CN104219230B - 识别恶意网站的方法及装置 - Google Patents
识别恶意网站的方法及装置 Download PDFInfo
- Publication number
- CN104219230B CN104219230B CN201410416103.6A CN201410416103A CN104219230B CN 104219230 B CN104219230 B CN 104219230B CN 201410416103 A CN201410416103 A CN 201410416103A CN 104219230 B CN104219230 B CN 104219230B
- Authority
- CN
- China
- Prior art keywords
- address
- website
- malicious
- address field
- identified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种识别恶意网站的方法及装置,属于互联网领域。所述方法包括:接收终端发送的查询请求,所述查询请求中携带待识别网站的网址信息;根据所述网址信息,获取所述待识别网站的网络互连协议IP地址所在的IP地址段;如果恶意地址段数据库中存在所述IP地址段,则确定所述待识别网站为恶意网站。所述装置包括:接收模块、第一获取模块和确定模块。本发明通过恶意地址段数据库识别出该恶意网站,无需下载新网址信息对应的网站的页面内容,更无需对下载的页面内容进行分析,节省了大量的带宽和处理资源,并且可以有效地识别恶意网站。
Description
技术领域
本发明涉及互联网领域,特别涉及一种识别恶意网站的方法及装置。
背景技术
互联网技术的快速发展给人们的生活带来越来越多的便利,比如,人们可以通过互联网下载各类资料、进行网络购物等。与此同时,出现了将各类木马病毒伪装成正常文件来肆意传播、钓鱼网站模仿正常网站盗取用户账号和密码等恶意行为,因此,识别恶意网站的方法受到了广泛地关注。
其中,相关技术中是通过云安全服务器根据网站的网址信息来识别恶意网站,所以,当恶意分子发现某个网址信息被拦截时,该恶意分子可以通过新网址信息来进行恶意行为。此时,信息数据库中不包括该新网址信息的记录,所以,云安全服务器就不会识别出该网站为恶意网站。为了解决该问题,云安全服务器需要下载该网站的页面内容,并对该网站的页面内容进行分析,如果分析结果指示该网站为恶意网站,则在信息数据库中存储该新网址信息的记录,以便下次可以识别出该新网址信息对应的网站为恶意网站。
然而,当云安全服务器执行上述的下载页面内容操作和分析页面内容操作时,会浪费大量的带宽和处理资源,并且花费的时间较长,不利于快速有效地识别恶意网站。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种识别恶意网站的方法及装置。所述技术方案如下:
一方面,提供了一种识别恶意网站的方法,所述方法包括:
接收终端发送的查询请求,所述查询请求中携带待识别网站的网址信息;
根据所述网址信息,获取所述待识别网站的网络互连协议IP地址所在的IP地址段;
如果恶意地址段数据库中存在所述IP地址段,则确定所述待识别网站为恶意网站。
另一方面,提供了一种识别恶意网站的装置,所述装置包括:
接收模块,用于接收终端发送的查询请求,所述查询请求中携带待识别网站的网址信息;
第一获取模块,用于根据所述网址信息,获取所述待识别网站的网络互连协议IP地址所在的IP地址段;
确定模块,用于如果恶意地址段数据库中存在所述IP地址段,则确定所述待识别网站为恶意网站。
在本发明实施例中,当接收到终端发送的查询请求时,根据该查询请求中携带的待识别网站的网址信息,获取待识别网站的IP地址所在的IP地址段,如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。其中,一些恶意网站的IP地址比较相似,也即是,恶意网站的IP地址基本上是位于同一IP地址段,所以,本发明实施例根据IP地址段识别恶意网站,这样,当恶意分子注册新网址信息之后,这个新网址信息对应的IP地址与原来的旧网址信息对应的IP地址位于同一个IP地址段上,也可以根据恶意地址段数据库识别出该恶意网站,无需下载新网址信息对应的网站的页面内容,更无需对下载的页面内容进行分析,节省了大量的带宽和处理资源,并且可以有效地识别恶意网站。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种识别恶意网站的方法流程图;
图2是本发明实施例提供的另一种识别恶意网站的方法流程图;
图3是本发明实施例提供的一种显示提示信息的界面示意图;
图4是本发明实施例提供的一种识别恶意网站的装置结构示意图;
图5是本发明实施例提供的另一种识别恶意网站的装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图1是本发明实施例提供的一种识别恶意网站的方法流程图。参见图1,该方法包括:
步骤101:接收终端发送的查询请求,该查询请求中携带待识别网站的网址信息。
步骤102:根据待识别网站的网址信息,获取待识别网站的IP(InternetProtocol,网络互连协议)地址所在的IP地址段。
步骤103:如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。
在本发明实施例中,当接收到终端发送的查询请求时,根据该查询请求中携带的待识别网站的网址信息,获取待识别网站的IP地址所在的IP地址段,如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。其中,一些恶意网站的IP地址比较相似,也即是,恶意网站的IP地址基本上是位于同一IP地址段,所以,本发明实施例根据IP地址段识别恶意网站,这样,当恶意分子注册新网址信息之后,这个新网址信息对应的IP地址与原来的旧网址信息对应的IP地址位于同一个IP地址段上,也可以根据恶意地址段数据库识别出该恶意网站,无需下载新网址信息对应的网站的页面内容,更无需对下载的页面内容进行分析,节省了大量的带宽和处理资源,并且可以有效地识别恶意网站。
可选地,根据待识别网站的网址信息,获取待识别网站的网络互连协议IP地址所在的IP地址段,包括:
从待识别网站的网址信息中,获取待识别网站的域名;
根据待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址;
根据地址段分类方式,确定该IP地址所在的IP地址段,该地址段分类方式包括字节分类、地理位置和归属机构分类。
可选地,接收终端发送的查询请求之前,还包括:
根据统计的恶意网站的网址信息,获取恶意IP地址;
根据地址段分类方式,对该恶意IP地址进行地址段分类,得到多个IP地址段;
根据恶意IP地址,从该多个IP地址段中选择恶意IP地址段;
将恶意IP地址段存储在恶意地址段数据库中。
可选地,根据统计的恶意网站的网址信息,获取恶意IP地址,包括:
根据统计的恶意网站的网址信息,判断恶意网站是否包括跳转目的网站;
如果存在跳转目的网站,则将跳转目的网站的IP地址确定为恶意IP地址。
可选地,根据恶意地址信息,从该多个IP地址段中选择恶意IP地址段,包括:
对于该多个IP地址段中的任一IP地址段,统计该IP地址段包括的恶意地址信息的个数;
如果统计的恶意地址信息的个数大于或等于指定阈值,则确定该IP地址段为恶意IP地址段。
上述所有可选技术方案,均可按照任意结合形成本发明的可选实施例,本发明实施例对此不再一一赘述。
图2是本发明实施例提供的一种识别恶意网站的方法流程图,该方法的执行主体为云安全服务器。参见图2,该方法包括:
步骤201:根据统计的恶意网站的网址信息,获取恶意IP地址。
恶意分子为了防止恶意行为被拦截,经常会将恶意网站作为一些正常网站的跳转目的网站,所以,云安全服务器根据统计的恶意网站的网址信息,获取恶意IP地址的操作可以为:云安全服务器根据统计的恶意网站的网址信息,判断该恶意网站是否包括跳转目的网站。如果存在跳转目的网站,则将跳转目的网站的IP地址确定为恶意IP地址。
进一步地,如果统计的恶意网站不存在跳转目的网站,则直接将该恶意网站的IP地址确定为恶意IP地址。
其中,云安全服务器根据上述的方法,确定恶意网站包括的跳转目的网站的IP地址为恶意IP地址,可以避免将一些正常网站的IP地址确定为恶意IP地址,提高了确定恶意IP地址的准确性。比如,正常网站的网址信息为http://t.cn/xxx,该正常网站的跳转目的网站的网址信息为http://evil.com,而正常网站http://t.cn/xxx的IP地址为正常IP地址,只有跳转目的网站http://evil.com的IP地址才是恶意的。
其中,云安全服务器统计的恶意网站可以是云安全服务器检测得到的,还可以是接收用户举报的,本发明实施例对此不做具体限定。另外,恶意网站的网址信息可以为该网站的URL(UniformResourceLocator,统一资源定位符),还可以为其他的信息,本发明实施例同样对此不做具体限定。
步骤202:根据地址段分类方式,对恶意IP地址进行地址段分类,得到多个IP地址段,该地址段分类方式包括字节分类、地理位置和归属机构分类。
在本发明实施例中,云安全服务器至少可以按照两种方式,对恶意IP地址进行地址段分类,即可以按照字节分类,也可以按照地理位置和归属机构分类,包括:
第一种方式,当地址段分类方式为字节分类时,云安全服务器可以按照IP地址的字节从前到后的顺序,将前预设数值个字节相同的IP地址划分为一类,根据划分的多个类别,确定IP地址段。
比如,云安全服务器获取到6个恶意IP地址,即119.147.78.150,119.147.78.64,119.147.78.3,119.147.78.32,124.114.175.22,124.114.175.130。预设数值为3,此时,云安全服务器按照IP地址的字节从前到后的顺序,将这6个恶意IP地址中前3个字节相同的IP地址为119.147.78.150,119.147.78.64,119.147.78.3,119.147.78.32划分为第一类,以及将124.114.175.22,124.114.175.130划分第二类,确定第一类IP地址所在的IP地址段为119.147.75.0—119.147.75.255,以及确定第二类IP地址所在的IP地址段为124.114.175.0—124.114.175.255。
第二种方式,当按照地理位置和归属机构分类时,云安全服务器获取恶意IP地址所在的地理位置和归属机构,将地址位置和归属机构均相同的恶意IP地址划分为一类,根据划分的多个类别,确定IP地址段。
比如,119.147.78.150,119.147.78.64,119.147.78.3,119.147.78.32的地理位置均为广东省深圳市,归属机构均为电信,而124.114.175.22,124.114.175.130的地理位置均为陕西省西安市,归属机构均为电信,所以,根据地理位置广东省深圳市且归属机构电信,确定IP地址段为119.147.75.0—119.147.75.255,根据地理位置陕西省西安市且归属机构电信,确定IP地址段为124.114.175.0—124.114.175.255。
需要说明的是,在本发明实施例中,地址段分类方式不仅可以包括字节分类、地理位置和归属机构分类,还可以包括其他的分类,本发明实施例对此不做具体限定。
步骤203:根据获取的恶意IP地址,从该多个IP地址段中选择恶意IP地址段。
步骤202中对恶意IP地址进行地址段分类之后,得到多个IP地址段,该多个IP地址段有的可能是恶意IP地址段,而有的可能是正常IP地址段,所以,云安全服务器需要从该多个IP地址段中获取恶意IP地址。
其中,云安全服务器根据获取的恶意IP地址,从该多个IP地址段中选择恶意IP地址段的操作可以为:对于该多个IP地址段中的任一IP地址段,统计该IP地址段包括的恶意IP地址的个数。将统计的恶意IP地址的个数与指定阈值进行比较,如果统计的恶意IP地址的个数大于或等于指定阈值,则确定该IP地址段为恶意IP地址段。比如,对于IP地址段119.147.75.0—119.147.75.255,该IP地址段中包括的恶意IP地址的个数为4,指定阈值为3,则确定该IP地址段为恶意IP地址段。对于IP地址段124.114.175.0—124.114.175.255,该IP地址段中包括的恶意IP地址的个数为2,则确定该IP地址段不为恶意IP地址段。
进一步地,如果统计的恶意IP地址的个数小于指定阈值,则确定该IP地址段不为恶意IP地址段。
由于恶意网站的IP地址具有明显的聚集效应,即,恶意网站的IP地址基本上是位于同一个IP地址段,所以,本发明实施例利用这一特点,获取恶意IP地址段,根据恶意IP地址段来识别恶意网站,可以快速有效地识别恶意网站。
步骤204:将恶意IP地址段存储在恶意地址段数据库中。
例如,云安全服务器将恶意IP地址段存储在如下表1所示的恶意地址段数据库中。
表1
| 恶意地址段 |
| 23.106.15.0—23.106.15.255 |
| 119.147.75.0—119.147.75.255 |
| …… |
其中,恶意地址段数据库的结构可以为如上述表1所示的结构,还可以为其他的结构,本发明实施例对此不做具体限定。
在本发明实施例中,将获取的恶意IP地址段存储在恶意地址段数据库中,后续接收到终端发送的查询请求时,基于该恶意地址段数据库,可以快速地确定待识别网站是否为恶意网站。其中,具体的查询过程如下所示。
步骤205:接收终端发送的查询请求,该查询请求中携带待识别网站的网址信息。
其中,当终端接收到一定的触发条件时,该终端可以向云安全服务器发送查询请求。该触发条件可以为用户通过即时通信工具向其好友发送网址信息,或者用户通过浏览器访问网址信息对应的网站,当然,还可以为其他的触发条件,本发明实施例对此不做具体限定。
步骤206:从待识别网站的网址信息中,获取待识别网站的域名。
由于网站的网址信息是根据网站的域名,按照指定的格式生成的,所以,当云安全服务器获取到待识别网站的网址信息时,可以直接从待识别网站的网址信息中获取待识别网站的域名。比如,待识别网站的网址信息为http://www.jtaf.com/2014,云安全服务器从该网址信息中获取待识别网站的域名为www.jtaf.com。
步骤207:根据待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址。
具体地,云安全服务器根据待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址,将获取的IP地址确定为待识别网站的IP地址。
比如,云安全服务器根据待识别网站的域名www.jtaf.com,从如下表2所示的域名与IP地址之间的对应关系中获取对应的IP地址为119.147.75.26,将获取的IP地址119.147.75.26确定为待识别网站的IP地址。
表2
| 域名 | IP地址 |
| www.jtaf.com | 119.147.75.26 |
| ihfeatn.com | 23.106.15.150 |
| musgl.com | 23.106.15.150 |
| …… | …… |
需要说明的是,在本发明实施例中,仅以上述表2所示的域名与IP地址之间的对应关系为例进行说明,并不构成对本发明的限定。
步骤208:根据地址段分类方式,确定获取的IP地址所在的IP地址段。
其中,本步骤与步骤202中的划分方式相同,在此不再一一赘述。
基于上述的例子,确定获取的IP地址119.147.75.26所在的IP地址段为119.147.75.0—119.147.75.255。
步骤209:如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。
具体地,云安全服务器将确定的IP地址段与恶意地址段数据库中包括的恶意IP地址段进行比较,如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。
进一步地,如果恶意地址段数据库中不存在该IP地址段,则确定待识别网站不为恶意网站。
优选地,当云安全服务器确定待识别网站为恶意网站之后,云安全服务器可以向该终端发送一个提示信息,该提示信息用于指示待识别网站为恶意网站。比如,当终端接收到该提示信息时,可以通过如图3所示的方式进行显示。当然,该终端还可以直接拦截该恶意网站,本发明实施例对此不做具体限定。
在本发明实施例中,当接收到终端发送的查询请求时,根据该查询请求中携带的待识别网站的网址信息,获取待识别网站的IP地址所在的IP地址段,如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。其中,一些恶意网站的IP地址比较相似,也即是,恶意网站的IP地址基本上是位于同一IP地址段,所以,本发明实施例根据IP地址段识别恶意网站,这样,当恶意分子注册新网址信息之后,这个新网址信息对应的IP地址与原来的旧网址信息对应的IP地址位于同一个IP地址段上,也可以根据恶意地址段数据库识别出该恶意网站,无需下载新网址信息对应的网站的页面内容,更无需对下载的页面内容进行分析,节省了大量的带宽和处理资源,并且可以有效地识别恶意网站。
图4是本发明实施例提供的一种识别恶意网站的装置结构示意图。参见图4,该装置包括:接收模块401、第一获取模块402和确定模块403;
接收模块401,用于接收终端发送的查询请求,该查询请求中携带待识别网站的网址信息;
第一获取模块402,用于根据待识别网站的网址信息,获取待识别网站的网络互连协议IP地址所在的IP地址段;
确定模块403,用于如果恶意地址段数据库中存在所述IP地址段,则确定待识别网站为恶意网站。
可选地,第一获取模块402包括:
第一获取单元,用于从待识别网站的网址信息中,获取待识别网站的域名;
第二获取单元,用于根据待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址;
第一确定单元,用于根据地址段分类方式,确定该IP地址所在的IP地址段,该地址段分类方式包括字节分类、地理位置和归属机构分类。
可选地,该装置还包括:
第二获取模块,用于根据统计的恶意网站的网址信息,获取恶意IP地址;
分类模块,用于根据地址段分类方式,对恶意IP地址进行地址段分类,得到多个IP地址段;
选择模块,用于根据恶意IP地址,从该多个IP地址段中选择恶意IP地址段;
存储模块,用于将恶意IP地址段存储在恶意地址段数据库中。
可选地,第二获取模块包括:
判断单元,用于根据统计的恶意网站的网址信息,判断恶意网站是否包括跳转目的网站;
第二确定单元,用于如果存在跳转目的网站,则将跳转目的网站的IP地址确定为恶意IP地址。
可选地,选择模块包括:
统计单元,用于对于该多个IP地址段中的任一IP地址段,统计该IP地址段包括的恶意地址信息的个数;
第三确定单元,用于如果统计的恶意地址信息的个数大于或等于指定阈值,则确定该IP地址段为恶意IP地址段。
在本发明实施例中,当接收到终端发送的查询请求时,根据该查询请求中携带的待识别网站的网址信息,获取待识别网站的IP地址所在的IP地址段,如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。其中,一些恶意网站的IP地址比较相似,也即是,恶意网站的IP地址基本上是位于同一IP地址段,所以,本发明实施例根据IP地址段识别恶意网站,这样,当恶意分子注册新网址信息之后,这个新网址信息对应的IP地址与原来的旧网址信息对应的IP地址位于同一个IP地址段上,也可以根据恶意地址段数据库识别出该恶意网站,无需下载新网址信息对应的网站的页面内容,更无需对下载的页面内容进行分析,节省了大量的带宽和处理资源,并且可以有效地识别恶意网站。
请参考图5,其示出了本发明一个实施例提供的识别恶意网站的装置的结构示意图,该装置可以为云安全服务器,所述云安全服务器500包括中央处理单元(CPU)501、包括随机存取存储器(RAM)502和只读存储器(ROM)503的系统存储器504,以及连接系统存储器504和中央处理单元501的系统总线505。所述安全服务器500还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)506,和用于存储操作系统513、应用程序510和其他程序模块515的大容量存储设备507。
所述基本输入/输出系统506包括有用于显示信息的显示器508和用于用户输入信息的诸如鼠标、键盘之类的输入设备509。其中所述显示器508和输入设备509都通过连接到系统总线505的输入输出控制器510连接到中央处理单元501。所述基本输入/输出系统506还可以包括输入输出控制器510以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器510还提供输出到显示屏、打印机或其他类型的输出设备。
所述大容量存储设备507通过连接到系统总线505的大容量存储控制器(未示出)连接到中央处理单元501。所述大容量存储设备507及其相关联的计算机可读介质为安全服务器500提供非易失性存储。也就是说,所述大容量存储设备507可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器504和大容量存储设备507可以统称为存储器。
根据本发明的各种实施例,所述云安全服务器500还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即云安全服务器500可以通过连接在所述系统总线505上的网络接口单元511连接到网络512,或者说,也可以使用网络接口单元511来连接到其他类型的网络或远程计算机系统(未示出)。
所述存储器还包括一个或者一个以上的程序,所述一个或者一个以上程序存储于存储器中,所述一个或者一个以上程序包含用于进行本发明实施例提供的识别恶意网站的方法的指令。
需要说明的是:上述实施例提供的识别恶意网站的装置在识别恶意网站时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的识别恶意网站的装置与识别恶意网站的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种识别恶意网站的方法,其特征在于,所述方法包括:
根据统计的恶意网站的网址信息,获取恶意网络互连协议IP地址;
根据地址段分类方式,对所述恶意IP地址进行地址段分类,得到多个IP地址段;
根据所述恶意IP地址,从所述多个IP地址段中选择恶意IP地址段;
将所述恶意IP地址段存储在恶意地址段数据库中;
接收终端发送的查询请求,所述查询请求中携带待识别网站的网址信息;
根据所述网址信息,获取所述待识别网站的IP地址所在的IP地址段;
如果所述恶意地址段数据库中存在所述待识别网站的IP地址所在的IP地址段,则确定所述待识别网站为恶意网站。
2.如权利要求1所述的方法,其特征在于,所述根据所述网址信息,获取所述待识别网站的IP地址所在的IP地址段,包括:
从所述网址信息中,获取所述待识别网站的域名;
根据所述待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址;
根据地址段分类方式,确定所述IP地址所在的IP地址段,所述地址段分类方式包括字节分类、地理位置和归属机构分类。
3.如权利要求1所述的方法,其特征在于,所述根据统计的恶意网站的网址信息,获取恶意网络互连协议IP地址,包括:
根据统计的恶意网站的网址信息,判断所述恶意网站是否包括跳转目的网站;
如果存在跳转目的网站,则将所述跳转目的网站的IP地址确定为恶意IP地址。
4.如权利要求1所述的方法,其特征在于,所述根据所述恶意地址信息,从所述多个IP地址段中选择恶意IP地址段,包括:
对于所述多个IP地址段中的任一IP地址段,统计所述IP地址段包括的恶意地址信息的个数;
如果统计的恶意地址信息的个数大于或等于指定阈值,则确定所述IP地址段为恶意IP地址段。
5.一种识别恶意网站的装置,其特征在于,所述装置包括:
第二获取模块,用于根据统计的恶意网站的网址信息,获取恶意网络互连协议IP地址;
分类模块,用于根据地址段分类方式,对所述恶意IP地址进行地址段分类,得到多个IP地址段;
选择模块,用于根据所述恶意IP地址,从所述多个IP地址段中选择恶意IP地址段;
存储模块,用于将所述恶意IP地址段存储在恶意地址段数据库中;
接收模块,用于接收终端发送的查询请求,所述查询请求中携带待识别网站的网址信息;
第一获取模块,用于根据所述网址信息,获取所述待识别网站的IP地址所在的IP地址段;
确定模块,用于如果所述恶意地址段数据库中存在所述待识别网站的IP地址所在的IP地址段,则确定所述待识别网站为恶意网站。
6.如权利要求5所述的装置,其特征在于,所述第一获取模块包括:
第一获取单元,用于从所述网址信息中,获取所述待识别网站的域名;
第二获取单元,用于根据所述待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址;
第一确定单元,用于根据地址段分类方式,确定所述IP地址所在的IP地址段,所述地址段分类方式包括字节分类、地理位置和归属机构分类。
7.如权利要求5所述的装置,其特征在于,所述第二获取模块包括:
判断单元,用于根据统计的恶意网站的网址信息,判断所述恶意网站是否包括跳转目的网站;
第二确定单元,用于如果存在跳转目的网站,则将所述跳转目的网站的IP地址确定为恶意IP地址。
8.如权利要求5所述的装置,其特征在于,所述选择模块包括:
统计单元,用于对于所述多个IP地址段中的任一IP地址段,统计所述IP地址段包括的恶意地址信息的个数;
第三确定单元,用于如果统计的恶意地址信息的个数大于或等于指定阈值,则确定所述IP地址段为恶意IP地址段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410416103.6A CN104219230B (zh) | 2014-08-21 | 2014-08-21 | 识别恶意网站的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410416103.6A CN104219230B (zh) | 2014-08-21 | 2014-08-21 | 识别恶意网站的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104219230A CN104219230A (zh) | 2014-12-17 |
| CN104219230B true CN104219230B (zh) | 2016-02-24 |
Family
ID=52100364
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410416103.6A Active CN104219230B (zh) | 2014-08-21 | 2014-08-21 | 识别恶意网站的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104219230B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104980446A (zh) * | 2015-06-30 | 2015-10-14 | 百度在线网络技术(北京)有限公司 | 一种恶意行为的检测方法及系统 |
| FR3042624A1 (fr) * | 2015-10-19 | 2017-04-21 | Orange | Procede d'aide a la detection d'infection d'un terminal par un logiciel malveillant |
| CN106021582B (zh) * | 2016-06-02 | 2020-06-05 | 腾讯科技(深圳)有限公司 | 位置信息过滤的方法、提取有效网页信息的方法及装置 |
| CN105959294B (zh) * | 2016-06-17 | 2019-06-14 | 北京网康科技有限公司 | 一种恶意域名鉴别方法及装置 |
| CN108023868B (zh) * | 2016-10-31 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 恶意资源地址检测方法和装置 |
| CN109509048B (zh) * | 2017-09-15 | 2020-09-29 | 北京京东尚科信息技术有限公司 | 恶意订单识别方法、装置、电子设备及存储介质 |
| CN110865818B (zh) * | 2018-08-28 | 2023-07-28 | 阿里巴巴(中国)有限公司 | 应用关联域名的检测方法、装置及电子设备 |
| CN114338168A (zh) * | 2021-12-29 | 2022-04-12 | 赛尔网络有限公司 | Ip地址动态阻断方法、装置、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739653A (zh) * | 2012-06-06 | 2012-10-17 | 奇智软件(北京)有限公司 | 一种针对网址的检测方法及装置 |
| CN103296389A (zh) * | 2012-02-29 | 2013-09-11 | 深圳光启创新技术有限公司 | 一种超材料天线 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10225282B2 (en) * | 2005-04-14 | 2019-03-05 | International Business Machines Corporation | System, method and program product to identify a distributed denial of service attack |
| US20100251371A1 (en) * | 2009-03-27 | 2010-09-30 | Jeff Brown | Real-time malicious code inhibitor |
-
2014
- 2014-08-21 CN CN201410416103.6A patent/CN104219230B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103296389A (zh) * | 2012-02-29 | 2013-09-11 | 深圳光启创新技术有限公司 | 一种超材料天线 |
| CN102739653A (zh) * | 2012-06-06 | 2012-10-17 | 奇智软件(北京)有限公司 | 一种针对网址的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104219230A (zh) | 2014-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104219230B (zh) | 识别恶意网站的方法及装置 | |
| US9900337B2 (en) | Selective website vulnerability and infection testing | |
| CN110830986B (zh) | 一种物联网卡异常行为检测方法、装置、设备及存储介质 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN110609937A (zh) | 一种爬虫识别方法及装置 | |
| CN104754073A (zh) | 一种资源访问方法及装置 | |
| CN107239701B (zh) | 识别恶意网站的方法及装置 | |
| CN105917632A (zh) | 用于电信中的可扩缩分布式网络业务分析的方法 | |
| CN107784205B (zh) | 一种用户产品审核的方法、装置、服务器和存储介质 | |
| CN106027595A (zh) | 用于cdn节点的访问日志处理方法及系统 | |
| WO2016000507A1 (zh) | 省流量模式搜索服务的方法、服务器、客户端和系统 | |
| CN103973635B (zh) | 页面访问控制方法和相关装置及系统 | |
| US10516687B1 (en) | Network traffic spike detection and management | |
| CN111885007B (zh) | 信息溯源方法、装置、系统及存储介质 | |
| US11816249B2 (en) | System and method for dynamic management of private data | |
| US20140337536A1 (en) | Method and apparatus for data communication | |
| CN109788050B (zh) | 一种获取源站ip地址方法、系统、电子设备和介质 | |
| CN109729054B (zh) | 访问数据监测方法及相关设备 | |
| CN110929129A (zh) | 一种信息检测方法、设备及机器可读存储介质 | |
| CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
| CN105959248B (zh) | 报文访问控制的方法及装置 | |
| CN107948022B (zh) | 一种对等网络流量的识别方法及识别装置 | |
| CN111767481A (zh) | 访问处理方法、装置、设备和存储介质 | |
| CN113794731B (zh) | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 | |
| CN106803830B (zh) | 识别上网终端的方法、装置和系统、及uim卡 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |