CN110768943A - 一种多态url检测方法、装置及存储介质 - Google Patents

一种多态url检测方法、装置及存储介质 Download PDF

Info

Publication number
CN110768943A
CN110768943A CN201811100368.XA CN201811100368A CN110768943A CN 110768943 A CN110768943 A CN 110768943A CN 201811100368 A CN201811100368 A CN 201811100368A CN 110768943 A CN110768943 A CN 110768943A
Authority
CN
China
Prior art keywords
url
detected
knowledge base
category
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811100368.XA
Other languages
English (en)
Inventor
李增光
童志明
何公道
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antiy Technology Group Co Ltd
Original Assignee
Harbin Antiy Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Group Co Ltd filed Critical Harbin Antiy Technology Group Co Ltd
Priority to CN201811100368.XA priority Critical patent/CN110768943A/zh
Publication of CN110768943A publication Critical patent/CN110768943A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提出一种多态URL检测方法、装置及存储介质,所述方法包括:获取已知URL并进行分类,确认每一类URL的灰度及阈值;对待检测URL进行解析归类,根据对应类别URL的灰度值,得到待检测URL的灰度,并根据阈值,确定该URL是否为恶意;并将结果规范化输出;对于未检出的URL,则直接检测该URL。同时该方法还定期对所检测过的URL进行传统方法检测,来对灰度及阈值进行调整,提高检测结果的准确度。通过本发明方法及装置,能够通过对多态URL进行精确识别和分类,对每类URL进行检测,大大降低了误报的可能性。

Description

一种多态URL检测方法、装置及存储介质
技术领域
本发明涉及网络安全技术领域,特别涉及一种多态URL检测方法、装置及存储介质。
背景技术
随着计算机的更新换代及互联网的普及,恶意URL也相应发生着演变,无论是在数量上,还是种类上,都呈现出较高的增长趋势。传统的启发式检测方法,需要进行复杂的逻辑分析,或虚拟环境来动态执行URL链接,因此具有大概率、大范围误报的可能。
发明内容
基于上述问题,本申请提出了一种多态URL检测方法、装置及存储介质,通过聚类分析方法,对多态URL进行精确识别和分类,从而对每类URL进行检测,大大降低了误报的可能。
本申请中所述的多态URL,是指通过聚类分析得到的,具有相同格式,包括但不限于主机名(hostname)、路径(path)、参数(parameters)等等方面的内容具有一致性的,参数值不同的URL,所述URL包含但不限于挂马类URL。
首先,本发明提出一种多态URL检测方法,包括:
获取已知恶意URL并进行聚类分析,将具有相同格式,不同参数值的URL归一化处理,归为同一类别;
分别设定每个URL类别的灰度值及阈值,建立知识库;
获取待检测URL,对所述待检测URL进行解析;
判断所述待检测URL是否与知识库中任一URL类别匹配;若匹配,则根据知识库,确认所述待检测URL对应URL类别的灰度值,判断所述灰度值是否大于阈值,如果是,则判定所述待检测URL为恶意;否则,判定所述待检测URL非恶意;将检测结果规范化输出,并将待检测URL及检测结果存储到知识库中;
若不匹配,则对所述待检测URL进行常规检测,判断所述待检测URL是否为恶意,如果是,则将所述待检测URL作为新类别加入知识库。
所述的方法中,判断所述待检测URL是否与知识库中任一URL类别匹配,具体为:将所述待检测URL归一化处理,并与知识库中每一类别URL归一化处理结果对比,若相同,则匹配。
所述的方法中,将所述待检测URL作为新分类加入知识库,具体为:将所述待检测URL归一化处理结果作为新类别存储到知识库,并设定灰度值及阈值。
所述的方法中,所述灰度值,为根据每个URL类别中恶意URL的比例,确定的值;所述阈值,为根据每个URL类别的威胁程度,设定的灰度值的阈值。
上述的任一方法中,还包括:根据预设周期,对知识库中的URL进行检测,并根据检测结果调整灰度值及阈值。
本发明还相应提出一种多态URL检测装置,包括:存储器和处理器;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
获取已知恶意URL并进行聚类分析,将具有相同格式,不同参数值的URL归一化处理,归为同一类别;
分别设定每个URL类别的灰度值及阈值,建立知识库;
获取待检测URL,对所述待检测URL进行解析;
判断所述待检测URL是否与知识库中任一URL类别匹配;若匹配,则根据知识库,确认所述待检测URL对应URL类别的灰度值,判断所述灰度值是否大于阈值,如果是,则判定所述待检测URL为恶意;否则,判定所述待检测URL非恶意;将检测结果规范化输出,并将待检测URL及检测结果存储到知识库中;
若不匹配,则对所述待检测URL进行常规检测,判断所述待检测URL是否为恶意,如果是,则将所述待检测URL作为新类别加入知识库。
所述的装置中,判断所述待检测URL是否与知识库中任一URL类别匹配,具体为:将所述待检测URL归一化处理,并与知识库中每一类别URL归一化处理结果对比,若相同,则匹配。
所述的装置中,将所述待检测URL作为新分类加入知识库,具体为:将所述待检测URL归一化处理结果作为新类别存储到知识库,并设定灰度值及阈值。
所述的装置中,所述灰度值,为根据每个URL类别中恶意URL的比例,确定的值;所述阈值,为根据每个URL类别的威胁程度,设定的灰度值的阈值。
上述任一所述的装置中,还包括:根据预设周期,对知识库中的URL进行检测,并根据检测结果调整灰度值及阈值。
一种多态URL检测装置,包括:
知识库模块,获取已知恶意URL并进行聚类分析,将具有相同格式,不同参数值的URL归一化处理,归为同一类别;分别设定每个URL类别的灰度值及阈值,建立知识库;
获取模块,获取待检测URL,对所述待检测URL进行解析;
判断模块,判断所述待检测URL是否与知识库中任一URL类别匹配;若匹配,则根据知识库,确认所述待检测URL对应URL类别的灰度值,判断所述灰度值是否大于阈值,如果是,则判定所述待检测URL为恶意;否则,判定所述待检测URL非恶意;将检测结果规范化输出,并将待检测URL及检测结果存储到知识库中;
检测模块,若不匹配,则对所述待检测URL进行常规检测,判断所述待检测URL是否为恶意,如果是,则将所述待检测URL作为新类别加入知识库。
本发明还提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的多态URL检测方法。
本发明的优势在于,能够通过聚类分析的方法,可多态URL进行分类,并依据分类进行识别和判定,并且灰度值可以根据定期对URL的精确检测进行调整,同时根据某一类URL的恶意程度来修改阈值,实现了对未知URL的检测,同时大大降低了误报的可能。
本发明提出一种多态URL检测方法、装置及存储介质,所述方法包括:获取已知URL并进行分类,确认每一类URL的灰度及阈值;对待检测URL进行解析归类,根据所述类别URL的灰度值,得到待检测URL的灰度,并根据阈值,确定该URL是否为恶意;并将结果规范化输出;对于未检出的URL,则直接检测该URL。同时该方法还定期对所检测过的URL进行传统方法检测,来对灰度及阈值进行调整,提高检测结果的准确度。通过本发明方法及装置,能够通过对多态URL进行精确识别和分类,对每类URL进行检测,大大降低了误报的可能性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种多态URL检测方法流程图;
图2为本发明一种多态URL检测装置实施例结构示意图;
图3为本发明一种多态URL检测装置实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本申请中所述的多态URL,是指通过聚类分析得到的,具有相同格式,包括但不限于主机名(hostname)、路径(path)、参数(parameters)等等方面的内容具有一致性的,参数值不同的URL,所述URL包含但不限于挂马类URL,挂马类URL指的是能够进行恶意文件实体下载的URL。
首先,给出一种多态URL检测方法实施例,如图1所示,包括:
S101:获取已知恶意URL并进行聚类分析,将具有相同格式,不同参数值的URL归一化处理,归为同一类别;
S102:分别设定每个URL类别的灰度值及阈值,建立知识库;
灰度值是通过分析每一类多态URL中所有URL的恶意性所得到的该类URL的可信因子;阈值是根据该类URL的恶意性所确定的该类URL灰度的阈值;
S103:获取待检测URL,对所述待检测URL进行解析;
S104:判断所述待检测URL是否与知识库中任一URL类别匹配;若匹配,执行S105;否则,执行S108;
S105:根据知识库,确认所述待检测URL对应URL类别的灰度值;
S106:判断所述灰度值是否大于阈值,如果是,则判定所述待检测URL为恶意;否则;判定所述待检测URL非恶意;
S107:将检测结果规范化输出,并将待检测URL及检测结果存储到知识库中;
将检测结果规范化输出主要根据预先设定的输出格式,对检测结果进行输出;对于检测结果的存储,在实际操作中,可以将知识库中分为两部分,一部分存储预先收集的URL,一部分存储检测的结果,以提高匹配速度;
S108:对所述待检测URL进行常规检测,判断所述待检测URL是否为恶意,如果是,则将所述待检测URL作为新类别加入知识库。
所述的方法中,判断所述待检测URL是否与知识库中任一URL类别匹配,具体为:将所述待检测URL归一化处理,并与知识库中每一类别URL归一化处理结果对比,若相同,则匹配。
所述的方法中,将所述待检测URL作为新类别加入知识库,具体为:将所述待检测URL归一化处理结果作为新类别存储到知识库,并设定灰度值及阈值。
所述的方法中,所述灰度值,为根据每个URL类别中恶意URL的比例,确定的值;所述阈值,为根据每个URL类别的威胁程度,设定的灰度值的阈值。
上述的任一方法中,还包括:根据预设周期,对知识库中的URL进行检测,并根据检测结果调整灰度值及阈值。
该步骤实现知识库的的积累和灰度值的更新,目的是为了保证每类URL灰度值的准确性这个过程中,一旦某类多态URL的灰度值小于阈值,则该条多态URL的检出可能会发生误报,即不再对该多态URL进行检出,降低误报发生的概率。
以下通过构建的多态URL来举例说明:
URL1:"http://abc.com/abc?a=112&b=122",具有恶意性。
URL2:"http://abc.com/abc?a=223&b=233",具有恶意性。
URLn:"http://abc.com/abc?a=nnm&b=nmm",具有恶意性。
针对该类URL,归一化处理结果为"http://abc.com/abc?a=xxx&b=xxx",总数大于固定量,例如100,阈值为99%。如果当前所有URL都具有恶意性,该类灰度值为100%,则可对所有归一化处理结果为"http://abc.com/abc?a=xxx&b=xxx"的URL进行恶意性判定。同时,记录URLn,一旦发现URLn不具有恶意性,则直接调整灰度值,当该类URL的灰度值小于阈值时,则该类URL不可直接用归一化结果进行恶意性判定。
本发明还相应提出一种多态URL检测装置,如图2所示,包括:存储器201和处理器202;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
获取已知恶意URL并进行聚类分析,将具有相同格式,不同参数值的URL归一化处理,归为同一类别;
分别设定每个URL类别的灰度值及阈值,建立知识库;
获取待检测URL,对所述待检测URL进行解析;
判断所述待检测URL是否与知识库中任一URL类别匹配;若匹配,则根据知识库,确认所述待检测URL对应URL类别的灰度值,判断所述灰度值是否大于阈值,如果是,则判定所述待检测URL为恶意;否则,判定所述待检测URL非恶意;将检测结果规范化输出,并将待检测URL及检测结果存储到知识库中;
若不匹配,则对所述待检测URL进行常规检测,判断所述待检测URL是否为恶意,如果是,则将所述待检测URL作为新类别加入知识库。
所述的装置中,判断所述待检测URL是否与知识库中任一URL类别匹配,具体为:将所述待检测URL归一化处理,并与知识库中每一类别URL归一化处理结果对比,若相同,则匹配。
所述的装置中,将所述待检测URL作为新类别加入知识库,具体为:将所述待检测URL归一化处理结果作为新类别存储到知识库,并设定灰度值及阈值。
所述的装置中,所述灰度值,为根据每个URL类别中恶意URL的比例,确定的值;所述阈值,为根据每个URL类别的威胁程度,设定的灰度值的阈值。
上述任一所述的装置中,还包括:根据预设周期,对知识库中的URL进行检测,并根据检测结果调整灰度值及阈值。
一种多态URL检测装置,如图3所示,包括:
知识库模块301,获取已知恶意URL并进行聚类分析,将具有相同格式,不同参数值的URL归一化处理,归为同一类别;分别设定每个URL类别的灰度值及阈值,建立知识库;
获取模块302,获取待检测URL,对所述待检测URL进行解析;
判断模块303,判断所述待检测URL是否与知识库中任一URL类别匹配;若匹配,则根据知识库,确认所述待检测URL对应URL类别的灰度值,判断所述灰度值是否大于阈值,如果是,则判定所述待检测URL为恶意;否则,判定所述待检测URL非恶意;将检测结果规范化输出,并将待检测URL及检测结果存储到知识库中;
检测模块304,若不匹配,则对所述待检测URL进行常规检测,判断所述待检测URL是否为恶意,如果是,则将所述待检测URL作为新类别加入知识库。
本发明还提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的多态URL检测方法。
本发明的优势在于,能够通过聚类分析的方法,可多态URL进行分类,并依据分类进行识别和判定,并且灰度值可以根据定期对URL的精确检测进行调整,同时根据某一类URL的恶意程度来修改阈值,实现了对未知URL的检测,同时大大降低了误报的可能。
本发明提出一种多态URL检测方法、装置及存储介质,所述方法包括:获取已知URL并进行分类,确认每一类URL的灰度及阈值;对待检测URL进行解析归类,根据所述类别URL的灰度值,得到待检测URL的灰度,并根据阈值,确定该URL是否为恶意;并将结果规范化输出;对于未检出的URL,则直接检测该URL。同时该方法还定期对所检测过的URL进行传统方法检测,来对灰度及阈值进行调整,提高检测结果的准确度。通过本发明方法及装置,能够通过对多态URL进行精确识别和分类,对每类URL进行检测,大大降低了误报的可能性。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (12)

1.一种多态URL检测方法,其特征在于,包括:
获取已知恶意URL并进行聚类分析,将具有相同格式,不同参数值的URL归一化处理,归为同一类别;
分别设定每个URL类别的灰度值及阈值,建立知识库;
获取待检测URL,对所述待检测URL进行解析;
判断所述待检测URL是否与知识库中任一URL类别匹配;若匹配,则根据知识库,确认所述待检测URL对应URL类别的灰度值,判断所述灰度值是否大于阈值,如果是,则判定所述待检测URL为恶意;否则,判定所述待检测URL非恶意;将检测结果规范化输出,并将待检测URL及检测结果存储到知识库中;
若不匹配,则对所述待检测URL进行常规检测,判断所述待检测URL是否为恶意,如果是,则将所述待检测URL作为新类别加入知识库。
2.如权利要求1所述的方法,其特征在于,判断所述待检测URL是否与知识库中任一URL类别匹配,具体为:将所述待检测URL归一化处理,并与知识库中每一类别URL归一化处理结果对比,若相同,则匹配。
3.如权利要求1所述的方法,其特征在于,将所述待检测URL作为新类别加入知识库,具体为:将所述待检测URL归一化处理结果作为新类别存储到知识库,并设定灰度值及阈值。
4.如权利要求3所述的方法,其特征在于,所述灰度值,为根据每个URL类别中恶意URL的比例确定的值;所述阈值,为根据每个URL类别的威胁程度,设定的灰度值的阈值。
5.如权利要求1至4任一所述的方法,其特征在于,还包括:根据预设周期,对知识库中的URL进行检测,并根据检测结果调整灰度值及阈值。
6.一种多态URL检测装置,其特征在于,包括:存储器和处理器;
所述存储器可存储在处理器上运行的计算机程序;
所述处理器在运行计算机程序时,实现如下步骤:
获取已知恶意URL并进行聚类分析,将具有相同格式,不同参数值的URL归一化处理,归为同一类别;
分别设定每个URL类别的灰度值及阈值,建立知识库;
获取待检测URL,对所述待检测URL进行解析;
判断所述待检测URL是否与知识库中任一URL类别匹配;若匹配,则根据知识库,确认所述待检测URL对应URL类别的灰度值,判断所述灰度值是否大于阈值,如果是,则判定所述待检测URL为恶意;否则,判定所述待检测URL非恶意;将检测结果规范化输出,并将待检测URL及检测结果存储到知识库中;
若不匹配,则对所述待检测URL进行常规检测,判断所述待检测URL是否为恶意,如果是,则将所述待检测URL作为新类别加入知识库。
7.如权利要求6所述的装置,其特征在于,判断所述待检测URL是否与知识库中任一URL类别匹配,具体为:将所述待检测URL归一化处理,并与知识库中每一类别URL归一化处理结果对比,若相同,则匹配。
8.如权利要求6所述的装置,其特征在于,将所述待检测URL作为新类别加入知识库,具体为:将所述待检测URL归一化处理结果作为新类别存储到知识库,并设定灰度值及阈值。
9.如权利要求8所述的装置,其特征在于,所述灰度值,为根据每个URL类别中恶意URL的比例,确定的值;所述阈值,为根据每个URL类别的威胁程度,设定的灰度值的阈值。
10.如权利要求6至9任一所述的装置,其特征在于,还包括:根据预设周期,对知识库中的URL进行检测,并根据检测结果调整灰度值及阈值。
11.一种多态URL检测装置,其特征在于,包括:
知识库模块,获取已知恶意URL并进行聚类分析,将具有相同格式,不同参数值的URL归一化处理,归为同一类别;分别设定每个URL类别的灰度值及阈值,建立知识库;
获取模块,获取待检测URL,对所述待检测URL进行解析;
判断模块,判断所述待检测URL是否与知识库中任一URL类别匹配;若匹配,则根据知识库,确认所述待检测URL对应URL类别的灰度值,判断所述灰度值是否大于阈值,如果是,则判定所述待检测URL为恶意;否则,判定所述待检测URL非恶意;将检测结果规范化输出,并将待检测URL及检测结果存储到知识库中;
检测模块,若不匹配,则对所述待检测URL进行常规检测,判断所述待检测URL是否为恶意,如果是,则将所述待检测URL作为新类别加入知识库。
12.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一所述的多态URL检测方法。
CN201811100368.XA 2018-09-20 2018-09-20 一种多态url检测方法、装置及存储介质 Pending CN110768943A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811100368.XA CN110768943A (zh) 2018-09-20 2018-09-20 一种多态url检测方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811100368.XA CN110768943A (zh) 2018-09-20 2018-09-20 一种多态url检测方法、装置及存储介质

Publications (1)

Publication Number Publication Date
CN110768943A true CN110768943A (zh) 2020-02-07

Family

ID=69328953

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811100368.XA Pending CN110768943A (zh) 2018-09-20 2018-09-20 一种多态url检测方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN110768943A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080263659A1 (en) * 2007-04-23 2008-10-23 Christoph Alme System and method for detecting malicious mobile program code
CN101471818A (zh) * 2007-12-24 2009-07-01 北京启明星辰信息技术股份有限公司 一种恶意注入脚本网页检测方法和系统
CN102801697A (zh) * 2011-12-20 2012-11-28 北京安天电子设备有限公司 基于多url的恶意代码检测方法和系统
CN103428196A (zh) * 2012-12-27 2013-12-04 北京安天电子设备有限公司 一种基于url白名单的web应用入侵检测方法和装置
CN104735074A (zh) * 2015-03-31 2015-06-24 江苏通付盾信息科技有限公司 一种恶意url检测方法及其实现系统
CN106453320A (zh) * 2016-10-14 2017-02-22 北京奇虎科技有限公司 恶意样本的识别方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080263659A1 (en) * 2007-04-23 2008-10-23 Christoph Alme System and method for detecting malicious mobile program code
CN101471818A (zh) * 2007-12-24 2009-07-01 北京启明星辰信息技术股份有限公司 一种恶意注入脚本网页检测方法和系统
CN102801697A (zh) * 2011-12-20 2012-11-28 北京安天电子设备有限公司 基于多url的恶意代码检测方法和系统
CN103428196A (zh) * 2012-12-27 2013-12-04 北京安天电子设备有限公司 一种基于url白名单的web应用入侵检测方法和装置
CN104735074A (zh) * 2015-03-31 2015-06-24 江苏通付盾信息科技有限公司 一种恶意url检测方法及其实现系统
CN106453320A (zh) * 2016-10-14 2017-02-22 北京奇虎科技有限公司 恶意样本的识别方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
曹玖新等: "基于URL特征的Phishing检测方法(英文)", 《JOURNAL OF SOUTHEAST UNIVERSITY(ENGLISH EDITION)》 *

Similar Documents

Publication Publication Date Title
US11126723B2 (en) Systems and methods for remote detection of software through browser webinjects
CN108763928B (zh) 一种开源软件漏洞分析方法、装置和存储介质
US10284570B2 (en) System and method to detect threats to computer based devices and systems
US20210218755A1 (en) Facet Blacklisting in Anomaly Detection
CN109862003B (zh) 本地威胁情报库的生成方法、装置、系统及存储介质
CA2859135C (en) System and methods for spam detection using frequency spectra of character strings
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
CN106294219B (zh) 一种设备识别、数据处理方法、装置及系统
CN107395650B (zh) 基于沙箱检测文件识别木马回连方法及装置
US10454967B1 (en) Clustering computer security attacks by threat actor based on attack features
CN103927480A (zh) 一种恶意网页的识别方法、装置和系统
CN111177719B (zh) 地址类别判定方法、装置、计算机可读存储介质及设备
CN111460446A (zh) 基于模型的恶意文件检测方法及装置
CN110868378A (zh) 钓鱼邮件检测方法、装置、电子设备及存储介质
US20160099955A1 (en) Cloud based reputation system for browser extensions and toolbars
CN112073393A (zh) 基于云计算和用户行为分析的流量检测方法及大数据中心
CN112148305A (zh) 一种应用检测方法、装置、计算机设备和可读存储介质
CN111371757B (zh) 恶意通信检测方法、装置、计算机设备和存储介质
CN107786529B (zh) 网站的检测方法、装置及系统
CN111683089B (zh) 一种识别钓鱼网站的方法、服务器、介质及计算机设备
CN108229168B (zh) 一种嵌套类文件的启发式检测方法、系统及存储介质
CN113765850B (zh) 物联网异常检测方法、装置、计算设备及计算机存储介质
CN108197465B (zh) 一种网址检测方法及装置
CN116108880A (zh) 随机森林模型的训练方法、恶意网站检测方法及装置
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200207