CN106131016B - 恶意url检测干预方法、系统及装置 - Google Patents
恶意url检测干预方法、系统及装置 Download PDFInfo
- Publication number
- CN106131016B CN106131016B CN201610549023.7A CN201610549023A CN106131016B CN 106131016 B CN106131016 B CN 106131016B CN 201610549023 A CN201610549023 A CN 201610549023A CN 106131016 B CN106131016 B CN 106131016B
- Authority
- CN
- China
- Prior art keywords
- domain name
- credit worthiness
- value
- user
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种恶意URL检测干预系统,包括:DNS代理设备,适于接收域名解析请求,向域名信誉度评估设备请求该域名的信誉度;还适于若信誉度指示域名存在安全隐患,则将流量干预设备的IP地址返回至用户;包括域名信誉库的信誉度评估设备,适于响应于对域名的信誉度的请求,返回该域名的信誉度;流量干预设备,适于接收来自用户的访问请求,并对该访问请求进行协议识别,还适于从识别为HTTP或HTTPS协议的访问请求中提取URL,将该URL与恶意URL库进行匹配,若匹配失败,则作为反向代理来实现用户与目的服务器的通信。本发明还公开了相应的域名信誉度确定装置、域名信誉库建立装置以及方法。
Description
技术领域
本发明涉及计算机通信技术领域,尤其涉及一种恶意URL检测干预方法、系统及装置。
背景技术
随着网络通信技术的迅速发展、互联网应用的持续深化、所承载信息的日益丰富,互联网已成为人类社会重要的基础设施,与此同时,网络安全问题也日益严重。特别地,随着移动数据业务的不断发展以及线上支付,个人信息与移动终端绑定,电信诈骗呈愈演愈烈的趋势,因此对移动互联网恶意网址和恶意软件做针对性的检测势在必行。
目前大多数用户选择在终端侧安装安全检测软件来防御恶意网址和恶意软件,例如常见的腾讯电脑管家,腾讯手机管家,360电脑管家等。当用户通过浏览器、社交软件等访问网址时,会触发安全检测软件对URL是否恶意的检查。检测软件将待测URL发送到云端恶意URL库进行检查,并根据检查结果推送恶意访问提醒页面或者提示信息。但此种方案依赖于用户本身的安全意识,并且需要在移动终端上安装相关软件,占用终端资源;另外由于终端用户访问的URL数量不可控并且存在大量重复,并且终端检测程序不能占用移动终端的系统资源对其进行筛选,所以这些数据不能用来驱动云端恶意URL库的更新,最终仍然存在大量不在库中的恶意URL。
因此,需要提出一种新的恶意URL检测干预方案,能够更全面更有效的检测恶意网址和恶意软件。
发明内容
为此,本发明提供一种恶意URL检测干预方法、系统及装置,以力图解决或者至少缓解上面存在的至少一个问题。
根据本发明的一个方面,提供了一种域名信誉度确定装置,信誉度指示域名是否存在安全隐患,域名信誉度确定装置包括:访问次数获取模块,适于获取要确定信誉度的域名的访问次数和恶意访问次数,其中域名的访问次数指示该域名至今被访问的总次数,恶意访问次数根据访问的包含域名的URL与恶意URL库匹配成功以及URL对应的网页数据检测为恶意来确定;静态特征提取模块,适于提取域名的静态特征,根据提取的静态特征生成静态特征值;动态特征提取模块,适于提取域名的动态特征,根据提取的动态特征生成动态特征值;以及域名信誉度计算模块,适于根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定所述域名的信誉度,其中信誉度与访问次数的关系表示为负指数函数,信誉度与恶意访问次数的关系表示为正比例函数,信誉度与静态特征值和动态特征值的关系均表示为常数函数。
可选地,在根据本发明的域名信誉度确定装置中,静态特征至少包括白名单相似度、域名无规则度以及特殊端口访问行为中的一个,白名单相似度指示该域名与白名单中的域名的字符串相似程度,域名无规则度指示该域名的字符串拼写无规则程度,特殊端口访问行为指示该域名是否存在访问特殊端口的行为。
可选地,在根据本发明的域名信誉度确定装置中,静态特征提取模块适于至少执行以下一个动作:若白名单相似度大于相似度阈值,则将静态特征值的数值加1;若域名无规则度大于无规则度阈值,则将静态特征值的数值加1;若该域名存在特殊端口访问行为,则将静态特征值的数值加1;其中静态特征值的初始数值为0。
可选地,在根据本发明的域名信誉度确定装置中,动态特征至少包括域名存活时间和域名对应IP地址中的一个。
可选地,在根据本发明的域名信誉度确定装置中,动态特征提取模块适于至少执行以下一个动作:若域名存活时间小于时间阈值,则将动态特征值的数值加1;若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;其中动态特征值的初始数值为0。
根据本发明的另一个方面,提供了一种确定域名信誉度的方法,信誉度指示域名是否存在安全隐患,该方法包括:获取要确定信誉度的域名的访问次数和恶意访问次数,其中域名的访问次数为该域名至今被访问的总次数,恶意访问次数根据包含该域名的URL与恶意URL库匹配成功以及该URL对应的网页数据检测为恶意来确定;提取域名的静态特征,根据提取的静态特征生成静态特征值;提取域名的动态特征,根据提取的动态特征生成动态特征值;以及根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定域名的信誉度,其中信誉度与访问次数的关系表示为负指数函数,信誉度与恶意访问次数的关系表示为正比例函数,信誉度与静态特征值和动态特征值的关系均表示为常数函数。
可选地,在根据本发明的确定域名信誉度的方法中,静态特征至少包括白名单相似度、域名无规则度以及特殊端口访问行为中的一个,白名单相似度指示该域名与白名单中的域名的字符串相似程度,域名无规则度指示该域名的字符串拼写无规则程度,特殊端口访问行为指示该域名是否存在访问特殊端口的行为。
可选地,在根据本发明的确定域名信誉度的方法中,动态特征至少包括域名存活时间和域名对应IP地址中的一个。
根据本发明的另一个方面,提供了一种域名信誉库建立装置,域名信誉库存储有与域名关联的域名信誉记录,域名信誉记录包括域名的信誉度、以及计算信誉度所需的如下特征项:域名的访问次数、恶意访问次数、静态特征值和动态特征值,信誉度指示域名是否存在安全隐患,域名信誉库建立装置包括:接收模块,适于接收要确定信誉度的域名;记录查询模块,适于查询域名信誉库中是否存在与域名关联的域名信誉记录;记录创建模块,适于若域名信誉库中不存在与域名关联的域名信誉记录,则创建与该域名关联的域名信誉记录;还适于令域名信誉记录中该域名的访问次数的数值为1;还适于若检测到用户要访问的包含该域名的URL对应的网页数据为恶意,则令域名信誉记录中该域名的恶意访问次数的数值为1,否则为0;还适于提取该域名的静态特征,根据提取的静态特征生成静态特征值存储至域名信誉记录;还适于提取该域名的动态特征,根据提取的动态特征生成动态特征值存储至域名信誉记录;还适于根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定该域名的信誉度并存储至域名信誉记录。
根据本发明的另一个方面,提供了一种域名信誉库的建立方法,域名信誉库存储有与域名关联的域名信誉记录,域名信誉记录包括域名的信誉度、以及计算信誉度所需的如下特征项:域名的访问次数、恶意访问次数、静态特征值和动态特征值,信誉度指示域名是否存在安全隐患,该方法包括:接收要确定信誉度的域名;查询域名信誉库中是否存在与域名关联的域名信誉记录;若域名信誉库中不存在与域名关联的域名信誉记录,则创建与该域名关联的域名信誉记录;令该域名的访问次数的数值为1;若检测到用户要访问的包含该域名的URL对应的网页数据为恶意,则令域名信誉记录中该域名的恶意访问次数的数值为1,若检测到为非恶意,则令域名信誉记录中该域名的恶意访问次数的数值为0;提取该域名的静态特征,根据提取的静态特征生成静态特征值存储至域名信誉记录;提取该域名的动态特征,根据提取的动态特征生成动态特征值存储至域名信誉记录;以及根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定该域名的信誉度并存储至域名信誉记录。
根据本发明的另一方面,提供了一种恶意URL检测干预系统,包括部署于DNS服务器所在网络的网关处的DNS代理设备、域名信誉度评估设备、以及流量干预设备,其中DNS代理设备适于接收来自用户的域名解析请求;还适于从域名解析请求中提取域名,向域名信誉度评估设备请求该域名的信誉度;还适于接收域名信誉度评估设备返回的该域名的信誉度,若该信誉度指示域名存在安全隐患,则响应于域名解析请求,将流量干预设备的IP地址返回至用户,以便用户通过该IP地址访问流量干预设备;信誉度评估设备包括预先建立的、存储有与域名关联的域名信誉记录的域名信誉库,域名信誉记录包括域名的信誉度;信誉度评估设备适于响应于对域名的信誉度的请求,查询域名信誉库中与域名关联的域名信誉记录,并将域名信誉记录中该域名的信誉度返回至DNS代理设备;流量干预设备适于接收来自用户的访问请求,并对该访问请求进行协议识别,还适于对识别为HTTP或HTTPS协议的访问请求,从该访问请求中提取用户要访问的URL,将该URL与恶意URL库进行匹配;若匹配失败,则流量干预设备作为反向代理来实现用户与目的服务器的通信,若匹配成功,则推送恶意访问提醒页面至用户。
可选地,在根据本发明的恶意URL检测干预系统中,DNS代理设备还适于存储响应域名解析请求、返回用户的流量干预设备的IP地址与用户要访问的域名之间的关联关系;流量干预设备还适于对识别为HTTP或HTTPS协议的访问请求,通过DNS代理设备查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信;若对识别为HTTPS协议的访问请求无法作为反向代理来实现用户与目的服务器的通信,则作为TCP代理来实现用户与目的服务器的通信。
根据本发明的还有一个方面,提供了一种恶意URL检测干预方法,适于在恶意URL检测干预系统中执行,恶意URL检测干预系统包括流量干预设备、以及预先建立的、存储有与域名关联的域名信誉记录的域名信誉库,域名信誉记录包括域名的信誉度,该方法包括:接收来自用户的域名解析请求;从域名解析请求中提取域名,查询域名信誉库中与域名关联的域名信誉记录,并获取域名信誉记录中该域名的信誉度;若该信誉度指示域名存在安全隐患,则响应于域名解析请求,将流量干预设备的IP地址返回至用户,以便用户通过该IP地址访问流量干预设备;通过流量干预设备接收来自用户的访问请求,并对该访问请求进行协议识别;对识别为HTTP或HTTPS协议的访问请求,从该访问请求中提取用户要访问的URL,将该URL与恶意URL库进行匹配;以及若匹配失败,则通过流量干预设备作为反向代理来实现用户与目的服务器的通信,若匹配成功,则推送恶意访问提醒页面至用户。
可选地,在根据本发明的恶意URL检测干预方法中,还包括步骤:存储响应域名解析请求、返回用户的流量干预设备的IP地址与用户要访问的域名之间的关联关系;以及对识别为HTTP或HTTPS协议的访问请求,作为反向代理来实现用户与目的服务器的通信的步骤还包括:查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信;若对识别为HTTPS协议的访问请求无法作为反向代理来实现用户对述目的服务器的访问,则作为TCP代理来实现用户与目的服务器的通信。
本发明通过将恶意URL检测干预系统部署在运营商网络侧,因此不需要依赖终端用户在移动终端上安装特定软件,节约了移动终端资源。并且通过确定域名信誉度、将要访问的URL匹配恶意URL库、以及检测URL对应网页数据是否恶意等,对要访问的URL进行多角度全方位的检测,大大降低了恶意URL漏检、错检的概率,实现了对恶意URL的全面检测、拦截,有效保障了用户的网络访问安全。本发明还通过反向代理技术来实现用户与目的服务器的通信,提高了访问的安全性。其中,本发明对不同协议(HTTPS等协议)的访问请求均实现了反向代理的功能。
此外,本发明在确定域名的信誉度的过程中,通过使用有代表性且数量丰富的特征,以及充分考虑到每个特征的意义和特性,选择适当的函数表达以及加权系数,可以使得计算结果更具说服力、更符合实际情况,提高了域名信誉度的准确性和可参考性。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明的一个示例性实施方式的确定域名信誉度的方法100的流程图;
图2示出了根据本发明的一个示例性实施方式的域名信誉度确定装置200的结构框图;
图3示出了根据本发明一个示例性实施方式的恶意URL检测干预系统300的结构框图;
图4示出了根据本发明一个示例性实施方式的恶意URL检测干预方法400的流程图;
图5示出了根据本发明一个示例性实施方式的域名信誉库建立装置500的结构框图;以及
图6示出了根据本发明一个示例性实施方式的建立域名信誉库的方法600的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
域名解析服务不仅用于解决地址对应问题,也是各种应用和网站建设的基础,其中域名是寻址访问的必备条件,更是互联网各种应用的核心。一旦域名解析服务被恶意利用,将会给整个互联网造成无法估量的损失。因此亟需一个能够如实反映域名信誉状况的评估机制。设计良好的域名信誉度评估机制不仅可以加深用户对域名应用和网站诚信度的认识,还可以有效地体现域名的使用情况以及信誉情况,更可以为检测恶意URL提供又一个重要的参考指标。
图1示出了根据本发明一个示例性实施方式的确定域名信誉度的方法100的流程图。根据本发明的方法100确定的信誉度可以指示域名是否存在安全隐患。
如图1所示,该方法100始于步骤S110,在步骤S110中获取要确定信誉度的域名的访问次数和恶意访问次数。可以理解地,域名的访问次数即该域名至今被访问的总次数,其中当用户访问的包含该域名的URL对应的网页数据检测为恶意,或者用户要访问的包含该域名的URL与恶意URL库匹配成功时,可以认为是一次域名恶意访问,因此恶意访问次数可以根据包含该域名的URL与恶意URL库匹配成功以及包含该域名的URL对应的网页数据检测为恶意的情况来确定。需要注意的是,这里域名的访问次数和恶意访问次数均可以向存储有这两个数据的数据库获取。
在步骤S120中,提取域名的静态特征,并根据提取的静态特征生成静态特征值。其中,根据本发明的一个实施方式,静态特征至少包括白名单相似度、域名无规则度以及特殊端口访问行为中的一个。
白名单相似度指示该域名与白名单中的域名的字符串相似程度。具体地,该白名单相似度可以包括要确定信誉度的域名与白名单中每个域名的相似度。以白名单中的一个域名为例,计算要确定信誉度的域名与白名单中该域名的相似度的步骤如下:先计算要确定信誉度的域名与白名单中的域名这两个字符串之间的编辑距离,再选取这两个字符串长度中较大的一个,将计算的编辑距离除以选取的字符串长度,最后用1减去编辑距离除以字符串长度的结果,得到的值即为要确定信誉度的域名与白名单中的域名的相似度。其中编辑距离又称Levenshtein距离(也叫做Edit Distance),是指两个字串之间,由一个转成另一个所需的最少编辑操作次数,如果它们的距离越大,说明它们越是不同。许可的编辑操作包括将一个字符替换成另一个字符,插入一个字符,删除一个字符。
域名无规则度指示该域名的字符串拼写无规则程度。具体地,将域名中数字及特殊字符的占比、词根占比、元音和辅音字母的各自占比以及相对占比、相邻字符出现概率等作为特征,利用机器学习算法来对域名进行规则和无规则分类。其中白名单和黑名单库中的域名可以用做机器学习算法的训练集,对待检测域名进行预测。域名无规则度的计算已经是本领域较为成熟的公知技术,本发明对此不再赘述。
特殊端口访问行为指示该域名是否存在访问特殊端口的行为,并可以通过对访问该域名的访问请求进行协议识别而获取。通常,如果访问的目的端口不是协议知名端口,则可以认为对应的域名存在访问特殊端口的行为。其中协议知名端口至少包括20、21、22、23、25、56、80、81、110、443等等,其对应的协议为20或21号端口对应的FTP协议、22号端口对应的SSH协议、23号端口对应的TELNET协议、25号端口对应的SMTP协议、56号端口对应的远程访问协议、80或81号端口对应的HTTP协议、110号端口对应的POP3协议、443号端口对应的HTTPS协议。
可以理解地,白名单相似度较高、拼写无规则度较高、存在特殊端口行为,相应地安全隐患也较高。因此提取静态特征后,根据本发明的一个实施方式,根据提取的静态特征生成静态特征值的步骤至少包括以下一个:
若白名单相似度大于相似度阈值(通常为75%),则将静态特征值的数值加1,具体地,若要确定信誉度的域名与白名单中任意一个域名的相似度大于相似度阈值,则将静态特征值的数值加1;若域名无规则度大于无规则度阈值(通常为50%),则将静态特征值的数值加1;若该域名存在特殊端口访问行为,则将静态特征值的数值加1。其中静态特征值的初始数值为0。
而后在步骤S130中,提取域名的动态特征,并根据提取的动态特征生成动态特征值。其中,根据本发明的一个实施方式,动态特征至少包括域名存活时间和域名对应IP地址中的一个。这里域名存活时间和域名对应IP地址均可以向DNS服务器请求获取。
由于恶意域名存活时间一般较短,恶意域名对应的宿主机IP也常常相同,因此,根据本发明的一个实施方式,根据提取的动态特征生成动态特征值的步骤至少包括以下一个:
若域名存活时间小于时间阈值(通常为5天),则将动态特征值的数值加1;若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1。其中动态特征值的初始数值为0。
最后在步骤S140中,根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定域名的信誉度。
域名被访问的越频繁,则说明其经过大多数用户证明为非恶意,信誉度与访问次数的关系可以表示为负指数函数。域名的恶意访问次数越大,则其信誉度越低,信誉度与恶意访问次数的关系可以表示为正比例函数。信誉度与静态特征值和动态特征值的关系均可以表示为常数函数。
具体地,根据本发明的一个实施方式,确定域名的信誉度的公式可以如下:
其中R为信誉度,Vt为访问次数,Vm为恶意访问次数,SP为静态特征值,DP为动态特征值;访问次数与信誉度的关系表示为加权系数为6的负指数函数恶意访问次数与信誉度的关系表示为加权系数为1的正比例函数(-Vm),静态特征值与信誉度的关系表示为加权系数为1的常数函数(-SP),动态特征值与信誉度的关系表示为加权系数为1的常数函数(-DP)。此处得到的信誉度的取值范围为负无穷到+1,其中取值小于0指示域名存在安全隐患,大于0指示域名不存在安全隐患。
例如,需要确定域名www.baidu.cn的信誉度,其访问总次数Vt=10;其中恶意访问次数Vm=2;baidu.cn与白名单域名baidu.com的白名单相似度超过相似度阈值,拼写无规则度小于无规则度阈值,无特殊端口访问行为,所以静态特征值SP=1;域名存活时间为3天,小于时间阈值,域名对应IP地址已存在于恶意域名宿主IP库中,所以动态特征值DP=2,综上所述,该域名的信誉度R=6*(1-0.95^10)-2-1-2=-2.6,小于0,即该域名存在安全隐患。
图2示出了根据本发明的一个示例性实施方式的域名信誉度确定装置200。如图2所示,域名信誉度确定装置200包括访问次数获取模块210、静态特征提取模块220、动态特征提取模块230以及域名信誉度计算模块240。
访问次数获取模块210适于获取要确定信誉度的域名的访问次数和恶意访问次数。可以理解地,域名的访问次数即该域名至今被访问的总次数,其中当用户访问的包含该域名的URL对应的网页数据检测为恶意,或者用户要访问的包含该域名的URL与恶意URL库匹配成功时,可以认为是一次域名恶意访问,因此恶意访问次数可以根据包含该域名的URL与恶意URL库匹配成功或者包含该域名的URL对应的网页数据检测为恶意的情况来确定。需要注意的是,这里域名的访问次数和恶意访问次数均可以向存储有这两个数据的数据库获取。
静态特征提取模块220适于提取域名的静态特征,并根据提取的静态特征生成静态特征值。其中,根据本发明的一个实施方式,静态特征至少包括白名单相似度、域名无规则度以及特殊端口访问行为中的一个。
白名单相似度指示该域名与白名单中的域名的字符串相似程度。具体地,该白名单相似度可以包括要确定信誉度的域名与白名单中每个域名的相似度。静态特征提取模块220适于计算要确定信誉度的域名与白名单中每个域名的相似度,以白名单中一个域名为例,静态特征提取模块220适于先计算要确定信誉度的域名与白名单中的域名这两个字符串之间的编辑距离,再选取这两个字符串长度中较大的一个,将计算的编辑距离除以选取的字符串长度,最后用1减去编辑距离除以字符串长度的结果,得到的值即为要确定信誉度的域名与白名单中的域名的白名单相似度。其中编辑距离又称Levenshtein距离(也叫做Edit Distance),是指两个字串之间,由一个转成另一个所需的最少编辑操作次数,如果它们的距离越大,说明它们越是不同。许可的编辑操作包括将一个字符替换成另一个字符,插入一个字符,删除一个字符。
域名无规则度指示该域名的字符串拼写无规则程度。具体地,静态特征提取模块220还适于将域名中数字及特殊字符的占比、词根占比、元音和辅音字母的各自占比以及相对占比、相邻字符出现概率等作为特征,利用机器学习算法来对域名进行规则和无规则分类。其中白名单和黑名单库中的域名可以用做机器学习算法的训练集,对待检测域名进行预测。
特殊端口访问行为指示该域名是否存在访问特殊端口的行为,静态特征提取模块220可以通过对访问该域名的访问请求进行协议识别而获取特殊端口访问行为。通常,如果访问的目的端口不是协议知名端口,则可以认为对应的域名存在访问特殊端口的行为。其中协议知名端口至少包括20、21、25,其对应的协议为20或21号端口对应的FTP协议、25号端口对应的SMTP协议。
可以理解地,白名单相似度较高、拼写无规则度较高、存在特殊端口行为,相应地安全隐患也较高。因此提取静态特征后,根据本发明的一个实施方式,静态特征提取模块220还适于至少执行以下一个动作:
若白名单相似度大于相似度阈值(通常为75%),则将静态特征值的数值加1,具体地,若要确定信誉度的域名与白名单中任意一个域名的相似度大于相似度阈值,则将静态特征值的数值加1;若域名无规则度大于无规则度阈值(通常为50%),则将静态特征值的数值加1;若该域名存在特殊端口访问行为,则将静态特征值的数值加1。其中静态特征值的初始数值为0。
动态特征提取模块230则适于提取域名的动态特征,并根据提取的动态特征生成动态特征值。其中,根据本发明的一个实施方式,动态特征至少包括域名存活时间和域名对应IP地址中的一个。这里域名存活时间和域名对应IP地址均可以向DNS服务器请求获取。
由于恶意域名存活时间一般较短,恶意域名对应的宿主机IP也常常相同,因此,根据本发明的一个实施方式,动态特征提取模块230还适于至少执行以下一个动作:
若域名存活时间小于时间阈值(通常为5天),则将动态特征值的数值加1;若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1。其中动态特征值的初始数值为0。
域名信誉度计算模块240分别与访问次数获取模块210、静态特征提取模块220以及动态特征提取模块230连接,并适于根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定域名的信誉度。
信誉度与访问次数的关系可以表示为负指数函数。信誉度与恶意访问次数的关系可以表示为正比例函数。信誉度与静态特征值和动态特征值的关系均可以表示为常数函数。
具体地,根据本发明的一个实施方式,域名信誉度计算模块240适于通过如下公式来确定域名的信誉度:
其中R为信誉度,Vt为访问次数,Vm为恶意访问次数,SP为静态特征值,DP为动态特征值;访问次数与信誉度的关系表示为加权系数为6的负指数函数恶意访问次数与信誉度的关系表示为加权系数为1的正比例函数(-Vm),静态特征值与信誉度的关系表示为加权系数为1的常数函数(-SP),动态特征值与信誉度的关系表示为加权系数为1的常数函数(-DP)。得到的信誉度的取值范围为负无穷到+1,取值小于0指示域名存在安全隐患,大于0指示域名不存在安全隐患。
以上在结合图1说明确定域名信誉度的方法100的具体描述中已经对各模块中的相应处理进行了详细解释,这里不再对重复内容进行赘述。
显然地,本发明在确定域名的信誉度的过程中,通过使用有代表性且数量丰富的特征,以及充分考虑到每个特征的意义和特性,选择适当的函数表达以及加权系数,可以使得计算结果更具说服力、更符合实际情况,提高了域名信誉度的准确性和可参考性。
图3示出了根据本发明一个示例性实施方式的恶意URL检测干预系统300的结构框图。如图1所示,恶意URL检测干预系统300可以包括DNS代理设备310、域名信誉度评估设备320和流量干预设备330,并与DNS服务器通过内网连接。
DNS代理设备310可以部署于DNS服务器所在网络的网关处,适于接收来自用户的域名解析请求,域名解析请求包括要访问的域名,并请求该域名对应的目的服务器的IP地址。接收域名解析请求后,DNS代理设备310提取其中的域名,并向域名信誉度评估设备320请求要访问的域名的信誉度,该信誉度用于指示域名是否存在安全隐患。
域名信誉度评估设备320与DNS代理设备310连接,包括预先建立的域名信誉库321,域名信誉库321存储有与域名关联的域名信誉记录,该域名信誉记录包括域名的信誉度。域名信誉度评估设备320适于响应于对域名信誉度的请求,查询域名信誉库321中与该域名关联的域名信誉记录,将域名信誉记录中该域名的信誉度返回至DNS代理设备310。
根据本发明的一个实施方式,域名信誉记录还可以包括计算信誉度所需的特征项,这里本发明可以采用域名信誉度确定装置200确定信誉度的原理,那么计算信誉度所需特征项可以包括域名的访问次数、恶意访问次数、静态特征值和动态特征值。
可以理解地,对域名信誉度的一次请求即代表着对该域名的一次访问,此时计算信誉度所需的特征项会产生变化,相应地信誉度也会变化。因此,域名信誉度评估设备320查询到域名信誉库321中与该域名关联的域名信誉记录,需要对域名信誉记录进行更新,再将新的信誉度返回至DNS代理设备310。
具体地,域名信誉度评估设备320可以包括信誉库更新装置322,域名信誉度评估设备320通过信誉库更新装置322更新域名信誉记录。具体地,信誉库更新装置322可以令域名信誉记录中访问次数的数值加1,再根据加1后的访问次数和其他特征项计算新的信誉度存储至域名信誉记录。其中计算信誉度的原理已在对域名信誉度确定装置200中域名信誉度计算模块240的具体描述中进行了详细说明,此处对重复内容不再赘述。
DNS代理设备310接收该域名信誉度评估设备320返回的域名的信誉度,若该信誉度指示域名不存在安全隐患,则将域名解析请求转发至DNS服务器,DNS服务器响应于该域名解析请求,将域名对应的目的服务器的IP地址返回至用户。若该信誉度指示域名存在安全隐患,DNS代理设备310则响应于域名解析请求,将流量干预设备330所在主机的IP地址返回至用户。
用户接收流量干预设备330的IP地址后,通过该IP地址去访问流量干预设备330。随后,流量干预设备330接收来自用户的访问请求,并对该访问请求进行协议识别。
具体地,流量干预设备330可以根据访问请求中的目的端口,对访问请求进行基于端口的协议识别。通常,目的端口为协议知名端口的访问请求可以认为是安全的,这里协议知名端口至少包括20、21、22、23、25、56、80、81、110、443等等,其对应的协议为20或21号端口对应的FTP协议、22号端口对应的SSH协议、23号端口对应的TELNET协议、25号端口对应的SMTP协议、56号端口对应的远程访问协议、80或81号端口对应的HTTP协议、110号端口对应的POP3协议、443号端口对应的HTTPS协议。
根据本发明的一个实施方式,DNS代理设备310可以预先存储响应域名解析请求、返回用户的流量干预设备330的IP地址与用户要访问的域名之间的关联关系,例如可以维护一个由四元组组成的“客户端域名请求表”,包括:时间戳,客户端IP,域名,应答IP。其中时间戳为域名查询请求时间,域名为用户请求查询的域名,应答IP为DNS应答报文A记录中的IP地址,此处该IP地址为流量干预设备330所在的物理服务器的IP地址池中的一个。通过“客户端域名请求表”,流量干预设备330可以根据用户访问的IP地址查询其实际要访问的域名。
对识别为协议知名端口、但不是HTTP协议和HTTPS协议的访问请求,流量干预设备330可以通过DNS代理设备310查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信。
对识别为不是协议知名端口的访问请求,流量干预设备330还适于进一步对其进行HTTP和HTTPS协议识别。其中,对识别为不是HTTP和HTTPS协议的访问请求,同样通过DNS代理设备310查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信。
这里,对于目的端口不是协议知名端口的访问请求,流量干预设备330还适于判定该访问请求对应的域名存在特殊端口访问行为,并将该判定结果反馈至域名信誉度评估设备320中的信誉库更新装置322。信誉库更新装置322接收该判定结果,查询该域名关联的域名信誉记录,更新域名信誉记录中的静态特征值,并相应地更新信誉度。其中,若原本的静态特征值已经指示域名存在特殊端口访问行为,则不更新静态特征值。
对经过基于端口的协议识别和进一步HTTP和HTTPS协议识别为HTTP或HTTPS协议的访问请求,流量干预设备330适于从该访问请求中提取用户要访问的URL,将该URL与恶意URL库进行匹配。若从HTTP协议或HTTPS协议的访问请求中提取的URL与恶意URL库匹配成功,则推送恶意访问提醒页面至用户,该恶意访问提醒页面用于提醒访问该URL可能存在风险,同时还提供继续访问的按钮。流量干预设备330可以响应于用户在恶意访问提醒页面点击继续访问的按钮,通过DNS代理设备310查询访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信。
这里,流量干预设备330还适于将URL与恶意URL库匹配成功的结果反馈至域名信誉度评估设备320中的信誉库更新装置322,信誉库更新装置322接收该判定结果,查询该域名关联的域名信誉记录,更新域名信誉记录中的恶意访问次数,并相应地更新信誉度。具体地,可以将恶意访问次数增加指定数值(例如增加10次)。
若该URL与恶意URL库匹配失败,则流量干预设备330通过DNS代理设备310查询访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信。
具体地,对于HTTP协议的访问请求,由于通信不作加密,流量干预设备330可以直接提取访问请求中的URL,以及作为反向代理来实现用户与目的服务器的通信。
对于HTTPS协议的访问请求,由于通信经过SSL加密,流量干预设备330无法直接提取访问请求中的URL,也无法常规地作为反向代理与用户通信。根据本发明的一个实施方式,流量干预设备330可以先与目的服务器建立SSL加密通信。具体地,可以先通过DNS代理设备310查询该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,与目的服务器建立SSL加密通信,此过程中会获取目的服务器的服务器信息,服务器信息包括服务器证书,服务器证书包含服务器公钥。
而后流量干预设备330利用与目的服务器建立的通信、以及建立通信时获取的包括服务器证书的服务器信息来与用户建立SSL加密通信。具体地,根据本发明的一个实施方式,用户将指示用于计算会话密钥的加密算法的用户信息发送至流量干预设备330,流量干预设备330响应于接收到该用户信息,返回服务器信息至用户。用户接收并认证服务器信息后生成预密钥、并将预密钥通过加密算法计算得到会话密钥,同时还将预密钥根据服务器证书中的服务器公钥加密后发送至流量干预设备330。流量干预设备330接收来自用户的、使用服务器公钥加密后的预密钥,将其发送至目的服务器,以便目的服务器使用服务器私钥解密、并将预密钥返回至流量干预设备330。流量干预设备330接收目的服务器返回的、解密后的预密钥,并通过用户信息指示的加密算法(例如RSA算法或DH算法)计算得到会话密钥,该会话密钥与用户计算得到的一致。流量干预设备330获取会话密钥后,根据该会话密钥解密HTTPS协议的访问请求,则可以提取出用户要访问的URL。
对于HTTPS协议的访问请求,流量干预设备330作为反向代理实现用户与目的服务器的通信也是与上述同样的原理,流量干预设备330先与目的服务器建立SSL加密通信,而后使用计算出的会话密钥与用户进行SSL加密通信。整个过程中流量干预设备30上不需存储目的服务器的服务器私钥,极大地保障了目的服务器的安全。
其中,若对识别为HTTPS协议的访问请求无法作为反向代理来实现用户与目的服务器的通信,则流量干预设备330通过DNS代理设备310查询该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为TCP代理来实现用户与目的服务器的通信。
其中反向代理和TCP代理的概念均属于本领域的公知常识,本发明对此不做详细说明。
根据本发明的另一个实施方式,系统300还可以包括恶意网页数据检测设备340,对识别为HTTP或HTTPS协议的访问请求,若用户要访问的URL与恶意URL库匹配失败,则流量干预设备330还适于将其作为反向代理缓存的、用户要访问的网页数据发送至恶意网页数据检测设备340,恶意网页数据检测设备340适于对网页数据进行检测,将数据检测结果返回至流量干预设备330,所述数据检测结果指示该网页数据是否恶意。具体地,恶意网页数据检测设备340至少可以提取网页数据的静态特征、恶意脚本特征和白名单网页相似度中的一个,并根据提取的特征生成数据检测结果,其中静态特征至少包括网页数据包含的关键字、图片和链接中的一个。
同样地,恶意网页数据检测设备340还可以将指示网页数据为恶意的数据检测结果反馈至域名信誉度评估设备320中的信誉库更新装置322,信誉库更新装置322接收该检测结果,查询该域名关联的域名信誉记录,更新域名信誉记录中的恶意访问次数,并相应地更新信誉度。具体地,可以将恶意访问次数的数值加1。
流量干预设备330接收来自恶意网页数据检测设备340的数据检测结果,若接收到指示网页数据为恶意的数据检测结果,则推送恶意访问提醒页面至用户,若接收到指示网页数据为非恶意的数据检测结果,将其作为反向代理缓存的、用户要访问的网页数据发送至用户。这样,实现了根据恶意URL库的匹配结果和实时的网页数据分析的结果对用户流量进行干预,提醒用户对恶意URL访问的风险,对用户的网络安全访问增强了保障。
综上可知,通过将恶意URL检测干预系统300部署在运营商网络侧,因此不需要依赖终端用户在移动终端上安装特定软件,节约了移动终端资源。并且通过确定域名信誉度、将要访问的URL匹配恶意URL库、以及检测URL对应网页数据是否恶意等,对要访问的URL进行多角度全方位的检测,大大降低了恶意URL漏检、错检的概率,实现了对恶意URL的全面检测、拦截,有效保障了用户的网络安全。本发明还通过反向代理技术来实现用户与目的服务器的通信,提高了访问的安全性。其中,本发明对不同协议(HTTPS等协议)的访问请求均实现了反向代理的功能。另外,由于当前恶意软件,病毒,木马等都通过URL传播,所以该系统300也适用于恶意软件的检测干预。
图4示出了根据本发明一个示例性实施方式的恶意URL检测干预方法400,适于在恶意URL检测干预系统300中执行。该方法400始于步骤S410,在步骤S410中,接收来自用户的域名解析请求,该域名解析请求包括要访问的域名,并请求该域名对应的目的服务器的IP地址。
而后在步骤S420中,从域名解析请求中提取要访问的域名,查询域名信誉库中与该域名关联的域名信誉记录,并获取域名信誉记录中该域名的信誉度,该信誉度用于指示域名是否存在安全隐患。
根据本发明的一个实施方式,域名信誉记录还可以包括计算信誉度所需的如下特征项:域名的访问次数、恶意访问次数、静态特征值和动态特征值。其中恶意访问次数根据包含该域名的URL与恶意URL库匹配成功或者包含该域名的URL对应的网页数据检测为恶意来确定,静态特征值至少根据域名存在特殊端口访问行为来确定。
可以理解地,对域名信誉度的一次请求即代表着对该域名的一次访问,因此,在查询域名信誉库中与所述域名关联的域名信誉记录,并获取域名信誉记录中该域名的信誉度的步骤之前,还可以包括步骤:令域名信誉记录中访问次数的数值加1,并相应地更新域名信誉记录中的信誉度。
若获取的信誉度指示域名不存在安全隐患,则可以将域名解析请求转发至DNS服务器,以便DNS服务器响应于该域名解析请求,将域名对应的目的服务器的IP地址返回至用户。
若该信誉度指示域名存在安全隐患,则在步骤S430中,响应于该域名解析请求,将流量干预设备的IP地址返回至用户,以便用户通过该IP地址访问流量干预设备。
而后在步骤S440中,通过流量干预设备接收来自用户的访问请求,并对该访问请求进行协议识别。其中,根据本发明的一个实施方式,方法400还可以包括步骤:存储响应域名解析请求、返回用户的流量干预设备的IP地址与用户要访问的域名之间的关联关系。对该访问请求进行协议识别的步骤还可以包括:根据访问请求的目的端口对访问请求进行基于端口的协议识别,其中对识别为协议知名端口、但不是HTTP协议和HTTPS协议的访问请求,查询该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信,其中协议知名端口至少包括20、21、22、23、25、56、80、81、110、443等等,其对应的协议为20或21号端口对应的FTP协议、22号端口对应的SSH协议、23号端口对应的TELNET协议、25号端口对应的SMTP协议、56号端口对应的远程访问协议、80或81号端口对应的HTTP协议、110号端口对应的POP3协议、443号端口对应的HTTPS协议。
对识别为不是协议知名端口的访问请求,还可以进一步对其进行HTTP和HTTPS协议识别。其中,对识别为不是HTTP和HTTPS协议的访问请求,同样可以查询该访问请求的源IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信。
根据本发明的一个实施方式,在对识别为不是协议知名端口的访问请求进一步进行HTTP和HTTPS协议识别的步骤之后,还包括步骤:对于目的端口不是协议知名端口访问请求,通过流量干预设备判定该访问请求对应的域名存在特殊端口访问行为;根据该判定结果,更新该域名关联的域名信誉记录中的静态特征值,并相应地更新信誉度。
对经过基于端口的协议识别以及进一步HTTP和HTTPS协议识别为HTTP或HTTPS协议的访问请求,则在步骤S450中,从该访问请求中提取用户要访问的URL,将该URL与恶意URL库进行匹配。最后在步骤S460中,若匹配失败,则通过流量干预设备作为反向代理来实现用户与目的服务器的通信。若匹配成功,则推送恶意访问提醒页面至用户。
进一步地,该恶意访问提醒页面用于提醒访问该URL可能存在风险,同时还提供继续访问的按钮。方法400还可以包括步骤:响应于用户在恶意访问提醒页面点击继续访问的按钮,查询该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信。
根据本发明的一个实施方式,在将该URL与恶意URL库进行匹配,匹配成功的步骤之后,还可以包括步骤:更新该域名关联的域名信誉记录中的恶意访问次数,并相应地更新信誉度。
根据本发明的一个实施方式,若该URL与恶意URL库匹配失败,对于HTTP协议的访问请求,由于通信不作加密,可以直接提取访问请求中的URL,以及作为反向代理来实现用户与目的服务器的通信。
对识别为HTTPS协议的访问请求,作为反向代理来实现用户与目的服务器的通信的步骤可以包括:先与目的服务器建立SSL加密通信,后利用与目的服务器建立的通信、以及建立通信时获取的包括服务器证书的服务器信息来与用户建立SSL加密通信,服务器证书包含服务器公钥。
其中,与用户建立SSL加密通信的步骤还可以包括:响应于接收到来自用户的、指示用于计算会话密钥的加密算法的用户信息,返回服务器信息至用户,以便用户认证服务器信息后生成预密钥,并将预密钥通过加密算法计算得到会话密钥;接收来自用户的、使用服务器公钥加密后的预密钥,将其发送至目的服务器,以便目的服务器使用服务器私钥解密;将目的服务器返回的、解密后的预密钥通过用户信息指示的加密算法计算得到会话密钥,并使用该会话密钥与用户进行加密通信。需要注意的是,从HTTPS协议的访问请求中提取URL的步骤也同样需要计算出会话密钥,根据会话密钥对访问请求进行解密提取URL。
此外,对识别为HTTP协议和HTTPS协议的访问请求,作为反向代理来实现用户与目的服务器的通信的步骤还可以包括:查询该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信,其中若对识别为HTTPS协议的访问请求无法作为反向代理来实现用户与目的服务器的通信,则查询与该访问请求的源IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为TCP代理来实现用户与目的服务器的通信。
根据本发明的另一个实施方式,方法400还可以包括步骤:若用户要访问的URL与恶意URL库匹配失败,对通过流量干预设备作为反向代理缓存的、用户要访问的网页数据进行检测,将数据检测结果返回至流量干预设备,该数据检测结果指示网页数据是否恶意。具体地,对网页数据进行检测的步骤可以包括:至少提取网页数据的静态特征、恶意脚本特征和白名单网页相似度中的一个;根据提取的特征生成数据检测结果,其中静态特征至少包括网页数据包含的关键字、图片和链接中的一个。
若通过流量干预设备接收到指示网页数据为恶意的数据检测结果,推送与上相同的恶意访问提醒页面至用户;若通过流量干预设备接收到指示网页数据为非恶意的数据检测结果,将其作为反向代理缓存的、用户要访问的网页数据发送至用户。
同样地,在作为反向代理缓存的用户要访问的网页数据检测为恶意的步骤之后,方法400还可以包括步骤:更新该域名关联的域名信誉记录中的恶意访问次数,并相应地更新信誉度。
以上在结合图1~图3说明信誉度确定原理和恶意URL检测干预原理的具体描述中已经对各步骤中的相应处理进行了详细解释,这里不再对重复内容进行赘述。
下面对恶意URL检测干预系统300中建立域名信誉库321的过程进行说明。由上可知,域名信誉库321存储有与域名关联的域名信誉记录,该域名信誉记录包括域名的信誉度,以及计算信誉度所需的特征项,该特征项可以包括域名的访问次数、恶意访问次数、静态特征值和动态特征值。
图5示出了根据本发明一个示例性实施方式的域名信誉库建立装置500,该域名信誉库建立装置500可以包括于域名信誉度评估设备320中。
如图5所示,域名信誉库建立装置500包括接收模块510、记录查询模块520、记录创建模块530。接收模块410适于接收要确定信誉度的域名。记录查询模块420与通信模块410连接,适于查询域名信誉库中是否存在与该域名关联的域名信誉记录。
记录创建模块430与记录查询模块420连接,适于若域名信誉库中不存在与该域名关联的域名信誉记录,则创建与该域名关联的域名信誉记录。
具体地,记录创建模块430适于令域名信誉记录中该域名的访问次数的数值为1,还适于通过恶意网页数据检测设备340检测用户要访问的包含该域名的URL对应的网页数据是否恶意,若是,则令域名信誉记录中该域名的恶意访问次数的数值为1,否则为0。
记录创建模块430还适于提取该域名的静态特征,根据提取的静态特征生成静态特征值存储至域名信誉记录,域名的静态特征可以包括白名单相似度、域名无规则度以及特殊端口访问行为。记录创建模块430还适于提取该域名的静态特征后执行以下动作:
若白名单相似度大于相似度阈值,则将静态特征值的数值加1;若域名无规则度大于无规则度阈值,则将静态特征值的数值加1;若该域名存在特殊端口访问行为,则将静态特征值的数值加1;静态特征值的初始数值为0。其中记录创建模块430可以引导用户访问流量干预模块330,通过流量干预模块330对访问请求进行协议识别来获取特殊端口访问行为。
记录创建模块430还适于提取该域名的动态特征,根据提取的动态特征生成动态特征值存储至域名信誉记录,域名的动态特征可以包括域名存活时间和域名对应IP地址。记录创建模块430可以向DNS服务器获取域名存活时间和域名对应IP地址,并在提取该域名的动态特征后执行以下动作:
若域名存活时间小于时间阈值,则将动态特征值的数值加1;若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;动态特征值的初始数值为0。
最后记录创建模块430还适于根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定该域名的信誉度并存储至域名信誉记录。具体地,可以通过如下公式来确定域名的信誉度:
其中R为信誉度,Vt为访问次数,Vm为恶意访问次数,SP为静态特征值,DP为动态特征值;访问次数与信誉度的关系表示为加权系数为6的负指数函数恶意访问次数与信誉度的关系表示为加权系数为1的正比例函数(-Vm),静态特征值与信誉度的关系表示为加权系数为1的常数函数(-SP),动态特征值与信誉度的关系表示为加权系数为1的常数函数(-DP)。得到的信誉度的取值范围为负无穷到+1,其中取值小于0指示域名存在安全隐患,大于0指示域名不存在安全隐患。
根据本发明的一个实施方式,域名信誉库建立装置400还可以包括恶意IP库更新模块440。恶意IP库更新模块440与记录创建模块430连接,并适于将信誉度指示存在安全隐患的域名对应的宿主IP加入恶意域名宿主IP库中。
以上各模块中的详细处理已在对域名信誉度确定装置200的具体描述中进行了说明,此处对重复内容不再赘述。
根据本发明的另一个实施方式,域名信誉库还可以包括初始域名信誉库,域名信誉库建立装置400还可以包括初始信誉库建立模块450,初始信誉库建立模块450适于根据域名黑白名单建立初始域名信誉库。该初始域名信誉库存储有与域名黑白名单中的域名关联的域名信誉记录,其中令黑名单中的域名的信誉度为-1,白名单中的域名的信誉度为+1。
根据本发明的还有一个实施方式,当恶意URL检测干预系统300中域名信誉度评估设备320接收对域名信誉度的请求,但在域名信誉库中查询不到相关的域名信誉记录时,该域名信誉库建立模块适于接收该域名,创建与该域名关联的域名信誉记录。
图6示出了根据本发明一个示例性实施方式的建立域名信誉库321的方法600的流程图。该方法600始于步骤S610,在步骤S610中接收要确定信誉度的域名,而后在步骤S620中,查询域名信誉库中是否存在与域名关联的域名信誉记录。
若域名信誉库中不存在与该域名关联的域名信誉记录,则在步骤S630中创建与该域名关联的域名信誉记录。
而后在步骤S640中,令域名信誉记录中该域名的访问次数的数值为1;若检测到用户要访问的包含该域名的URL对应的网页数据为恶意,则令域名信誉记录中该域名的恶意访问次数的数值为1,若检测到用户要访问的包含该域名的URL对应的网页数据为非恶意,则令域名信誉记录中该域名的恶意访问次数的数值为0。
在步骤S650中,提取该域名的静态特征,根据提取的静态特征生成静态特征值存储至域名信誉记录,域名的静态特征可以包括白名单相似度、域名无规则度以及特殊端口访问行为。根据本发明的一个实施方式,根据提取的静态特征生成静态特征值的步骤可以包括:
若白名单相似度大于相似度阈值,则将静态特征值的数值加1;若域名无规则度大于无规则度阈值,则将静态特征值的数值加1;若该域名存在特殊端口访问行为,则将静态特征值的数值加1;静态特征值的初始数值为0。其中特殊端口访问行为可以对包括该域名的访问请求进行协议识别来获取特殊端口访问行为。
在步骤S660中,提取该域名的动态特征,根据提取的动态特征生成动态特征值存储至域名信誉记录,域名的动态特征可以包括域名存活时间和域名对应IP地址。具体地,可以向DNS服务器获取域名存活时间和域名对应IP地址。根据本发明的一个实施方式,根据提取的动态特征生成动态特征值的步骤可以包括::
若域名存活时间小于时间阈值,则将动态特征值的数值加1;若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;动态特征值的初始数值为0。
最后在步骤S670中,根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定该域名的信誉度并存储至域名信誉记录。具体地,可以通过如下公式来确定域名的信誉度:
其中R为信誉度,Vt为访问次数,Vm为恶意访问次数,SP为静态特征值,DP为动态特征值;访问次数与信誉度的关系表示为加权系数为6的负指数函数恶意访问次数与信誉度的关系表示为加权系数为1的正比例函数(-Vm),静态特征值与信誉度的关系表示为加权系数为1的常数函数(-Sp),动态特征值与信誉度的关系表示为加权系数为1的常数函数(-DP)。得到的信誉度的取值范围为负无穷到+1,其中取值小于0指示域名存在安全隐患,大于0指示域名不存在安全隐患。
根据本发明的另一个实施方式,方法600还可以包括步骤:在确定域名的信誉度之后,将信誉度指示存在安全隐患的域名对应的宿主IP加入恶意域名宿主IP库中。
根据本发明的还有一个实施方式,域名信誉库还可以包括初始域名信誉库,方法600还可以包括步骤:在接收要确定信誉度的域名之前,根据域名黑白名单建立初始域名信誉库,该初始域名信誉库存储有与域名黑白名单中的域名关联的域名信誉记录,其中黑名单中的域名的信誉度为-1,白名单中的域名的信誉度为+1。
以上在结合图5说明域名信誉库建立装置500的具体描述中已经对各步骤中的相应处理进行了详细解释,这里不再对重复内容进行赘述。
应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明还包括:A3、如A2所述的装置,其中,所述静态特征提取模块适于至少执行以下一个动作:若白名单相似度大于相似度阈值,则将静态特征值的数值加1;若域名无规则度大于无规则度阈值,则将静态特征值的数值加1;若该域名存在特殊端口访问行为,则将静态特征值的数值加1;其中静态特征值的初始数值为0。A4、如A1所述的装置,其中,所述动态特征至少包括域名存活时间和域名对应IP地址中的一个。A5、如A4所述的装置,其中,所述动态特征提取模块适于至少执行以下一个动作:若域名存活时间小于时间阈值,则将动态特征值的数值加1;若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;其中动态特征值的初始数值为0。A6、如A1-5中任意一项所述的装置,其中,所述域名信誉度计算模块适于通过如下公式来确定域名的信誉度:其中R为信誉度,Vt为访问次数,Vm为恶意访问次数,SP为静态特征值,DP为动态特征值;访问次数与信誉度的关系表示为加权系数为6的负指数函数恶意访问次数与信誉度的关系表示为加权系数为1的正比例函数(-Vm),静态特征值与信誉度的关系表示为加权系数为1的常数函数(-SP),动态特征值与信誉度的关系表示为加权系数为1的常数函数(-DP)。A7、如A1-6中任意一项所述的装置,所述信誉度的取值范围为负无穷到+1,其中取值小于0指示域名存在安全隐患,大于0指示域名不存在安全隐患。B10、如B9所述的方法,其中,所述根据提取的静态特征生成静态特征值的步骤至少包括以下一个:若白名单相似度大于相似度阈值,则将静态特征值的数值加1;若域名无规则度大于无规则度阈值,则将静态特征值的数值加1;若该域名存在特殊端口访问行为,则将静态特征值的数值加1;其中静态特征值的初始数值为0。B11、如B8所述的方法,其中,所述动态特征至少包括域名存活时间和域名对应IP地址中的一个。B12、如B11所述的方法,其中,所述根据提取的动态特征生成动态特征值的步骤至少包括以下一个:若域名存活时间小于时间阈值,则将动态特征值的数值加1;若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;其中动态特征值的初始数值为0。B13、如B8-12中任意一项所述的方法,其中,所述确定域名的信誉度的公式如下:其中R为信誉度,Vt为访问次数,Vm为恶意访问次数,SP为静态特征值,DP为动态特征值;访问次数与信誉度的关系表示为加权系数为6的负指数函数恶意访问次数与信誉度的关系表示为加权系数为1的正比例函数(-Vm),静态特征值与信誉度的关系表示为加权系数为1的常数函数(-SP),动态特征值与信誉度的关系表示为加权系数为1的常数函数(-DP)。B14、如B8-13中任意一项所述的方法,其中,所述信誉度的取值范围为负无穷到+1,其中取值小于0指示域名存在安全隐患,大于0指示域名不存在安全隐患。C17、如C16所述的装置,其中,所述动态特征包括域名存活时间和域名对应IP地址,所述记录创建模块还适于执行以下动作:若域名存活时间小于时间阈值,则将动态特征值的数值加1;若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;其中动态特征值的初始数值为0。C18、如C17所述的装置,还包括恶意IP库更新模块,所述恶意IP库更新模块440适于将信誉度指示存在安全隐患的域名对应的宿主IP加入恶意域名宿主IP库中。C19、如C15所述的装置,其中,域名信誉库还包括初始域名信誉库,所述装置还包括初始信誉库建立模块,适于根据域名黑白名单建立初始域名信誉库,所述初始域名信誉库存储有与域名黑白名单中的域名关联的域名信誉记录,其中黑名单中的域名的信誉度为-1,白名单中的域名的信誉度为+1。D22、如D21所述的方法,其中,所述动态特征包括域名存活时间和域名对应IP地址,所述根据提取的动态特征生成动态特征值的步骤还包括:若域名存活时间小于时间阈值,则将动态特征值的数值加1;若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;其中动态特征值的初始数值为0。D23、如D22所述的方法,所述方法还包括步骤:在确定域名的信誉度之后,将信誉度指示存在安全隐患的域名对应的宿主IP加入恶意域名宿主IP库中。D24、如D20所述的方法,其中,域名信誉库还包括初始域名信誉库,所述方法还包括步骤:在接收要确定信誉度的域名之前,根据域名黑白名单建立初始域名信誉库,所述初始域名信誉库存储有与域名黑白名单中的域名关联的域名信誉记录,其中黑名单中的域名的信誉度为-1,白名单中的域名的信誉度为+1。E26、如E25所述的系统,其中,所述流量干预设备还适于对识别为HTTPS协议的访问请求,先与目的服务器建立SSL加密通信,后利用与目的服务器建立的通信、以及建立通信时获取的包括服务器证书的服务器信息来与用户建立SSL加密通信,服务器证书包含服务器公钥。E27、如E26所述的系统,其中,所述流量干预设备还适于响应于接收到来自用户的、指示用于计算会话密钥的加密算法的用户信息,返回所述服务器信息至用户,以便用户认证服务器信息后生成预密钥、并将预密钥通过加密算法计算得到会话密钥;还适于接收来自用户的、使用服务器公钥加密后的预密钥,将其发送至目的服务器,以便目的服务器使用服务器私钥解密;还适于将目的服务器返回的、解密后的预密钥通过所述用户信息指示的加密算法计算得到所述会话密钥,并使用该会话密钥与用户进行加密通信。E28、如E27所述的系统,其中,所述DNS代理设备还适于存储所述响应域名解析请求、返回用户的流量干预设备的IP地址与用户要访问的域名之间的关联关系;所述流量干预设备还适于对识别为HTTP或HTTPS协议的访问请求,通过DNS代理设备查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信;若对识别为HTTPS协议的访问请求无法作为反向代理来实现用户与目的服务器的通信,则通过所述DNS代理设备查询与该访问请求的源IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为TCP代理来实现用户与目的服务器的通信。E29、如E28所述的系统,其中,所述流量干预设备适于根据访问请求的目的端口,对访问请求进行基于端口的协议识别,其中对识别为协议知名端口、但不是HTTP和HTTPS协议的访问请求,通过所述DNS代理设备查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信,所述协议知名端口至少包括20、21、22、23、25、56、80、81、110和443,其对应的协议为20或21号端口对应的FTP协议、22号端口对应的SSH协议、23号端口对应的TELNET协议、25号端口对应的SMTP协议、56号端口对应的远程访问协议、80或81号端口对应的HTTP协议、110号端口对应的POP3协议和443号端口对应的HTTPS协议。E30、如E29所述的系统,其中,所述流量干预设备还适于对识别为不是协议知名端口的访问请求进一步进行HTTP和HTTPS协议识别,其中对识别为不是HTTP协议也不是HTTPS协议的访问请求,还适于通过所述DNS代理设备查询该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信。E31、如E25所述的系统,还包括恶意网页数据检测设备,若用户要访问的URL与恶意URL库匹配失败,则所述流量干预设备还适于将其作为反向代理缓存的、用户要访问的网页数据发送至恶意网页数据检测设备;所述恶意网页数据检测设备适于对所述网页数据进行检测,将数据检测结果返回至所述流量干预设备,所述数据检测结果指示所述网页数据是否恶意;所述流量干预设备还适于若接收到指示所述网页数据为恶意的数据检测结果,推送恶意访问提醒页面至用户;若接收到指示所述网页数据为非恶意的数据检测结果,将其作为反向代理缓存的、用户要访问的网页数据发送至用户。E32、如E31所述的系统,其中,所述恶意网页数据检测设备适于至少提取所述网页数据的静态特征、恶意脚本特征和白名单网页相似度中的一个,并根据提取的特征生成数据检测结果,其中所述静态特征至少包括网页数据包含的关键字、图片和链接中的一个。E33、如E25所述的系统,其中,所述DNS代理设备还适于若该信誉度指示域名不存在安全隐患,则将所述域名解析请求转发至DNS服务器,以便DNS服务器响应于该域名解析请求,将所述目的服务器的IP地址返回至用户。E34、如E31所述的系统,其中,域名信誉记录还可以计算信誉度所需的如下特征项:域名的访问次数、恶意访问次数、静态特征值和动态特征值,其中恶意访问次数根据包含该域名的URL与恶意URL库匹配成功或者包含该域名的URL对应的网页数据检测为恶意来确定,静态特征值至少根据域名存在特殊端口访问行为来确定。E35、如E34所述的系统,其中,对于目的端口不是协议知名端口访问请求,所述流量干预设备还适于判定该访问请求对应的域名存在特殊端口访问行为,并将该判定结果反馈至所述域名信誉度评估设备;所述流量干预设备还适于将URL与恶意URL库匹配成功的结果反馈至所述域名信誉度评估设备;所述恶意网页数据检测设备还适于将指示网页数据为恶意的数据检测结果反馈至所述域名信誉度评估设备。E36、如E35所述的系统,其中,域名信誉度评估设备包括信誉库更新装置,信誉库更新装置适于在所述域名信誉度评估设备返回信誉度之前,令域名信誉记录中访问次数的数值加1,并相应地更新域名信誉记录中的信誉度;信誉库更新装置还适于接收指示域名存在特殊端口访问行为的判定结果,更新该域名关联的域名信誉记录中的静态特征值,并相应地更新信誉度;还适于接收指示URL与恶意URL库匹配成功的结果或者接收指示网页数据为恶意的数据检测结果,更新该域名关联的域名信誉记录中的恶意访问次数,并相应地更新信誉度。F38、如F37所述的方法,所述对识别为HTTPS协议的访问请求,作为反向代理来实现用户与目的服务器的通信的步骤包括:先与目的服务器建立SSL加密通信,后利用与目的服务器建立的通信、以及建立通信时获取的包括服务器证书的服务器信息来与用户建立SSL加密通信,服务器证书包含服务器公钥。F39、如F38所述的方法,所述与用户建立SSL加密通信的步骤包括:响应于接收到来自用户的、指示用于计算会话密钥的加密算法的用户信息,返回所述服务器信息至用户,以便用户认证服务器信息后生成预密钥,并将预密钥通过加密算法计算得到会话密钥;接收来自用户的、使用服务器公钥加密后的预密钥,将其发送至目的服务器,以便目的服务器使用服务器私钥解密;将目的服务器返回的、解密后的预密钥通过所述用户信息指示的加密算法计算得到所述会话密钥,并使用该会话密钥与用户进行加密通信。F40、如F39所述的方法,其中,所述方法还包括步骤:存储响应域名解析请求、返回用户的流量干预设备的IP地址与用户要访问的域名之间的关联关系;以及所述对识别为HTTP或HTTPS协议的访问请求,作为反向代理来实现用户与目的服务器的通信的步骤还包括:查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信;若对识别为HTTPS协议的访问请求无法作为反向代理来实现用户对述目的服务器的访问,则查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为TCP代理来实现用户与目的服务器的通信。F41、如F40所述的方法,其中,所述对该访问请求进行协议识别的步骤还包括:根据访问请求的目的端口对访问请求进行基于端口的协议识别;其中对识别为协议知名端口、但不是HTTP和HTTPS协议的访问请求,查询该访问请求的源IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信,所述协议知名端口至少包括20、21、22、23、25、56、80、81、110和443,其对应的协议为20或21号端口对应的FTP协议、22号端口对应的SSH协议、23号端口对应的TELNET协议、25号端口对应的SMTP协议、56号端口对应的远程访问协议、80或81号端口对应的HTTP协议、110号端口对应的POP3协议和443号端口对应的HTTPS协议。F42、如F41所述的方法,其中所述根据访问请求的目的端口对访问请求进行基于端口的协议识别的步骤还包括:对识别为不是协议知名端口的访问请求进一步进行HTTP和HTTPS协议识别;其中对识别为不是HTTP也不是HTTPS协议的访问请求,查询该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信。F43、如F37所述的方法,还包括步骤:若用户要访问的URL与恶意URL库匹配失败,对通过所述流量干预设备作为反向代理缓存的、用户要访问的网页数据进行检测,将数据检测结果返回至所述流量干预设备,所述数据检测结果指示所述网页数据是否恶意;若通过所述流量干预设备接收到指示所述网页数据为恶意的数据检测结果,推送恶意访问提醒页面至用户;若通过所述流量干预设备接收到指示所述网页数据为非恶意的数据检测结果,将其作为反向代理缓存的、用户要访问的网页数据发送至用户。F44、如F43所述的方法,所述对网页数据进行检测的步骤包括:至少提取所述网页数据的静态特征、恶意脚本特征和白名单网页相似度中的一个;根据提取的特征生成数据检测结果,其中所述静态特征至少包括网页数据包含的关键字、图片和链接中的一个。F45、如F37所述的方法,还包括步骤:若信誉度指示域名不存在安全隐患,则将所述域名解析请求转发至DNS服务器,以便DNS服务器响应于该域名解析请求,将所述目的服务器的IP地址返回至用户。F46、如F43所述的方法,其中,域名信誉记录还可以计算信誉度所需的如下特征项:域名的访问次数、恶意访问次数、静态特征值和动态特征值,其中恶意访问次数根据包含该域名的URL与恶意URL库匹配成功或者包含该域名的URL对应的网页数据检测为恶意来确定,静态特征值至少根据域名存在特殊端口访问行为来确定。F47、如F46所述的系统,其中,在查询域名信誉库中与所述域名关联的域名信誉记录,并获取域名信誉记录中该域名的信誉度的步骤之前,还包括步骤:令域名信誉记录中访问次数的数值加1,并相应地更新域名信誉记录中的信誉度;所述对该访问请求进行协议识别的步骤还包括:对于目的端口不是协议知名端口的访问请求,通过所述流量干预设备判定该访问请求对应的域名存在特殊端口访问行为;根据该判定结果,更新该域名关联的域名信誉记录中的静态特征值,并相应地更新信誉度;在将该URL与恶意URL库进行匹配,匹配成功的步骤之后、在作为反向代理缓存的用户要访问的网页数据检测为恶意的步骤之后,还包括步骤:更新该域名关联的域名信誉记录中的恶意访问次数,并相应地更新信誉度。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (47)
1.一种域名信誉度确定装置,所述信誉度指示所述域名是否存在安全隐患,所述域名信誉度确定装置包括:
访问次数获取模块,适于获取要确定信誉度的域名的访问次数和恶意访问次数,其中域名的访问次数指示该域名至今被访问的总次数,恶意访问次数根据包含所述域名的URL与恶意URL库匹配成功以及所述URL对应的网页数据检测为恶意来确定;
静态特征提取模块,适于提取所述域名的静态特征,根据提取的静态特征生成静态特征值;
动态特征提取模块,适于提取所述域名的动态特征,根据提取的动态特征生成动态特征值;以及
域名信誉度计算模块,适于根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定所述域名的信誉度,其中信誉度与访问次数的关系表示为负指数函数,信誉度与恶意访问次数的关系表示为正比例函数,信誉度与静态特征值和动态特征值的关系均表示为常数函数。
2.如权利要求1所述的装置,其中,所述静态特征至少包括白名单相似度、域名无规则度以及特殊端口访问行为中的一个,所述白名单相似度指示该域名与白名单中的域名的字符串相似程度,所述域名无规则度指示该域名的字符串拼写无规则程度,所述特殊端口访问行为指示该域名是否存在访问特殊端口的行为。
3.如权利要求2所述的装置,其中,所述静态特征提取模块适于至少执行以下一个动作:
若白名单相似度大于相似度阈值,则将静态特征值的数值加1;
若域名无规则度大于无规则度阈值,则将静态特征值的数值加1;
若该域名存在特殊端口访问行为,则将静态特征值的数值加1;其中
静态特征值的初始数值为0。
4.如权利要求1所述的装置,其中,所述动态特征至少包括域名存活时间和域名对应IP地址中的一个。
5.如权利要求4所述的装置,其中,所述动态特征提取模块适于至少执行以下一个动作:
若域名存活时间小于时间阈值,则将动态特征值的数值加1;
若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;其中
动态特征值的初始数值为0。
6.如权利要求1-5中任意一项所述的装置,其中,所述域名信誉度计算模块适于通过如下公式来确定域名的信誉度:
其中R为信誉度,Vt为访问次数,Vm为恶意访问次数,SP为静态特征值,DP为动态特征值;访问次数与信誉度的关系表示为加权系数为6的负指数函数恶意访问次数与信誉度的关系表示为加权系数为1的正比例函数(-Vm),静态特征值与信誉度的关系表示为加权系数为1的常数函数(-SP),动态特征值与信誉度的关系表示为加权系数为1的常数函数(-DP)。
7.如权利要求6所述的装置,所述信誉度的取值范围为负无穷到+1,其中取值小于0指示域名存在安全隐患,大于0指示域名不存在安全隐患。
8.一种确定域名信誉度的方法,所述信誉度指示所述域名是否存在安全隐患,所述方法包括:
获取要确定信誉度的域名的访问次数和恶意访问次数,其中域名的访问次数为该域名至今被访问的总次数,恶意访问次数根据包含该域名的URL与恶意URL库匹配成功以及该URL对应的网页数据检测为恶意来确定;
提取所述域名的静态特征,根据提取的静态特征生成静态特征值;
提取所述域名的动态特征,根据提取的动态特征生成动态特征值;以及
根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定所述域名的信誉度,其中信誉度与访问次数的关系表示为负指数函数,信誉度与恶意访问次数的关系表示为正比例函数,信誉度与静态特征值和动态特征值的关系均表示为常数函数。
9.如权利要求8所述的方法,其中,所述静态特征至少包括白名单相似度、域名无规则度以及特殊端口访问行为中的一个,所述白名单相似度指示该域名与白名单中的域名的字符串相似程度,所述域名无规则度指示该域名的字符串拼写无规则程度,所述特殊端口访问行为指示该域名是否存在访问特殊端口的行为。
10.如权利要求9所述的方法,其中,所述根据提取的静态特征生成静态特征值的步骤至少包括以下一个:
若白名单相似度大于相似度阈值,则将静态特征值的数值加1;
若域名无规则度大于无规则度阈值,则将静态特征值的数值加1;
若该域名存在特殊端口访问行为,则将静态特征值的数值加1;其中
静态特征值的初始数值为0。
11.如权利要求8所述的方法,其中,所述动态特征至少包括域名存活时间和域名对应IP地址中的一个。
12.如权利要求11所述的方法,其中,所述根据提取的动态特征生成动态特征值的步骤至少包括以下一个:
若域名存活时间小于时间阈值,则将动态特征值的数值加1;
若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;其中
动态特征值的初始数值为0。
13.如权利要求8-12中任意一项所述的方法,其中,所述确定域名的信誉度的公式如下:
其中R为信誉度,Vt为访问次数,Vm为恶意访问次数,SP为静态特征值,DP为动态特征值;访问次数与信誉度的关系表示为加权系数为6的负指数函数恶意访问次数与信誉度的关系表示为加权系数为1的正比例函数(-Vm),静态特征值与信誉度的关系表示为加权系数为1的常数函数(-SP),动态特征值与信誉度的关系表示为加权系数为1的常数函数(-DP)。
14.如权利要求13所述的方法,其中,所述信誉度的取值范围为负无穷到+1,其中取值小于0指示域名存在安全隐患,大于0指示域名不存在安全隐患。
15.一种域名信誉库建立装置,所述域名信誉库存储有与域名关联的域名信誉记录,所述域名信誉记录包括域名的信誉度、以及计算信誉度所需的如下特征项:域名的访问次数、恶意访问次数、静态特征值和动态特征值,所述信誉度指示所述域名是否存在安全隐患,所述域名信誉库建立装置包括:
接收模块,适于接收要确定信誉度的域名;
记录查询模块,适于查询域名信誉库中是否存在与所述域名关联的域名信誉记录;
记录创建模块,适于若域名信誉库中不存在与所述域名关联的域名信誉记录,则创建与该域名关联的域名信誉记录;还适于令域名信誉记录中该域名的访问次数的数值为1;还适于若检测到用户要访问的包含该域名的URL对应的网页数据为恶意,则令域名信誉记录中该域名的恶意访问次数的数值为1,否则为0;还适于提取该域名的静态特征,根据提取的静态特征生成静态特征值存储至域名信誉记录;还适于提取该域名的动态特征,根据提取的动态特征生成动态特征值存储至域名信誉记录;还适于根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定该域名的信誉度并存储至域名信誉记录。
16.如权利要求15所述的装置,其中,所述静态特征包括白名单相似度、域名无规则度以及特殊端口访问行为,所述白名单相似度指示该域名与白名单中的域名的字符串相似程度,所述域名无规则度指示该域名的字符串拼写无规则程度,所述特殊端口访问行为指示该域名是否存在访问特殊端口的行为,所述记录创建模块还适于执行以下动作:
若白名单相似度大于相似度阈值,则将静态特征值的数值加1;
若域名无规则度大于无规则度阈值,则将静态特征值的数值加1;
若该域名存在特殊端口访问行为,则将静态特征值的数值加1;其中静态特征值的初始数值为0。
17.如权利要求16所述的装置,其中,所述动态特征包括域名存活时间和域名对应IP地址,所述记录创建模块还适于执行以下动作:
若域名存活时间小于时间阈值,则将动态特征值的数值加1;
若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;其中动态特征值的初始数值为0。
18.如权利要求17所述的装置,还包括恶意IP库更新模块,所述恶意IP库更新模块440适于将信誉度指示存在安全隐患的域名对应的宿主IP加入恶意域名宿主IP库中。
19.如权利要求15所述的装置,其中,域名信誉库还包括初始域名信誉库,所述装置还包括初始信誉库建立模块,适于根据域名黑白名单建立初始域名信誉库,所述初始域名信誉库存储有与域名黑白名单中的域名关联的域名信誉记录,其中黑名单中的域名的信誉度为-1,白名单中的域名的信誉度为+1。
20.一种域名信誉库的建立方法,所述域名信誉库存储有与域名关联的域名信誉记录,所述域名信誉记录包括域名的信誉度、以及计算信誉度所需的如下特征项:域名的访问次数、恶意访问次数、静态特征值和动态特征值,所述信誉度指示所述域名是否存在安全隐患,所述方法包括:
接收要确定信誉度的域名;
查询域名信誉库中是否存在与所述域名关联的域名信誉记录;
若域名信誉库中不存在与所述域名关联的域名信誉记录,则创建与该域名关联的域名信誉记录;
令该域名的访问次数的数值为1;
若检测到用户要访问的包含该域名的URL对应的网页数据为恶意,则令域名信誉记录中该域名的恶意访问次数的数值为1,若检测到为非恶意,则令域名信誉记录中该域名的恶意访问次数的数值为0;
提取该域名的静态特征,根据提取的静态特征生成静态特征值存储至域名信誉记录;
提取该域名的动态特征,根据提取的动态特征生成动态特征值存储至域名信誉记录;以及
根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数,确定该域名的信誉度并存储至域名信誉记录。
21.如权利要求20所述的方法,其中,所述静态特征包括白名单相似度、域名无规则度以及特殊端口访问行为,所述白名单相似度指示该域名与白名单中的域名的字符串相似程度,所述域名无规则度指示该域名的字符串拼写无规则程度,所述特殊端口访问行为指示该域名是否存在访问特殊端口的行为,所述根据提取的静态特征生成静态特征值的步骤还包括:
若白名单相似度大于相似度阈值,则将静态特征值的数值加1;
若域名无规则度大于无规则度阈值,则将静态特征值的数值加1;
若该域名存在特殊端口访问行为,则将静态特征值的数值加1;其中静态特征值的初始数值为0。
22.如权利要求21所述的方法,其中,所述动态特征包括域名存活时间和域名对应IP地址,所述根据提取的动态特征生成动态特征值的步骤还包括:
若域名存活时间小于时间阈值,则将动态特征值的数值加1;
若域名对应IP地址与恶意域名宿主IP库匹配成功,则将动态特征值的数值加1;其中动态特征值的初始数值为0。
23.如权利要求22所述的方法,所述方法还包括步骤:
在确定域名的信誉度之后,将信誉度指示存在安全隐患的域名对应的宿主IP加入恶意域名宿主IP库中。
24.如权利要求20所述的方法,其中,域名信誉库还包括初始域名信誉库,所述方法还包括步骤:
在接收要确定信誉度的域名之前,根据域名黑白名单建立初始域名信誉库,所述初始域名信誉库存储有与域名黑白名单中的域名关联的域名信誉记录,其中黑名单中的域名的信誉度为-1,白名单中的域名的信誉度为+1。
25.一种恶意URL检测干预系统,包括部署于DNS服务器所在网络的网关处的DNS代理设备、域名信誉度评估设备、以及流量干预设备,其中
DNS代理设备适于接收来自用户的域名解析请求,所述域名解析请求包括要访问的域名,并请求该域名对应的目的服务器的IP地址;还适于从域名解析请求中提取所述域名,向所述域名信誉度评估设备请求该域名的信誉度;还适于接收域名信誉度评估设备返回的该域名的信誉度,若该信誉度指示域名存在安全隐患,则响应于所述域名解析请求,将所述流量干预设备的IP地址返回至用户,以便用户通过该IP地址访问所述流量干预设备;
信誉度评估设备包括预先建立的、存储有与域名关联的域名信誉记录的域名信誉库,所述域名信誉记录包括域名的信誉度;所述信誉度评估设备适于响应于对所述域名的信誉度的请求,查询域名信誉库中与所述域名关联的域名信誉记录,并将域名信誉记录中该域名的信誉度返回至所述DNS代理设备;
流量干预设备适于接收来自用户的访问请求,并对该访问请求进行协议识别,还适于对识别为HTTP或HTTPS协议的访问请求,从该访问请求中提取用户要访问的URL,将该URL与恶意URL库进行匹配;若匹配失败,则所述流量干预设备作为反向代理来实现用户与目的服务器的通信,若匹配成功,则推送恶意访问提醒页面至用户。
26.如权利要求25所述的系统,其中,所述流量干预设备还适于对识别为HTTPS协议的访问请求,先与目的服务器建立SSL加密通信,后利用与目的服务器建立的通信、以及建立通信时获取的包括服务器证书的服务器信息来与用户建立SSL加密通信,服务器证书包含服务器公钥。
27.如权利要求26所述的系统,其中,所述流量干预设备还适于响应于接收到来自用户的、指示用于计算会话密钥的加密算法的用户信息,返回所述服务器信息至用户,以便用户认证服务器信息后生成预密钥、并将预密钥通过加密算法计算得到会话密钥;还适于接收来自用户的、使用服务器公钥加密后的预密钥,将其发送至目的服务器,以便目的服务器使用服务器私钥解密;还适于将目的服务器返回的、解密后的预密钥通过所述用户信息指示的加密算法计算得到所述会话密钥,并使用该会话密钥与用户进行加密通信。
28.如权利要求27所述的系统,其中,所述DNS代理设备还适于存储所述响应域名解析请求、返回用户的流量干预设备的IP地址与用户要访问的域名之间的关联关系;所述流量干预设备还适于对识别为HTTP或HTTPS协议的访问请求,通过DNS代理设备查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信;若对识别为HTTPS协议的访问请求无法作为反向代理来实现用户与目的服务器的通信,则通过所述DNS代理设备查询与该访问请求的源IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为TCP代理来实现用户与目的服务器的通信。
29.如权利要求28所述的系统,其中,所述流量干预设备适于根据访问请求的目的端口,对访问请求进行基于端口的协议识别,其中对识别为协议知名端口、但不是HTTP和HTTPS协议的访问请求,通过所述DNS代理设备查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信,所述协议知名端口至少包括20、21、22、23、25、56、80、81、110和443,其对应的协议为20或21号端口对应的FTP协议、22号端口对应的SSH协议、23号端口对应的TELNET协议、25号端口对应的SMTP协议、56号端口对应的远程访问协议、80或81号端口对应的HTTP协议、110号端口对应的POP3协议和443号端口对应的HTTPS协议。
30.如权利要求29所述的系统,其中,所述流量干预设备还适于对识别为不是协议知名端口的访问请求进一步进行HTTP和HTTPS协议识别,其中对识别为不是HTTP协议也不是HTTPS协议的访问请求,还适于通过所述DNS代理设备查询该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信。
31.如权利要求25所述的系统,还包括恶意网页数据检测设备,若用户要访问的URL与恶意URL库匹配失败,则所述流量干预设备还适于将其作为反向代理缓存的、用户要访问的网页数据发送至恶意网页数据检测设备;所述恶意网页数据检测设备适于对所述网页数据进行检测,将数据检测结果返回至所述流量干预设备,所述数据检测结果指示所述网页数据是否恶意;所述流量干预设备还适于若接收到指示所述网页数据为恶意的数据检测结果,推送恶意访问提醒页面至用户;若接收到指示所述网页数据为非恶意的数据检测结果,将其作为反向代理缓存的、用户要访问的网页数据发送至用户。
32.如权利要求31所述的系统,其中,所述恶意网页数据检测设备适于至少提取所述网页数据的静态特征、恶意脚本特征和白名单网页相似度中的一个,并根据提取的特征生成数据检测结果,其中所述静态特征至少包括网页数据包含的关键字、图片和链接中的一个。
33.如权利要求25所述的系统,其中,所述DNS代理设备还适于若该信誉度指示域名不存在安全隐患,则将所述域名解析请求转发至DNS服务器,以便DNS服务器响应于该域名解析请求,将所述目的服务器的IP地址返回至用户。
34.如权利要求31所述的系统,其中,域名信誉记录还可以计算信誉度所需的如下特征项:域名的访问次数、恶意访问次数、静态特征值和动态特征值,其中恶意访问次数根据包含该域名的URL与恶意URL库匹配成功或者包含该域名的URL对应的网页数据检测为恶意来确定,静态特征值至少根据域名存在特殊端口访问行为来确定。
35.如权利要求34所述的系统,其中,对于目的端口不是协议知名端口访问请求,所述流量干预设备还适于判定该访问请求对应的域名存在特殊端口访问行为,并将该判定结果反馈至所述域名信誉度评估设备;所述流量干预设备还适于将URL与恶意URL库匹配成功的结果反馈至所述域名信誉度评估设备;所述恶意网页数据检测设备还适于将指示网页数据为恶意的数据检测结果反馈至所述域名信誉度评估设备。
36.如权利要求35所述的系统,其中,域名信誉度评估设备包括信誉库更新装置,信誉库更新装置适于在所述域名信誉度评估设备返回信誉度之前,令域名信誉记录中访问次数的数值加1,并相应地更新域名信誉记录中的信誉度;信誉库更新装置还适于接收指示域名存在特殊端口访问行为的判定结果,更新该域名关联的域名信誉记录中的静态特征值,并相应地更新信誉度;还适于接收指示URL与恶意URL库匹配成功的结果或者接收指示网页数据为恶意的数据检测结果,更新该域名关联的域名信誉记录中的恶意访问次数,并相应地更新信誉度。
37.一种恶意URL检测干预方法,适于在恶意URL检测干预系统中执行,所述恶意URL检测干预系统包括流量干预设备、以及预先建立的、存储有与域名关联的域名信誉记录的域名信誉库,域名信誉记录包括域名的信誉度,所述方法包括:
接收来自用户的域名解析请求,所述域名解析请求包括要访问的域名,并请求该域名对应的目的服务器的IP地址;
从域名解析请求中提取所述域名,查询域名信誉库中与所述域名关联的域名信誉记录,并获取域名信誉记录中该域名的信誉度;
若该信誉度指示域名存在安全隐患,则响应于所述域名解析请求,将所述流量干预设备的IP地址返回至用户,以便用户通过该IP地址访问所述流量干预设备;
通过所述流量干预设备接收来自用户的访问请求,并对该访问请求进行协议识别;
对识别为HTTP或HTTPS协议的访问请求,从该访问请求中提取用户要访问的URL,将该URL与恶意URL库进行匹配;以及
若匹配失败,则通过所述流量干预设备作为反向代理来实现用户与目的服务器的通信,若匹配成功,则推送恶意访问提醒页面至用户。
38.如权利要求37所述的方法,所述对识别为HTTPS协议的访问请求,作为反向代理来实现用户与目的服务器的通信的步骤包括:
先与目的服务器建立SSL加密通信,后利用与目的服务器建立的通信、以及建立通信时获取的包括服务器证书的服务器信息来与用户建立SSL加密通信,服务器证书包含服务器公钥。
39.如权利要求38所述的方法,所述与用户建立SSL加密通信的步骤包括:
响应于接收到来自用户的、指示用于计算会话密钥的加密算法的用户信息,返回所述服务器信息至用户,以便用户认证服务器信息后生成预密钥,并将预密钥通过加密算法计算得到会话密钥;
接收来自用户的、使用服务器公钥加密后的预密钥,将其发送至目的服务器,以便目的服务器使用服务器私钥解密;
将目的服务器返回的、解密后的预密钥通过所述用户信息指示的加密算法计算得到所述会话密钥,并使用该会话密钥与用户进行加密通信。
40.如权利要求39所述的方法,其中,所述方法还包括步骤:
存储响应域名解析请求、返回用户的流量干预设备的IP地址与用户要访问的域名之间的关联关系;以及
所述对识别为HTTP或HTTPS协议的访问请求,作为反向代理来实现用户与目的服务器的通信的步骤还包括:
查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信;
若对识别为HTTPS协议的访问请求无法作为反向代理来实现用户对述目的服务器的访问,则查询与该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为TCP代理来实现用户与目的服务器的通信。
41.如权利要求40所述的方法,其中,所述对该访问请求进行协议识别的步骤还包括:
根据访问请求的目的端口对访问请求进行基于端口的协议识别;
其中对识别为协议知名端口、但不是HTTP和HTTPS协议的访问请求,查询该访问请求的源IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信,所述协议知名端口至少包括20、21、22、23、25、56、80、81、110和443,其对应的协议为20或21号端口对应的FTP协议、22号端口对应的SSH协议、23号端口对应的TELNET协议、25号端口对应的SMTP协议、56号端口对应的远程访问协议、80或81号端口对应的HTTP协议、110号端口对应的POP3协议和443号端口对应的HTTPS协议。
42.如权利要求41所述的方法,其中所述根据访问请求的目的端口对访问请求进行基于端口的协议识别的步骤还包括:
对识别为不是协议知名端口的访问请求进一步进行HTTP和HTTPS协议识别;其中
对识别为不是HTTP也不是HTTPS协议的访问请求,查询该访问请求访问的IP地址关联的、用户要访问的域名,并向DNS服务器获取该域名对应的目的服务器的IP地址,作为反向代理来实现用户与目的服务器的通信。
43.如权利要求37所述的方法,还包括步骤:
若用户要访问的URL与恶意URL库匹配失败,对通过所述流量干预设备作为反向代理缓存的、用户要访问的网页数据进行检测,将数据检测结果返回至所述流量干预设备,所述数据检测结果指示所述网页数据是否恶意;
若通过所述流量干预设备接收到指示所述网页数据为恶意的数据检测结果,推送恶意访问提醒页面至用户;
若通过所述流量干预设备接收到指示所述网页数据为非恶意的数据检测结果,将其作为反向代理缓存的、用户要访问的网页数据发送至用户。
44.如权利要求43所述的方法,所述对网页数据进行检测的步骤包括:
至少提取所述网页数据的静态特征、恶意脚本特征和白名单网页相似度中的一个;
根据提取的特征生成数据检测结果,其中所述静态特征至少包括网页数据包含的关键字、图片和链接中的一个。
45.如权利要求37所述的方法,还包括步骤:
若信誉度指示域名不存在安全隐患,则将所述域名解析请求转发至DNS服务器,以便DNS服务器响应于该域名解析请求,将所述目的服务器的IP地址返回至用户。
46.如权利要求43所述的方法,其中,域名信誉记录还可以计算信誉度所需的如下特征项:域名的访问次数、恶意访问次数、静态特征值和动态特征值,其中恶意访问次数根据包含该域名的URL与恶意URL库匹配成功或者包含该域名的URL对应的网页数据检测为恶意来确定,静态特征值至少根据域名存在特殊端口访问行为来确定。
47.如权利要求46所述的方法,其中,在查询域名信誉库中与所述域名关联的域名信誉记录,并获取域名信誉记录中该域名的信誉度的步骤之前,还包括步骤:
令域名信誉记录中访问次数的数值加1,并相应地更新域名信誉记录中的信誉度;
所述对该访问请求进行协议识别的步骤还包括:
对于目的端口不是协议知名端口的访问请求,通过所述流量干预设备判定该访问请求对应的域名存在特殊端口访问行为;根据该判定结果,更新该域名关联的域名信誉记录中的静态特征值,并相应地更新信誉度;
在将该URL与恶意URL库进行匹配,匹配成功的步骤之后、在作为反向代理缓存的用户要访问的网页数据检测为恶意的步骤之后,还包括步骤:更新该域名关联的域名信誉记录中的恶意访问次数,并相应地更新信誉度。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610549023.7A CN106131016B (zh) | 2016-07-13 | 2016-07-13 | 恶意url检测干预方法、系统及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610549023.7A CN106131016B (zh) | 2016-07-13 | 2016-07-13 | 恶意url检测干预方法、系统及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106131016A CN106131016A (zh) | 2016-11-16 |
CN106131016B true CN106131016B (zh) | 2019-05-03 |
Family
ID=57282567
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610549023.7A Active CN106131016B (zh) | 2016-07-13 | 2016-07-13 | 恶意url检测干预方法、系统及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106131016B (zh) |
Families Citing this family (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2649793C2 (ru) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
RU2634209C1 (ru) | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
RU2637477C1 (ru) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | Система и способ обнаружения фишинговых веб-страниц |
RU2671991C2 (ru) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
CN106713335B (zh) * | 2016-12-30 | 2020-10-30 | 山石网科通信技术股份有限公司 | 恶意软件的识别方法及装置 |
CN108574604B (zh) * | 2017-03-07 | 2020-09-29 | 北京京东尚科信息技术有限公司 | 测试方法和装置 |
CN106686020A (zh) * | 2017-03-29 | 2017-05-17 | 北京奇虎科技有限公司 | 域名安全性的检测方法、装置及系统 |
CN108694215A (zh) * | 2017-04-12 | 2018-10-23 | 北京京东尚科信息技术有限公司 | 网页缓存预热的方法、装置、电子设备和计算机可读介质 |
CN107070812A (zh) * | 2017-05-02 | 2017-08-18 | 武汉绿色网络信息服务有限责任公司 | 一种https协议分析方法及其系统 |
CN107454055B (zh) * | 2017-05-17 | 2020-08-28 | 中云网安科技(北京)有限公司 | 一种通过安全学习保护网站的方法、装置和系统 |
CN108076041A (zh) * | 2017-10-23 | 2018-05-25 | 中国银联股份有限公司 | 一种dns流量检测方法以及dns流量检测系统 |
RU2689816C2 (ru) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Способ для классифицирования последовательности действий пользователя (варианты) |
CN107888606B (zh) * | 2017-11-27 | 2020-11-13 | 深信服科技股份有限公司 | 一种域名信誉度评估方法及系统 |
CN107948179B (zh) * | 2017-12-05 | 2020-09-18 | 北京知道创宇信息技术股份有限公司 | 网络支付监测方法及系统 |
CN108111489B (zh) * | 2017-12-07 | 2020-06-30 | 阿里巴巴集团控股有限公司 | Url攻击检测方法、装置以及电子设备 |
CN108881151B (zh) * | 2017-12-29 | 2021-08-03 | 哈尔滨安天科技集团股份有限公司 | 一种无关节点确定方法、装置及电子设备 |
RU2676247C1 (ru) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
RU2680736C1 (ru) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
RU2677368C1 (ru) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система для автоматического определения нечетких дубликатов видеоконтента |
RU2677361C1 (ru) | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
CN110086754B (zh) * | 2018-01-26 | 2021-10-01 | 北京金山云网络技术有限公司 | 一种资源屏蔽方法、装置、电子设备及可读存储介质 |
RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
RU2708508C1 (ru) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
CN109361712B (zh) * | 2018-12-17 | 2021-08-24 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及信息处理装置 |
RU2701040C1 (ru) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
SG11202101624WA (en) | 2019-02-27 | 2021-03-30 | Group Ib Ltd | Method and system for user identification by keystroke dynamics |
CN110290188B (zh) * | 2019-06-13 | 2020-06-02 | 四川大学 | 一种适用于大规模网络环境的https流服务在线标识方法 |
CN110322254B (zh) * | 2019-07-04 | 2022-12-16 | 同盾控股有限公司 | 在线欺诈识别方法、装置、介质及电子设备 |
CN110572401A (zh) * | 2019-09-10 | 2019-12-13 | 赛尔网络有限公司 | 一种基于DNS over HTTPS的排名统计方法、装置、系统及介质 |
CN112580342A (zh) * | 2019-09-30 | 2021-03-30 | 深圳无域科技技术有限公司 | 公司名称比对的方法、装置、计算机设备和存储介质 |
CN111027065B (zh) * | 2019-10-28 | 2023-09-08 | 安天科技集团股份有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
RU2743974C1 (ru) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ сканирования защищенности элементов сетевой архитектуры |
SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
CN111737692B (zh) * | 2020-08-17 | 2020-12-18 | 腾讯科技(深圳)有限公司 | 应用程序的风险检测方法及装置、设备、存储介质 |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
CN113282921A (zh) * | 2021-06-11 | 2021-08-20 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及存储介质 |
CN113965366B (zh) * | 2021-10-15 | 2024-04-09 | 杭州安恒信息技术股份有限公司 | 反向代理钓鱼攻击的防御方法、系统和计算机设备 |
CN114301696B (zh) * | 2021-12-30 | 2023-12-01 | 北京天融信网络安全技术有限公司 | 恶意域名检测方法、装置、计算机设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101582887A (zh) * | 2009-05-20 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 安全防护方法、网关设备及安全防护系统 |
CN103095778A (zh) * | 2011-11-07 | 2013-05-08 | 北京知道创宇信息技术有限公司 | Web应用防火墙和web应用安全防护方法 |
US9210189B2 (en) * | 2012-07-17 | 2015-12-08 | Tencent Technology (Shenzhen) Company Limited | Method, system and client terminal for detection of phishing websites |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150067853A1 (en) * | 2013-08-27 | 2015-03-05 | Georgia Tech Research Corporation | Systems and methods for detecting malicious mobile webpages |
-
2016
- 2016-07-13 CN CN201610549023.7A patent/CN106131016B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101582887A (zh) * | 2009-05-20 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 安全防护方法、网关设备及安全防护系统 |
CN103095778A (zh) * | 2011-11-07 | 2013-05-08 | 北京知道创宇信息技术有限公司 | Web应用防火墙和web应用安全防护方法 |
US9210189B2 (en) * | 2012-07-17 | 2015-12-08 | Tencent Technology (Shenzhen) Company Limited | Method, system and client terminal for detection of phishing websites |
Also Published As
Publication number | Publication date |
---|---|
CN106131016A (zh) | 2016-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106131016B (zh) | 恶意url检测干预方法、系统及装置 | |
US10581908B2 (en) | Identifying phishing websites using DOM characteristics | |
US11165822B2 (en) | Identifying phishing websites using DOM characteristics | |
Kintis et al. | Hiding in plain sight: A longitudinal study of combosquatting abuse | |
Bilge et al. | Exposure: A passive dns analysis service to detect and report malicious domains | |
Bilge et al. | EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis. | |
US7984500B1 (en) | Detecting fraudulent activity by analysis of information requests | |
ES2679286T3 (es) | Distinguir usuarios válidos de robots, OCR y solucionadores de terceras partes cuando se presenta CAPTCHA | |
Jakobsson et al. | Invasive browser sniffing and countermeasures | |
US20170054749A1 (en) | Detecting web exploit kits by tree-based structural similarity search | |
US20080250159A1 (en) | Cybersquatter Patrol | |
CN106230867A (zh) | 预测域名是否恶意的方法、系统及其模型训练方法、系统 | |
Du et al. | The {Ever-Changing} labyrinth: A {Large-Scale} analysis of wildcard {DNS} powered blackhat {SEO} | |
US20150249638A1 (en) | Registration and use of patterns defined by expressions as domain names | |
JP5801437B2 (ja) | フィッシング通知サービス | |
CN108476222A (zh) | 钓鱼攻击的检测和减轻 | |
CN104580092B (zh) | 对网络页面进行安全性检测的方法和装置 | |
CN104579773A (zh) | 域名系统分析方法及装置 | |
Kalpakis et al. | OSINT and the Dark Web | |
CN108234474A (zh) | 一种网站识别的方法和装置 | |
CN105337776B (zh) | 一种生成网站指纹的方法、装置及电子设备 | |
CN106059847A (zh) | 一种用户刷单行为检测方法和装置 | |
Robic-Butez et al. | Detection of phishing websites using generative adversarial network | |
CN104615695B (zh) | 一种恶意网址的检测方法及系统 | |
CN107147648A (zh) | 资源请求的处理方法、客户端、服务器和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CB02 | Change of applicant information |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing 100102 Applicant after: Beijing Zhichuangyu Information Technology Co., Ltd. Address before: 100097 Jinwei Building 803, 55 Lanindichang South Road, Haidian District, Beijing Applicant before: Beijing Knows Chuangyu Information Technology Co.,Ltd. |
|
CB02 | Change of applicant information |