CN114726559B - 一种url检测方法、系统、设备及计算机可读存储介质 - Google Patents

一种url检测方法、系统、设备及计算机可读存储介质 Download PDF

Info

Publication number
CN114726559B
CN114726559B CN202011528021.2A CN202011528021A CN114726559B CN 114726559 B CN114726559 B CN 114726559B CN 202011528021 A CN202011528021 A CN 202011528021A CN 114726559 B CN114726559 B CN 114726559B
Authority
CN
China
Prior art keywords
url
analyzed
urls
group
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011528021.2A
Other languages
English (en)
Other versions
CN114726559A (zh
Inventor
陈扬
雷昕
李晓燕
闫凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202011528021.2A priority Critical patent/CN114726559B/zh
Publication of CN114726559A publication Critical patent/CN114726559A/zh
Application granted granted Critical
Publication of CN114726559B publication Critical patent/CN114726559B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请公开了一种URL检测方法、系统、设备及计算机可读存储介质,获取目标URL;判断目标URL的目标专属设备是否安全;若目标专属设备不安全,则生成表征目标URL不安全的检测结果。本申请中,在获取目标URL之后,并不是直接对目标URL进行安全性检测,而是判断目标URL的目标专属设备是否安全,若目标专属设备不安全,则生成表征目标URL不安全的检测结果,实现了根据目标专属设备的安全性对目标URL进行检测的效果,由于目标专属设备的安全性不随URL的改变而改变,所以无论目标URL如何变化,均可以借助目标专属设备的安全性对目标URL的安全性进行准确检测。

Description

一种URL检测方法、系统、设备及计算机可读存储介质
技术领域
本申请涉及信息安全技术领域,更具体地说,涉及一种URL检测方法、系统、设备及计算机可读存储介质。
背景技术
HTTP(Hypertext Transfer Protocol,超文本传输协议)是一个简单的请求-响应协议,HTTP通常运行在TCP(Transmission Control Protocol,传输控制协议)之上,HTTP指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。因为HTTP可以使得开发和部署直截了当,所以在通信中被广泛应用。
然而,在HTTP的应用过程中,可能出现攻击者借助HTTP来攻击其他设备的情况,比如攻击客户端、攻击服务器等,为HTTP的安全使用带来威胁。为了保护HTTP的安全,需要对HTTP对应的URL(Uniform Resource Locator,统一资源定位符)的安全性进行检测。
然而,在对URL的安全性进行检测的过程中,都是直接对URL的安全性进行验证,当出现新的URL时,可能会因为对新的URL的已知信息过少,导致对新的URL的检测准确性过低的情况出现。
综上所述,如何提高URL的检测准确性是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种URL检测方法,其能在一定程度上解决如何提高URL的检测准确性的技术问题。本申请还提供了一种URL检测系统、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种URL检测方法,包括:
获取目标URL;
判断所述目标URL的目标专属设备是否安全,所述目标专属设备包括存储所述目标URL定位的资源的设备;
若所述目标专属设备不安全,则生成表征所述目标URL不安全的检测结果。
优选的,所述判断所述目标URL的目标专属设备是否安全,包括:
获取待分析URL集;
在所述待分析URL集中,筛选出属于所述目标专属设备的待分析URL组;
判断所述待分析URL组的文件类型数是否小于第一预设数;
若所述待分析URL组的文件类型数小于所述第一预设数,则对所述待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果;
基于所述URL安全性分析结果判断所述目标专属设备是否安全。
优选的,所述对所述待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果,包括:
解析所述待分析URL组中的待分析URL的文件名后缀类型;
若所述文件名后缀类型为可执行类,则通过判断是否有访问设备访问过所述待分析URL组中的待分析URL,来确定所述URL安全性分析结果。
优选的,所述可执行类的类型包括exe、sys、ps1。
优选的,所述对所述待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果,包括:
解析所述待分析URL组中的待分析URL的文件名后缀类型;
若所述文件名后缀类型为非可执行类,则确定出访问过所述待分析URL组中的待分析URL的访问设备的数量值;
判断所述数量值是否大于第二预设数;
若所述数量值大于所述第二预设数,则判断所述待分析URL组中的待分析URL是否相似;
若所述待分析URL组中的待分析URL相似,则生成表征所述待分析URL组中的待分析URL恶意的所述URL安全性分析结果;
若所述待分析URL组中的待分析URL不相似,或若所述数量值小于等于所述第二预设数,则生成表征所述待分析URL组中的待分析URL正常的所述URL安全性分析结果。
优选的,所述非可执行类的类型包括rar、dat、ini。
优选的,所述解析所述待分析URL组中的待分析URL的文件名后缀类型,包括:
判断所述待分析URL组中的待分析URL的path路径第一层是否满足预设随机规则;
若所述待分析URL组中的待分析URL的path路径第一层满足所述预设随机规则,则执行所述解析所述待分析URL组中的待分析URL的文件名后缀类型的步骤。
优选的,所述对所述待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果,包括:
过滤掉所述待分析URL组中满足预设过滤规则的待分析URL;
对所述待分析URL组中剩余的待分析URL进行安全性分析,得到URL安全性分析结果;
所述预设过滤规则的类型包括过滤掉文件路径层级数大于预设层级数的URL、过滤掉文件名长度大于预设长度的URL,过滤掉文件名复杂度大于预设复杂度的URL。
一种URL检测系统,包括:
获取模块,用于获取目标URL;
判断模块,用于判断所述目标URL的目标专属设备是否安全,所述目标专属设备包括存储所述目标URL定位的资源的设备;若所述目标专属设备不安全,则生成表征所述目标URL不安全的检测结果。
一种URL检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述URL检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述URL检测方法的步骤。
本申请提供的一种URL检测方法中,在获取目标URL之后,并不是直接对目标URL进行安全性检测,而是判断目标URL的目标专属设备是否安全,若目标专属设备不安全,则生成表征待检测URL不安全的检测结果,实现了根据目标专属设备的安全性对目标URL进行检测的效果,由于目标专属设备的安全性不随URL的改变而改变,所以无论目标URL如何变化,均可以借助目标专属设备的安全性对目标URL的安全性进行准确检测。本申请提供的一种URL检测系统、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种URL检测方法的第一流程图;
图2为本申请实施例提供的一种URL检测方法的第二流程图;
图3为本申请中得到URL安全性分析结果的第一流程图;
图4为本申请中得到URL安全性分析结果的第二流程图;
图5为本申请实施例提供的一种URL检测系统的结构示意图;
图6为本申请实施例提供的一种URL检测设备的结构示意图;
图7为本申请实施例提供的一种URL检测设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种URL检测方法的第一流程图。
本申请实施例提供的一种URL检测方法,可以包括以下步骤:
步骤S101:获取目标URL。
实际应用中,可以先获取目标URL,目标URL也即需要进行安全性检测的URL,其类型可以根据实际需要确定。
步骤S102:判断目标URL的目标专属设备是否安全,目标专属设备包括存储目标URL定位的资源的设备;若目标专属设备不安全,则执行步骤S103。
步骤S103:生成表征目标URL不安全的检测结果。
实际应用中,在获取目标URL之后,需判断目标URL的目标专属设备是否安全,目标专属设备是存储目标URL定位的资源的设备,也即与目标URL中的域名对应的设备,比如目标URL中的域名为ABC,ABC所对应的资源服务器便是目标URL的目标专属设备,若目标专属设备不安全,则可以生成表征目标URL不安全的检测结果。
本申请提供的一种URL检测方法,获取目标URL;判断目标URL的目标专属设备是否安全,目标专属设备包括存储目标URL定位的资源的设备;若目标专属设备不安全,则生成表征目标URL不安全的检测结果。本申请中,在获取目标URL之后,并不是直接对目标URL进行安全性检测,而是判断目标URL的目标专属设备是否安全,若目标专属设备不安全,则生成表征待检测URL不安全的检测结果,实现了根据目标专属设备的安全性对目标URL进行检测的效果,由于目标专属设备的安全性不随URL的改变而改变,所以无论目标URL如何变化,均可以借助目标专属设备的安全性对目标URL的安全性进行准确检测。
请参阅图2,图2为本申请实施例提供的一种URL检测方法的第二流程图。
本申请实施例提供的一种URL检测方法,可以包括以下步骤:
步骤S201:获取目标URL。
步骤S202:获取待分析URL集。
实际应用中,在判断目标URL的目标专属设备是否安全的过程中,可以先获取待分析URL集,待分析URL集指的是安全性未知的专属设备的URL,专属设备也即存储待分析URL定位的资源的设备;具体应用场景中,可以对预设时间段内,目标网络架构上的网络设备进行URL采集,得到待分析URL集等。
步骤S203:在待分析URL集中,筛选出属于目标专属设备的待分析URL组。
步骤S204:判断待分析URL组的文件类型数是否小于第一预设数;若待分析URL组的文件类型数小于第一预设数,则执行步骤S205;若待分析URL组的文件类型数大于等于第一预设数,则可以判定目标专属设备安全。
实际应用中,由于专属设备为危险设备时,专属设备上的URL的文件类型较为单一,所以可以根据专属设备上的URL文件类型是否单一来判断专属设备是否安全,也即可以在待分析URL集中,筛选出属于目标专属设备的待分析URL组,再判断待分析URL组的文件类型数是否小于第一预设数;若待分析URL组的文件类型数小于第一预设数,此时目标专属设备不一定危险,所以还需执行后续步骤来对目标专属设备的安全性进行进一步分析确认;若待分析URL组的文件类型数大于等于第一预设数,则可以直接判定目标专属设备安全等。
应当指出,第一预设数的值可以根据实际需要确定,比如第一预设数可以为1等。
步骤S205:对待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果。
步骤S206:基于URL安全性分析结果判断目标专属设备是否安全;若目标专属设备不安全,则执行步骤S207。
实际应用中,可以根据待分析URL组中待分析URL的安全性来确定目标专属设备的安全性,也即可以对待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果,基于URL安全性分析结果确定目标专属设备的设备安全性分析结果,设备安全性分析结果也即表征目标专属设备是否安全的分析结果。
具体应用场景中,可以在URL安全性分析结果表征存在恶意URL的情况下,便将对应的目标专属设备判定为危险专属设备;也可以在只有URL安全性分析结果表征所有的URL均为恶意URL的情况下下,才将对应的目标专属设备判定为危险专属设备等;基于URL安全性分析结果确定目标专属设备的设备安全性分析结果的过程可以根据实际需要灵活确定,本申请在此不做具体限定。
步骤S207:生成表征目标URL不安全的检测结果。
本申请提供的技术方案中,借助待分析URL集,确定属于同一个目标专属设备且文件类型数小于第一预设数的待分析URL组的URL安全性分析结果,之后便可以借助URL安全性分析结果确定目标专属设备的设备安全性分析结果,过程简单易实施,可以提高目标专属设备的安全性分析效率,且由于待分析URL组与目标专属设备一一对应,所以基于URL安全性分析结果确定目标专属设备的设备安全性分析结果的过程,可以保证目标专属设备的安全性分析结果的准确性。
请参阅图3,图3为本申请中得到URL安全性分析结果的第一流程图。
本申请实施例提供的一种URL检测方法中,对待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果的过程,可以具体为:
步骤S301:解析待分析URL组中的待分析URL的文件名后缀类型。
步骤S302:若文件名后缀类型为可执行类,则判断是否有访问设备访问过待分析URL组中的待分析URL;若有访问过待分析URL组中的待分析URL的访问设备,则执行步骤S303;若未有访问过待分析URL组中的待分析URL的访问设备,则执行步骤S304。
步骤S303:生成表征待分析URL组中的待分析URL恶意的URL安全性分析结果。
步骤S304:生成表征待分析URL组中的待分析URL正常的URL安全性分析结果。
实际应用中,因为正常的专属设备并不会发送可执行类文件,所以可以直接将发布可执行类文件且该可执行类文件被访问过的专属设备判定为危险专属设备,而专属设备是否发送可执行类文件,可以通过专属设备发送的URL中的文件名后缀来判断,也即可以解析待分析URL组中的待分析URL的文件名后缀类型,若文件名后缀类型为可执行类,则通过判断是否有设备访问过待分析URL组中的待分析URL,来确定URL安全性分析结果;比如有访问过待分析URL组中的待分析URL的设备时,可以生成表征待分析URL组中的待分析URL恶意的URL安全性分析结果;未有访问过待分析URL组中的待分析URL的设备时,可以生成表征待分析URL组中的待分析URL正常的URL安全性分析结果。应当指出,访问设备也即通过访问待分析URL来访问目标专属设备中的对应资源的设备。
本申请提供的技术方案中,可以根据待分析URL组中待分析URL的可执行类文件名后缀及待分析URL被访问设备访问过的情况,来将发布可执行类文件且该可执行类文件被访问过的危险目标专属设备检测出来,检测效率高且准确。
本申请实施例提供的一种URL检测方法中,为了进一步提高本申请中检测发布可执行类文件且该可执行类文件被访问过的危险专属设备的检测效率,可以对危险专属设备发送的可执行类文件的类型进行统计并应用,比如本申请中可执行类的类型可以包括exe、sys、ps1等。
请参阅图4,图4为本申请中得到URL安全性分析结果的第二流程图。
本申请实施例提供的一种URL检测方法中,对待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果的过程,可以具体为:
步骤S401:解析待分析URL组中的待分析URL的文件名后缀类型。
步骤S402:若文件名后缀类型为非可执行类,则确定出访问过待分析URL组中的待分析URL的访问设备的数量值。
步骤S403:判断数量值是否大于第二预设数;若数量值大于第二预设数,则执行步骤S404;若数量值小于等于第二预设数,则执行步骤S407。
步骤S404:判断待分析URL组中的待分析URL是否相似;若待分析URL组中的待分析URL相似,则执行步骤S405;若待分析URL组中的待分析URL不相似,则执行步骤S406。
步骤S405:生成表征待分析URL组中的待分析URL恶意的URL安全性分析结果。
步骤S406:生成表征待分析URL组中的待分析URL正常的URL安全性分析结果。
步骤S407:生成表征待分析URL组中的待分析URL正常的URL安全性分析结果。
实际应用中,危险目标专属设备可能并不是向被攻击设备发送可执行类文件,而是发送携带病毒的非可执行类文件,且该非可执行文件会被多个被攻击设备访问,所以需要对发送非执行类文件的危险目标专属设备进行检测,在此过程中,因为发送非执行类文件的危险目标专属设备所发送的URL存在相似性,且会被多个被攻击设备访问,所以可以解析待分析URL组中的待分析URL的文件名后缀类型;若文件名后缀类型为非可执行类,则确定出访问过待分析URL组中的待分析URL的访问设备的数量值;判断数量值是否大于第二预设数;若数量值大于第二预设数,则判断待分析URL组中的待分析URL是否相似;若待分析URL组中的待分析URL相似,则生成表征待分析URL组中的待分析URL恶意的URL安全性分析结果;若待分析URL组中的待分析URL不相似,则生成表征待分析URL组中的待分析URL正常的URL安全性分析结果;若数量值小于等于第二预设数,则生成表征待分析URL组中的待分析URL正常的URL安全性分析结果。
应当指出,在确定出访问过待分析URL组中的待分析URL的访问设备的数量值的过程中,可以将一段时长内访问过待分析URL组中的待分析URL的访问设备的数量作为该数量值等;第二预设数的值可以根据实际需要灵活确定,比如第二预设数的值可以为9等;且判断待分析URL组中的待分析URL是否相似的条件也可以根据实际需要确定,比如可以采用相似性算法对两个待分析URL进行相似度计算,根据相似度计算结果判断两个待分析URL是否相似等。
本申请提供的技术方案中,可以根据待分析URL组中待分析URL的非可执行类文件名后缀、访问待分析URL的访问设备的数量、待分析URL间的相似性,来将发布非可执行类文件的危险目标专属设备检测出来,检测效率高且准确。
本申请实施例提供的一种URL检测方法中,为了进一步提高本申请中检测发布非可执行类文件的危险专属设备的检测效率,可以对危险专属设备发送的非可执行类文件的类型进行统计并应用,比如本申请中,非可执行类的类型可以包括rar、dat、ini等。
本申请实施例提供的一种URL检测方法中,因为危险目标专属设备发布的URL的内容均较为随机,所以可以根据URL的内容是否随机来判断待分析URL是否存在风险,也即解析待分析URL组中的待分析URL的文件名后缀类型的步骤,可以具有为:判断待分析URL组中的待分析URL的path路径第一层是否满足预设随机规则;若待分析URL组中的待分析URL的path路径第一层满足预设随机规则,则执行解析待分析URL组中的待分析URL的文件名后缀类型的步骤。
实际应用中,预设随机规则可以根据实际需要确定,比如预设随机规则可以为表示文件路径由随机字符组成的规则等。path路径第一层也即待分析URL中第一个双斜杠与下一个斜杠间的路径,比如待分析URL为http://down.tj999.top:80/ycb555.ini,则该待分析URL的path路径第一层便为down.tj999.top:80。
本申请提供的技术方案中,可以只对待分析URL组中的path路径第一层满足预设随机规则的待分析URL进行后续检测,实现了借助预设随机规则过滤掉安全的待分析URL的效果,可以避免对安全的待分析URL的后续检测,可以提高方法的执行效率。
本申请实施例提供的一种URL检测方法中,危险目标专属设备发布的URL在结构上存在共性,比如文件路径层级数小于预设层级数,文件名长度小于预设长度,文件名复杂度小于预设复杂度等,所以可以根据目标专属设备发布的URL的结构共性,提前对安全的URL进行过滤,也即对待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果的过程,可以具体为:过滤掉待分析URL组中满足预设过滤规则的待分析URL;对待分析URL组中剩余的待分析URL进行安全性分析,得到URL安全性分析结果;预设过滤规则的类型包括过滤掉文件路径层级数大于预设层级数的URL、过滤掉文件名长度大于预设长度的URL,过滤掉文件名复杂度大于预设复杂度的URL。
实际应用中,预设层级数、预设长度、预设复杂度的值均可以根据实际需要确定,比如预设层级数可以为2,预设长度可以为15且文件名不带后缀,预设复杂度可以为表征文件名由大小写字母和/或数字组成的复杂度等。
本申请提供的技术方案中,可以只对待分析URL组中文件路径层级数小于等于预设层级数的URL、文件名长度小于等于预设长度的URL,文件名复杂度小于等于预设复杂度的URL进行后续检测,实现了借助预设过滤规则过滤掉安全的待分析URL的效果,可以避免对安全的待分析URL的后续检测,可以提高方法的执行效率。
请参阅图5,图5为本申请实施例提供的一种URL检测系统的结构示意图。
本申请实施例提供的一种URL检测系统,可以包括:
获取模块101,用于获取目标URL;
判断模块102,用于判断目标URL的目标专属设备是否安全,目标专属设备包括存储目标URL定位的资源的设备;若目标专属设备不安全,则生成表征目标URL不安全的检测结果。
本申请实施例提供的一种URL检测系统,判断模块可以包括:
第一获取子模块,用于获取待分析URL集;
第一筛选子模块,用于在待分析URL集中,筛选出属于目标专属设备的待分析URL组;
第一判断子模块,用于判断待分析URL组的文件类型数是否小于第一预设数;若待分析URL组的文件类型数小于第一预设数,则对待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果;
第二判断子模块,用于基于URL安全性分析结果判断目标专属设备是否安全。
本申请实施例提供的一种URL检测系统,第一判断子模块可以包括:
第一解析单元,用于解析待分析URL组中的待分析URL的文件名后缀类型;
第一执行单元,用于若文件名后缀类型为可执行类,则判断是否有访问设备访问过待分析URL组中的待分析URL;若有访问过待分析URL组中的待分析URL的访问设备,则生成表征待分析URL组中的待分析URL恶意的URL安全性分析结果;若未有访问过待分析URL组中的待分析URL的访问设备,则生成表征待分析URL组中的待分析URL正常的URL安全性分析结果。
本申请实施例提供的一种URL检测系统,可执行类的类型可以包括exe、sys、ps1。
本申请实施例提供的一种URL检测系统,第一判断子模块可以包括:
第二解析单元,用于解析待分析URL组中的待分析URL的文件名后缀类型;
第二执行单元,用于若文件名后缀类型为非可执行类,则确定出访问过待分析URL组中的待分析URL的访问设备的数量值;判断数量值是否大于第二预设数;若数量值大于第二预设数,则判断待分析URL组中的待分析URL是否相似;若待分析URL组中的待分析URL相似,则生成表征待分析URL组中的待分析URL恶意的URL安全性分析结果;若待分析URL组中的待分析URL不相似,则生成表征待分析URL组中的待分析URL正常的URL安全性分析结果;若数量值小于等于第二预设数,则生成表征待分析URL组中的待分析URL正常的URL安全性分析结果。
本申请实施例提供的一种URL检测系统,非可执行类的类型可以包括rar、dat、ini。
本申请实施例提供的一种URL检测系统,第一解析单元或第二解析单元可以包括:
第一判断单元,用于判断待分析URL组中的待分析URL的path路径第一层是否满足预设随机规则;若待分析URL组中的待分析URL的path路径第一层满足预设随机规则,则提示第一解析单元或第二解析单元执行解析待分析URL组中的待分析URL的文件名后缀类型的步骤。
本申请实施例提供的一种URL检测系统,第一判断子模块可以包括:
过滤单元,用于过滤掉待分析URL组中满足预设过滤规则的待分析URL;
URL安全性分析单元,用于对待分析URL组中剩余的待分析URL进行安全性分析,得到URL安全性分析结果;
预设过滤规则的类型包括过滤掉文件路径层级数大于预设层级数的URL、过滤掉文件名长度大于预设长度的URL,过滤掉文件名复杂度大于预设复杂度的URL。
本申请还提供了一种URL检测设备及计算机可读存储介质,其均具有本申请实施例提供的一种URL检测方法具有的对应效果。请参阅图6,图6为本申请实施例提供的一种URL检测设备的结构示意图。
本申请实施例提供的一种URL检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如上任一实施例所描述的URL检测方法的步骤。
请参阅图7,本申请实施例提供的另一种URL检测设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现URL检测设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如上任一实施例所描述的URL检测方法的步骤。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的URL检测系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的URL检测方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种URL检测方法,其特征在于,包括:
获取目标URL;
获取待分析URL集;
在所述待分析URL集中,筛选出属于目标专属设备的待分析URL组,所述目标专属设备包括存储所述目标URL定位的资源的设备;
判断所述待分析URL组的文件类型数是否小于第一预设数;
若所述待分析URL组的文件类型数小于所述第一预设数,则对所述待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果;
基于所述URL安全性分析结果判断所述目标专属设备是否安全;
若所述目标专属设备不安全,则生成表征所述目标URL不安全的检测结果;
其中,所述对所述待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果,包括:
解析所述待分析URL组中的待分析URL的文件名后缀类型;
若所述文件名后缀类型为非可执行类,则确定出访问过所述待分析URL组中的待分析URL的访问设备的数量值;
判断所述数量值是否大于第二预设数;
若所述数量值大于所述第二预设数,则判断所述待分析URL组中的待分析URL是否相似;
若所述待分析URL组中的待分析URL相似,则生成表征所述待分析URL组中的待分析URL恶意的所述URL安全性分析结果;
若所述待分析URL组中的待分析URL不相似,或若所述数量值小于等于所述第二预设数,则生成表征所述待分析URL组中的待分析URL正常的所述URL安全性分析结果。
2.根据权利要求1所述的方法,其特征在于,所述对所述待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果,包括:
解析所述待分析URL组中的待分析URL的文件名后缀类型;
若所述文件名后缀类型为可执行类,则通过判断是否有访问设备访问过所述待分析URL组中的待分析URL,来确定所述URL安全性分析结果。
3.根据权利要求2所述的方法,其特征在于,所述可执行类的类型包括exe、sys、ps1。
4.根据权利要求1所述的方法,其特征在于,所述非可执行类的类型包括rar、dat、ini。
5.根据权利要求2至4任一项所述的方法,其特征在于,所述解析所述待分析URL组中的待分析URL的文件名后缀类型,包括:
判断所述待分析URL组中的待分析URL的path路径第一层是否满足预设随机规则;
若所述待分析URL组中的待分析URL的path路径第一层满足所述预设随机规则,则执行所述解析所述待分析URL组中的待分析URL的文件名后缀类型的步骤。
6.根据权利要求5所述的方法,其特征在于,所述对所述待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果,包括:
过滤掉所述待分析URL组中满足预设过滤规则的待分析URL;
对所述待分析URL组中剩余的待分析URL进行安全性分析,得到URL安全性分析结果;
所述预设过滤规则的类型包括过滤掉文件路径层级数大于预设层级数的URL、过滤掉文件名长度大于预设长度的URL,过滤掉文件名复杂度高于预设复杂度的URL。
7.一种URL检测系统,其特征在于,包括:
获取模块,用于获取目标URL;
第一获取子模块,用于获取待分析URL集;
第一筛选子模块,用于在所述待分析URL集中,筛选出属于目标专属设备的待分析URL组,所述目标专属设备包括存储所述目标URL定位的资源的设备;
第一判断子模块,用于判断所述待分析URL组的文件类型数是否小于第一预设数;若所述待分析URL组的文件类型数小于所述第一预设数,则对所述待分析URL组中的待分析URL进行安全性分析,得到URL安全性分析结果;
第二判断子模块,用于基于所述URL安全性分析结果判断所述目标专属设备是否安全;
其中,所述第一判断子模块包括:
第二解析单元,用于解析所述待分析URL组中的待分析URL的文件名后缀类型;
第二执行单元,用于若所述文件名后缀类型为非可执行类,则确定出访问过所述待分析URL组中的待分析URL的访问设备的数量值;判断所述数量值是否大于第二预设数;若所述数量值大于所述第二预设数,则判断所述待分析URL组中的待分析URL是否相似;若所述待分析URL组中的待分析URL相似,则生成表征所述待分析URL组中的待分析URL恶意的所述URL安全性分析结果;若所述待分析URL组中的待分析URL不相似,或若所述数量值小于等于所述第二预设数,则生成表征所述待分析URL组中的待分析URL正常的所述URL安全性分析结果。
8.一种URL检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述URL检测方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述URL检测方法的步骤。
CN202011528021.2A 2020-12-22 2020-12-22 一种url检测方法、系统、设备及计算机可读存储介质 Active CN114726559B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011528021.2A CN114726559B (zh) 2020-12-22 2020-12-22 一种url检测方法、系统、设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011528021.2A CN114726559B (zh) 2020-12-22 2020-12-22 一种url检测方法、系统、设备及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN114726559A CN114726559A (zh) 2022-07-08
CN114726559B true CN114726559B (zh) 2024-07-09

Family

ID=82229864

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011528021.2A Active CN114726559B (zh) 2020-12-22 2020-12-22 一种url检测方法、系统、设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN114726559B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036896A (zh) * 2012-12-20 2013-04-10 北京奇虎科技有限公司 用于检测恶意链接的方法及系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8544090B1 (en) * 2011-01-21 2013-09-24 Symantec Corporation Systems and methods for detecting a potentially malicious uniform resource locator
US9178901B2 (en) * 2013-03-26 2015-11-03 Microsoft Technology Licensing, Llc Malicious uniform resource locator detection
CN103442361B (zh) * 2013-09-09 2017-01-25 北京网秦天下科技有限公司 移动应用的安全性检测方法及移动终端
CN107959662B (zh) * 2016-10-18 2020-12-01 中国电信股份有限公司 网站安全检测的方法和系统
CN110324311B (zh) * 2019-05-21 2022-05-17 平安科技(深圳)有限公司 漏洞检测的方法、装置、计算机设备和存储介质
CN110210231B (zh) * 2019-06-04 2023-07-14 深信服科技股份有限公司 一种安全防护方法、系统、设备及计算机可读存储介质
CN111212070B (zh) * 2019-12-31 2022-03-08 奇安信科技集团股份有限公司 风险监控方法、装置、计算设备以及介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036896A (zh) * 2012-12-20 2013-04-10 北京奇虎科技有限公司 用于检测恶意链接的方法及系统

Also Published As

Publication number Publication date
CN114726559A (zh) 2022-07-08

Similar Documents

Publication Publication Date Title
CN110324311B (zh) 漏洞检测的方法、装置、计算机设备和存储介质
CN109743315B (zh) 针对网站的行为识别方法、装置、设备及可读存储介质
US9817969B2 (en) Device for detecting cyber attack based on event analysis and method thereof
US20150271202A1 (en) Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server
CN113315742B (zh) 攻击行为检测方法、装置及攻击检测设备
CN103384888A (zh) 用于恶意软件的检测和扫描的系统和方法
CN110336835B (zh) 恶意行为的检测方法、用户设备、存储介质及装置
CN104767747A (zh) 点击劫持安全检测方法和装置
CN110210231B (zh) 一种安全防护方法、系统、设备及计算机可读存储介质
CN113518077A (zh) 一种恶意网络爬虫检测方法、装置、设备及存储介质
KR102280845B1 (ko) 네트워크 내의 비정상 행위 탐지 방법 및 그 장치
CN107623693B (zh) 域名解析防护方法及装置、系统、计算设备、存储介质
CN108512805B (zh) 一种网络安全防御方法及网络安全防御装置
CN112087455B (zh) 一种waf站点防护规则生成方法、系统、设备及介质
US10474810B2 (en) Controlling access to web resources
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
KR101917996B1 (ko) 악성 스크립트 탐지 방법 및 장치
CN109565499B (zh) 攻击字符串生成方法及装置
CN114726559B (zh) 一种url检测方法、系统、设备及计算机可读存储介质
CN113645191B (zh) 可疑主机的确定方法、装置、设备和计算机可读存储介质
CN114640492B (zh) 一种url检测方法、系统、设备及计算机可读存储介质
KR101077855B1 (ko) 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법
CN114079576A (zh) 安全防御方法、装置、电子设备及介质
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
CN108965277B (zh) 一种基于dns的感染主机分布监测方法与系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant