CN106790025B - 一种对链接进行恶意性检测的方法及装置 - Google Patents

一种对链接进行恶意性检测的方法及装置 Download PDF

Info

Publication number
CN106790025B
CN106790025B CN201611157015.4A CN201611157015A CN106790025B CN 106790025 B CN106790025 B CN 106790025B CN 201611157015 A CN201611157015 A CN 201611157015A CN 106790025 B CN106790025 B CN 106790025B
Authority
CN
China
Prior art keywords
link
detected
detection results
malicious
links
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611157015.4A
Other languages
English (en)
Other versions
CN106790025A (zh
Inventor
姚文迪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Weimeng Chuangke Network Technology China Co Ltd
Original Assignee
Weimeng Chuangke Network Technology China Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Weimeng Chuangke Network Technology China Co Ltd filed Critical Weimeng Chuangke Network Technology China Co Ltd
Priority to CN201611157015.4A priority Critical patent/CN106790025B/zh
Publication of CN106790025A publication Critical patent/CN106790025A/zh
Application granted granted Critical
Publication of CN106790025B publication Critical patent/CN106790025B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供一种对链接进行恶意性检测的方法及装置,该方法包括:获取待检测链接;获得多个来源数据库分别对该待检测链接的多个初步检测结果,其包括所述待检测链接为安全链接、或者属于相应分类的恶意链接;将各来源数据库预分配的权值分别作为其初步检测结果对应的权值,并将结果相同的各初步检测结果的权值进行统计求和,选取权值统计和值最高的初步检测结果作为该待检测链接的最终检测结果。该方法由于收集不同的数据库的来源,在对链接进行恶意性行为分析的时候,对比多个数据库,并根据数据来源的可靠性,分配不同的权值,从而得出更为准确的检测结果。另外,检测结果不仅反映安全链接或恶意链接,还能检测出恶意链接的具体分类。

Description

一种对链接进行恶意性检测的方法及装置
技术领域
本发明涉及网络攻击或网络安全领域,具体涉及一种对链接进行恶意性检测的方法及装置,尤其涉及一种多维度、加权值的对链接进行恶意性检测的方法及装置。
背景技术
随着互联网的发展,越来越多的不法分子利用网络中存在着的各种漏洞,去恶意攻击或者获取别人的私密信息,导致用户不同程度的受到财产或其他方面的损失。
现在很多公司都有提供对url(Uniform Resource Locator,统一资源定位符,其是指标准资源在互联网上的地址,对该标准资源进行访问方法和获得位置的一种简单表示)恶意性行为进行检测的入口,其基本实现方案为:存在一个接口定时更新网络中存在的恶意性的url,并将之存放在数据库中,当用户想要检测某一条url是否为恶意性的url时,将该条url与数据库中存放的数据进行对比分析,如果该url存放在数据库中,判定该url为恶意性的,并返回该数据;如果不存在于数据库中,将该url代入检测接口再次进行检测,并将最后的结果进行返回。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
在进行恶意性行为判定的过程中,对比的数据库比较单一,可能因为数据库的单一性从而影响url检测结果的准确性。
输出的结果只显示该url是否为恶意性的,并没有标注是哪种恶意的url分类。
发明内容
本发明实施例提供一种对链接进行恶意性检测的方法及装置,以提高恶意链接检测的准确度和可信度,并明确恶意链接的具体类型。
为达上述目的,一方面,提供一种对链接进行恶意性检测的方法,其包括:获取待检测链接;获得多个来源数据库分别对所述待检测链接的多个初步检测结果,所述初步检测结果包括所述待检测链接为安全链接、或者属于相应分类的恶意链接;将各来源数据库预分配的权值分别作为其初步检测结果对应的权值,并将结果相同的各初步检测结果的权值进行统计求和,选取权值统计和值最高的初步检测结果作为所述待检测链接的最终检测结果。
为达上述目的,另一方面,提供一种对链接进行恶意性检测的装置,其包括:输入模块,用于获取待检测链接;查询模块,用于获得多个来源数据库分别对所述待检测链接的多个初步检测结果,所述初步检测结果包括所述待检测链接为安全链接、或者属于相应分类的恶意链接;以及,检测模块,用于将各来源数据库预分配的权值分别作为其初步检测结果对应的权值,并将结果相同的各初步检测结果的权值进行统计求和,选取权值计和值最高的初步检测结果作为所述待检测链接的最终检测结果。
上述技术方案具有如下有益效果:
上术技术方案由于收集不同的数据库的来源,在对链接进行恶意性行为分析的时候,对比多个数据库,并根据数据来源的可靠性,分配不同的权值,从而得出更为准确的检测结果。另外,检测结果不仅仅反映安全链接或恶意链接,还能检测出恶意链接的具体分类。上述方案实现了对链接进行多维度、加权值的恶意性检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一种对链接进行恶意性检测的方法的流程图;
图2是本发明的实施例的另一种对链接进行恶意性检测的方法的流程图;
图3是本发明的实施例的利用更新接口进行数据库更新的示意图;
图4是本发明的实施例的作为一个举例的查询数据库的返回结果示意图;
图5是本发明的实施例的一种对链接进行恶意性检测的装置的逻辑功能框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
图1是本发明实施例的一种对链接进行恶意性检测的方法的流程图。如图1所示,该方法包括如下步骤:
步骤110:获取待检测链接。这里的链接包括url链接等。这里的链接可以是单一待检测链接,也可以是多个待检测链接,依序循环进行查询和检测,还可以是复合型的待检测链接,即内嵌有其他链接的链接数据。
步骤120:获得多个来源数据库分别对该待检测链接的多个初步检测结果,各初步检测结果包括该待检测链接为安全链接、或者属于相应分类的恶意链接。
在本实施例中,根据网络攻击或者目的的不同,可以将这些恶意攻击分为钓鱼、挂马、欺诈、违规内容、业务作弊等不同分类。其中,钓鱼:是指不法分子利用各种方式,仿造真实网站的地址及网页内容,或利用网站中存在的漏洞插入有危害的代码,用来获取用户的密码、账号等真实信息。挂马:是指在网页加载过程中能够自动运行的由不法分子恶意构造的攻击第三方插件或者浏览器的代码。欺诈:是指欺骗用户,可能存在使用户泄露个人信息或者造成财产损失的行为,例如虚假的中奖信息等。违规内容:是指违反国家法律法规的内容,例如黄、赌、毒。业务作弊:是指对互联网行业的运行造成严重干扰的行为,例如刷粉、刷信誉值、差评师、游戏外挂等。由于本步骤获取的各初步检索结果包括恶意链接的分类,增加了对恶意链接分类的标注或标识,从而相比于现有技术只显示该链接是否为恶意性的,更有利于对恶意链接的分类处理和网络安全管理。恶意链接分类标识可以是十进制数字、字母、数字字母的组合、二进制数字或者文字标识信息等。
单一数据库的恶意链接检测结果可能不够全面、客观,准确性与可信度无法有效保障。本步骤由于获取多个来源数据库对该待检测链接的多个初步检测结果,从而相比于现有技术的仅从单一数据库获取检测数据,恶意性检测分析结果更加准确,可信度更高。
在一示例性的实施例中,步骤120具体可包括如下步骤:在预先建立的链接数据库中查询,获得多个来源数据库分别对所述待检测链接的多个初步检测结果,该链接数据库中记录每一个疑似恶意链接、与多个来源数据库分别对该疑似恶意链接的多个初步检测结果之间的对应关系,该疑似恶意链接是指多个来源数据库分别对该疑似恶意链接的多个初步检测结果中,至少有一个初步检测结果不为安全链接;或者,如果在预先建立的恶意链接数据库中不存在该待检测链接时,将该待检测链接代入多个来源数据库进行初步检测,并获得多个来源数据库返回的多个初步检测结果。
步骤130:将各来源数据库预分配的权值分别作为其初步检测结果对应的权值,并将结果相同的各初步检测结果的权值进行统计求和,选取权值统计和值最高的初步检测结果作为该待检测链接的最终检测结果。
在本实施例中,权值也称为权数或者权重,是对加权平均数中的各个数的频数的解释。由于各数据来源(例如来源数据库)的可靠程度不同,因此需要预先对各数据来源赋予不同的权值。权值的分配规则有许多种,例如根据历史数据进行分析来分配权值,或者根据对各数据来源进行取样分析,对检测结果进行验证以得到分配给各数据来源的可信度权值。本步骤通过收集不同的数据库的来源,在对链接进行恶意性行为分析的时候,对比多个数据库,并根据来数据库来源的可靠性,分配不同的权值,从而可得出更为准确的恶意链接检测结果。
在本步骤中,当具有两个或以上的相同的初步检测结果时,将这两个或以上的相同初步检测结果的权值相加,得到其权值和值。这相当于将相同的检测结果对应的权值合并相加后再与其他检测结果的权值进行大小比较。
本发明的实施例的上述技术方案,由于收集不同的数据库的来源,在对链接进行恶意性行为分析的时候,对比多个来源数据库,并根据数据来源的可靠性,分配不同的权值,从而得出更为准确的检测结果。另外,检测结果不仅仅反映安全链接或恶意链接,还能检测出恶意链接的具体分类,检测结果更加科学,有利于对恶意链接的分类处理或管理。
实施例2
图2是本发明的实施例的另一种对链接进行恶意性检测的方法的流程图。图2是基于图1思想的一种更加具体和优化的实施方式。如图2所示,其包括如下流程:
接受url作为参数(步骤201),将该url去预先建立的链接数据库进行查询(步骤203),判断该url是否存在于该链接数据库中(步骤204),如果存在于该链接数据库中,则从该链接数据库中获得各来源数据库的(初步)检测结果,并赋予相应的权值(步骤205),综合各来源数据库的检测结果及权值,得到该url的最终检测结果,并还可以同时输出各来源数据库对该url的检测结果(步骤207)。上述链接数据库中记录具体url、各来源数据库对该url是否为恶意链接或安全链接的判定结果,或者为何种类型的恶意链接。
如果该链接数据库中不存在作为参数输入的url,则将该url作为参数,代入各来源数据库(合作方)提供的检测接口进行恶意性检测,得到各检测接口的输出结果,匹配各权值之后,得到最终检测结果予以输出(步骤204-步骤206-步骤207)。
在接收接受url作为参数之后,如果发现该url包含内置链接,则筛选出该url请求页面中存在的其他的url链接,同样利用上述步骤203-步骤207对内置的url链接求解出结果集,并将结果作为子集进行输出。在现有技术中,只针对该输入的一条url进行判定,没有对该url页面中可能包含的内置的url链接进行判定,同样会影响url检测结果的准确性。而本申请通过对url进行分析,筛选出该url请求页面内置的其他url链接,并进行恶意性检测与分析,有利于提高链接恶意性检测结果的准确性。
如果输入的不是单一的待检测url,而是一个包含大量待检测url数据的文本,从所述文本中获得各待检测url链接,将所有的待检测url读入数组,依次循环进行上述恶意性检测操作即可。通过这种方式可解决现有技术只针对某一条待检测url数据进行检测,无法对大量的含有待检测url的数据进行检测并返回结果的问题。
进一步地,本实施例还可包括周期性地或实时地更新恶意链接数据库的步骤,即周期性地获取各来源数据库上报的更新链接,以及各来源数据库对更新链接的初步检测结果,针对任一更新链接,如果本周期内至少一个来源数据库对其初步检测结果不为安全链接,则将当前的更新链接确定为疑似恶意链接,并在链接数据库中记录当前的更新链接、与所有来源数据库对当前的更新链接的各初步检测结果之间的对应关系;对于链接数据库中某一疑似恶意链接,如果本周期内所有来源数据库对其初步检测结果均为安全链接,则从链接数据库中删除该疑似恶意链接的记录。具体地,可以定时获取更新各合作方予以更新的恶意url,将该恶意url存入数据库,并设置标志位标明该恶意url的来源,及各来源对该恶意url的检测结果。图3为利用该更新接口进行数据库更新的示意图。src1、src2、src3、src4、src5等分别代表不同的数据来源。
进一步地,以下举具体的实例来详述本发明的技术方案:
假设想要查询:
url=786666.com/?uid=BDS_570875710950168-2e5eab1bb2c970d%7C2205061828&ua=BDS_320_480_android_2.0.1_a1&from=7300029a&ut=GN106_2.3.4_10&pkgname=com.baidu.searchbox_gionee是否为恶意性的链接,将该url作为检测接口的参数进行传递,后端服务器接收该参数,并将该url作为值去数据库中匹配,假设查询数据库的结果如图4所示。
src1、src2、src3、src4、src5等分别代表不同的数据来源,其中不同来源分别对应的数字表示该url的检测结果,数字对应的含义如表1所示。
Figure BDA0001180814380000051
Figure BDA0001180814380000061
表1数字对应结果表
因为各数据来源的可靠程度不同,需要对各数据来源赋予不同的权值,暂时使用的方法为:数据库中随机抽取100条数据,手工验证数据的结果,经过比较,可赋予f1=1,f2=2,f3=5,f4=3,f5=3不同的权值,经过计算该阶段的返回结果为{"result":"违规内容","probability":6,"src":[{"src1":"安全","probability":1},{"src2":"钓鱼、欺诈","probability":2},{"src3":"赌博网站","probability":5},{"src4":"违规内容","probability":3},{"src5":"违规内容","probability":3}]}。
假设该url中含有内置的url1=www.baidu.com,经数据库查找,没有查找到该结果,将该url1作为参数引入各个来源提供的检测接口,经过验证,最后可形成的结果为{"result":"违规内容","probability":6,"src":[{"src1":"安全","probability":1},{"src2":"钓鱼、欺诈","probability":2},{"src3":"赌博网站","probability":5},{"src4":"违规内容","probability":3},{"src5":"违规内容","probability":3}],"build_in":{"url":"www.baidu.com","result":"安全","probability":14,"src":[{"src1":"安全","probability":1},{"src2":"安全","probability":2},{"src3":"安全","probability":5},{"src4":"安全","probability":3},{"src5":"安全","probability":3}]}}。
本发明的实施例的上述技术方案带来的有益技术效果如下:
可以对含有大量url数据的文本进行检测并将结果返回。
收集不同的数据库的来源,在对url进行恶意性行为分析的时候,对比多个数据库,并根据数据的可靠性,分配不同的权值,从而可得出更为准确的结果。
在对url进行恶意性行为分析的时候,不再单一的对该一条数据进行分析,将该条url中内置的url链接取出,同样对内置的url链接进行恶意性行为分析,赋予不同的权值。
实施例3
图5是本发明的实施例的一种对链接进行恶意性检测的装置的逻辑功能框图。该装置可以为服务器,如图5所示,该装置包括:
输入模块310(输入接口),用于获取待检测链接;
查询模块320,用于获得多个来源数据库分别对该待检测链接的多个初步检测结果,初步检测结果包括该待检测链接为安全链接、或者属于相应分类的恶意链接;
检测模块330(检测接口),用于将各来源数据库预分配的权值分别作为其初步检测结果对应的权值,并将结果相同的各初步检测结果的权值进行统计求和,选取权值计和值最高的初步检测结果作为该待检测链接的最终检测结果。
进一步地,查询模块320,具体用于在预先建立的链接数据库中查询,获得多个来源数据库分别对待检测链接的多个初步检测结果,该链接数据库中记录每一个疑似恶意链接、与多个来源数据库分别对该疑似恶意链接的多个初步检测结果之间的对应关系,疑似恶意链接是指多个来源数据库分别对该疑似恶意链接的多个初步检测结果中,至少有一个初步检测结果不为安全链接;或者,如果在预先建立的恶意链接数据库中不存在该待检测链接时,将该待检测链接代入多个来源数据库进行初步检测,并获得多个来源数据库返回的多个初步检测结果。
进一步地,该装置还包括更新模块340(更新接口),用于周期性地获取各来源数据库上报的更新链接,以及各来源数据库对更新链接的初步检测结果,针对任一更新链接,如果本周期内至少一个来源数据库对其初步检测结果不为安全链接,则将当前的更新链接确定为疑似恶意链接,并在链接数据库中记录当前的更新链接、与所有来源数据库对当前的更新链接的各初步检测结果之间的对应关系;对于链接数据库中某一疑似恶意链接,如果本周期内所有来源数据库对其初步检测结果均为安全链接,则从链接数据库中删除该疑似恶意链接的记录。
进一步地,该装置还包括筛选模块350,用于在获取待检测链接之后,判断该待检测链接是否包含内置链接,如是则筛选出待检测链接中的内置链接,将该内置链接作为另一待检测链接并触发所述查询模块320。需要说明的是,待检测链接中包含的内置链接,作为另一待检测链接,同样由查询模块320和检测模块330对该内置链接进行恶意性检测,得到该内置链接的最终检测结果,内置链接的恶意性检测方法与图1、图2所示方法相同,待检测链接与其多个内置链接的最终检测结果均会独立存在并全部呈现给查询方。
进一步地,输入模块310,可具体用于获取输入的单一的待检测链接;或者,输入包含大量待检测链接的文本,从所述文本中获得各所述待检测链接,并将所有的待检测链接读入数组,以等候对数组中的各待检测链接依次进行恶意性检测。
该装置的工作过程已在前面方法实施例中详述,在此不再赘述。
上述装置具有如下有益技术效果:
可以对含有大量url数据的文本进行检测并将结果返回。
收集不同的数据库的来源,在对url进行恶意性行为分析的时候,对比多个数据库,并根据来源数据库的可靠性,分配不同的权值,得出更为准确的恶意性检测结果。
在对url进行恶意性行为分析的时候,不再单一的对该一条url进行分析,而是将该条url中内置的url取出,同样对内置的url进行恶意性行为分析,赋予不同的权值。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种对链接进行恶意性检测的方法,其特征在于,包括:
获取待检测链接;
获得多个来源数据库分别对所述待检测链接的多个初步检测结果,所述初步检测结果包括所述待检测链接为安全链接、或者属于相应分类的恶意链接;其中,一个来源数据库有一个初步检测结果;
将各来源数据库预分配的权值分别作为其初步检测结果对应的权值,并将结果相同的各初步检测结果的权值进行统计求和,选取权值统计和值最高的初步检测结果作为所述待检测链接的最终检测结果;其中,所述结果相同是指初步检测结果同为安全链接,或者同为相同分类的恶意链接;
所述获得多个来源数据库分别对所述待检测链接的多个初步检测结果,包括:
在预先建立的链接数据库中查询,获得多个来源数据库分别对所述待检测链接的多个初步检测结果,所述链接数据库中记录每一个疑似恶意链接、与多个来源数据库分别对该疑似恶意链接的多个初步检测结果之间的对应关系,所述疑似恶意链接是指多个来源数据库分别对该疑似恶意链接的多个初步检测结果中,至少有一个初步检测结果不为安全链接;或者,如果在所述预先建立的链接数据库中不存在所述待检测链接时,将所述待检测链接代入所述多个来源数据库进行初步检测,并获得所述多个来源数据库返回的多个初步检测结果。
2.根据权利要求1所述的方法,其特征在于,还包括:周期性地获取各来源数据库上报的更新链接,以及各来源数据库对更新链接的初步检测结果,针对任一更新链接,如果本周期内至少一个来源数据库对其初步检测结果不为安全链接,则将当前的更新链接确定为疑似恶意链接,并在所述链接数据库中记录当前的更新链接、与所有来源数据库对当前的更新链接的各初步检测结果之间的对应关系;对于所述链接数据库中某一疑似恶意链接,如果本周期内所有来源数据库对其初步检测结果均为安全链接,则从所述链接数据库中删除该疑似恶意链接的记录。
3.根据权利要求1所述的方法,其特征在于,在获取待检测链接之后,判断所述待检测链接是否包含内置链接,如是则筛选出所述待检测链接中的内置链接,将所述内置链接作为另一待检测链接并对所述内置链接进行恶意性检测,得到所述内置链接的最终检测结果。
4.根据权利要求1所述的方法,其特征在于,所述获取待检测链接,包括:
获取输入的单一的待检测链接;或者,输入包含大量待检测链接的文本,从所述文本中获得各待检测链接,并将所有的待检测链接读入数组,以等候对数组中的各待检测链接依次进行恶意性检测。
5.一种对链接进行恶意性检测的装置,其特征在于,包括:
输入模块,用于获取待检测链接;
查询模块,用于获得多个来源数据库分别对所述待检测链接的多个初步检测结果,所述初步检测结果包括所述待检测链接为安全链接、或者属于相应分类的恶意链接;其中,一个来源数据库有一个初步检测结果;
检测模块,用于将各来源数据库预分配的权值分别作为其初步检测结果对应的权值,并将结果相同的各初步检测结果的权值进行统计求和,选取权值计和值最高的初步检测结果作为所述待检测链接的最终检测结果;其中,所述结果相同是指初步检测结果同为安全链接,或者同为相同分类的恶意链接;
所述查询模块,具体用于在预先建立的链接数据库中查询,获得多个来源数据库分别对所述待检测链接的多个初步检测结果,所述链接数据库中记录每一个疑似恶意链接、与多个来源数据库分别对该疑似恶意链接的多个初步检测结果之间的对应关系,所述疑似恶意链接是指多个来源数据库分别对该疑似恶意链接的多个初步检测结果中,至少有一个初步检测结果不为安全链接;或者,如果在所述预先建立的链接数据库中不存在所述待检测链接时,将所述待检测链接代入所述多个来源数据库进行初步检测,并获得所述多个来源数据库返回的多个初步检测结果。
6.根据权利要求5所述的装置,其特征在于,还包括更新模块,用于周期性地获取各来源数据库上报的更新链接,以及各来源数据库对更新链接的初步检测结果,针对任一更新链接,如果本周期内至少一个来源数据库对其初步检测结果不为安全链接,则将当前的更新链接确定为疑似恶意链接,并在所述链接数据库中记录当前的更新链接、与所有来源数据库对当前的更新链接的各初步检测结果之间的对应关系;对于所述链接数据库中某一疑似恶意链接,如果本周期内所有来源数据库对其初步检测结果均为安全链接,则从所述链接数据库中删除该疑似恶意链接的记录。
7.根据权利要求5所述的装置,其特征在于,还包括筛选模块,用于在获取待检测链接之后,判断所述待检测链接是否包含内置链接,如是则筛选出所述待检测链接中的内置链接,将所述内置链接作为另一待检测链接并触发所述查询模块。
8.根据权利要求5所述的装置,其特征在于,所述输入模块,具体用于获取输入的单一的待检测链接;或者,输入包含大量待检测链接的文本,从所述文本中获得各所述待检测链接,并将所有的待检测链接读入数组,以等候对数组中的各待检测链接依次进行恶意性检测。
CN201611157015.4A 2016-12-15 2016-12-15 一种对链接进行恶意性检测的方法及装置 Active CN106790025B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611157015.4A CN106790025B (zh) 2016-12-15 2016-12-15 一种对链接进行恶意性检测的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611157015.4A CN106790025B (zh) 2016-12-15 2016-12-15 一种对链接进行恶意性检测的方法及装置

Publications (2)

Publication Number Publication Date
CN106790025A CN106790025A (zh) 2017-05-31
CN106790025B true CN106790025B (zh) 2020-03-10

Family

ID=58888996

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611157015.4A Active CN106790025B (zh) 2016-12-15 2016-12-15 一种对链接进行恶意性检测的方法及装置

Country Status (1)

Country Link
CN (1) CN106790025B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107369081B (zh) * 2017-07-19 2021-07-27 无锡企业征信有限公司 用数据来源的动态影响因子确定数据有效性的系统及方法
US11126711B2 (en) * 2019-04-09 2021-09-21 Jpmorgan Chase Bank, N.A. System and method for implementing a log source value tool for security information event management
CN110958160B (zh) * 2019-11-25 2021-06-15 睿哲科技股份有限公司 网站检测方法、装置、系统以及计算机可读存储介质
CN111950673B (zh) * 2020-08-11 2021-06-08 浙江码尚科技股份有限公司 基于二维码的商品防伪验证方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103023905A (zh) * 2012-12-20 2013-04-03 北京奇虎科技有限公司 一种用于检测恶意链接的设备、方法及系统
CN103095728A (zh) * 2013-02-07 2013-05-08 重庆大学 一种基于行为数据融合的网络安全评分系统和方法
CN103281177A (zh) * 2013-04-10 2013-09-04 广东电网公司信息中心 对Internet信息系统恶意攻击的检测方法及系统
CN103634317A (zh) * 2013-11-28 2014-03-12 北京奇虎科技有限公司 基于云安全对恶意网址信息进行安全鉴定的方法及系统
CN104834857A (zh) * 2015-03-27 2015-08-12 清华大学深圳研究生院 批量安卓恶意软件检测方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103023905A (zh) * 2012-12-20 2013-04-03 北京奇虎科技有限公司 一种用于检测恶意链接的设备、方法及系统
CN103095728A (zh) * 2013-02-07 2013-05-08 重庆大学 一种基于行为数据融合的网络安全评分系统和方法
CN103281177A (zh) * 2013-04-10 2013-09-04 广东电网公司信息中心 对Internet信息系统恶意攻击的检测方法及系统
CN103634317A (zh) * 2013-11-28 2014-03-12 北京奇虎科技有限公司 基于云安全对恶意网址信息进行安全鉴定的方法及系统
CN104834857A (zh) * 2015-03-27 2015-08-12 清华大学深圳研究生院 批量安卓恶意软件检测方法及装置

Also Published As

Publication number Publication date
CN106790025A (zh) 2017-05-31

Similar Documents

Publication Publication Date Title
AU2022204197B2 (en) Security weakness and infiltration detection and repair in obfuscated website content
CN110399925B (zh) 账号的风险识别方法、装置及存储介质
CN103685308B (zh) 一种钓鱼网页的检测方法及系统、客户端、服务器
Hao et al. PREDATOR: proactive recognition and elimination of domain abuse at time-of-registration
CN107204960B (zh) 网页识别方法及装置、服务器
CN103685307B (zh) 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器
CN103679031B (zh) 一种文件病毒免疫的方法和装置
CN106790025B (zh) 一种对链接进行恶意性检测的方法及装置
CN104156490A (zh) 基于文字识别检测可疑钓鱼网页的方法及装置
CN104158828B (zh) 基于云端内容规则库识别可疑钓鱼网页的方法及系统
CN112543196A (zh) 一种基于区块链智能合约的网络威胁情报共享平台
CN110602137A (zh) 恶意ip和恶意url拦截方法、装置、设备及介质
CN113098887A (zh) 一种基于网站联合特征的钓鱼网站检测方法
CN107888606B (zh) 一种域名信誉度评估方法及系统
CN104143008A (zh) 基于图片匹配检测钓鱼网页的方法及装置
CN114650176A (zh) 钓鱼网站的检测方法、装置、计算机设备及存储介质
CN107172033B (zh) 一种waf误判识别方法以及装置
US9521164B1 (en) Computerized system and method for detecting fraudulent or malicious enterprises
CN110535821A (zh) 一种基于dns多特征的失陷主机检测方法
KR20220101952A (ko) 비트코인 불법거래 탐지 장치 및 방법
CN111027065B (zh) 一种勒索病毒识别方法、装置、电子设备及存储介质
CN117033552A (zh) 情报评价方法、装置、电子设备及存储介质
Liu et al. Learning based malicious web sites detection using suspicious URLs
CN107995167B (zh) 一种设备识别方法及服务器
CN115809466A (zh) 基于stride模型的安全需求生成方法、装置、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant