CN111177719A - 地址类别判定方法、装置、计算机可读存储介质及设备 - Google Patents

Abstract

本公开提供一种地址类别判定方法、地址类别判定装置、计算机可读存储介质及电子设备；涉及计算机技术领域。该地址类别判定方法包括：对输入的地址进行分词处理，得到多个特征值；根据多个特征值分别对应的哈希值计算出地址的哈希值；若检测到数据库中存在与地址的哈希值对应的目标哈希值，则判定地址与目标哈希值对应的地址属于同类地址。本公开中的地址类别判定方法能够一定程度上克服通过人工比对的方式比对URL存在的比对效率较低的问题，进而提升URL的比对效率，降低人工成本，同时提高了发现病毒家族的概率和准确率。

Description

地址类别判定方法、装置、计算机可读存储介质及设备

技术领域

本公开涉及计算机技术领域，具体而言，涉及一种地址类别判定方法、地址类别判定装置、计算机可读存储介质及电子设备。

背景技术

通常情况下，每个信息资源都有统一且唯一的地址，该地址被称为URL(UniformResource Locator,统一资源定位符)，可以将其理解为一种网络地址。

互联网中存在各种各样的病毒，不同的病毒请求不同的URL，为了维护网络安全，通常需要相关人员对疑似病毒的URL进行比对，以确定该URL是否为病毒，以便采取相应措施。但是，通过人工比对的方式比对URL会存在比对效率较低的问题。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开的目的在于提供一种地址类别判定方法、地址类别判定装置、计算机可读存储介质及电子设备，进而在一定程度上克服通过人工比对的方式比对URL存在的比对效率较低的问题，进而提升URL的比对效率，降低人工成本，同时提高了发现病毒家族的概率和准确率。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的第一方面，提供一种地址类别判定方法，包括：

对输入的地址进行分词处理，得到多个特征值；

根据多个特征值分别对应的哈希值计算出地址的哈希值；

若检测到数据库中存在与地址的哈希值对应的目标哈希值，则判定地址与目标哈希值对应的地址属于同类地址。

在本公开的一种示例性实施例中，根据多个特征值分别对应的哈希值计算出地址的哈希值，包括：

计算多个特征值分别对应的哈希值；

根据预设权重对多个哈希值进行加权求和，得到待处理哈希值；

将待处理哈希值进行降维处理，得到地址的哈希值。

在本公开的一种示例性实施例中，该地址类别判定方法还包括：

若检索到数据库中存在地址，则输出地址所属类别的类别信息；类别信息包括类别介绍、类别中的地址列表以及类别中的信息摘要。

在本公开的一种示例性实施例中，若检测到数据库中存在与地址的哈希值对应的目标哈希值，则判定地址与目标哈希值对应的地址属于同类地址，包括：

分别计算数据库中每个地址的哈希值与地址的哈希值之间的哈希距离；

将哈希距离小于预设距离的哈希值确定为目标哈希值，判定地址与目标哈希值对应的地址属于同类地址。

在本公开的一种示例性实施例中，对输入的地址进行分词处理，得到多个特征值，包括：

对输入的地址中的参数字符串进行格式化处理，对格式化处理后的地址进行分词处理，得到多个特征值。

在本公开的一种示例性实施例中，该地址类别判定方法还包括：

将地址及地址对应的哈希值存储于地址所属的类别中，类别中包括目标哈希值及目标哈希值对应的地址。

在本公开的一种示例性实施例中，数据库中包括多种类别，每个类别中包括至少一个地址。

根据本公开的第二方面，提供一种地址类别判定装置，包括特征值确定单元、哈希值计算单元以及类别判定单元，其中：

特征值确定单元，用于对输入的地址进行分词处理，得到多个特征值；

哈希值计算单元，用于根据多个特征值分别对应的哈希值计算出地址的哈希值；

类别判定单元，用于在检测到数据库中存在与地址的哈希值对应的目标哈希值时，判定地址与目标哈希值对应的地址属于同类地址。

在本公开的一种示例性实施例中，哈希值计算单元根据多个特征值分别对应的哈希值计算出地址的哈希值的方式具体为：

哈希值计算单元计算多个特征值分别对应的哈希值；

哈希值计算单元根据预设权重对多个哈希值进行加权求和，得到待处理哈希值；

哈希值计算单元将待处理哈希值进行降维处理，得到地址的哈希值。

在本公开的一种示例性实施例中，该地址类别判定装置还包括信息输出单元，其中：

信息输出单元，用于在检索到数据库中存在地址时，输出地址所属类别的类别信息；类别信息包括类别介绍、类别中的地址列表以及类别中的信息摘要。

在本公开的一种示例性实施例中，类别判定单元在检测到数据库中存在与地址的哈希值对应的目标哈希值时，判定地址与目标哈希值对应的地址属于同类地址的方式具体为：

类别判定单元分别计算数据库中每个地址的哈希值与地址的哈希值之间的哈希距离；

类别判定单元将哈希距离小于预设距离的哈希值确定为目标哈希值，判定地址与目标哈希值对应的地址属于同类地址。

在本公开的一种示例性实施例中，特征值确定单元对输入的地址进行分词处理，得到多个特征值的方式具体为：

特征值确定单元对输入的地址中的参数字符串进行格式化处理，对格式化处理后的地址进行分词处理，得到多个特征值。

在本公开的一种示例性实施例中，该地址类别判定装置还包括地址存储单元，其中：

地址存储单元，用于将地址及地址对应的哈希值存储于地址所属的类别中，类别中包括目标哈希值及目标哈希值对应的地址。

在本公开的一种示例性实施例中，数据库中包括多种类别，每个类别中包括至少一个地址。

根据本公开的第三方面，提供一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的方法。

根据本公开的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意一项所述的方法。

本公开示例性实施例可以具有以下部分或全部有益效果：

在本公开的一示例实施方式所提供的地址类别判定方法中，可以对输入的地址(即，URL)进行分词处理，得到多个特征值，也可以理解为，将URL分割为多个部分(如，协议、域名、端口等)，每个部分为一个特征值，进而，再根据多个特征值分别对应的哈希值计算出地址的哈希值，若检测到数据库中存在与地址的哈希值对应的目标哈希值，则判定地址与目标哈希值对应的地址属于同类地址。依据上述方案描述，本公开一方面能够在一定程度上克服通过人工比对的方式比对URL存在的比对效率较低的问题，进而提升URL的比对效率，降低人工成本，同时提高了发现病毒家族的概率和准确率；另一方面，能够提升比对的准确性，进而提升比对效果，并提升病毒聚类、源头追溯以及病毒查杀效率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了可以应用本公开实施例的一种地址类别判定方法及地址类别判定装置的示例性系统架构的示意图；

图2示出了适于用来实现本公开实施例的电子设备的计算机系统的结构示意图；

图3示意性示出了根据本公开的一个实施例的地址类别判定方法的流程图；

图4示意性示出了根据本公开的一个实施例中对地址进行分词处理的示意图；

图5示意性示出了根据本公开的一个实施例中根据多个特征值分别对应的哈希值计算出地址的哈希值的示意图；

图6示意性示出了根据本公开的一个实施例的地址类别判定方法的架构图；

图7示意性示出了根据本公开的另一个实施例的地址类别判定方法的架构图；

图8示意性示出了根据本公开的一个实施例中的地址类别判定装置的结构框图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

图1示出了可以应用本公开实施例的一种地址类别判定方法及装置的示例性应用环境的系统架构的示意图。

如图1所示，系统架构100可以包括终端设备101、102、103中的一个或多个，网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。终端设备101、102、103可以是具有显示屏的各种电子设备，包括但不限于台式计算机、便携式计算机、智能手机和平板电脑等等。应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。比如服务器105可以是多个服务器组成的服务器集群等。

本公开实施例所提供的地址类别判定方法一般由服务器105执行，相应地，地址类别判定装置一般设置于服务器105中。但本领域技术人员容易理解的是，本公开实施例所提供的地址类别判定方法也可以由终端设备101、102、103执行，相应的，地址类别判定装置也可以设置于终端设备101、102、103中，本示例性实施例中对此不做特殊限定。举例而言，在一种示例性实施例中，服务器105可以对输入的地址进行分词处理，得到多个特征值，并根据多个特征值分别对应的哈希值计算出地址的哈希值，若检测到数据库中存在与地址的哈希值对应的目标哈希值，则判定地址与目标哈希值对应的地址属于同类地址。

图2示出了适于用来实现本公开实施例的电子设备的计算机系统的结构示意图。

需要说明的是，图2示出的电子设备的计算机系统200仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图2所示，计算机系统200包括中央处理单元(CPU)201，其可以根据存储在只读存储器(ROM)202中的程序或者从存储部分208加载到随机访问存储器(RAM)203中的程序而执行各种适当的动作和处理。在RAM 203中，还存储有系统操作所需的各种程序和数据。CPU201、ROM 202以及RAM 203通过总线204彼此相连。输入/输出(I/O)接口205也连接至总线204。

以下部件连接至I/O接口205：包括键盘、鼠标等的输入部分206；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分207；包括硬盘等的存储部分208；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分209。通信部分209经由诸如因特网的网络执行通信处理。驱动器210也根据需要连接至I/O接口205。可拆卸介质211，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器210上，以便于从其上读出的计算机程序根据需要被安装入存储部分208。

特别地，根据本公开的实施例，下文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分209从网络上被下载和安装，和/或从可拆卸介质211被安装。在该计算机程序被中央处理单元(CPU)201执行时，执行本申请的方法和装置中限定的各种功能。在一些实施例中，计算机系统200还可以包括AI(ArtificialIntelligence，人工智能)处理器，该AI处理器用于处理有关机器学习的计算操作。

需要说明的是，本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如下述实施例中所述的方法。例如，所述的电子设备可以实现如图3所示的各个步骤等。

以下对本公开实施例的技术方案进行详细阐述：

互联网中存在各种各样的病毒，不同的病毒具有不同的URL，为了维护网络安全，通常需要相关人员对疑似病毒的URL进行比对，以确定该URL是否为病毒，以便采取相应措施。但是，通过人工比对的方式比对URL会存在比对效率较低的问题。

基于上述一个或多个问题，本示例实施方式提供了一种地址类别判定方法。该地址类别判定方法可以应用于上述服务器105，也可以应用于上述终端设备101、102、103中的一个或多个，本示例性实施例中对此不做特殊限定。参考图3所示，该地址类别判定方法可以包括以下步骤S310至步骤S330：

步骤S310：对输入的地址进行分词处理，得到多个特征值。

步骤S320：根据多个特征值分别对应的哈希值计算出地址的哈希值。

步骤S330：若检测到数据库中存在与地址的哈希值对应的目标哈希值，则判定地址与目标哈希值对应的地址属于同类地址。

在本公开的一示例实施方式所提供的地址类别判定方法中，可以对输入的地址(即，URL)进行分词处理，得到多个特征值，也可以理解为，将URL分割为多个部分(如，协议、域名、端口等)，每个部分为一个特征值，进而，再根据多个特征值分别对应的哈希值计算出地址的哈希值，若检测到数据库中存在与地址的哈希值对应的目标哈希值，则判定地址与目标哈希值对应的地址属于同类地址。依据上述方案描述，本公开一方面能够在一定程度上克服通过人工比对的方式比对URL存在的比对效率较低的问题，进而提升URL的比对效率，降低人工成本；另一方面能够提升比对的准确性，进而提升比对效果，同时提高了发现病毒家族的概率和准确率。

下面，对于本示例实施方式的上述步骤进行更加详细的说明。

在步骤S310中，对输入的地址进行分词处理，得到多个特征值。

本示例实施方式中，输入的地址可以为统一资源定位符(URL)，URL中可以包括协议(如，http://)、域名(如，www.example.com)、端口(如，:80)、文件路径(如，/path/to/myfile.html)、参数(如，？key1＝value&key2＝value2)以及片段(如，#SomewhereInTheDocument)。此外，输入的地址可以为病毒URL，通过确定出不同种类下的多种病毒URL，有利于构建关于病毒URL的数据库，以进行有针对性的防御，提升网络的安全性。

本示例实施方式中，对输入的地址进行分词处理可以理解为将地址分割为协议、域名、端口、文件路径、参数以及片段，其中，协议、域名、端口、文件路径、参数以及片段为上述的多个特征值。

本示例实施方式中，可选的，对输入的地址进行分词处理，得到多个特征值，包括：

对输入的地址中的参数字符串进行格式化处理，对格式化处理后的地址进行分词处理，得到多个特征值。

本示例实施方式中，格式化处理用于将地址中的参数字符串调整为预先设置的标准格式，以提升比对效率以及URL聚类的准确性。此外，对格式化处理后的地址进行分词处理是为了能够从多个维度提取地址中的特征信息，对输入的地址进行分词处理的方式可以为，根据URL的协议格式对输入的地址进行分词处理；举例来说，协议格式可以为：协议://主机名/路径/文件/参数1&参数2&参数N。此外，得到多个特征值之后，还可以包括：以键值形式对多个特征值进行存储。

举例来说，如果存在第一URL：http://1.2.3.4/login？a＝1&b＝2&c＝3，以及第二URL：http://5.6.5.8/login？c＝10&a＝20&b＝30，第一URL中的参数字符串为a＝1&b＝2&c＝3，第二URL中的参数字符串为c＝10&a＝20&b＝30。对第二URL中的参数字符串进行格式化处理之后得到a＝&b＝&c＝。

如果对未进行格式化处理的URL进行哈希计算，可以得到如下表所示的结果：

可见，第一URL和第二URL的哈希值之间的哈希距离为36。

如果对格式化处理后的URL进行哈希计算，可以得到如下表所示的结果：

可见，第一URL和第二URL的哈希值之间的哈希距离为0。

另外，请参阅图4，图4示意性示出了根据本公开的一个实施例中对地址进行分词处理的示意图。如图4所示，第一URL401为http://1.2.3.4/login？a＝1&b＝2&c＝3，第二URL402为http://5.6.5.8/login？c＝10&a＝20&b＝30，对第一URL401进行参数字符串格式化之后，可以得到http://1.2.3.4/login？a＝&b＝&c＝，其编号为403，对第二URL402进行参数字符串格式化之后，可以得到http://5.6.5.8/login？a＝&b＝&c＝，其编号为404；进一步地，对http://1.2.3.4/login？a＝&b＝&c＝进行分词处理可以得到以下特征值：http://(编号为405)、1.2.3.4(编号为406)、/login？(编号为407)、a＝&b＝&c＝(编号为408)以及123(编号为409)；对http://5.6.5.8/login？a＝&b＝&c＝进行分词处理可以得到以下特征值：http://(编号为405)、5.6.5.8(编号为410)、/login？(编号为407)、a＝&b＝&c＝(编号为408)以及102030(编号为411)。

具体地，当需要对第一URL401和第二URL402进行比对时，可以先对第一URL401和第二URL402分别进行参数字符串的格式化，再对格式化后的第一URL403和第二URL404进行分词处理，以得到多个特征值。

可见，实施该可选的实施方式，能够一定程度上避免因URL参数的数值或顺序不同而影响分类效果的问题，提升对于URL的比对效率、分类效率以及提升URL聚类的准确性。

在步骤S320中，根据多个特征值分别对应的哈希值计算出地址的哈希值。

本示例实施方式中，哈希值可以为通过Simhash计算得到的一种特征向量，Simhash是一种局部敏感hash算法，其主要思想是降维，即，将高维的特征向量映射成低维的特征向量。另外，需要说明的是，相同的地址对应相同的哈希值，地址相似度越高，哈希值相似度越高。

可见，实施图3所示的地址类别判定方法，能够克服通过人工比对的方式比对URL存在的比对效率较低的问题，进而提升URL的比对效率，降低人工成本，同时提高了发现病毒家族的概率和准确率；以及，能够提升比对的准确性，进而提升比对效果，并提升病毒聚类、源头追溯以及病毒查杀效率。

本示例实施方式中，可选的，根据多个特征值分别对应的哈希值计算出地址的哈希值，包括：

计算多个特征值分别对应的哈希值；

根据预设权重对多个哈希值进行加权求和，得到待处理哈希值；

将待处理哈希值进行降维处理，得到地址的哈希值。

本示例实施方式中，预设权重中规定了不同特征值对应的权重大小。此外，根据预设权重对多个哈希值进行加权求和，得到待处理哈希值的方式具体可以为：对多个哈希值分别进行加权后再对所有哈希值进行合并累加，以得到待处理哈希值。其中，对多个哈希值分别进行加权的方式可以为：根据domian的广度对多个哈希值分别进行加权，domian是查找网站反向链接数量。

举例来说，请参阅图5，图5示意性示出了根据本公开的一个实施例中根据多个特征值分别对应的哈希值计算出地址的哈希值的示意图。

如图5所示，第一URL501为，http://1.2.3.4/login？a＝1&b＝2&c＝3，其中，第一URL501与图4中的第一URL401相同。对http://1.2.3.4/login？a＝1&b＝2&c＝3进行分词处理之后，可以得到http://(编号为502)、1.2.3.4(编号为503)、/login？(编号为504)以及123(编号为506)等多个特征值。

进而，通过计算多个特征值分别对应的哈希值能够确定出http://对应的哈希值10 0 1 0 1(编号为507)、1.2.3.4对应的哈希值1 0 1 0 1 1(编号为508)、/login？对应的哈希值1 0 1 0 1 0(编号为509)以及123对应的哈希值1 1 1 0 1 1(编号为511)。

进一步地，再对上述各特征值对应的哈希值进行加权处理，1 0 0 1 0 1加权处理后为5 -5 5 -5 5 5(编号为512)、1 0 1 0 1 1加权处理后为4 -4 -4 4 -4 4(编号为513)、1 0 1 0 1 0加权处理后为3 -3 3 -3 3 -3(编号为514)、1 1 1 0 1 1加权处理后为4 4 4 -4 4 4(编号为516)。

更进一步地，对加权后的各项特征值进行合并累加，即，将哈希值的每一位对应相加，得到32 -26 42 -13 55 13(编号为517)，也就是上述的待处理哈希值，对32 -26 42 -13 55 13进行降维之后可以得到1 0 1 0 1 1(编号为518)，即，地址的哈希值。另外，图5中的省略号用于表示其他未示出的特征值。

可见，实施该可选的实施方式，能够通过对待处理哈希值进行降维处理，以简化地址对应的哈希值，以便用于比对，提升对于地址分类的效率。

在步骤S330中，若检测到数据库中存在与地址的哈希值对应的目标哈希值，则判定地址与目标哈希值对应的地址属于同类地址。

本示例实施方式中，该数据库用于存储每个类别对应的一个多个地址。此外，目标哈希值可以理解为与该地址的哈希值较为相似的一种哈希值，如果存在与该地址的哈希值相似的哈希值，则说明数据库中存在一类地址与该地址相似，该地址也属于目标哈希值对应的地址所属的类别。

本示例实施方式中，可选的，若检测到数据库中存在与地址的哈希值对应的目标哈希值，则判定地址与目标哈希值对应的地址属于同类地址，包括：

分别计算数据库中每个地址的哈希值与地址的哈希值之间的哈希距离；

将哈希距离小于预设距离的哈希值确定为目标哈希值，判定地址与目标哈希值对应的地址属于同类地址。

本示例实施方式中，哈希距离用于表示哈希值的相似程度，由于哈希值可以为特征向量，故，哈希距离也可以理解为向量距离，用于表示向量的相似度。

本示例实施方式中，计算哈希距离的方式可以为通过计算两个哈希值之间的欧氏距离，以欧式距离来表征哈希值相似度，也可以计算两个哈希值之间的余弦距离，以余弦距离来表征哈希值相似度，本公开的实施例不作限定。

其中，欧式距离是在m维空间中两个点之间的真实距离或者向量的自然长度，在二维和三维空间中的欧式距离就是两点之间的实际距离；余弦距离是用向量空间中两个向量夹角的余弦值作为衡量两个个体间差异的大小的度量，具体表达式如下：

欧氏距离：

余弦距离：

其中，i可以为正整数，x和y用于表示x坐标和y坐标。

本示例实施方式中，与该地址的哈希值之间的哈希距离小于预设距离的数据库中的哈希值可以被认为是与该地址的哈希值相似的哈希值，该地址可以与相似的哈希值对应的地址归为一类。

可见，实施该可选的实施方式，能够通过计算哈希距离的方式，对地址进行分类，以提升地址分类的效率，减少人工分类成本。

本示例实施方式中，可选的，该地址类别判定方法还包括：

若检索到数据库中存在地址，则输出地址所属类别的类别信息；类别信息包括类别介绍、类别中的地址列表以及类别中的信息摘要。

可见，实施该可选的实施方式，在数据库中已存在地址的情况下，能够输出地址所属类别的类别信息，以避免重复比对，提升资源利用率。

本示例实施方式中，可选的，该地址类别判定方法还包括：

将地址及地址对应的哈希值存储于地址所属的类别中，类别中包括目标哈希值及目标哈希值对应的地址。

本示例实施方式中，数据库中包括多种类别，每个类别中包括至少一个地址。

可见，实施该可选的实施方式，能够通过对URL数据库的丰富，方便相关人员根据数据库中存储的数据进行相应的网站维护。

请参阅图6，图6示意性示出了根据本公开的一个实施例的地址类别判定方法的架构图。如图6所示，图6中包括Web展示601、Faiss计算服务器602、URL数据库603、特征计算服务器605以及多个URL604。

其中，Web展示601可以理解为展示给用户的网页页面，Faiss计算服务器602用于读取页面中的查询请求。

多个URL604，即，依托管家海量的进程访问URL数据，数据量可以为10亿级/天。

特征计算服务器605用于根据多个URL604对每日URL数据进行计算，以通过读取多个URL604确定出URL数据库603中没有的URL对应的哈希值，如果URL数据库603中没有该URL，则将该URL写入URL数据库603。还用于提取URL604的参数，以键值形式(即，{key：value})存储，并按key(键)对参数进行排序，以拼接得到新的URL(即，格式化后的URL)，这样能够一定程度上降低参数顺序混乱对URL聚类造成的影响。还用于对新的URL按格式进行拆分；其中，每个参数都会被分割为{key：value}形式。进而，还用于根据domian的广度对各个分词进行加权，以计算各分词的哈希值存入数据库。其中，需要说明的是，特征计算服务器605是先对分词进行加权再计算分词哈希还是先计算分词哈希再进行分词哈希加权，本公开的实施例不作限定。

URL数据库603可以理解为家族URL特征库，用于存储每个家族(即，类)中的URL对应哈希值以及类别信息等。

Faiss计算服务器602是通过Faiss库算法检索URL数据库603中与输入的URL相关的家族信息，即，特征匹配，如果URL数据库603中不存在该URL的哈希值，则通过特征计算服务器605对该URL进行特征计算，以便将其与URL数据库603中的URL进行比对。

此外，Faiss服务器602可以对外提供一个接口：http://sample.pcmgr.wsd.com/faiss？url＝{％s}。在Faiss服务器602接收到请求后，可以提取URL相关信息，并去特征库查询该URL是否已经提取特征，如果已经提取URL特征，那么直接返回病毒家族的相关信息(即，上述的类别信息)，如，家族介绍(即，上述的类别介绍)，家族URL列表(即，上述的类别中的地址列表)以及家族MD5列表(即，上述的类别中的信息摘要)等；如果未提取URL特征，则把该URL推送至特征计算服务器605。

另外，需要说明的是，Faiss是开源的相似性搜索的类库，能够快速从多媒体文档中搜索出相似的条目。

可见，结合图6所示的地址类别判定方法的架构图实施本公开的实施例，能够克服通过人工比对的方式比对URL存在的比对效率较低的问题，进而提升URL的比对效率，降低人工成本，同时提高了发现病毒家族的概率和准确率；以及，能够提升比对的准确性，进而提升比对效果。

基于图6所示的地址类别判定方法的架构图，请参阅图7，图7示意性示出了根据本公开的另一个实施例的地址类别判定方法的架构图。如图7所示，另一个实施例的地址类别判定方法的架构图包括输入URL701、返回输出地址所属类别的类别信息702、Faiss计算服务器703、URL数据库704以及特征计算服务器705；其中，特征计算服务器705包括如下功能：参数格式化7051、分词7052、哈希7053、加权7054、合并累加7055以及降维7056。

具体地，当接收到输入的URL701后Faiss计算服务器搜索URL数据中是否存在该URL，如果不存在该URL，则通过特征计算服务器705对其进行参数格式化7051、分词7052、哈希7053、加权7054、合并累加7055以及降维7056，以获得与该URL对应的哈希，以便与URL数据库704进行比对；如果存在该URL，则输出该URL所属类别的类别信息702。

此外，需要说明的是，Faiss计算服务器703与Faiss计算服务器602相同，特征计算服务器705与特征计算服务器605相同，且URL数据库704与URL数据库603相同。

可见，实施结合图7所示的另一个实施例的地址类别判定方法的架构图实施本公开的实施例，能够克服通过人工比对的方式比对URL存在的比对效率较低的问题，进而提升URL的比对效率，降低人工成本；以及，能够提升比对的准确性，进而提升比对效果。

进一步的，本示例实施方式中，还提供了一种地址类别判定装置。该地址类别判定装置可以应用于一服务器或终端设备。参考图8所示，该地址类别判定装置可以包括特征值确定单元801、哈希值计算单元802以及类别判定单元803，其中：

特征值确定单元801，用于对输入的地址进行分词处理，得到多个特征值；

哈希值计算单元802，用于根据多个特征值分别对应的哈希值计算出地址的哈希值；

类别判定单元803，用于在检测到数据库中存在与地址的哈希值对应的目标哈希值时，判定地址与目标哈希值对应的地址属于同类地址。

可见，实施图8所示的地址类别判定装置，能够克服通过人工比对的方式比对URL存在的比对效率较低的问题，进而提升URL的比对效率，降低人工成本；以及，能够提升比对的准确性，进而提升比对效果，并提升病毒聚类、源头追溯以及病毒查杀效率。

在本公开的一种示例性实施例中，哈希值计算单元802根据多个特征值分别对应的哈希值计算出地址的哈希值的方式具体为：

哈希值计算单元802计算多个特征值分别对应的哈希值；

哈希值计算单元802根据预设权重对多个哈希值进行加权求和，得到待处理哈希值；

哈希值计算单元802将待处理哈希值进行降维处理，得到地址的哈希值。

可见，实施该示例性实施例，能够通过对待处理哈希值进行降维处理，以简化地址对应的哈希值，以便用于比对，提升对于地址分类的效率。

在本公开的一种示例性实施例中，该地址类别判定装置还包括信息输出单元(未图示)，其中：

信息输出单元，用于在检索到数据库中存在地址时，输出地址所属类别的类别信息；类别信息包括类别介绍、类别中的地址列表以及类别中的信息摘要。

可见，实施该示例性实施例，在数据库中已存在地址的情况下，能够输出地址所属类别的类别信息，以避免重复比对，提升资源利用率。

在本公开的一种示例性实施例中，类别判定单元803在检测到数据库中存在与地址的哈希值对应的目标哈希值时，判定地址与目标哈希值对应的地址属于同类地址的方式具体为：

类别判定单元803分别计算数据库中每个地址的哈希值与地址的哈希值之间的哈希距离；

类别判定单元803将哈希距离小于预设距离的哈希值确定为目标哈希值，判定地址与目标哈希值对应的地址属于同类地址。

可见，实施该示例性实施例，能够通过计算哈希距离的方式，对地址进行分类，以提升地址分类的效率，减少人工分类成本。

在本公开的一种示例性实施例中，特征值确定单元801对输入的地址进行分词处理，得到多个特征值的方式具体为：

特征值确定单元801对输入的地址中的参数字符串进行格式化处理，对格式化处理后的地址进行分词处理，得到多个特征值。

可见，实施该示例性实施例，能够一定程度上避免因URL参数的数值或顺序不同而影响分类效果的问题，提升对于URL的比对效率以及分类效率。

在本公开的一种示例性实施例中，该地址类别判定装置还包括地址存储单元(未图示)，其中：

地址存储单元，用于将地址及地址对应的哈希值存储于地址所属的类别中，类别中包括目标哈希值及目标哈希值对应的地址。

其中，可选的，数据库中包括多种类别，每个类别中包括至少一个地址。

可见，实施该示例性实施例，能够通过对URL数据库的丰富，方便相关人员根据数据库中存储的数据进行相应的网站维护。

此外，需要说明的是，本公开除了基于样本访问URL进行家族聚类之外，还可以利用样本的动态信息进行样本家族聚类，如样本的访问IP或样本的父子关系等各种动态关系链进行家族聚类，本公开的实施例不作限定。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

由于本公开的示例实施例的地址类别判定装置的各个功能模块与上述地址类别判定方法的示例实施例的步骤对应，因此对于本公开装置实施例中未披露的细节，请参照本公开上述的地址类别判定方法的实施例。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims (10)

1.一种地址类别判定方法，其特征在于，包括：

对输入的地址进行分词处理，得到多个特征值；

根据所述多个特征值分别对应的哈希值计算出所述地址的哈希值；

若检测到数据库中存在与所述地址的哈希值对应的目标哈希值，则判定所述地址与所述目标哈希值对应的地址属于同类地址。

2.根据权利要求1所述的方法，其特征在于，根据所述多个特征值分别对应的哈希值计算出所述地址的哈希值，包括：

计算所述多个特征值分别对应的哈希值；

根据预设权重对多个所述哈希值进行加权求和，得到待处理哈希值；

将所述待处理哈希值进行降维处理，得到所述地址的哈希值。

3.根据权利要求1所述的方法，其特征在于，还包括：

若检索到所述数据库中存在所述地址，则输出所述地址所属类别的类别信息；所述类别信息包括类别介绍、所述类别中的地址列表以及所述类别中的信息摘要。

4.根据权利要求1所述的方法，其特征在于，若检测到数据库中存在与所述地址的哈希值对应的目标哈希值，则判定所述地址与所述目标哈希值对应的地址属于同类地址，包括：

分别计算数据库中每个地址的哈希值与所述地址的哈希值之间的哈希距离；

将所述哈希距离小于预设距离的哈希值确定为目标哈希值，判定所述地址与所述目标哈希值对应的地址属于同类地址。

5.根据权利要求1所述的方法，其特征在于，对输入的地址进行分词处理，得到多个特征值，包括：

对输入的地址中的参数字符串进行格式化处理，对格式化处理后的地址进行分词处理，得到多个特征值。

6.根据权利要求1所述的方法，其特征在于，还包括：

将所述地址及所述地址对应的哈希值存储于所述地址所属的类别中，所述类别中包括所述目标哈希值及所述目标哈希值对应的地址。

7.根据权利要求6所述的方法，其特征在于，所述数据库中包括多种类别，每个类别中包括至少一个地址。

8.一种地址类别判定装置，其特征在于，包括：

特征值确定单元，用于对输入的地址进行分词处理，得到多个特征值；

哈希值计算单元，用于根据所述多个特征值分别对应的哈希值计算出所述地址的哈希值；

类别判定单元，用于在检测到数据库中存在与所述地址的哈希值对应的目标哈希值时，判定所述地址与所述目标哈希值对应的地址属于同类地址。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1-7任一项所述的方法。

10.一种电子设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1-7任一项所述的方法。

Images