中的網(wǎng)址白名單中����;
[0016]安全應(yīng)用客戶(hù)端接收在安全服務(wù)器中的訪問(wèn)量大于預(yù)定閾值的所述domain的子域名的篩選結(jié)果;
[0017]安全應(yīng)用客戶(hù)端計(jì)算所述子域名的哈希值并發(fā)送至安全服務(wù)器���;
[0018]安全應(yīng)用客戶(hù)端接收所述安全服務(wù)器利用信息鑒別庫(kù)對(duì)于所述子域名的哈希值的子域名查詢(xún)結(jié)果�;
[0019]安全應(yīng)用客戶(hù)端若發(fā)現(xiàn)所述子域名的哈希值位于信息鑒別庫(kù)中的網(wǎng)址黑名單中����,則將所述網(wǎng)址判定為惡意網(wǎng)址。
[0020]上述實(shí)施例中所述網(wǎng)頁(yè)特征信息包括:網(wǎng)頁(yè)中各元素的ID��、第一文字信息和識(shí)別圖片獲得的第二文字信息;所述網(wǎng)頁(yè)黑名單中包括:模板ID黑名單和關(guān)鍵字黑名單��,
[0021]安全應(yīng)用客戶(hù)端若發(fā)現(xiàn)所述網(wǎng)頁(yè)中具有與所述信息鑒別庫(kù)中的ID庫(kù)中的ID匹配的至少一個(gè)ID����,利用所述至少一個(gè)ID生成模板ID并發(fā)送至安全服務(wù)器���;
[0022]安全應(yīng)用客戶(hù)端接收所述安全服務(wù)器利用信息鑒別庫(kù)對(duì)于所述模板ID的查詢(xún)結(jié)果;
[0023]安全應(yīng)用客戶(hù)端若發(fā)現(xiàn)所述模板ID位于信息鑒別庫(kù)中的模板ID黑名單中,所述安全應(yīng)用客戶(hù)端進(jìn)一步接收所述第一文字信息和第二文字信息中之一是否位于所述信息鑒別庫(kù)中的關(guān)鍵字黑名單中的關(guān)鍵字查詢(xún)結(jié)果����;
[0024]若所述安全應(yīng)用客戶(hù)端發(fā)現(xiàn)所述第一文字信息和第二文字信息中之一位于所述信息鑒別庫(kù)中的網(wǎng)頁(yè)黑名單的關(guān)鍵字黑名單中,則判定所述網(wǎng)址為惡意網(wǎng)址���。
[0025]進(jìn)一步地����,所述網(wǎng)頁(yè)特征信息包括:第一文字信息和識(shí)別圖片獲得的第二文字信息;所述網(wǎng)頁(yè)黑名單包括:關(guān)鍵字黑名單���,
[0026]所述安全應(yīng)用客戶(hù)端若發(fā)現(xiàn)所述IP地址或網(wǎng)址的domain或子域名位于所述網(wǎng)址黑名單中,所述安全應(yīng)用客戶(hù)端進(jìn)一步接收所述第一文字信息和第二文字信息中之一是否位于所述信息鑒別庫(kù)中的關(guān)鍵字黑名單中的關(guān)鍵字查詢(xún)結(jié)果�����;
[0027]若所述安全應(yīng)用客戶(hù)端發(fā)現(xiàn)所述第一文字信息和第二文字信息中之一位于所述信息鑒別庫(kù)中的網(wǎng)頁(yè)黑名單的關(guān)鍵字黑名單中����,則判定所述網(wǎng)址為惡意網(wǎng)址。
[0028]進(jìn)一步地�,上述實(shí)施例中所述特征信息還包括進(jìn)程特征信息���,所述進(jìn)程特征信息包括:瀏覽器中訪問(wèn)所述網(wǎng)址的進(jìn)程的可執(zhí)行文件的路徑、哈希值和數(shù)字簽名���,
[0029]安全應(yīng)用客戶(hù)端若發(fā)現(xiàn)所述可執(zhí)行文件的路徑���、哈希值和數(shù)字簽名至少一個(gè)不在所述信息鑒別庫(kù)中的進(jìn)程白名單中,則將該進(jìn)程確定為可疑進(jìn)程���,
[0030]若所述網(wǎng)址判定為惡意網(wǎng)址����,所述安全應(yīng)用客戶(hù)端結(jié)束所述可疑進(jìn)程��。
[0031]本發(fā)明實(shí)施例的一種惡意網(wǎng)址訪問(wèn)防護(hù)方法�,包括:
[0032]安全服務(wù)器接收安全應(yīng)用客戶(hù)端發(fā)送的瀏覽器訪問(wèn)網(wǎng)址的特征信息,所述特征信息至少包括網(wǎng)址特征信息和/或網(wǎng)頁(yè)特征信息��;
[0033]安全服務(wù)器利用信息鑒別庫(kù)中的網(wǎng)址黑名單和/或網(wǎng)頁(yè)黑名單對(duì)所述網(wǎng)址特征信息和/或所述網(wǎng)頁(yè)特征信息進(jìn)行查詢(xún)生成查詢(xún)結(jié)果��;
[0034]安全服務(wù)器將所述查詢(xún)結(jié)果發(fā)送至安全應(yīng)用客戶(hù)端���。
[0035]上述網(wǎng)址特征信息包括:IP地址和/或網(wǎng)址的domain���、host�����、url各自的哈希值����,所述網(wǎng)址黑名單中包括IP地址和/或domain�、host、ur I各自的哈希值�。
[0036]進(jìn)一步地,上述實(shí)施例中的惡意網(wǎng)址訪問(wèn)防護(hù)方法還包括:
[0037]安全應(yīng)用客戶(hù)端利用信息鑒別庫(kù)中的網(wǎng)址白名單中對(duì)所述domain��、host��、url各自的哈希值進(jìn)行查詢(xún)生成查詢(xún)結(jié)果��;
[0038]當(dāng)所述查詢(xún)結(jié)果表明所述domain��、host���、url各自的哈希值均位于所述信息鑒別庫(kù)中的網(wǎng)址白名單中時(shí),安全服務(wù)器對(duì)在安全服務(wù)器中的訪問(wèn)量大于預(yù)定閾值的所述domain的子域名進(jìn)行篩選��,確定子域名的篩選結(jié)果;
[0039]安全服務(wù)器將所述子域名的篩選結(jié)果發(fā)送至安全應(yīng)用客戶(hù)端����;
[0040]安全服務(wù)器接收安全應(yīng)用客戶(hù)端發(fā)送的所述子域名的哈希值;
[0041]安全服務(wù)器利用信息鑒別庫(kù)中的網(wǎng)址黑名單對(duì)所述子域名的哈希值進(jìn)行查詢(xún)生成子域名查詢(xún)結(jié)果��;
[0042]安全服務(wù)器將所述子域名查詢(xún)結(jié)果發(fā)送至安全應(yīng)用客戶(hù)端�����。
[0043]進(jìn)一步地��,所述網(wǎng)頁(yè)特征信息包括:網(wǎng)頁(yè)中各元素的ID���、第一文字信息和識(shí)別圖片獲得的第二文字信息;所述網(wǎng)頁(yè)黑名單中包括:模板ID黑名單和關(guān)鍵字黑名單�����,
[0044]安全服務(wù)器利用信息鑒別庫(kù)中的ID庫(kù)對(duì)所述網(wǎng)頁(yè)中各元素的ID進(jìn)行查詢(xún)生成ID查詢(xún)結(jié)果�����;
[0045]安全服務(wù)器將所述ID查詢(xún)結(jié)果發(fā)送至安全應(yīng)用客戶(hù)端���;
[0046]安全服務(wù)器接收所述安全應(yīng)用客戶(hù)端發(fā)送的模板ID;
[0047]安全服務(wù)器利用信息鑒別庫(kù)中的模板ID黑名單對(duì)所述模板ID進(jìn)行查詢(xún)生成查詢(xún)結(jié)果��;
[0048]安全服務(wù)器將所述查詢(xún)結(jié)果發(fā)送至安全應(yīng)用客戶(hù)端�����;
[0049]安全服務(wù)器利用信息鑒別庫(kù)中的關(guān)鍵字黑名單對(duì)所述第一文字信息和第二文字信息進(jìn)行查詢(xún)生成關(guān)鍵字查詢(xún)結(jié)果�;
[0050]安全服務(wù)器將所述關(guān)鍵字查詢(xún)結(jié)果發(fā)送至安全應(yīng)用客戶(hù)端�����。
[0051]進(jìn)一步地���,所述網(wǎng)頁(yè)特征信息包括:第一文字信息和識(shí)別圖片獲得的第二文字信息;所述網(wǎng)頁(yè)黑名單包括:關(guān)鍵字黑名單�����,
[0052]安全服務(wù)器利用信息鑒別庫(kù)中的網(wǎng)址黑名單對(duì)所述IP地址或網(wǎng)址的domain或子域名進(jìn)行查詢(xún)生成查詢(xún)結(jié)果�����;
[0053]安全服務(wù)將所述查詢(xún)結(jié)果發(fā)送至安全應(yīng)用客戶(hù)端;
[0054]安全服務(wù)器利用信息鑒別庫(kù)中的關(guān)鍵字黑名單對(duì)所述第一文字信息和第二文字信息進(jìn)行查詢(xún)生成關(guān)鍵字查詢(xún)結(jié)果�;
[0055]安全服務(wù)器將所述關(guān)鍵字查詢(xún)結(jié)果發(fā)送至安全應(yīng)用客戶(hù)端。
[0056]進(jìn)一步