CN114553555A

CN114553555A - 恶意网址识别方法、装置、存储介质及电子设备

Info

Publication number: CN114553555A
Application number: CN202210174185.2A
Authority: CN
Inventors: 王帅; 周一男; 廖崇粮
Original assignee: Beijing ByteDance Network Technology Co Ltd
Current assignee: Beijing ByteDance Network Technology Co Ltd
Priority date: 2022-02-24
Filing date: 2022-02-24
Publication date: 2022-05-27
Anticipated expiration: 2042-02-24
Also published as: WO2023160446A1; CN114553555B

Abstract

本公开涉及一种恶意网址识别方法、装置、存储介质及电子设备，其中方法包括：获取根据网页浏览数据生成的目标异构图；其中，目标异构图中的多个节点包括表征根据网页浏览数据确定的多个网址的节点，和表征在多个网址中产生的不同预设行为的节点；获取根据目标异构图训练得到的图卷积深度模型；将目标异构图中待识别网址对应的节点的特征输入到图卷积深度模型中，获取图卷积深度模型输出的分类结果，根据分类结果确定待识别网址是否为恶意网址。本公开基于用户的网页浏览数据中的真实网页浏览历史构建目标异构图，能够充分挖掘和利用不同网址之间的关系，以及网址中的各种下载、拉端等异常行为，从而及时、准确地识别未知网址是否为恶意网址。

Description

恶意网址识别方法、装置、存储介质及电子设备

技术领域

本公开涉及数据处理技术领域，具体地，涉及一种恶意网址识别方法、装置、存储介质及电子设备。

背景技术

随着互联网的不断发展，各式各样的站点和网页也越来越丰富，而这样的繁荣也为黑灰产带来了可乘之机，通过网页上各种恶意手段亦或是有害信息来攫取利益，为了对抗这种攻击行为，多种恶意网页的识别方法应运而生。而伴随着移动互联的繁荣，5G的兴起，恶意网页的传播也呈现出一些新的特点，例如随着移动端设备的持续增长，针对移动设备的恶意网页也随之增加，而且其危害行为不同于PC端的表现，此外，部分恶意网页的生命周期持续缩短，以钓鱼网站为例，其生存周期已经从平均几十小时左右下降到几小时左右，恶意网页生命周期的缩短对恶意网页识别的时效性提出新的挑战。目前的识别方法仅仅根据孤立的信息来识别恶意域名或者恶意网页，不能充分、高效地打击越来越隐蔽的恶意站点。

发明内容

提供该发明内容部分以便以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。

第一方面，本公开提供一种恶意网址识别方法，包括：

获取根据网页浏览数据生成的目标异构图；其中，所述目标异构图包括多个节点、每个节点的特征和节点与节点之间边的权重，所述多个节点包括表征根据所述网页浏览数据确定的多个网址的节点，和表征在所述多个网址中产生的不同预设行为的节点，且具有跳转关系的每两个网址对应的节点相连，每个预设行为对应的节点与产生该预设行为的网址对应的节点相连；

获取根据所述目标异构图训练得到的图卷积深度模型，所述图卷积深度模型用于根据输入的节点的特征输出相应的分类结果，所述分类结果用于表征该节点是否为恶意节点；

将所述目标异构图中待识别网址对应的节点的特征输入到所述图卷积深度模型中，获取所述图卷积深度模型输出的分类结果，根据所述分类结果确定所述待识别网址是否为恶意网址。

第二方面，本公开提供一种恶意网址识别装置，包括：

目标异构图获取模块，用于获取根据网页浏览数据生成的目标异构图；其中，所述目标异构图包括多个节点、每个节点的特征和节点与节点之间边的权重，所述多个节点包括表征根据所述网页浏览数据确定的多个网址的节点，和表征在所述多个网址中产生的不同预设行为的节点，且具有跳转关系的每两个网址对应的节点相连，每个预设行为对应的节点与产生该预设行为的网址对应的节点相连；

图卷积模型获取模块，用于获取根据所述目标异构图训练得到的图卷积深度模型，所述图卷积深度模型用于根据输入的节点的特征输出相应的分类结果，所述分类结果用于表征该节点是否为恶意节点；

恶意网址识别模块，用于将所述目标异构图中待识别网址对应的节点的特征输入到所述图卷积深度模型中，获取所述图卷积深度模型输出的分类结果，根据所述分类结果确定所述待识别网址是否为恶意网址。

第三方面，本公开提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理装置执行时实现第一方面所述方法的步骤。

第四方面，本公开提供一种电子设备，包括：

存储装置，其上存储有计算机程序；

处理装置，用于执行所述存储装置中的所述计算机程序，以实现第一方面所述方法的步骤。

在本公开提供的技术方案中，基于用户的网页浏览数据中的真实网页浏览历史构建目标异构图，目标异构图中的多个节点包括：表征根据网页浏览数据确定的多个网址的节点，和表征在各个网址中产生的不同预设行为的节点，而且基于网址间的跳转关系，将具有跳转关系的每两个网址对应的节点相连，基于各个网址中产生的各种预设行为，将每个预设行为对应的节点与产生该预设行为的网址对应的节点相连，因此目标异构图能够充分挖掘和描述不同网址之间的关系，以及网址中的各种下载、拉端、快应用等异常行为。基于该目标异构图训练图卷积深度模型，再利用训练好的图卷积深度模型和目标异构图中未知网址对应的节点的特征预测该未知网址的分类结果，从而及时、准确地识别出未知网址是否为恶意网址。

本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

结合附图并参考以下具体实施方式，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中，相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的，原件和元素不一定按照比例绘制。在附图中：

图1是本公开一示例性实施例提供的恶意网址识别方法的流程图；

图2是本公开一示例性实施例提供的根据网页浏览数据生成目标异构图的流程图；

图3是本公开一示例性实施例生成的一种图结构示意图；

图4是本公开一示例性实施例生成的一种图结构示意图；

图5是本公开一示例性实施例提供的将文本信息与跨域异构图相结合获得目标异构图的流程图；

图6是本公开一示例性实施例生成的一种图结构示意图；

图7是本公开一示例性实施例提供的恶意网址识别装置的框图；

图8是本公开一示例性实施例提供的电子设备的框图。

具体实施方式

下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例，相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。

应当理解，本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。

本文使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”；术语“另一实施例”表示“至少一个另外的实施例”；术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。

需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。

需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。

本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。

本公开中所有获取信号、信息或数据的动作都是在遵照所在地国家相应的数据保护法规政策的前提下，并获得由相应装置所有者给予授权的情况下进行的。

恶意网页即通过传播恶意信息或通过钓鱼等手段来攫取利益的有害网页，而恶意网页识别技术可通过专家规则、人工特征、机器学习或人工智能等技术手段来识别互联网上的恶意网页，保护互联网用户的浏览安全。一般而言，恶意网页识别技术可以分为三类，包括：基于特征的方法，例如基于网页本身的一些内容(如识别网页中是否存在违禁词)来确定其是否为恶意网页；基于深度学习的方法，例如将上述网页本身的内容处理成算法所需的特征，再利用深度学习模型对上述特征进行分类，从而确定该网页是否为恶意网页；基于YARA技术的方法(来源于恶意软件或病毒识别)。然而上述这些技术并没有充分挖掘和使用恶意网页之间的关系，仅仅根据孤立的信息进行恶意网页的识别，不能充分地打击越来越隐蔽的恶意站点。

在一示例性实施例中，可通过预先构建各个网页之间的图结构关系，从而根据网页之间的关系来识别恶意网页。例如，依据网页中存在的外链，通过外链构建网页之间的图结构关系，得到网页外链图。再将网页外链图输入到图卷积深度模型中，从而确定每个网页是否为恶意网页。但是这种方式在实际中应用会存在如下几个问题：

1、线上用户的实际访问跟外链流量差异较大，依据外链进行数据挖掘存在信息偏差；

2、由外链构建的网页外链图(同构图)信息单一，缺少跳转等细节信息；

3、外链的流量是理想状态下的场景，无法展现线上“劫持”、“恶意导流”、“CDN投毒”等异常场景；

4、对于用户体验到的不同行为，网页外链图无法表示，如下载，拉端，快应用等。

由此，本公开实施例提出，基于用户的网页浏览数据中的真实网页浏览历史构建异构图，刻画不同网页之间的关系，根据实际流量进行图建模和挖掘，能有效过滤掉大量页面噪音，及时感知线上异常问题。具体的，本公开实施例提供了一种恶意网址识别方法。

需注意的是，本公开实施例所提及的网址可以是具体的网页(url)，也可以是从网页的url中提取出的域名，因此该恶意网址识别方法可以是恶意网页的识别方法或者恶意域名的识别方法。为便于描述，本公开实施例主要以网页为例，描述恶意网页的识别方法，当然，在网址为域名的情况下，恶意域名的识别方法可以参照恶意网页的识别方法实施。

图1示出了一示例性实施例中该恶意网址识别方法的流程图，如图1所示，该方法包括以下步骤：

S110，获取根据网页浏览数据生成的目标异构图；其中，该目标异构图包括多个节点、每个节点的特征和节点与节点之间边的权重。

S120，获取根据该目标异构图训练得到的图卷积深度模型，该图卷积深度模型用于根据输入的节点的特征输出相应的分类结果。

其中，输出的分类结果用于表征该节点是否为恶意节点。

S130，将该目标异构图中待识别网址对应的节点的特征输入到图卷积深度模型中，获取图卷积深度模型输出的分类结果，根据分类结果确定待识别网址是否为恶意网址。

接下来对上述步骤S110～S130进行详细说明：

在步骤S110中，获取根据网页浏览数据生成的目标异构图，该目标异构图包括多个节点、每个节点的特征和节点与节点之间边的权重。

其中，该多个节点包括：表征根据网页浏览数据确定的多个网址的节点，和表征在多个网址中产生的不同预设行为的节点。在该目标异构图中，具有跳转关系的每两个网址对应的节点相连，每个预设行为对应的节点与产生该预设行为的网址对应的节点相连。

其中，网页浏览数据是用户真实浏览网页产生的浏览数据，例如在得到用户的授权后，获取该用户真实浏览网页产生的浏览数据，然后根据多个用户的浏览数据得到该网页浏览数据。或者，该网页浏览数据可以是网络上公开的公共数据。该网页浏览数据记录了每个浏览的网页间的跳转关系和在每个网页中产生的不同预设行为。在获取网页浏览数据后，可根据网页浏览数据生成目标异构图。

图2示出了根据网页浏览数据生成目标异构图的流程图，如图2所示，目标异构图是根据网页浏览数据，通过如下方式生成的：

S210，根据网页浏览数据确定多个网址并生成表示每个网址的节点，将具有跳转关系的每两个网址对应的节点连接。

在一种示例中，网址为具体的网页，根据网页浏览数据中每个浏览的网页生成表示每个网页的节点，每个网页对应一个节点。该网页浏览数据中记录了网页间的跳转关系(例如用户先打开网页A，再通过点击网页A上的链接跳转到网页B)；根据该网页浏览数据中网页间的跳转关系，将具有跳转关系的每两个网页对应的节点连接，例如将网页A对应的节点与网页B对应的节点连接。

在一种示例中，网址为网页的域名，根据网页浏览数据中每个浏览的网页，提取每个网页对应的域名，然后生成表示每个域名的节点，每个域名对应一个节点。假设网页浏览数据中浏览的网页共有url1～url4，其域名分别为域名1～4，从网页浏览数据中获取网页间的跳转关系，例如用户1的访问链路为：url1→url2→url3→url4，用户2的访问链路为url2→url4，那么根据 url1～url4间的跳转关系，可生成如图3所示的图结构。在该示例中，将url 升级到域名，一方面能够减少数据量级，加速数据的分析挖掘，另一方面舍弃url中可能包含的用户身份信息，保证隐私，专注于域名本身的上下游流量变动。

S220，根据网页浏览数据中的在各个网址中的不同预设行为生成表示每个预设行为的节点，并将每个预设行为对应的节点与产生该预设行为的网址对应的节点连接。

其中，根据在网址中产生的拉端行为，生成表示该拉端行为的节点；根据在网址中产生的下载行为，生成表示该下载行为的节点；根据由网址中的JS产生的自动打开其他网页的行为，生成表示该行为中JS来源的节点。

为了挖掘线上不同类型的异常，如劫持，拉端，自动下载等问题，同时考虑到JS溯源分析的需求，在具体的实施例中，在图建模时将节点细分为多种类型，图4为构建出的异构图的一种示意图，在图4的图结构中示出了以下几种类型：

1、URL：基础的页面类型，用户访问的每个网页被构建为URL类型的节点；

2、REDIRECT：表示网页重定向，当网页A被重定向到网页B，当用户打开网页A，将自动重定向并打开网页B，其中，网页A可被构建为URL 类型的节点，网页B可被构建为REDIRECT类型的节点；

3、SRC_LOC：表示JS域名，当打开网页B后，网页B中包含的某个 JS将自动打开网页C，网页C可被构建为URL类型的节点，同时还生成 SRC_LOC类型的节点，该SRC_LOC类型的节点记录该JS的域名，网页B 对应的节点通过该SRC_LOC类型的节点与网页C对应的节点连接；

4、INTIATOR：表示JS所处的frame域名；

5、SCHEME：表示拉端行为；

6、DOWNLOAD：表示下载行为。

考虑到线上流量中的很多行为是由上游页面中的JS代码触发的，在生成异构图时引入SRC_LOC和INTIATOR两种类型的节点来记录JS来源。

S230，确定每个节点的特征并根据对网页浏览数据的统计信息确定节点与节点之间边的权重。

其中，通过如下步骤确定每个节点的特征：首先确定预设的k1个第一特征条件，然后针对每个网址对应的节点和每个预设行为对应的节点，根据该节点是否符合k1个第一特征条件，确定该节点的特征，特征的长度为k1， k1为正整数。其中，当节点符合第一特征条件时，特征中对应位置的特征值为1，否则为0。

在一种示例中，网址为具体的网页，第一特征条件可以根据网页的域名类型和url中是否含有预设的违禁词进行设置，例如k1个第一特征条件包括但不限于：

该节点表示的网页的域名类型是否为edu；

该节点表示的网页的域名类型是否为org；

该节点表示的网页的url中是否含有预设的违禁词“sex”。

根据设置的第一特征条件，针对每个网页对应的节点和每个预设行为对应的节点，依次判断该节点是否符合上述第一特征条件，假设该节点表示的网页的域名类型为edu，且url中不含违禁词“sex”，则可得到该节点的特征为[1,0,0]。由于表示预设行为的节点均不符合上述第一特征条件，则得到其特征为[0,0,0]。

其中，通过如下步骤确定节点与节点之间边的权重：

针对两个网址对应的节点之间的边，确定网页浏览数据中两个网址间的跳转次数，根据该跳转次数确定两个网址对应的节点之间边的权重，其中，两个网址对应的节点之间边的权重与该两个网址间的跳转次数成正相关。例如，可以将该两个网址间的跳转次数直接作为该两个网址对应的节点之间边的权重，或者计算该跳转次数与该网页浏览数据中的总跳转次数的比例，将该比例作为该两个网址对应的节点之间边的权重。

针对预设行为对应的节点与网址对应的节点之间的边，确定网页浏览数据中的在该网址中产生该预设行为的产生次数，根据该产生次数确定该预设行为对应的节点与该网址对应的节点之间边的权重，该预设行为对应的节点与该网址对应的节点之间边的权重与该网址中产生该预设行为的产生次数成正相关。例如，可以将该网址中产生该预设行为的产生次数直接作为该预设行为对应的节点与该网址对应的节点之间边的权重，或者计算该产生次数与该网页浏览数据中的所有预设行为的总产生次数的比例，将该比例作为该预设行为对应的节点与该网址对应的节点之间边的权重。

S240，根据生成的所有节点、每个节点的特征以及节点与节点之间边的权重获得目标异构图。

根据步骤S210～S230中生成的所有节点(包括每个网址对应的节点和每个预设行为对应的节点)、每个节点的特征以及节点与节点之间边的权重，可得到跨域异构图，根据跨域异构图可获得目标异构图。

需要说明的是，图2所示的流程中，上述步骤之间的顺序仅是一种示例，并不表明上述步骤必须按照图2所示的顺序执行，在实际过程中，上述步骤 S210～S230可以依次或并行执行，例如可以同时执行生成表示每个网址的节点的步骤和生成表示每个预设行为的节点的步骤，又例如可以边生成节点边计算节点的特征和确定节点与节点之间边的权重。

在一种示例中，直接将跨域异构图作为目标异构图。

在一种示例中，获取该网页浏览数据中浏览的网页的文本信息，将文本信息与跨域异构图相结合，获得目标异构图。

图5示出了一示例性实施例中将文本信息与跨域异构图相结合获得目标异构图的流程图，在步骤S240之前，还包括：

S310，获取每个网址对应的文本信息，对每个网址对应的文本信息进行切词，根据切词得到的每个词生成表示该词的节点。

S320，将每个词对应的节点与对应网址的节点连接，以及将所有词对应的节点两两连接。

S330，计算每个词与对应网址的文本信息间的第一互信息值，将该第一互信息值作为该词对应的节点与该网址对应的节点之间边的权重。

S340，针对每两个词对应的节点之间的边，计算两个词之间的第二互信息值，并将该第二互信息值作为两个词对应的节点之间边的权重。

在一种示例中，网址为具体的网页，获取网页浏览数据中每个浏览的网页的文本信息，对每个网页的文本信息进行切词，根据切词得到的每个词生成表示该词的节点。如根据图4的示例，获取网页A中的文本信息，对网页 A中的文本信息进行切词，得到词A1、…、An，分别生成表示词A1、…、 An的节点；获取网页B中的文本信息，对网页B中的文本信息进行切词，得到词B1、…、Bm，分别生成表示词B1、…、Bm的节点；获取网页C中的文本信息，对网页C中的文本信息进行切词，得到词C1、…、Ch，分别生成表示词C1、…、Ch的节点。然后将每个词对应的节点与对应网页的节点连接，将词A1、…、An对应的节点与网页A对应的节点连接，将词B1、…、 Bm对应的节点与网页B对应的节点连接，将词C1、…、Ch对应的节点与网页C对应的节点连接，以及将所有词对应的节点两两连接。将每个词对应的节点与图4所示的跨域异构图中对应网页的节点连接后，可得到如图6所示的图结构(未示出词与词对应的节点之间的两两连接关系)。

其中，针对每个词对应的节点与网页对应的节点之间边的权重，计算每个词与对应网页的文本信息间的第一互信息值，将该第一互信息值作为该词对应的节点与该网页对应的节点之间边的权重。其中，第一互信息值可以是该词在对应网页的文本信息中的TF-IDF(Term Frequency-Inverse Document Frequency，词频-逆文本频率指数)值。例如，将词A1在网页A的文本信息中的TF-IDF值作为词A1对应的节点与网页A对应的节点之间边的权重。

其中，针对每两个词对应的节点之间的边，计算这两个词之间的第二互信息值，并将该第二互信息值作为这两个词对应的节点之间边的权重。其中，第二互信息值可以是这两个词之间的PMI(Point-wise Mutual Information，点间互信息)值，PMI主要表征词语间的相关性，通过统计两个词语在文本中同时出现的概率，如果概率越大，这两个词的相关性就越紧密。例如，将所有网页的文本信息作为语料，在该语料中计算词A1与词Ch间的PMI值，将该PMI值作为词A1对应的节点与词Ch对应的节点之间边的权重。

此外，为了便于图卷积深度模型的计算，相同词对应的节点之间边的权重，和相同网址对应的节点之间边的权重设置为1。

S350，确定每个词对应的节点的特征。

需要说明的是，图5所示的流程中，上述步骤之间的顺序仅是一种示例，并不表明上述步骤必须按照图5所示的顺序执行，在实际过程中，上述步骤 S310～S350可以依次或并行执行，例如可以边生成每个词对应的节点边将该词对应的节点与对应网址的节点连接或其他词对应的节点连接，又例如可以同时计算词对应的节点与网址对应的节点之间边的权重，和词与词对应的节点之间边的权重。

在一种示例中，词的特征可以从其边的权重中反映，所以每个词对应的节点的特征可以全部设置为零。特征的长度为k1，保证每个词对应的节点的特征的长度与跨域异构图中每个节点的特征的长度相同。

在一种示例中，每个词对应的节点的特征可以通过如下步骤单独确定：首先确定预设的k2个第二特征条件，然后针对每个词对应的节点，根据该节点是否符合k2个第二特征条件，确定该节点的特征，特征的长度为k2， k2为正整数。其中，当节点符合第二特征条件时，特征中对应位置的特征值为1，否则为0。

示例性的，第二特征条件可以根据预设的违禁词进行设置，例如k2个第二特征条件包括但不限于：该节点表示的词是否为某些预设的违禁词等。根据设置的第二特征条件，针对每个词对应的节点，依次判断该节点是否符合设置的第二特征条件，若符合，则将对应位置的特征值设置为1，若不符合，则将对应位置的特征值设置为0，从而得到长度为k2的特征。

最终，在步骤S240中，根据步骤S210～S230和步骤S310～S350生成的所有节点(包括每个网址对应的节点、每个预设行为对应的节点和每个词对应的节点)、每个节点的特征以及节点与节点之间边的权重，可获得目标异构图。因此，目标异构图中描述了不同网址间的跳转关系、网址中产生的各种行为以及网址中的文本信息，能够准确刻画出这些网址之间的关系，进而挖掘出未知的恶意网址。

为了便于图卷积深度模型的计算，在步骤S240之前，在计算每个网址对应的节点和每个预设行为对应的节点的特征后，以及在计算每个词对应的节点的特征后，将每个长度为k2的特征和每个长度为k2的特征，重构为长度为k1+k2的特征，新增长度的特征值置为零。

需要注意的是，目标异构图中的节点包括已知非恶意节点、已知恶意节点和未知是否恶意节点。在获得目标异构图后，还需利用该目标异构图对图卷积深度模型进行训练，结合已知恶意节点和已知非恶意节点的标注数据，可以使用梯度下降法，来训练图卷积深度模型。训练好的图卷积深度模型能够根据输入的节点的特征输出相应的分类结果，该分类结果用于表征该节点是否为恶意节点。

其中，图卷积深度模型是根据目标异构图，采用如下方式训练得到：

首先设置误差损失函数；其中，误差损失函数中未知是否恶意节点对应的误差权重或误差值被设置为零，已知非恶意节点对应的误差权重和已知恶意节点对应的误差权重根据目标异构图中的实际情况，相应进行确定。

考虑到正常样本(已知非恶意节点)和异常样本(已知恶意节点)的占比差异可能较大，如目标异构图包含的5000个节点中，有1000个节点为正常样本，有100个节点为异常样本，剩余节点为未知是否恶意节点，为了避免正常样本和异常样本的比例悬殊造成图卷积深度模型的训练偏差，根据目标异构图中正常样本和异常样本的实际比例，按相反比例设置误差权重，从而将已知恶意节点的误差权重设置得更大。例如已知恶意节点的误差权重设置为10，已知非恶意节点的误差权重设置为1。

然后迭代执行如下训练步骤，直至满足训练停止条件时结束训练，得到训练好的图卷积深度模型：

步骤(1)将目标异构图输入到图卷积深度模型中并获取图卷积深度模型输出的每个节点的分类结果；

其中，目标异构图可以被表示为一个特征矩阵和一个权重矩阵，特征矩阵中每行对应一个节点的特征，权重矩阵中每行对应一个节点与其他节点之间边的权重。将特征矩阵和权重矩阵输入到图卷积深度模型中，图卷积深度模型基于特征矩阵和权重矩阵进行一系列矩阵运算，得到每个节点的分类结果。示例性的，每个节点的分类结果为0～1之间的分类概率，当该分类概率低于预设阈值时，认为该节点为非恶意节点，当该分类概率不低于预设阈值时，认为该节点为恶意节点。

步骤(2)基于误差损失函数，根据每个节点的分类结果确定每个节点对应的误差值以及根据每个节点对应的误差值计算损失；

基于设置的误差损失函数，根据图卷积深度模型输出的每个节点的分类结果和每个节点的标注数据确定每个节点对应的误差值，再根据每个节点对应的误差值计算损失。其中，由于未知是否恶意节点对应的误差权重或误差值被设置为零，因此计算的损失中不考虑未知是否恶意节点的误差。

步骤(3)根据损失更新图卷积深度模型的参数。

在计算损失后，可以使用梯度下降法，更新图卷积深度模型的参数，然后迭代执行上述步骤(1)～(3)，直至满足训练停止条件时结束训练，得到训练好的图卷积深度模型，再用训练好的图卷积深度模型预测未知是否恶意节点的分类结果(即执行步骤S120～S130)，从而识别出这些未知是否恶意节点对应的网址是否为恶意网址。

在步骤S120中，获取根据目标异构图训练好的图卷积深度模型。

在步骤S130中，将目标异构图中待识别网址对应的节点的特征输入到图卷积深度模型中，获取图卷积深度模型输出的分类结果，根据分类结果确定待识别网址是否为恶意网址。

其中，可以将目标异构图完整输入到训练好的图卷积深度模型中，该图卷积深度模型根据输入的目标异构图中每个节点的特征，输出每个节点的分类结果，从每个节点的分类结果中获取各个待识别网址对应节点的分类结果，从而确定各个待识别网址是否为恶意网址。或者，可以从目标异构图中提取某个或某多个待识别网址对应的节点的特征，将获取的待识别网址对应的节点的特征输入到训练好的图卷积深度模型中，从而确定某个待识别网址或者某多个待识别网址是否为恶意网址。

在一示例性实施例中，该方法可以用于恶意网页的识别，具体的，根据网页浏览数据中每个浏览的网页构建每个网页对应的节点，并根据每个网页中产生的各种预设行为构建每个预设行为对应的节点，且每个预设行为对应的节点与对应网页的节点相连接，再结合每个网页中的文本信息构建多个词的节点，且每个词的节点与对应网页的节点相连接，再计算每个节点的特征和节点与节点之间边的权重，生成目标异构图，利用目标异构图训练图卷积深度模型，再用训练好的图卷积深度模型预测未知是否恶意节点的分类结果，从而识别出这些未知是否恶意节点对应的网页是否为恶意网页。

在一示例性实施例中，该方法可以用于恶意域名的识别，具体的，提取网页浏览数据中每个浏览的网页的域名，构建每个域名对应的节点，并针对每个域名，根据网页浏览数据中该域名下的各网页中产生的各种预设行为构建每个预设行为对应的节点，且每个预设行为对应的节点与该域名对应的节点相连接，再结合该域名下的各网页中的文本信息构建多个词的节点，且每个词的节点与该域名对应的节点相连接，再计算每个节点的特征和节点与节点之间边的权重，生成目标异构图，利用目标异构图训练图卷积深度模型，再用训练好的图卷积深度模型预测未知是否恶意节点的分类结果，从而识别出这些未知是否恶意节点对应的域名是否为恶意域名。

本公开实施例还提供一种恶意网址识别装置，图7示出了该恶意网址识别装置的框图，请参照图7，该恶意网址识别装置400包括：

目标异构图获取模块410，用于获取根据网页浏览数据生成的目标异构图；其中，所述目标异构图包括多个节点、每个节点的特征和节点与节点之间边的权重，所述多个节点包括表征根据所述网页浏览数据确定的多个网址的节点，和表征在所述多个网址中产生的不同预设行为的节点，且具有跳转关系的每两个网址对应的节点相连，每个预设行为对应的节点与产生该预设行为的网址对应的节点相连；

图卷积模型获取模块420，用于获取根据所述目标异构图训练得到的图卷积深度模型，所述图卷积深度模型用于根据输入的节点的特征输出相应的分类结果，所述分类结果用于表征该节点是否为恶意节点；

恶意网址识别模块430，用于将所述目标异构图中待识别网址对应的节点的特征输入到所述图卷积深度模型中，获取所述图卷积深度模型输出的分类结果，根据所述分类结果确定所述待识别网址是否为恶意网址。

可选的，还包括异构图生成模块，该异构图生成模块包括：

网址节点生成模块，用于根据所述网页浏览数据确定多个网址并生成表示每个网址的节点，将具有跳转关系的每两个网址对应的节点连接；

行为节点生成模块，用于根据所述网页浏览数据中的在各个网址中的不同预设行为生成表示每个预设行为的节点，并将每个预设行为对应的节点与产生该预设行为的网址对应的节点连接；

第一特征确定模块，用于确定每个节点的特征并根据对所述网页浏览数据的统计信息确定节点与节点之间边的权重；

异构图获得模块，用于根据生成的所有节点、每个节点的特征以及节点与节点之间边的权重获得所述目标异构图。

可选的，行为节点生成模块用于：

根据在所述网址中产生的拉端行为，生成表示该拉端行为的节点；

根据在所述网址中产生的下载行为，生成表示该下载行为的节点；

根据由所述网址中的JS产生的自动打开其他网页的行为，生成表示该行为中JS来源的节点。

可选的，第一特征确定模块用于：

确定预设的k1个第一特征条件，针对每个网址对应的节点和每个预设行为对应的节点，根据所述节点是否符合所述k1个第一特征条件，确定所述节点的特征，所述特征的长度为k1，k1为正整数；

其中，当所述节点符合所述第一特征条件时，所述特征中对应位置的特征值为1，否则为0。

可选的，第一特征确定模块用于：

针对两个网址对应的节点之间的边，确定所述网页浏览数据中所述两个网址间的跳转次数，根据所述跳转次数确定所述两个网址对应的节点之间边的权重；其中，所述权重与所述跳转次数成正相关；

针对预设行为对应的节点与网址对应的节点之间的边，确定所述网页浏览数据中的在该网址中产生该预设行为的产生次数，根据所述产生次数确定该预设行为对应的节点与该网址对应的节点之间边的权重；其中，所述权重与所述产生次数成正相关。

可选的，该异构图生成模块还包括异构图结合模块，该异构图结合模块在异构图获得模块之前运行，该异构图结合模块包括：

词节点生成模块，用于获取每个所述网址对应的文本信息，对每个所述网址对应的所述文本信息进行切词，根据切词得到的每个词生成表示该词的节点；

词节点连接模块，用于将每个词对应的节点与对应网址的节点连接，以及将所有词对应的节点两两连接；

第一权重计算模块，用于计算每个词与对应网址的文本信息间的第一互信息值，将所述第一互信息值作为该词对应的节点与该网址对应的节点之间边的权重；

第二权重计算模块，用于针对每两个词对应的节点之间的边，计算所述两个词之间的第二互信息值，并将所述第二互信息值作为所述两个词对应的节点之间边的权重；

第二特征确定模块，用于确定每个词对应的节点的特征。

可选的，第二特征确定模块用于：

确定预设的k2个第二特征条件，针对每个词对应的节点，根据所述节点是否符合所述k2个第二特征条件，确定所述节点的特征，所述特征的长度为k2，k2为正整数；

其中，当所述节点符合所述第二特征条件时，所述特征中对应位置的特征值为1，否则为0。

可选的，所述目标异构图中，每个网址对应的节点和每个预设行为对应的节点的特征的长度为k1，每个词对应的节点的特征的长度为k2，异构图获得模块还用于：

在根据生成的所有节点、每个节点的特征以及节点与节点之间边的权重获得所述目标异构图之前，将每个长度为k2的特征和每个长度为k2的特征，重构为长度为k1+k2的特征。

可选的，还包括模型训练模块，所述目标异构图中的节点包括已知非恶意节点、已知恶意节点和未知是否恶意节点，该模型训练模块包括：

函数设置模块，用于设置误差损失函数；其中，所述误差损失函数中未知是否恶意节点对应的误差权重或误差值被设置为零；

模型迭代模块，用于迭代执行如下训练步骤，直至满足训练停止条件时结束训练，得到训练好的图卷积深度模型：

将所述目标异构图输入到图卷积深度模型中并获取所述图卷积深度模型输出的每个节点的分类结果；

基于所述误差损失函数，根据每个节点的分类结果确定每个节点对应的误差值以及根据每个节点对应的误差值计算损失；

根据所述损失更新所述图卷积深度模型的参数。

需要说明的是，目标异构图获取模块410、图卷积模型获取模块420和恶意网址识别模块430配置于第一电子设备中，异构图生成模块和模型训练模块配置于第二电子设备中，其中，第一电子设备和第二电子设备可以是相同设备，也可以是不同设备，目标异构图获取模块410用于获取通过异构图生成模块所生成的目标异构图，图卷积模型获取模块420用于获取通过模型训练模块训练得到的图卷积深度模型。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

下面参考图8，其示出了适于用来实现本公开实施例的电子设备600的结构示意图。本公开实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、 PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图8示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图8所示，电子设备600可以包括处理装置(例如中央处理器、图形处理器等)601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中，还存储有电子设备600操作所需的各种程序和数据。处理装置601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

通常，以下装置可以连接至I/O接口605：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606；包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607；包括例如磁带、硬盘等的存储装置608；以及通信装置609。通信装置609可以允许电子设备600与其他设备进行无线或有线通信以交换数据。虽然图8示出了具有各种装置的电子设备600，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在非暂态计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置609从网络上被下载和安装，或者从存储装置608被安装，或者从ROM 602被安装。在该计算机程序被处理装置601执行时，执行本公开实施例的方法中限定的上述功能。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

在一些实施方式中，电子设备可以利用诸如HTTP(HyperText TransferProtocol，超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信(例如，通信网络)互连，从而获取网页浏览数据和图卷积深度模型，以及还能浏览网页。通信网络的示例包括局域网(“LAN”)，广域网(“WAN”)，网际网(例如，互联网) 以及端对端网络(例如，ad hoc端对端网络)，以及任何当前已知或未来研发的网络。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：获取根据网页浏览数据生成的目标异构图；其中，所述目标异构图包括多个节点、每个节点的特征和节点与节点之间边的权重，所述多个节点包括表征根据所述网页浏览数据确定的多个网址的节点，和表征在所述多个网址中产生的不同预设行为的节点，且具有跳转关系的每两个网址对应的节点相连，每个预设行为对应的节点与产生该预设行为的网址对应的节点相连；获取根据所述目标异构图训练得到的图卷积深度模型，所述图卷积深度模型用于根据输入的节点的特征输出相应的分类结果，所述分类结果用于表征该节点是否为恶意节点；将所述目标异构图中待识别网址对应的节点的特征输入到所述图卷积深度模型中，获取所述图卷积深度模型输出的分类结果，根据所述分类结果确定所述待识别网址是否为恶意网址。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，模块的名称在某种情况下并不构成对该模块本身的限定，例如，图卷积模型获取模块还可以被描述为“获取根据目标异构图训练得到的图卷积深度模型的模块”。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器 (CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

根据本公开的一个或多个实施例，示例1提供了一种恶意网址识别方法，包括：

根据本公开的一个或多个实施例，示例2提供了示例1的方法，所述目标异构图是通过如下方式生成的：

根据所述网页浏览数据确定多个网址并生成表示每个网址的节点，将具有跳转关系的每两个网址对应的节点连接；

根据所述网页浏览数据中的在各个网址中的不同预设行为生成表示每个预设行为的节点，并将每个预设行为对应的节点与产生该预设行为的网址对应的节点连接；

确定每个节点的特征并根据对所述网页浏览数据的统计信息确定节点与节点之间边的权重；

根据生成的所有节点、每个节点的特征以及节点与节点之间边的权重获得所述目标异构图。

根据本公开的一个或多个实施例，示例3提供了示例2的方法，所述根据所述网页浏览数据中的在各个网址中的不同预设行为生成表示每个预设行为的节点，包括：

根据本公开的一个或多个实施例，示例4提供了示例2的方法，所述确定每个节点的特征，包括：

根据本公开的一个或多个实施例，示例5提供了示例2的方法，所述根据对所述网页浏览数据的统计信息确定节点与节点之间边的权重，包括：

根据本公开的一个或多个实施例，示例6提供了示例2-5中任一示例的方法，在根据生成的所有节点、每个节点的特征以及节点与节点之间边的权重获得所述目标异构图之前，还包括：

获取每个所述网址对应的文本信息，对每个所述网址对应的所述文本信息进行切词，根据切词得到的每个词生成表示该词的节点；

将每个词对应的节点与对应网址的节点连接，以及将所有词对应的节点两两连接；

计算每个词与对应网址的文本信息间的第一互信息值，将所述第一互信息值作为该词对应的节点与该网址对应的节点之间边的权重；

针对每两个词对应的节点之间的边，计算所述两个词之间的第二互信息值，并将所述第二互信息值作为所述两个词对应的节点之间边的权重；

确定每个词对应的节点的特征。

根据本公开的一个或多个实施例，示例7提供了示例6的方法，所述确定每个词对应的节点的特征，包括：

根据本公开的一个或多个实施例，示例8提供了示例6的方法，所述目标异构图中，每个网址对应的节点和每个预设行为对应的节点的特征的长度为k1，每个词对应的节点的特征的长度为k2，在根据生成的所有节点、每个节点的特征以及节点与节点之间边的权重获得所述目标异构图之前，还包括：

将每个长度为k2的特征和每个长度为k2的特征，重构为长度为k1+k2 的特征。

根据本公开的一个或多个实施例，示例9提供了示例1的方法，所述目标异构图中的节点包括已知非恶意节点、已知恶意节点和未知是否恶意节点；其中，所述图卷积深度模型通过如下方式训练：

设置误差损失函数；其中，所述误差损失函数中未知是否恶意节点对应的误差权重或误差值被设置为零；

迭代执行如下训练步骤，直至满足训练停止条件时结束训练，得到训练好的图卷积深度模型：

根据所述损失更新所述图卷积深度模型的参数。

根据本公开的一个或多个实施例，示例10提供了一种恶意网址识别装置，包括：

根据本公开的一个或多个实施例，示例11提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理装置执行时实现示例1-9中任一示例的方法。

根据本公开的一个或多个实施例，示例12提供了一种电子设备，包括：

存储装置，其上存储有计算机程序；

处理装置，用于执行所述存储装置中的所述计算机程序，以实现示例1-9 中任一示例的方法。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

此外，虽然采用特定次序描绘了各操作，但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地，在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。

尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。

Claims

1.一种恶意网址识别方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述目标异构图是通过如下方式生成的：

3.根据权利要求2所述的方法，其特征在于，所述根据所述网页浏览数据中的在各个网址中的不同预设行为生成表示每个预设行为的节点，包括：

4.根据权利要求2所述的方法，其特征在于，所述确定每个节点的特征，包括：

5.根据权利要求2所述的方法，其特征在于，所述根据对所述网页浏览数据的统计信息确定节点与节点之间边的权重，包括：

6.根据权利要求2-5任一项所述的方法，其特征在于，在根据生成的所有节点、每个节点的特征以及节点与节点之间边的权重获得所述目标异构图之前，还包括：

确定每个词对应的节点的特征。

7.根据权利要求6所述的方法，其特征在于，所述确定每个词对应的节点的特征，包括：

8.根据权利要求6所述的方法，其特征在于，所述目标异构图中，每个网址对应的节点和每个预设行为对应的节点的特征的长度为k1，每个词对应的节点的特征的长度为k2，在根据生成的所有节点、每个节点的特征以及节点与节点之间边的权重获得所述目标异构图之前，还包括：

将每个长度为k2的特征和每个长度为k2的特征，重构为长度为k1+k2的特征。

9.根据权利要求1所述的方法，其特征在于，所述目标异构图中的节点包括已知非恶意节点、已知恶意节点和未知是否恶意节点；其中，所述图卷积深度模型通过如下方式训练：

根据所述损失更新所述图卷积深度模型的参数。

10.一种恶意网址识别装置，其特征在于，包括：

11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理装置执行时实现权利要求1-9中任一项所述方法的步骤。

12.一种电子设备，其特征在于，包括：

存储装置，其上存储有计算机程序；

处理装置，用于执行所述存储装置中的所述计算机程序，以实现权利要求1-9中任一项所述方法的步骤。