CN104615695B - 一种恶意网址的检测方法及系统 - Google Patents
一种恶意网址的检测方法及系统 Download PDFInfo
- Publication number
- CN104615695B CN104615695B CN201510036138.1A CN201510036138A CN104615695B CN 104615695 B CN104615695 B CN 104615695B CN 201510036138 A CN201510036138 A CN 201510036138A CN 104615695 B CN104615695 B CN 104615695B
- Authority
- CN
- China
- Prior art keywords
- url
- malice
- detected
- network address
- adduction relationship
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例涉及互联网技术领域,公开一种恶意网址的检测方法及系统。其中,该方法包括:获取待检测URL;以所述待检测URL为依据,从网址引用关系数据库中获取所述待检测URL对应的网址引用关系链;其中,所述网址引用关系链包括所述待检测URL所引用的至少一个引用URL;查询所述网址引用关系链包括的所有引用URL中是否存在目标URL,目标URL与URL安全信息数据库收录的恶意URL相匹配,若存在,识别所述待检测URL为恶意URL。实施本发明实施例,可以有效地提升恶意URL的识别率。
Description
技术领域
本发明涉及互联网技术领域,具体涉及一种恶意网址的检测方法及系统。
背景技术
随着互联网的发展,恶意网址(即恶意URL)攻击对于互联网的破坏也越来越大。当前,检测恶意URL在很大程度上都依赖于云安全服务系统的URL安全信息数据库,即在待检测URL被检测与URL安全信息数据库收录的某一恶意URL匹配时,云安全服务系统可以识别出这一待检测URL为恶意URL,继而云安全服务系统可以提示用户谨慎访问。然而在实践中发现,黑客通常会采用跳转或嵌套的等方式将恶意URL进行二次甚至多次包装,以规避云安全服务系统的打击,从而降低恶意URL的识别率。
发明内容
本发明实施例公开了一种恶意网址的检测方法及系统,能够有效地提升恶意URL的识别率。
本发明实施例第一方面公开一种恶意网址的检测方法,包括:
获取待检测URL;
以所述待检测URL为依据,从网址引用关系数据库中获取所述待检测URL对应的网址引用关系链;其中,所述网址引用关系链包括所述待检测URL所引用的至少一个引用URL;
查询所述网址引用关系链包括的所有引用URL中是否存在目标URL,所述目标URL与URL安全信息数据库收录的恶意URL相匹配,若存在,识别所述待检测URL为恶意URL。
本发明实施例第二方面公开一种恶意网址的检测系统,包括:
第一获取单元,用于获取待检测URL;
第二获取单元,用于以所述待检测URL为依据,从网址引用关系数据库中获取所述待检测URL对应的网址引用关系链;其中,所述网址引用关系链包括所述待检测URL所引用的至少一个引用URL;
查询单元,用于查询所述网址引用关系链包括的所有引用URL中是否存在目标URL,所述目标URL与URL安全信息数据库收录的恶意URL相匹配;
第一识别单元,用于在所述查询单元的查询结果为是时,识别所述待检测URL为恶意URL。
本发明实施例中,在获取到待检测URL之后,可以从网址引用关系数据库中获取待检测URL对应的网址引用关系链,由于网址引用关系链包括待检测URL所引用的至少一个引用URL,因此,当查询网址引用关系链包括的所有引用URL中存在目标URL,且目标URL与URL安全信息数据库收录的恶意URL相匹配时,说明待检测URL是采用跳转或嵌套的等方式将恶意URL进行二次甚至多次包装成的URL,此时可以识别待检测URL也是恶意URL。可见,通过实施本发明实施例,可以有效地识别那些采用跳转或嵌套的等方式将恶意URL进行二次甚至多次包装的URL也是恶意URL,从而可以提升恶意URL的识别率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种网址引用关系链的示意图;
图2是本发明实施例公开的一种以跳转方式实现URL引用的短网址服务界面图;
图3是本发明实施例公开的一种以嵌套方式实现URL引用的HTML代码图;
图4是本发明实施例公开的一种恶意网址的检测方法的流程示意图;
图5是本发明实施例公开的另一种恶意网址的检测方法的流程示意图;
图6是本发明实施例公开的一种恶意网址的检测系统的结构示意图;
图7是本发明实施例公开的另一种恶意网址的检测系统的结构示意图;
图8是本发明实施例公开的又一种恶意网址的检测系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种恶意网址的检测方法及系统,可以有效地识别那些采用跳转或嵌套的等方式将恶意URL进行二次甚至多次包装的URL也是恶意URL,从而可以提升恶意URL的识别率。以下分别进行详细说明。
为了更好地理解本发明实施例,下面先对本发明实施例中涉及的相关概念进行描述。本发明实施例中,当通过浏览器访问网址A时,如果浏览器自动访问网址B,那么就说明网址A引用了网址B,即网址B就称作是网址A的引用URL。在实际应用中,任意一个网址都可以引用多个引用URL,并且任意一个引用URL也可以被多个网址所引用。其中,当任意一个网址引用了多个引用URL时,那么这多个引用URL可以生成该网址对应的网址引用关系链。举例来说,请参阅图1,图1为本发明实施例公开的一种网址引用关系链的示意图。如图1所示,网址A可以引用网址B,进一步地网址B可以引用网址C和网址D,更进一步地网址D可以引用网址F,其中,网址B、C、D以及F都可以称作网址A的引用URL。更进一步地,在图1所示的网址引用关系链中,网址C、D以及F也可以称作网址B的引用URL,网址F也可以称作网址D的引用URL。
本发明实施例中,当网址B作为网址A的引用URL时,网址A可以通过跳转方式或者嵌套方式来引用网址B。举例来说,请参阅图2,图2是本发明实施例公开的一种以跳转方式实现URL引用的短网址服务界面图。如图2所示,当将恶意URL“http://evil.example.com”输入短网址服务“http://dwz.cn/”时,可以得到对应的短地址“http://dwz.cn/yovwK”,而访问短地址“http://dwz.cn/yovwK”时,浏览器会自动跳转至恶意URL“http://evil.example.com”,也即是说实现了短地址“http://dwz.cn/yovwK”以跳转方式引用恶意URL“http://evil.example.com”。又举例来说,请参阅图3,图3是本发明实施例公开的一种以嵌套方式实现URL引用的HTML代码图。如图3所示,URL“www.ixincall.com”可以通过frame嵌套一个恶意URL“www.fjmbdz.com”,访问URL“www.ixincall.com”时,浏览器也会自动访问恶意URL“www.fjmbdz.com”,也即是说实现了URL“www.ixincall.com”以嵌套方式引用恶意URL“www.fjmbdz.com”。
请参阅图4,图4是本发明实施例公开的一种恶意网址的检测方法的流程图。其中,图4所描述的方法不仅适用于云安全服务系统,也适用于其他入侵防御系统(IPS)。其中,图4所描述的方法仅以云安全服务系统作为执行主体为例进行说明。如图4所示,该恶意网址的检测方法可以包括以下步骤。
S401、云安全服务系统获取待检测URL。
本发明实施例中,云安全服务系统可以接收客户端发送的待检测URL,或者,云安全服务系统可以接收安全维护人员通过云安全服务系统提供的URL检测端口输入的待检测URL,本发明实施例不作限定。
举例来说,用户在通过客户端发送URL给好友时,客户端可以将URL作为待检测URL上报给云安全服务系统,使得云安全服务系统可以接收客户端发送的待检测URL。本发明实施例中,客户端可以包括社交客户端、游戏客户端等各类客户端,本发明实施例不作限定。
S402、云安全服务系统以待检测URL为依据,从网址引用关系数据库中获取待检测URL对应的网址引用关系链;其中,该网址引用关系链包括待检测URL所引用的至少一个引用URL。
本发明实施例中,云安全服务系统上可以设置网址引用关系数据库,网址引用关系数据库可以用于收录海量的URL对应的网址引用关系链,其中,每一URL对应的网址引用关系链可以包括至少一个引用URL,而且每一URL对应的网址引用关系链包括的所有引用URL中可能会存在部分的恶意URL。
本发明实施例中,云安全服务系统获取待检测URL之后,可以从网址引用关系数据库中获取待检测URL对应的网址引用关系链,待检测URL对应的网址引用关系链可以包括至少一个引用URL,进一步地,待检测URL对应的网址引用关系链包括所有引用URL中可能会存在部分的恶意URL。
S403、云安全服务系统查询该网址引用关系链包括的所有引用URL中是否存在目标URL,目标URL与URL安全信息数据库收录的恶意URL相匹配,若存在,识别待检测URL为恶意URL。
本发明实施例中,若云安全服务系统查询待检测URL对应的网址引用关系链包括的所有引用URL中存在目标URL,且目标URL与URL安全信息数据库收录的恶意URL相匹配,那么就说明待检测URL引用了恶意URL,此时可以识别待检测URL也是恶意URL。
本发明实施例中,若云安全服务系统查询该网址引用关系链包括的所有引用URL中不存在与URL安全信息数据库收录的恶意URL相匹配的目标URL,那么云安全服务系统可以进一步执行以下步骤,以便于可以更深层次地提升恶意URL的识别率,即:
11)、云安全服务系统访问该网址引用关系链包括的所有引用URL对应的所有页面。
12)、云安全服务系统检测所有页面中是否存在包括预设关键字的页面,其中,预设关键字包括预先收录的恶意URL对应页面所包括的关键字,若所有页面中存在包括预设关键字的页面,识别待检测URL为恶意URL;反之,若所有页面中不存在包括预设关键字的页面,识别待检测URL为非恶意URL。
本发明实施例中,举例来说,当恶意URL对应页面为色情页面时,恶意URL对应页面包括的预设关键字可以是与色情相关的关键字。
可见,通过图4所描述的方法,云安全服务系统可以有效地识别那些采用跳转或嵌套的等方式将恶意URL进行二次甚至多次包装的URL也是恶意URL,从而可以提升恶意URL的识别率,最大程度地保护用户的上网安全。
请参阅图5,图5是本发明实施例公开的另一种恶意网址的检测方法的流程图。其中,图5所描述的方法不仅适用于云安全服务系统,也适用于其他入侵防御系统(IPS)。其中,图5所描述的方法仅以云安全服务系统作为执行主体为例进行说明。如图5所示,该恶意网址的检测方法可以包括以下步骤。
S501、云安全服务系统获取访问URL。
本发明实施例中,云安全服务系统可以接收安全维护人员输入的访问URL,或者,云安全服务系统可以从URL库中获取访问URL,本发明实施例不作限定。
S502、云安全服务系统解析并记录访问URL所引用的引用URL。
本发明实施例中,云安全服务系统可以模拟浏览器来解析访问URL以获得访问URL所引用的引用URL,进一步地可以记录访问URL所引用的引用URL。
S503、云安全服务系统根据访问URL所引用的引用URL,生成访问URL对应的网址引用关系链。
S504、云安全服务系统将访问URL对应的网址引用关系链收录至网址引用关系数据库。
S505、云安全服务系统接收客户端发送的待检测URL。
S506、云安全服务系统以待检测URL为依据,从网址引用关系数据库中获取待检测URL对应的网址引用关系链;其中,待检测URL对应的网址引用关系链包括待检测URL所引用的至少一个引用URL。
S507、云安全服务系统查询该网址引用关系链包括的所有引用URL中是否存在目标URL,目标URL与URL安全信息数据库收录的恶意URL相匹配,若不存在,执行步骤S508~S509;若存在,执行步骤S510。
S508、云安全服务系统访问该网址引用关系链包括的所有引用URL对应的所有页面。
S509、云安全服务系统检测上述所有页面中是否存在包括预设关键字的页面,其中,预设关键字包括预先收录的恶意URL对应页面所包括的关键字;若不存在,识别待检测URL为非恶意URL;若存在,执行S510。
本发明实施例中,通过执行上述步骤S508~S509可以更深层次地提升恶意URL的识别率。
S510、云安全服务系统识别待检测URL为恶意URL。
S511、云安全服务系统将待检测URL作为恶意URL收录至URL安全信息数据库。
S512、云安全服务系统从网址引用关系数据库中回溯出引用待检测URL的上层URL。
S513、云安全服务系统识别上层URL的是否被标识为恶意URL,若否,执行步骤S514~S515;若是,执行步骤S516。
S514、云安全服务系统将上层URL标识为恶意URL。
S515、云安全服务系统将上层URL作为恶意URL收录至URL安全信息数据库。
本发明实施例中,通过上述步骤S512~S515可以自动回溯出哪些网址引用过恶意URL,并将这些网址也标识为恶意URL,从而可以将恶意URL的各种包装和变种一网打尽,最大程度地保护用户的上网安全。
S516、云安全服务系统向客户端发送提示信息,提示信息用于指示待检测URL为恶意URL。
本发明实施例中,上述步骤S516的执行顺序只要位于步骤S510之后即可,本发明实施例不作具体限定。
可见,通过实施图5所描述的方法,云安全服务系统可以有效地识别那些采用跳转或嵌套的等方式将恶意URL进行二次甚至多次包装的URL也是恶意URL,从而可以提升恶意URL的识别率,最大程度地保护用户的上网安全。
请参阅图6,图6是本发明实施例公开的一种恶意网址的检测系统的结构示意图。其中,图6所描述的系统用于执行本发明实施例公开的恶意网址的检测方法。如图6所示,该恶意网址的检测系统可以包括:
第一获取单元601,用于获取待检测URL;
第二获取单元602,用于以待检测URL为依据,从网址引用关系数据库中获取待检测URL对应的网址引用关系链;其中,待检测URL对应的网址引用关系链包括待检测URL所引用的至少一个引用URL;
查询单元603,用于查询该网址引用关系链包括的所有引用URL中是否存在目标URL,目标URL与URL安全信息数据库收录的恶意URL相匹配;
第一识别单元604,用于在查询单元603的查询结果为是时,识别待检测URL为恶意URL。
请一并参阅图7,图7是本发明实施例公开的另一种恶意网址的检测系统的结构示意图。其中,图7所描述的系统是由图6所描述的系统进行优化得到的。与图6所描述的恶意网址的检测系统相比,图7所描述的系统还可以包括:
访问单元605,用于在查询单元603的查询结果为否时,访问该网址引用关系链包括的所有引用URL对应的所有页面;
检测单元606,用于检测上述所有页面中是否存在包括预设关键字的页面,其中,预设关键字包括预先收录的恶意URL对应页面所包括的关键字;
第一识别单元604,还用于在检测单元606的检测结果为是时,识别待检测URL为恶意URL。
本发明实施例中,图7所描述的系统还可以包括:
第一收录单元607,用于在第一识别单元604识别待检测URL为恶意URL之后,将待检测URL作为恶意URL收录至URL安全信息数据库。
本发明实施例中,图7所描述的系统还可以包括:
回溯单元608,用于在第一识别单元604识别待检测URL为恶意URL之后,从网址引用关系数据库中回溯出引用待检测URL的上层URL;
第二识别单元609,用于识别上层URL是否被标识为恶意URL;
标识单元610,用于在第二识别单元609的识别结果为否时,将上层URL标识为恶意URL;
第二收录单元611,用于在标识单元610将上层URL标识为恶意URL之后,将上层URL作为恶意URL收录至URL安全信息数据库。
本发明实施例中,当第二识别单元609识别上层URL被标识为恶意URL之后,第二收录单元611也可以将上层URL作为恶意URL收录至URL安全信息数据库。
本发明实施例中,图7所描述的系统还可以包括:
第三获取单元612,用于获取访问URL;
解析记录单元613,用于解析并记录访问URL所引用的引用URL;
生成单元614,用于根据访问URL所引用的引用URL,生成访问URL对应的网址引用关系链;
第二收录单元611,还用于将访问URL对应的网址引用关系链收录至网址引用关系数据库。
本发明实施例中,第一获取单元601具体用于接收客户端发送的待检测URL;相应地,图7所示的系统还可以包括发送单元615,用于在第一识别单元604识别待检测URL为恶意URL之后,向客户端发送提示信息,提示信息用于指示待检测URL为恶意URL。
可见,通过实施图6~图7所描述的系统,可以有效地识别那些采用跳转或嵌套的等方式将恶意URL进行二次甚至多次包装的URL也是恶意URL,从而可以提升恶意URL的识别率,最大程度地保护用户的上网安全。
请参阅图8,图8是本发明实施例公开的另一种恶意网址的检测系统的结构示意图。其中,图8所描述的恶意网址的检测系统在物理形态上可以是云安全服务系统,也可以是入侵防御系统(IPS),本发明实施例不作限定。如图8所示,该恶意网址的检测系统800可以包括:至少一个处理器801,例如CPU,至少一个网络接口802,用户接口803,存储器804、数据库单元805,至少一个通信总线806。其中,通信总线806用于实现这些组件之间的连接通信。其中,用户接口803可以包括显示屏(Display)、键盘(Keyboard)等。存储器804可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器804可选的还可以是至少一个位于远离前述处理器801的存储装置。如图8所示,作为一种计算机存储介质的存储器804中可以包括操作系统、网络通信模块、用户接口模块以及恶意网址的检测程序。
在图8所示的恶意网址的检测系统800中,网络接口802主要用于与外部设备(如客户端)进行数据通信;而处理器801可以用于调用存储器804中存储的恶意网址的检测程序,并执行以下操作:
通过网络接口802接收客户端发送的待检测URL或通过用户接口803输入的待检测URL;
以待检测URL为依据,从数据库单元805设置的网址引用关系数据库中获取待检测URL对应的网址引用关系链;其中,待检测URL对应的网址引用关系链包括待检测URL所引用的至少一个引用URL;
查询该网址引用关系链包括的所有引用URL中是否存在目标URL,目标URL与数据库单元805设置的URL安全信息数据库收录的恶意URL相匹配,若存在,识别待检测URL为恶意URL。
本发明实施例中,处理器801调用存储器804中存储的恶意网址的检测程序,还可以执行以下操作:
若该网址引用关系链包括的所有引用URL中不存在与恶意URL相匹配的目标URL,访问该网址引用关系链包括的所有引用URL对应的所有页面;
检测上述所有页面中是否存在包括预设关键字的页面,其中,预设关键字包括预先收录的恶意URL对应页面所包括的关键字;
若上述所有页面中存在包括预设关键字的页面,识别待检测URL为恶意URL。
本发明实施例中,处理器801调用存储器804中存储的恶意网址的检测程序,还可以执行以下操作:
识别待检测URL为恶意URL之后,将待检测URL作为恶意URL收录至数据库单元805设置的URL安全信息数据库。
本发明实施例中,处理器801调用存储器804中存储的恶意网址的检测程序,还可以执行以下操作:
识别待检测URL为恶意URL之后,从数据库单元805设置的网址引用关系数据库中回溯出引用待检测URL的上层URL;
识别上层URL的是否被标识为恶意URL,若否,将上层URL标识为恶意URL。
本发明实施例中,处理器801调用存储器804中存储的恶意网址的检测程序,还可以执行以下操作:
将上层URL标识为恶意URL之后,将上层URL作为恶意URL收录至数据库单元805设置的URL安全信息数据库。
本发明实施例中,处理器801调用存储器804中存储的恶意网址的检测程序,还可以执行以下操作:
获取访问URL;
解析并记录访问URL所引用的引用URL;
根据访问URL所引用的引用URL,生成访问URL对应的网址引用关系链;
将访问URL对应的网址引用关系链收录至数据库单元805设置的网址引用关系数据库。
本发明实施例中,处理器801可以通过用户接口803接收安全维护人员输入的访问URL,或者,可以通过网络接口802从外部的URL库中获取访问URL,本发明实施例不作限定,或者,当恶意网址的检测系统800设置有URL库时,处理器801也可以直接从URL库中获取访问URL。
本发明实施例中,当处理器801通过网络接口802接收客户端发送的待检测URL时,处理器801调用存储器804中存储的恶意网址的检测程序,还可以执行以下操作:
通过网络接口802向客户端发送提示信息,提示信息用于指示待检测URL为恶意URL。
本发明实施例中,当处理器801通过用户接口803接收安全维护人员输入的待检测URL时,处理器801调用存储器804中存储的恶意网址的检测程序,还可以执行以下操作:
通过用户接口803输出提示信息,提示信息用于指示待检测URL为恶意URL。
可见,通过实施图8所描述的系统,可以有效地识别那些采用跳转或嵌套的等方式将恶意URL进行二次甚至多次包装的URL也是恶意URL,从而可以提升恶意URL的识别率,最大程度地保护用户的上网安全。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
以上对本发明实施例公开的一种恶意网址的检测方法、系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种恶意网址的检测方法,其特征在于,包括:
获取待检测URL,所述待检测URL由客户端发送或者由安全运维人员通过URL检测端口输入;
以所述待检测URL为依据,从网址引用关系数据库中获取所述待检测URL对应的网址引用关系链;其中,所述网址引用关系链包括所述待检测URL所引用的至少一个引用URL,所述待检测URL通过跳转方式或者嵌套方式引用所述至少一个引用URL;
查询所述网址引用关系链包括的所有引用URL中是否存在目标URL,所述目标URL与URL安全信息数据库收录的恶意URL相匹配,若存在,识别所述待检测URL为恶意URL;
从所述网址引用关系数据库中回溯出引用所述待检测URL的上层URL;
识别所述上层URL是否被标识为恶意URL,若否,将所述上层URL标识为恶意URL。
2.根据权利要求1所述的方法,其特征在于,若所述网址引用关系链包括的所有引用URL中不存在所述目标URL,所述方法还包括:
访问所述网址引用关系链包括的所有引用URL对应的所有页面;
检测所述所有页面中是否存在包括预设关键字的页面,所述预设关键字包括预先收录的恶意URL对应页面所包括的关键字;
若所述所有页面中存在包括所述预设关键字的页面,识别所述待检测URL为恶意URL。
3.根据权利要求2所述的方法,其特征在于,所述识别所述待检测URL为恶意URL之后,所述方法还包括:
将所述待检测URL作为恶意URL收录至所述URL安全信息数据库。
4.根据权利要求1所述的方法,其特征在于,所述将所述上层URL标识为恶意URL之后,所述方法还包括:
将所述上层URL作为恶意URL收录至所述URL安全信息数据库。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
获取访问URL;
解析并记录所述访问URL所引用的引用URL;
根据所述访问URL所引用的引用URL,生成所述访问URL对应的网址引用关系链;
将所述访问URL对应的网址引用关系链收录至所述网址引用关系数据库。
6.根据权利要求5所述的方法,其特征在于,所述获取待检测URL包括:
接收客户端发送的待检测URL;
所述识别所述待检测URL为恶意URL之后,所述方法还包括:
向所述客户端发送提示信息,所述提示信息用于指示所述待检测URL为恶意URL。
7.一种恶意网址的检测系统,其特征在于,包括:
第一获取单元,用于获取待检测URL,所述待检测URL由客户端发送或者由安全运维人员通过URL检测端口输入;
第二获取单元,用于以所述待检测URL为依据,从网址引用关系数据库中获取所述待检测URL对应的网址引用关系链;其中,所述网址引用关系链包括所述待检测URL所引用的至少一个引用URL,所述待检测URL通过跳转方式或者嵌套方式引用所述至少一个引用URL;
查询单元,用于查询所述网址引用关系链包括的所有引用URL中是否存在目标URL,所述目标URL与URL安全信息数据库收录的恶意URL相匹配;
第一识别单元,用于在所述查询单元的查询结果为是时,识别所述待检测URL为恶意URL;
回溯单元,用于在所述第一识别单元识别所述待检测URL为恶意URL之后,从所述网址引用关系数据库中回溯出引用所述待检测URL的上层URL;
第二识别单元,用于识别所述上层URL是否被标识为恶意URL;
标识单元,用于在所述第二识别单元的识别结果为否时,将所述上层URL标识为恶意URL。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:
访问单元,用于在所述查询单元的查询结果为否时,访问所述网址引用关系链包括的所有引用URL对应的所有页面;
检测单元,用于检测所述所有页面中是否存在包括预设关键字的页面,所述预设关键字包括预先收录的恶意URL对应页面所包括的关键字;
所述第一识别单元,还用于在所述检测单元的检测结果为是时,识别所述待检测URL为恶意URL。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括:
第一收录单元,用于在所述第一识别单元识别所述待检测URL为恶意URL之后,将所述待检测URL作为恶意URL收录至所述URL安全信息数据库。
10.根据权利要求7所述的系统,其特征在于,所述系统还包括:
第二收录单元,用于在所述标识单元将所述上层URL标识为恶意URL之后,将所述上层URL作为恶意URL收录至所述URL安全信息数据库。
11.根据权利要求10所述的系统,其特征在于,所述系统还包括:
第三获取单元,用于获取访问URL;
解析记录单元,用于解析并记录所述访问URL所引用的引用URL;
生成单元,用于根据所述访问URL所引用的引用URL,生成所述访问URL对应的网址引用关系链;
所述第二收录单元,还用于将所述访问URL对应的网址引用关系链收录至所述网址引用关系数据库。
12.根据权利要求11所述的系统,其特征在于,所述第一获取单元具体用于接收客户端发送的待检测URL;
所述系统还包括发送单元,用于在所述第一识别单元识别所述待检测URL为恶意URL之后,向所述客户端发送提示信息,所述提示信息用于指示所述待检测URL为恶意URL。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510036138.1A CN104615695B (zh) | 2015-01-23 | 2015-01-23 | 一种恶意网址的检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510036138.1A CN104615695B (zh) | 2015-01-23 | 2015-01-23 | 一种恶意网址的检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104615695A CN104615695A (zh) | 2015-05-13 |
CN104615695B true CN104615695B (zh) | 2018-10-09 |
Family
ID=53150137
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510036138.1A Active CN104615695B (zh) | 2015-01-23 | 2015-01-23 | 一种恶意网址的检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104615695B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106709353B (zh) * | 2016-10-27 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 搜索引擎的安全性检测方法及装置 |
CN106992975B (zh) * | 2017-03-21 | 2021-01-12 | 腾讯科技(深圳)有限公司 | 恶意网址识别方法及装置 |
CN110392032B (zh) * | 2018-04-23 | 2021-03-30 | 华为技术有限公司 | 检测异常url的方法、装置及存储介质 |
CN111898046B (zh) * | 2020-07-16 | 2024-02-13 | 北京天空卫士网络安全技术有限公司 | 重定向管理的方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102663000A (zh) * | 2012-03-15 | 2012-09-12 | 北京百度网讯科技有限公司 | 恶意网址数据库的建立方法、恶意网址的识别方法和装置 |
CN102855320A (zh) * | 2012-09-04 | 2013-01-02 | 珠海市君天电子科技有限公司 | 一种利用搜索引擎对关键词相关url的收集方法和装置 |
CN103455758A (zh) * | 2013-08-22 | 2013-12-18 | 北京奇虎科技有限公司 | 恶意网站的识别方法及装置 |
CN103632084A (zh) * | 2012-08-20 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 |
-
2015
- 2015-01-23 CN CN201510036138.1A patent/CN104615695B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102663000A (zh) * | 2012-03-15 | 2012-09-12 | 北京百度网讯科技有限公司 | 恶意网址数据库的建立方法、恶意网址的识别方法和装置 |
CN103632084A (zh) * | 2012-08-20 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 |
CN102855320A (zh) * | 2012-09-04 | 2013-01-02 | 珠海市君天电子科技有限公司 | 一种利用搜索引擎对关键词相关url的收集方法和装置 |
CN103455758A (zh) * | 2013-08-22 | 2013-12-18 | 北京奇虎科技有限公司 | 恶意网站的识别方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104615695A (zh) | 2015-05-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103744802B (zh) | Sql注入攻击的识别方法及装置 | |
US9756068B2 (en) | Blocking domain name access using access patterns and domain name registrations | |
US9680856B2 (en) | System and methods for scalably identifying and characterizing structural differences between document object models | |
CN104125209B (zh) | 恶意网址提示方法和路由器 | |
CN101971591B (zh) | 分析网址的系统及方法 | |
US9723018B2 (en) | System and method of analyzing web content | |
CN106131016A (zh) | 恶意url检测干预方法、系统及装置 | |
CN108206802A (zh) | 检测网页后门的方法和装置 | |
CN104881603B (zh) | 网页重定向漏洞检测方法及装置 | |
CN102724190B (zh) | 恶意url拦截提示方法及装置 | |
CN101714272B (zh) | 一种保护银行卡号及口令不被网络钓鱼网站窃取的方法 | |
CN102436564A (zh) | 一种识别被篡改网页的方法及装置 | |
US9489526B1 (en) | Pre-analyzing served content | |
CN104615695B (zh) | 一种恶意网址的检测方法及系统 | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
CN103095693A (zh) | 定位访问数据库用户主机信息的方法 | |
CN104954188A (zh) | 基于云的网站日志安全分析方法、装置和系统 | |
CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
CN113961930A (zh) | Sql注入漏洞检测方法、装置及电子设备 | |
CN104375935B (zh) | Sql注入攻击的测试方法和装置 | |
Shyni et al. | Phishing detection in websites using parse tree validation | |
Jaeger et al. | Normalizing security events with a hierarchical knowledge base | |
CN103581321A (zh) | 一种refer链的创建方法、装置及安全检测方法和客户端 | |
US9396170B2 (en) | Hyperlink data presentation | |
CN104008339A (zh) | 基于主动技术的恶意代码捕获方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |