WO2014094653A1

WO2014094653A1 - 一种用于检测恶意链接的设备、方法及系统

Info

Publication number: WO2014094653A1
Application number: PCT/CN2013/090104
Authority: WO
Inventors: 李晓波; 刘起
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2012-12-20
Filing date: 2013-12-20
Publication date: 2014-06-26

Abstract

本发明公开了一种用于检测恶意链接的设备、方法及系统。其中，设备包括：第二行为检测器，被配置为对网络资源的可疑行为进行检测，将检测出的可疑链接传输至服务器端设备进行进一步检测；第二获取器，被配置为获取服务器端设备基于第二行为检测器提供的可疑链接确定的危险恶意网站主机名集合和危险恶意链接集合；第二链接检测器，被配置为根据第二获取器获取的危险恶意网站主机名集合和危险恶意链接集合检测出新的可疑链接，并将新的可疑链接传输至服务器端设备进行检测及更新相关恶意值，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合或危险恶意链接集合。

Description

一种用于检测恶意链接的设备、方法及系统技术领域

本发明涉及网络安全技术领域，具体涉及一种用于检测恶意链接的网络安全管理设备、检测设备、方法及系统。背景技术

随着互联网的发展，各种计算机恶意程序的攻击方式变得越来越层出不穷。比如类似挂马类的恶意程序攻击手段多种多样，比如，包括 SQL ( Structured Query Language , 结构化查询语言）注入，网站敏感文件扫描，服务器漏洞，网站程序 Oday等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库备份 /恢复或者上传漏洞获得一个 webshel l (web入侵的脚本攻击工具）。利用获得的 webshel l修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站 FTP ( Fi le Transfer Protocal , 文件传输协议），然后直接对网站页面直接进行修改。当访问被加入恶意代码的页面时，就会自动的访问被转向的地址或者下载木马病毒。

在整个挂马检测的防御体系中，关于恶意 URL( Universal Resource Locator, 统一资源定位符）的收集就是一个非常重要的环节，如何能够更快速更全面收集到恶意 URL，将决定杀毒软件查杀挂马网站是否及时，是否有效。

现有的一种检测挂马网站方案是，反挂马蜘蛛从一些漏洞扫描后收集的高危网站作为种子开始抓取，通过对新发现的页面做链接分析，从中获取新的 URL，然后对新的 URL进行下载，下载后的内容提交给挂马识别系统。对于基于种子进行抓取的检测系统，由于种子页面仅仅是高危网站，但未必是被挂马的网站，所以无法快速的检测挂马网站，同时覆盖率也就不够全面。

现有的另一种方案是，检测系统通过客户端软件来探测发现高危网站，发现后将数据反馈到蜘蛛系统，由蜘蛛系统进行下载并递交后续分析系统。对于这种基于客户端探测的检测系统，由于黑客入侵后嵌入的恶意攻击代码可以随时停止，所以经常无法检测到有恶意行为，也就无法将被攻击的网址回传到服务端检测系统，在检测手法上比较被动。因此，这种方案也无法快速发现检测到尽量多的挂马网站，并且也无法检测到尽量多的挂马网站。发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的用于检测恶意链接的网络安全管理设备、检测设备、系统和相应的用于检测恶意链接的方法。

依据本发明的一个方面，提供了一种用于检测恶意链接的网络安全管理设备，恶意链接是互联网中恶意的网络资源的链接地址，包括: 第一行为检测器，被配置为至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出恶意链接的内嵌的其他恶意链接；第一行为评估器，被配置为至少根据第一行为检测器检测出的各恶意链接之间的内嵌关系，对各恶意链接评估恶意值，并对各恶意链接相关的恶意网站主机名评估恶意值，以及根据第一行为检测器检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更新；第一筛选器，被配置为根据第一行为评估器评估出的结果，筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合和其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合，并将危险恶意网站主机名集合和危险恶意链接集合的信息通知至客户端设备；第一获取器，被配置为获取客户端设备基于危险恶意网站主机名集合和危险恶意链接集合检测出的新的可疑链接，并将新的可疑链接传输至第一行为检测器进行检测，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合或危险恶意链接集合。

可选的，待评估恶意值的恶意链接为目标恶意链接，目标恶意链接的内嵌的其他恶意链接为目标恶意链接的内嵌恶意链接，每个内嵌恶意链接的恶意外链数目具体是以该内嵌恶意链接作为内嵌的链接的所有恶意链接的总数，第一行为评估器包括：第一识别模块，被配置为根据各恶意链接之间的内嵌关系，识别出目标恶意链接的所有内嵌恶意链接以及每个内嵌恶意链接的恶意外链数目；第一评估模块，被配置为根据第一识别模块识别出的目标恶意链接的各内嵌恶意链接的最新恶意值，和每个内嵌恶意链接的恶意外链数目，评估目标恶意链接的恶意值。

可选的，待评估恶意值的恶意网站主机名为目标恶意网站主机名，目标恶意网站主机名下各恶意链接的内嵌的其他恶意链接所属的恶意网站主机名，是与目标恶意网站主机名具有关联关系的关联恶意网站主机名，每个关联恶意网站主机名的恶意外链数目具体是该关联恶意网站主机名下所有恶意链接的恶意外链数目之和，第一评估器包括：第二识别模块，被配置为根据各恶意链接之间的内嵌关系，识别出目标恶意网站主机名的所有关联恶意网站主机名，以及每个关联恶意网站主机名的恶意外链数目；第二评估模块，被配置为根据目标恶意网站主机名的各关联恶意网站主机名的最新恶意值，以及每个关联恶意网站主机名的恶意外链数目，评估目标恶意网站主机名的恶意值。

可选的，第一评估模块还被配置为通过多轮迭代方式获得各目标恶意链接的恶意值，在第一轮处理时为各目标恶意链接设置初始恶意值；第二评估模块还被配置为通过多轮迭代方式获得各目标恶意网站主机名的恶意值，在第一轮处理时为各目标恶意网站主机名设置初始恶意值。

可选的，恶意链接或可疑链接的内嵌的其他链接包括：访问恶意链接或可疑链接时被自动执行的其他链接。

可选的，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合或危险恶意链接集合包括：新的可疑链接的内嵌的其他链接的网站主机名，至少是危险恶意网站主机名集合中的一个网站主机名；或者，新的可疑链接的内嵌的其他链接，至少是危险恶意链接集合中的一个链接。

可选的，第一行为检测器具体是挂马行为检测器，的恶意行为检测具体是挂马恶意行为检测，恶意链接具体恶意挂马链接，恶意链接的内嵌的其他恶意链接具体为恶意挂马链接的内嵌的其他恶意挂马链接。

根据本发明的另一方面，提供了一种用于检测恶意链接的方法，恶意链接包括互联网中各种恶意的网络资源的链接地址，包括：至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出恶意链接的内嵌的其他恶意链接；至少根据各恶意链接之间的内嵌关系，对各恶意链接评估恶意值，并对各恶意链接相关的恶意网站主机名评估恶意值，以及根据检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更新；筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合和其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合，并将危险恶意网站主机名集合和危险恶意链接集合的信息通知至客户端设备；获取客户端设备基于危险恶意网站主机名集合和危险恶意链接集合检测出的新的可疑链接，并将新的可疑链接进行恶意行为检测，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合或危险恶意链接集合。

根据本发明的又一方面，提供了一种用于检测恶意链接的检测设备，恶意链接包括互联网中恶意的网络资源的链接地址，该检测设备包括：第二行为检测器，被配置为对网络资源的可疑行为进行检测，将检测出的可疑链接传输至服务器端设备进行进一步检测；第二获取器，被配置为获取服务器端设备基于第二行为检测器提供的可疑链接确定的危险恶意网站主机名集合和危险恶意链接集合，危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第一预置阈值的各恶意网站主机名的集合，危险恶意链接集合是服务器端筛选出的危险恶意网站主机名集合以外的其余恶意网站主机名下、恶意值高于第二预置阈值的各恶意链接的集合；第二链接检测器，被配置为根据第二获取器获取的危险恶意网站主机名集合和危险恶意链接集合检测出新的可疑链接，并将新的可疑链接传输至服务器端设备进行检测及更新相关恶意值，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合或危险恶意链接集合。

根据本发明的又一方面，提供了一种用于检测恶意链接的检测方法，恶意链接包括互联网中恶意的网络资源的链接地址，包括：对网络资源的恶意行为进行检测，将检测出的可疑链接传输至服务器端设备进行进一步检测；从服务器端设备获取危险恶意网站主机名集合和危险恶意链接集合，危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第一预置阈值的各恶意网站主机名的集合，危险恶意链接集合是服务器端筛选出的危险恶意网站主机名集合以外的其余恶意网站主机名下、恶意值高于第二预置阈值的各恶意链接的集合；根据危险恶意网站主机名集合和危险恶意链接集合检测出新的可疑链接，并将新的可疑链接传输至服务器端设备进行检测及更新相关恶意值，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合或危险恶意链接集合。

根据本发明的又一方面，提供了一种用于检测恶意链接的网络安全管理设备，恶意链接包括互联网中恶意的网络资源的链接地址，包括：第一行为检测器，被配置为至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出恶意链接的内嵌的其他恶意链接；第一行为评估器，被配置为至少根据第一行为检测器检测出的各恶意链接之间的内嵌关系，对各恶意链接评估恶意值，以及根据第一行为检测器检测出的新的恶意链接对相关恶意链接的恶意值进行更新；第一筛选器，被配置为根据第一行为评估器评估出的结果，筛选出恶意值高于第二预置阈值的危险恶意链接集合，并将危险恶意链接集合的信息通知至客户端设备；第一获取器，被配置为获取客户端设备基于危险恶意链接集合检测出的新的可疑链接，并将新的可疑链接传输至第一行为检测器进行检测，新的可疑链接的内嵌的其他链接命中危险恶意链接集合。

根据本发明的又一方面，提供了一种用于检测恶意链接的检测设备，恶意链接包括互联网中恶意的网络资源的链接地址，包括：第二行为检测器，被配置为对网络资源的可疑行为进行检测，将检测出的可疑链接传输至服务器端设备进行进一步检测；第二获取器，被配置为获取服务器端设备基于第二行为检测器提供的可疑链接确定的危险恶意链接集合，危险恶意链接集合是服务器端筛选出的恶意值高于第二预置阈值的各恶意链接的集合；第二链接检测器，被配置为根据第二获取器获取的危险恶意链接集合检测出新的可疑链接，并将新的可疑链接传输至服务器端设备进行检测及更新相关恶意值，新的可疑链接的内嵌的其他链接命中危险恶意链接集合。

根据本发明的又一方面，提供了一种用于检测恶意链接的网络安全管理设备，恶意链接包括互联网中恶意的网络资源的链接地址，包括：第一行为检测器，被配置为至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出恶意链接的内嵌的其他恶意链接；第一行为评估器，被配置为至少根据第一行为检测器检测出的各恶意链接之间的内嵌关系，对各恶意链接相关的恶意网站主机名评估恶意值，以及根据第一行为检测器检测出的新的恶意链接对相关的恶意网站主机名的恶意值进行更新；第一筛选器，被配置为根据第一行为评估器评估出的结果，筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合，并将危险恶意网站主机名集合的信息通知至客户端设备；第一获取器，被配置为获取客户端设备基于危险恶意网站主机名集合检测出的新的可疑链接，并将新的可疑链接传输至第一行为检测器进行检测，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合。

根据本发明的又一方面，提供了一种用于检测恶意链接的检测设备，恶意链接包括互联网中各种恶意的网络资源的链接地址，包括：第二行为检测器，被配置为对网络资源的可疑行为进行检测，将检测出的可疑链接传输至服务器端设备进行进一步检测；第二获取器，被配置为获取服务器端设备至少基于第二行为检测器提供的可疑链接确定的危险恶意网站主机名集合，危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第一预置阈值的各恶意网站主机名的集合；第二链接检测器，被配置为根据第二获取器获取的危险恶意网站主机名集合检测出新的可疑链接，并将新的可疑链接传输至服务器端设备进行检测及更新相关恶意值，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合。

根据本发明的又一方面，提供了一种用于检测恶意链接的系统，包括服务器端设备和客户端设备：服务器端设备包括前述任一的网络安全管理设备，客户端设备前述任一的检测设备。

依据本发明的又一个方面，提供了一种用于检测恶意链接的系统，包括服务器端设备和客户端设备；所述服务器端设备包括网络安全管理设备，所述客户端设备包括检测设备；所述恶意链接包括互联网中恶意的网络资源的链接地址，其中，所述检测设备包括：第二行为检测器，被配置为对网络资源的可疑行为进行检测，将检测出的可疑链接传输至服务器端设备进行进一步检测；第二获取器，被配置为获取所述服务器端设备基于所述第二行为检测器提供的可疑链接确定的危险恶意网站主机名集合和危险恶意链接集合，所述危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第一预置阈值的各恶意网站主机名的集合，所述危险恶意链接集合是服务器端筛选出的所述危险恶意网站主机名集合以外的其余恶意网站主机名下、恶意值高于第二预置阈值的各恶意链接的集合；第二链接检测器，被配置为根据所述第二获取器获取的危险恶意网站主机名集合和危险恶意链接集合检测出新的可疑链接，并将所述新的可疑链接传输至所述服务器端设备进行检测及更新相关恶意值，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合；所述网络安全管理设备包括：第一行为检测器，被配置为至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对所述检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出所述恶意链接的内嵌的其他恶意链接；第一行为评估器，被配置为至少根据所述第一行为检测器检测出的各恶意链接之间的内嵌关系，对各恶意链接评估恶意值，并对各恶意链接相关的恶意网站主机名评估恶意值，以及根据所述第一行为检测器检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更新；第一筛选器，被配置为根据所述第一行为评估器评估出的结果，筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合和其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合，并将所述危险恶意网站主机名集合和危险恶意链接集合的信息通知至所述客户端设备；第一获取器，被配置为获取客户端设备基于所述危险恶意网站主机名集合和所述危险恶意链接集合检测出的新的可疑链接，并将所述新的可疑链接传输至所述第一行为检测器进行检测，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合。

根据本发明的另一方面，提供了一种用于检测恶意链接的方法，恶意链接包括互联网中各种恶意的网络资源的链接地址，包括：至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出恶意链接的内嵌的其他恶意链接；至少根据各恶意链接之间的内嵌关系，对各恶意链接评估恶意值，并对各恶意链接相关的恶意网站主机名评估恶意值，以及根据检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更新；筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合和其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合，并将危险恶意网站主机名集合和危险恶意链接集合的信息通知至客户端设备；获取客户端设备基于危险恶意网站主机名集合和危险恶意链接集合检测出的新的可疑链接，并将新的可疑链接进行恶意行为检测，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合或危险恶意链接集合；其中，所述恶意链接或可疑链接的内嵌的其他链接包括：访问所述恶意链接或可疑链接时被自动执行的其他链接。

根据本发明的用于检测恶意链接的系统及方法，可以快速检测到更多的可疑链接、恶意链接，由此解决了现有技术无法快速检测到尽量多的恶意链接的技术问题，取得了能够快速检测到大量恶意链接的有益效果。

根据本发明的用于检测恶意链接的网络安全管理设备、检测设备、系统及方法，可以快速检测到更多的可疑链接、恶意链接，由此解决了现有技术无法快速检测到尽量多的恶意链接的技术问题，取得了能够快速检测到大量恶意链接的有益效果。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图 1 示出了根据本发明一个实施例的用于检测恶意链接的系统示意图；图 2 示出了根据本发明一个实施例的恶意链接之间内嵌关系的示意图；

图 3 示出了根据本发明一个实施例的恶意网站主机名之间关联关系的示意图；

图 4 示出了根据本发明一个实施例的用于检测恶意链接的方法流程图；以及

图 5 示出了根据本发明一个实施例的用于检测恶意链接的检测方法流程图。具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

1、本发明实施例可以应用于计算机系统 /服务器，其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统 /服务器一起使用的众所周知的计算系统、环境和 /或配置的例子包括但不限于：个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统、大型计算机系统和包括上述任何系统的分布式云计算技术环境，等等。

计算机系统 /服务器可以在由计算机系统执行的计算机系统可执行指令（诸如程序模块）的一般语境下描述。通常，程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等，它们执行特定的任务或者实现特定的抽象数据类型。计算机系统 /服务器可以在分布式云计算环境中实施，分布式云计算环境中，任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中，程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。

请参阅图 1，其示出了根据本发明一个实施例的用于检测恶意链接的系统示意图，该系统包括服务器端设备 100和客户端设备 200，其中，服务器端设备至少包括用于检测恶意链接的网络安全管理设备 110，具体而言，网络安全管理设备 110包括第一行为检测器 112、第一行为评估器 114、第一获取器 116以及第一筛选器 118 ; 客户端设备至少包括用于检测恶意链接的检测设备 210，具体而言，检测设备 210包括第二行为检测器 212、第二获取器 214以及第二链接检测器 216。

首先，客户端侧检测设备 200中的第二行为检测器 212对网络资源的可疑行为进行检测，网络资源包括但不限于互联网中的网页、视频及音频等。客户端侧预先维护一个可疑行为特征库，在该特征库中记录有一些可疑行为的特征（可疑的程序行为的特征）包括但不限于在访问某个网页过程中调用某些特定的系统函数、执行加载了某些特定代码、分配了可疑的内存，将某些文件存放到可疑的位置、或者是产生了内存溢出等，这些可疑行为可以是客户端侧的检测设备 200 根据以往的加密后的历史数据的特征值总结的，也可以是从服务器侧获取的加密后的特征值或程序行为，可疑行为的具体内容可以不断更新，种类也可以不断丰富，服务端可以利用类似于决策树，贝叶斯算法，神经网域计算等方法，或者使用简单的阈值分析进行机器学习等，对客户端侧通过各种方式获知的各种可疑行为以及各种可疑行为的检测手段在本发明实施例中都是适用的，本发明对此并没有限制。

当客户端侧访问某些链接地址的网络资源时，第二行为检测器 212 就会根据已知的可疑行为特征库对当前的访问过程、行为进行监控检测。由于客户端侧保存有用户的各种私人文件，而且客户端侧的运行分析能力也有限，因此第二行为检测器 212 在检测到可疑行为后，一般在征得用户的同意后予以拦截，不会再继续执行当前的操作，防止危害真正发生。比如，如果检测到当前登录的某网页链接在调用某种可疑的系统函数，那么客户端一般不会再让该调用继续下去，进而也就无法知道后续调用完可疑函数之后还执行了哪些程序或者下载了哪些文档，因此客户端无法准确判断该网页链接是否真的是恶意链接，仅能确定为可疑链接，然后将该可疑链接上报至服务器端的网络安全管理设备 110 做进一步检测确认。服务器端与客户端反馈联动，并且保持多个服务器集群并联进行任务处理。

网络安全管理设备 110的第一行为检测器 112接收到来自客户端侧的可疑链接信息后，对这些可疑链接进行恶意行为检测，检测是否为恶意链接。具体而言，由于服务器端的运行分析能力更强，因此有多种更先进、权威的检测手段以便对可疑链接做进一步确认。比如，在不影响服务器端整体网络环境安全的情况下，可以在基于虚拟机等运行环境中完成对可疑链接的整个访问或下载过程，让程序执行完毕，比如完成可疑系统函数的调用，加载完可疑代码、分配可疑的内存空间等，从而检测在该链接访问或下载的整个过程中，究竟下载了哪些代码、下载了哪些文件、调用可疑系统函数做了什么事情，甚至还可以继续执行该程序下载的各种代码、运行各种下载的文件等等，进而通过这些检测以及网络侧更强大的特征库，可以更准确的确定该链接是否为真正的恶意链接。再比如，利用服务器端比客户端更新更及时、全面的恶意特征数据库、黑白名单等也可以对客户端上报的可疑链接做进一步判断确认。需要说明的是，服务器端拥有比客户端侧更强大、更及时的检测手段和资源，

因此现有和将来各种服务器端用以确认某个可疑链接是否为恶意链接的技术，都适用于本发明，因此本发明对此并没有限制。

客户端侧告知的可疑链接经过服务器侧的第一行为检测器 112 进一步检测后，可能检测到全部是真正的恶意链接，但也有可能检测到有一部分并不是真正的恶意链接。因此第一行为检测器 112 的主要目的是从客户端侧告知的可疑链接中检测出真正的恶意链接，以便后续操作。

在第一行为检测器 112 检测出恶意链接之后，进一步对这些恶意链接的内嵌的其他链接进行恶意行为检测，检测出这些恶意链接的内嵌的其他恶意链接。恶意链接的内嵌的其他链接，可以是访问、执行该恶意链接的过程中自动执行的其他链接，或者说自动跳转访问的其他链接。具体而言，第一行为检测器 112 会监控网络端口，在访问某个恶意链接后，会通过网络端口提供的数据信息获知访问该恶意链接的同时自动打开（或称访问）了哪些其他的链接，进而这些其他的链接就是该恶意链接的内嵌的链接。进而第一行为检测器 112 还会对这些内嵌的链接访问、执行一遍，以便判断这些内嵌的链接中哪些是恶意的链接。通过上述的操作，第一行为检测器 112 就可以检测出若干恶意链接，以及这些恶意链接之间的内嵌关系。

例如，第一行为检测器 112首先检测某 A链接是恶意链接，

A链接： hxxp： //www. cqcmc. cn/xxx/xxx/?l i st_5. html , 同时通过监控网络端口的访问记录检测在访问该恶意链接 A 时会自动访问 B链接或者说自动下载 B链接中的内容，

B链接： hxxp： / / vma. jkub. com : xx/3/maay. htm,

由此可以确定 B链接是 A链接的内嵌的链接，进而第一行为检测器 12再通过前述的各种检测手段检测 B链接是否为恶意链接，如果是，则可以确定 B链接是恶意链接 A链接的内嵌的恶意链接。以此类推，通过这种方式，第一行为检测器 112 可以检测出若干恶意链接以及他们内嵌的恶意链接，进而也就知道了各恶意链接之间的内嵌关系。

在一个实施例中，第一行为检测器 112 在检测出各恶意链接以及他们之间的内嵌关系之后，第一行为评估器 114 根据第一行为检测器 112提供的各恶意链接之间的内嵌关系，对各恶意链接评估恶意值。具体而言，为叙述方便，将待评估恶意值的恶意链接称为目标恶意链接，将目标恶意链接的内嵌的其他恶意链接称为该目标恶意链接的内嵌恶意链接，每个内嵌恶意链接的恶意外链数目是以该内嵌恶意链接作为内嵌的链接的所有恶意链接的总数。

例如图 2，其示出了对恶意链接评估恶意值的链接关系示意图。假设图中的恶意链接 A 为待评估恶意值的目标恶意链接，根据第一行为检测器 112获知恶意链接 A有 3个内嵌恶意链接，即链接 B、链接 C以及链接 D是经第一行为检测器 112检测确认的恶意链接。从图中还可以看出，实际上链接 E也是恶意链接 A的内嵌链接，但是由于链接 E 是非恶意链接，因此在评估目标恶意链接 A的恶意值时不予以参考；此外，假设访问链接 A时会自动执行跳转执行链接 F，但是链接 F 是与链接 A属于同一网站内的链接，比如这两个链接的域名相同，那么在评估目标恶意链接 A的恶意值时，无论链接 F是否为恶意链接，都不考虑链接 F，即在评估恶意链接的恶意值时只考虑不同网站之间的内嵌关系，不考虑同一网站内各链接之间的内嵌关系。即将目标恶意链接的内嵌的其他恶意链接限定为非同一网站的恶意链接，换而言之，目标恶意链接的内嵌的非同一网站的恶意链接，为该目标恶意链接的内嵌恶意链接。对于目标恶意链接内嵌的同一网站的其他恶意链接虽然不用于计算目标恶意链接的恶意值，但是还可以进一步分析该内嵌恶意链接是否还内嵌了其他网站的恶意链接，即可以把目标恶意网站内嵌的同一网站的其他恶意链接当做一个新的恶意链接去分析，并评估其恶意值。应当注意的是，也不完全排除在某种特殊应用场景下，目标恶意链接的内嵌的其他恶意链接不必限定为非同一网站的内嵌恶意链接，即同一网站的内嵌恶意链接也参与计算目标恶意链接的恶意值，此种情况下，目标恶意链接的内嵌的各种恶意链接，包括非同一网站内的，也可能包含同一网站内的，均为该目标恶意链接的内嵌恶意链接。因此，以上两种方案都在本发明的保护范围内，根据实际应用场景的不同可以采用不同的方案予以实现。

在评估每个目标恶意链接的恶意值时，主要通过第一行为评估器 114执行。具体而言，第一行为评估器 114可以包括第一识别模块和第一评估模块。

首先，第一识别模块根据第一行为检测器 112 提供的各恶意链接之间的内嵌关系，识别出目标恶意链接的所有内嵌恶意链接以及每个内嵌恶意链接的恶意外链数目。仍然以图 2 为例，第一识别模块先根据第一检测器 112提供的信息，识别出目标恶意链接 A的所有内嵌恶意链接分别是恶意链接13、 C、 Do 进而再统计每个内嵌恶意链接的恶意外链数目。从图 2可以看出，恶意链接 B除了是恶意链接 A的内嵌恶意链接外，还是恶意链接 G、 H、 I 的内嵌恶意链接，由此可知 A的内嵌恶意链接 B的恶意外链数目是 4; 同理，知道 A的内嵌恶意链接 C的恶意外链数目是 3 (恶意外链分别是链接、 J、 K) ， A的内嵌恶意链接 D的恶意外链数目是 1 (恶意外链只有链接 A) 。

然后，第一识别模块将统计出的上述信息告知第一评估模块，第一评估模块根据目标恶意链接的各内嵌恶意链接的最新恶意值，和每个内嵌恶意链接的恶意外链数目，评估目标恶意链接的恶意值。在一个实施例中，第一评估模块可以包括：第一比值子模块，用于获得目标恶意链接的每个内嵌恶意链接的最新恶意值与该内嵌恶意链接的恶意外链数目的比值；第一累加子模块，用于将目标恶意链接的各内嵌恶意链接的最新恶意值与对应的恶意外链数目的比值进行累加，获得第一累加值；以及第一加权子模块，用于将所述第一累加值乘以第一权值后与第二权值相加，得到目标恶意链接的恶意值。仍然以图 2 为例进行详细说明。

在一个实施例中，在评估目标恶意链接 A 的恶意值时可以采用下述公式进行评估： PR (A) = a+ b * ( PR(B)/links(B) + PR (C) /links (C) + PR (D) /links (D) + )

其中， PR () 表示相关恶意链接的恶意值（也可称为 rank值）， links () 表示相关恶意链接的恶意外链数目， a相当于前述的第一权值， b相当于前述的第二权值。起始时可以给所有恶意链接的恶意值赋一初始值。应当注意，该初始值、权值 a和权值 b ，均可以根据实际应用场景需求或经验设置不同的数值，本发明实施例对此并没有限制。多数情况下，可以限制权值 a和 b之和等于 1。当然在某些情况下甚至也可以不给权值 a和 b设置实际意义的值。假设在一个实施例中，将 a 设置为 0.15， b设置为 0.85，各恶意链接的初始恶意值设置为 1。

通过前面第一识别模块的描述可知，在图 2 对应的实施例中， links (B) =4, links(C)=3， links(D)=l，在第一轮计算各恶意链接的恶意值时，相关恶意链接的恶意值均使用初始值，如 PR(B)=1，PR(C)=1， PR(D)=1，进而

PR (A) = 0.15+ 0.85 * (1/4 + 1/3 + 1/1)=1.4958

于是，在第一轮计算各目标恶意链接时，恶意链接 A 的恶意值即为 1.4958，同理，按照同样的方法，还可以评估出第一轮其他恶意链接的恶意值，如恶意链接 B、 C、 D、 G等的恶意值。

第一评估模块可以通过多轮迭代方式获得各目标恶意链接的恶意值，在第一轮处理时为各目标恶意链接设置初始恶意值，后续每轮处理时带入的相关恶意链接恶意值都是上轮计算出的结果；当经过多轮迭代之后，在恶意链接数据量、以及各恶意链接之间的内嵌关系没有发生更新的情况下，每个目标恶意链接的恶意值会趋于恒定，即能够得出一个比较接近于实际的恶意值。当有第一行为检测器 112 检测出新的恶意链接之后，第一行为评估器就可以及时或者定期重新计算相关恶意链接的恶意值，即进行更新。恶意值越高说明该恶意链接越有可能是一个挂马源链接。该恶意链接可能会感染很多其他的链接或网站

在上一个实施例中，第一行为评估器 114根据第一行为检测器 112 检测出的各恶意链接之间的内嵌关系，对各恶意链接评估恶意值。在本发明的另一个实施例中，第一行为评估器 114 还可以根据各恶意链接之间的内嵌关系，对各恶意链接相关的恶意网站主机名评估恶意值，以及根据第一行为检测器 112 检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更新。

具体而言，第一行为评估器 114 可以包括第二识别模块和第二评估模块。

待评估恶意值的恶意网站主机名为目标恶意网站主机名，目标恶意网站主机名下各恶意链接的内嵌的其他恶意链接所属的恶意网站主机名，是与目标恶意网站主机名具有关联关系的关联恶意网站主机名。如何确定某个恶意链接的内嵌的其他恶意链接可以参看前述实施例中的相关描述，此处不再赘述。

请参阅图 3，其为根据本发明一个实施例的各恶意网站主机名之间的关联关系示意图。第一行为评估器 114检测到第一行为检测器 112 检测出某网站主机名 aaa下存在 4个恶意链接，比如， www. aaa. com/a, www. aaa. com/b 、 www. aaa. com/ c 以及 www. aaa. com/ d，其中， www. aaa. com/ a有个内嵌恶意链接 www. bbb. com/h , www. aaa. com/ c也有个内嵌恶意链接 www. ccc. com/ g, www. aaa. com/b禾口 www. aaa. com/ d 无内嵌恶意链接。进一步分析 URL可知，恶意内嵌链接 www. bbb. com/h 所属的网站主机名是 bbb，内嵌恶意链接 www. ccc. com/g所属的网站主机名是 ccc，由此可知，与目标恶意网站主机名 aaa具有关联关系的关联恶意网站主机名分别是 " bbb "和 " ccc " 。

每个关联恶意网站主机名的恶意外链数目具体是该关联恶意网站主机名下所有恶意链接的恶意外链数目之和。例如，假设 " bbb " 网站主机名下共有 3个恶意链接，分别是 ww. bbb. com/h, ww. bbb. com/i以及 ww. bbb. com/k。其中， w ww. bbb. com/h 又分别是恶意链接 G ( www. aaa. com/a ) 、恶意链接 H的内嵌恶意链接，即说明 w ww. bbb. com/h的恶意外链数目是 2 ; 同理， www. bbb. com/i的恶意外链数目是 3 ; ww. bbb. com/k的恶意外链数目是 0，那么 " bbb " 网站主机名的恶意外链数目就是 2+3+0=5。根据相同的方式可以统计出与恶意网站主机名 aaa相关联的关联恶意网站主机名 ccc的恶意外链数目，比如为 2。

第二识别模块可以通过上述方式根据各恶意链接之间的内嵌关系，识别出各目标恶意网站主机名的所有关联恶意网站主机名，以及每个关联恶意网站主机名的恶意外链数目。然后，第二评估模块，根据目标恶意网站主机名的各关联恶意网站主机名的最新恶意值，以及每个关联恶意网站主机名的恶意外链数目，评估所述目标恶意网站主机名的恶意值。

例如，在一个实施例中，第二评估模块可以包括：第二比值子模块，用于获得所述目标恶意网站主机名的每个关联恶意网站主机名的最新恶意值与该关联恶意网站主机名的恶意外链数目的比值；第二累加子模块，用于将目标恶意网站主机名的各关联恶意网站主机名的最新恶意值与对应的恶意外链数目的各比值累加，获得第二累加值；第二加权子模块，用于将第二累加值乘以第三权值后与第四权值相加，得到目标恶意网站主机名的恶意值。下面仍然以图 3 中评估恶意网站主机名 aaa为例进行详细说明。

在评估恶意网站主机名 A的恶意值时可以采用下述公式：

PR (a) = A+ B * ( PR(b)/links(b) + PR (c) /links (c) + PR (d) /links (d) + )

其中， PR () 表示相关恶意网站主机名的恶意值（也可称为 rank 值）， links () 表示相关恶意网站主机名的恶意外链数目， A相当于前述的第三权值， B相当于前述的第四权值。起始时可以给所有恶意网站主机名的恶意值赋一初始值。应当注意，该初始值、权值 A和权值 B，均可以根据实际应用场景需求或经验设置不同的数值，本发明实施例对此并没有限制。多数情况下，可以限制权值 A和 B之和等于 1。当然在某些情况下甚至也可以不给权值 A和 B设置实际意义的值。假设在一个实施例中，将 A设置为 0.15， B设置为 0.85，各恶意网站主机名的初始恶意值设置为 1。

通过前面第二识别模块的描述可知，在图 3 对应的实施例中，恶意网站主机名 aaa总共有两个关联恶意网站主机名，分别是 bbb和 ccc，而 links(bbb)=5， links(ccc)=2, 在第一轮计算各恶意链接的恶意值时，关联恶意网站主机名的恶意值均使用初始值，如 PR(bbb)=l， PR(ccc)=l，进而

PR (aaa) = 0.15+ 0.85 * (1/5 + 1/2) =0.745

于是，在第一轮计算各目标恶意网站主机名时，恶意网站主机名 aaa的恶意值即为 0.745，同理，按照同样的方法，还可以评估出第一轮其他恶意网站主机名的恶意值，如恶意网站主机名 bbb、 ccc等的恶意值。一般网站主机名下具有恶意链接的，就可以称其为恶意网站主机名，进而可以评估它的恶意值。在恶意链接数据量、以及各恶意链接之间的内嵌关系没有发生更新的情况下，每个目标恶意网站主机名的恶意值在经过多轮迭代计算后会趋于恒定，即能够得出一个比较接近于实际的恶意值。当有第一行为检测器 112 检测出新的恶意链接之后，第一行为评估器就可以及时或者定期重新计算相关恶意网站主机名的恶意值，即进行更新。恶意值越高说明该恶意网站主机名越有可能是一个挂马网站，可能会感染很多其他的网站或链接。

应当注意的是，第一行为评估器 114 可以仅对恶意链接评估恶意值，也可以仅对恶意网站主机名评估恶意值，还可以同时对恶意链接和恶意网站主机名进行评估，这几种方案均在本发明的保护范围内。在第一行为评估器 114评估出各恶意链接和 /或各恶意网站主机名的恶意值之后，第一筛选器根据第一行为评估器 114 评估出的结果，筛选相关的集合。

在一个实施例中，如果第一评估器 114 既评估出了各恶意链接的恶意值，又评估出了各恶意网站主机名的恶意值，那么第一筛选器 118 筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合，以及其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合。例如，假设第一评估器评估出了 1000个恶意网站主机名的恶意值，其中恶意值在第一预置阈值以上的有 700个，那么第一筛选器 118就将这 700个网站主机名作为危险恶意网站主机名集合，然后在剩余的这 300个恶意网站主机名下的所有恶意链接中，挑选恶意值高于第二预置阈值的那些恶意链接，进而这些恶意链接组成危险恶意链接集合。

在又一个实施例中，如果第一评估器 114仅评估出了各恶意链接的恶意值，没有评估各恶意网站主机名的恶意值，那么第一筛选器 118 会筛选出恶意值高于第三预置阈值的恶意链接，进而将这些筛选出的恶意链接组成危险恶意链接集合。

同理，在又一个实施例中，如果第一评估器 114仅评估出了各恶意网站主机名的恶意值，没有评估各恶意链接的恶意值，那么第一筛选器 118会筛选出恶意值高于第四预置阈值的恶意链接，进而将这些筛选出的恶意网站主机名组成危险恶意网站主机名集合。

应当注意的是，以上第一、第二、第三及第四预置阈值的具体数值设置，可以根据经验、实际需求指标等多种因素综合考虑，这四个值可能相同，也可能不同，本发明实施例对这些均没有限制。可以看出，本质上第一筛选器 1 18 筛选出的各种集合是源于客户端侧第二行为检测器 212上报的可疑链接进行分析处理后所得。

在第一筛选器 1 18 筛选出相应的集合后，将危险恶意网站主机名集合和 /或危险恶意链接集合的信息通知至客户端设备 100的第二获取器 214。进而，第二获取器 214将获得的危险恶意网站主机名集合和 / 或危险恶意链接集合告知第二链接检测器 216，第二链接检测器 216根据危险恶意网站主机名集合和 /或危险恶意链接集合检测出新的可疑链接。具体而言，第二链接检测器 216 通过监控网络端口检测后续一些新链接的内嵌的其他链接（简称内嵌链接）具体是什么，并且将这些内嵌链接与危险恶意网站主机名集合和 /或危险恶意链接集合中的内容进行对比，如果检测命中，则将该新链接确定为新的可疑链接。

例如，客户端侧的第二链接检测器 216检测有一新链接 A 的内嵌链接包括链接 B、 C和 D，于是将内嵌链接13、 C、 D与服务器端下发的危险恶意链接集合中的链接信息对比，检测危险恶意链接集合中也有链接 A的信息，于是第二链接检测器 216便将链接 A确定为新的可疑链接。再例如，第二链接检测器 216检测到一新链接£，其内嵌链接是 www. aaa. com. cn/XXX, 于是将 www. aaa. com. cn/XXX 的主机名 " aaa " 与服务器端下发的危险恶意网站主机名集合中的信息对比，假如危险网站主机名集合中包含 " aaa "这个网站主机名，则表明新链接 E的内嵌链接命中危险网站主机名集合，于是将新链接 E确定为新的可疑链接。换而言之，所述新的可疑链接的内嵌的其他链接的网站主机名，至少是危险恶意网站主机名集合中的一个网站主机名；或者，新的可疑链接的内嵌的其他链接，至少是危险恶意链接集合中的一个链接。

由此可以看出，即便客户端设备 200 无法通过其他的手段检测出链接 A和 E具有前述的各种可疑行为，但是，通过服务器端提供的危险恶意链接集合和 /或危险恶意网站主机名集合，也可以将这两个链接确定为可疑链接。前面提过，危险恶意链接集合和危险恶意网站主机名集合中的恶意链接或恶意网站主机名都是恶意值比较高的，也就是它们很可能是真正的感染源，比如是真正的挂马源链接或挂马源网站主机名，而不仅仅是被感染者，一个感染源通常会感染很多网站，因此，通过部分网站找出感染源，然后再通过这个感染源就可以检测更多其他的被感染网站，通过这种方式，扩大了客户端设备 200检测可疑链接的网站数量，也提高了检测可疑链接的效率，因此能够很快收集到大量的恶意链接或恶意网站的信息，从而为网络安全提供更好的保障。

在第二链接检测器 216将基于危险恶意网站主机名集合和 /或危险恶意链接集合检测出新的可疑链接之后，发送至服务器端设备 100 的第一获取器 116，进而第一获取器 116将获取到的新的可疑链接信息传输至第一行为检测器 112进行恶意行为检测，如果第一行为检测器 112 确认为是恶意链接，则告知第一行为评估器 114，第一行为评估器 114 如果检测原有用于计算恶意链接或恶意网站主机名的数据库中没有这条恶意链接，该条恶意链接的加入导致原有恶意链接之间的内嵌发生了变化，那么第一行为评估器 114可以重新计算相关恶意链接和 /或恶意网站主机名的恶意值，从而可以根据数据量的增加不断修正相关恶意网站主机名或恶意链接的恶意值，从而使他们的恶意值更贴近真实的情况，能够更准确的通过恶意值反映出该恶意链接或恶意网站主机名是感染源还是被感染者，所谓的被感染者是指本身网站自身没有问题，只是受到感染源的恶意攻击被感染了病毒，比如是被挂马的正常网站，而非真正的挂马源网站。

前面各实施例提供的方案可以用于多种恶意链接或恶意网站的检测，比如可以是挂马检测，相应的，第一行为检测器具体是挂马行为检测器，恶意行为检测具体是挂马恶意行为检测，恶意链接具体恶意挂马链接，恶意链接的内嵌的其他恶意链接具体为恶意挂马链接的内嵌的其他恶意挂马链接。当然，还可以是其他与挂马类似的病毒检测，只要是具有一个病毒感染源通常会感染一批正常网站的病毒传播特征，基本都可以采用本发明的各种技术方案。

请参阅图 4，其示出了根据本发明一个实施例的用于检测恶意链接的方法，恶意链接包括互联网中各种恶意的网络资源的链接地址。该方法可以在服务器端予以实现。

该方法始于步骤 S410, 在步骤 S410中，至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出恶意链接的内嵌的其他恶意链接，然后进入步骤 S420。

在步骤 S420中，至少根据各恶意链接之间的内嵌关系，对各恶意链接评估恶意值和 /或对各恶意链接相关的恶意网站主机名评估恶意值，以及根据检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更新；然后进入步骤 S430。

在 S430中，筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合和其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合，或者，仅筛选出恶意值高于第三预置阈值的危险恶意网站主机名集合，再或者仅筛选出恶意值高于第四预置阈值的危险恶意链接集合，然后将危险恶意网站主机名集合和 /或危险恶意链接集合的信息通知至客户端设备。通过该步骤，可以找出比较可能是感染源的恶意链接或恶意链接主机名，以便让客户端根据这些最可能的病毒感染源再去检测其他的被感染链接或网站。此后，进入步骤 S440。

在步骤 S440中，获取客户端设备基于危险恶意网站主机名集合和 /或危险恶意链接集合检测出的新的可疑链接，并将新的可疑链接进行恶意行为检测，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合或危险恶意链接集合。通过该步骤，服务器端可以获得更多的可疑链接，进而经过检测后可以获得更多的恶意链接信息。

以上的步骤 S410可以通过前述各实施例中的第一行为检测器 112 予以执行，步骤 S420可以通过第一行为评估器 114予以执行，步骤 S430 可以通过第一筛选器 118予以执行，步骤 S440可以通过第一获取器 116 和第一行为检测器 112 共同执行。各步骤的具体实现可以参看前面相关部件的描述，此处不再赘述。

以上检测恶意链接的方法主要是从服务端角度描述的，下面从客户端角度描述。请参阅图 5，其示出了根据本发明一个实施例的用于检测恶意链接的检测方法。

该方法始于步骤 S510 , 在步骤 S510中，首先对网络资源的恶意行为进行检测，将检测出的可疑链接传输至服务器端设备进行进一步检测，然后进入步骤 S520 , 在步骤 S520中，从服务器端设备获取危险恶意网站主机名集合和 /或危险恶意链接集合。在一个实施例中，危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第一预置阈值的各恶意网站主机名的集合，危险恶意链接集合是服务器端筛选出的危险恶意网站主机名集合以外的其余恶意网站主机名下、恶意值高于第二预置阈值的各恶意链接的集合。在另一个实施例中，危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第三预置阈值的各恶意网站主机名的集合。在又一个实施例中，危险恶意链接集合是服务器端设备筛选出的恶意值高于第四预置阈值的恶意链接集合。其中，第一、第二、第三及第四预置阈值可以根据实际需要或经验设置，可以相同也可以不同，本发明实施例对此没有限制。

然后进入步骤 S530,根据危险恶意网站主机名集合和 /或危险恶意链接集合检测出新的可疑链接，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合或危险恶意链接集合，进而将新的可疑链接传输至服务器端设备进行检测及更新相关恶意值，例如相关的恶意链接的恶意值，或相关的恶意网站主机名的恶意值。由于危险恶意网站主机名集合或危险恶意链接集合中的链接或网站主机名都是恶意值较高的，即很可能是真正的病毒感染源，比如是真正的挂马源链接或网站，而这些真正的病毒感染源一般不仅感染一两个网站，往往会感染很多网站，即会成为很多原本正常网站的内嵌链接，因此可以通过这些病毒感染源与其他网站、链接之间的内嵌关系，检测更多被感染的网站或恶意链接，从而扩大了可疑链接的检测效率和数量。

以上的步骤 S510可以通过前述各实施例中的第二行为检测器 212 予以执行，步骤 S520可以通过第二获取器 214予以执行，步骤 S530 可以通过第二链接检测器 118 予以执行。各步骤的具体实现可以参看前面相关部件的描述，此处不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和 /或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书（包括伴随的权利要求、摘要和附图）中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书（包括伴随的权利要求、摘要和附图）中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器 ( DSP )来实现根据本发明实施例的用于检测恶意链接的设备或检测设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序 (例如，计算机程序和计算机程序产品）。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词 "包含" 不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词 "一" 或 "一个" 不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims

权利要求

1、一种用于检测恶意链接的网络安全管理设备，所述恶意链接是互联网中恶意的网络资源的链接地址，包括：

第一行为检测器，被配置为至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对所述检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出所述恶意链接的内嵌的其他恶意链接；

第一行为评估器，被配置为至少根据所述第一行为检测器检测出的各恶意链接之间的内嵌关系，对各恶意链接评估恶意值，并对各恶意链接相关的恶意网站主机名评估恶意值，以及根据所述第一行为检测器检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更新；

第一筛选器，被配置为根据所述第一行为评估器评估出的结果，筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合和其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合，并将所述危险恶意网站主机名集合和危险恶意链接集合的信息通知至所述客户端设备；

第一获取器，被配置为获取客户端设备基于所述危险恶意网站主机名集合和所述危险恶意链接集合检测出的新的可疑链接，并将所述新的可疑链接传输至所述第一行为检测器进行检测，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合。

2、根据权利要求 1所述的设备，所述待评估恶意值的恶意链接为目标恶意链接，所述目标恶意链接的内嵌的其他恶意链接为所述目标恶意链接的内嵌恶意链接，所述每个内嵌恶意链接的恶意外链数目具体是以该内嵌恶意链接作为内嵌的链接的所有恶意链接的总数，所述第一行为评估器包括：

第一识别模块，被配置为根据各恶意链接之间的内嵌关系，识别出所述目标恶意链接的所有内嵌恶意链接以及每个内嵌恶意链接的恶意外链数目；

第一评估模块，被配置为根据所述第一识别模块识别出的目标恶意链接的各内嵌恶意链接的最新恶意值，和每个内嵌恶意链接的恶意外链数目，评估所述目标恶意链接的恶意值。

3、根据权利要求 1或 2所述的设备，所述待评估恶意值的恶意网站主机名为目标恶意网站主机名，所述目标恶意网站主机名下各恶意链接的内嵌的其他恶意链接所属的恶意网站主机名，是与所述目标恶意网站主机名具有关联关系的关联恶意网站主机名，所述每个关联恶意网站主机名的恶意外链数目具体是该关联恶意网站主机名下所有恶意链接的恶意外链数目之和，所述第一评估器包括：

第二识别模块，被配置为根据各恶意链接之间的内嵌关系，识别出所述目标恶意网站主机名的所有关联恶意网站主机名，以及每个关联恶意网站主机名的恶意外链数目；

第二评估模块，被配置为根据所述目标恶意网站主机名的各关联恶意网站主机名的最新恶意值，以及每个关联恶意网站主机名的恶意外链数目，评估所述目标恶意网站主机名的恶意值。

4、根据权利要求 2或 3所述的设备，

所述第一评估模块还被配置为通过多轮迭代方式获得各目标恶意链接的恶意值，在第一轮处理时为各目标恶意链接设置初始恶意值；所述第二评估模块还被配置为通过多轮迭代方式获得各目标恶意网站主机名的恶意值，在第一轮处理时为各目标恶意网站主机名设置初始恶意值。

5、根据权利要求 1至 4中任一项所述的设备，所述恶意链接或可疑链接的内嵌的其他链接包括：访问所述恶意链接或可疑链接时被自动执行的其他链接。

6、根据权利要求 1至 5中任一项所述的设备，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合包括：

所述新的可疑链接的内嵌的其他链接的网站主机名，至少是所述危险恶意网站主机名集合中的一个网站主机名；

或者，

所述新的可疑链接的内嵌的其他链接，至少是所述危险恶意链接集合中的一个链接。

7、一种用于检测恶意链接的方法，所述恶意链接包括互联网中各种恶意的网络资源的链接地址，包括：

至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对所述检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出所述恶意链接的内嵌的其他恶意链接；

至少根据各恶意链接之间的内嵌关系，对各恶意链接评估恶意值，并对各恶意链接相关的恶意网站主机名评估恶意值，以及根据检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更 ^λ 筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合和其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合，并将所述危险恶意网站主机名集合和危险恶意链接集合的信息通知至所述客户端设备；

获取客户端设备基于所述危险恶意网站主机名集合和所述危险恶意链接集合检测出的新的可疑链接，并将所述新的可疑链接进行恶意行为检测，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合。

8、根据权利要求 7所述的方法，所述待评估恶意值的恶意链接为目标恶意链接，所述目标恶意链接的内嵌的其他恶意链接为所述目标恶意链接的内嵌恶意链接，所述每个内嵌恶意链接的恶意外链数目具体是以该内嵌恶意链接作为内嵌的链接的所有恶意链接的总数，所述根据各恶意链接之间的内嵌关系，对各恶意链接评估恶意值包括：

根据各恶意链接之间的内嵌关系，识别出所述目标恶意链接的所有内嵌恶意链接以及每个内嵌恶意链接的恶意外链数目；

根据所述目标恶意链接的各内嵌恶意链接的最新恶意值，和每个内嵌恶意链接的恶意外链数目，评估所述目标恶意链接的恶意值。

9、根据权利要求 7或 8所述的方法，所述待评估恶意值的恶意网站主机名为目标恶意网站主机名，所述目标恶意网站主机名下各恶意链接的内嵌的其他恶意链接所属的恶意网站主机名，是与所述目标恶意网站主机名具有关联关系的关联恶意网站主机名，所述每个关联恶意网站主机名的恶意外链数目具体是该关联恶意网站主机名下所有恶意链接的恶意外链数目之和，所述根据各恶意链接之间的内嵌关系，对各恶意链接相关的恶意网站主机名评估恶意值包括：根据各恶意链接之间的内嵌关系，识别出所述目标恶意网站主机名的所有关联恶意网站主机名，以及每个关联恶意网站主机名的恶意外链数目；

根据所述目标恶意网站主机名的各关联恶意网站主机名的最新恶意值，以及每个关联恶意网站主机名的恶意外链数目，评估所述目标恶意网站主机名的恶意值。

10、根据权利要求 7至 9中任一项所述的方法，所述恶意链接或可疑链接的内嵌的其他链接包括：访问所述恶意链接或可疑链接时被自动执行的其他链接。

11、一种用于检测恶意链接的检测设备，所述恶意链接包括互联网中恶意的网络资源的链接地址，该检测设备包括：

第二行为检测器，被配置为对网络资源的可疑行为进行检测，将检测出的可疑链接传输至服务器端设备进行进一步检测；

第二获取器，被配置为获取所述服务器端设备基于所述第二行为检测器提供的可疑链接确定的危险恶意网站主机名集合和危险恶意链接集合，所述危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第一预置阈值的各恶意网站主机名的集合，所述危险恶意链接集合是服务器端筛选出的所述危险恶意网站主机名集合以外的其余恶意网站主机名下、恶意值高于第二预置阈值的各恶意链接的集合；第二链接检测器，被配置为根据所述第二获取器获取的危险恶意网站主机名集合和危险恶意链接集合检测出新的可疑链接，并将所述新的可疑链接传输至所述服务器端设备进行检测及更新相关恶意值，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合。

12、一种用于检测恶意链接的检测方法，所述恶意链接包括互联网中恶意的网络资源的链接地址，包括：

对网络资源的恶意行为进行检测，将检测出的可疑链接传输至服务器端设备进行进一步检测；

从所述服务器端设备获取危险恶意网站主机名集合和危险恶意链接集合，所述危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第一预置阈值的各恶意网站主机名的集合，所述危险恶意链接集合是服务器端筛选出的所述危险恶意网站主机名集合以外的其余恶意网站主机名下、恶意值高于第二预置阈值的各恶意链接的集合；根据所述危险恶意网站主机名集合和危险恶意链接集合检测出新的可疑链接，并将所述新的可疑链接传输至所述服务器端设备进行检测及更新相关恶意值，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合。

13、一种用于检测恶意链接的网络安全管理设备，所述恶意链接包括互联网中恶意的网络资源的链接地址，包括：

第一行为评估器，被配置为至少根据所述第一行为检测器检测出的各恶意链接之间的内嵌关系，对各恶意链接评估恶意值，以及根据所述第一行为检测器检测出的新的恶意链接对相关恶意链接的恶意值进行更新；

第一筛选器，被配置为根据所述第一行为评估器评估出的结果，筛选出恶意值高于第二预置阈值的危险恶意链接集合，并将所述危险恶意链接集合的信息通知至所述客户端设备；

第一获取器，被配置为获取客户端设备基于所述危险恶意链接集合检测出的新的可疑链接，并将所述新的可疑链接传输至所述第一行为检测器进行检测，所述新的可疑链接的内嵌的其他链接命中所述危险恶意链接集合。

14、一种用于检测恶意链接的检测设备，所述恶意链接包括互联网中恶意的网络资源的链接地址，包括：

第二获取器，被配置为获取所述服务器端设备基于所述第二行为检测器提供的可疑链接确定的危险恶意链接集合，所述危险恶意链接集合是服务器端筛选出的恶意值高于第二预置阈值的各恶意链接的集合；

第二链接检测器，被配置为根据所述第二获取器获取的危险恶意链接集合检测出新的可疑链接，并将所述新的可疑链接传输至所述服务器端设备进行检测及更新相关恶意值，所述新的可疑链接的内嵌的其他链接命中所述危险恶意链接集合。

15、一种用于检测恶意链接的网络安全管理设备，所述恶意链接包括互联网中恶意的网络资源的链接地址，包括：

第一行为评估器，被配置为至少根据所述第一行为检测器检测出的各恶意链接之间的内嵌关系，对各恶意链接相关的恶意网站主机名评估恶意值，以及根据所述第一行为检测器检测出的新的恶意链接对相关的恶意网站主机名的恶意值进行更新；

第一筛选器，被配置为根据所述第一行为评估器评估出的结果，筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合，并将所述危险恶意网站主机名集合的信息通知至所述客户端设备；

第一获取器，被配置为获取客户端设备基于所述危险恶意网站主机名集合检测出的新的可疑链接，并将所述新的可疑链接传输至所述第一行为检测器进行检测，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合。

16、一种用于检测恶意链接的检测设备，所述恶意链接包括互联网中各种恶意的网络资源的链接地址，包括：

第二获取器，被配置为获取所述服务器端设备至少基于所述第二行为检测器提供的可疑链接确定的危险恶意网站主机名集合，所述危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第一预置阈值的各恶意网站主机名的集合；

第二链接检测器，被配置为根据所述第二获取器获取的危险恶意网站主机名集合检测出新的可疑链接，并将所述新的可疑链接传输至所述服务器端设备进行检测及更新相关恶意值，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合。

17、一种用于检测恶意链接的系统，包括服务器端设备和客户端设备：

所述服务器端设备包括如权利要求 13所述的网络安全管理设备，所述客户端设备包括如权利要求 14所述的检测设备；

或者，

所述服务器端设备包括如权利要求 15所述的网络安全管理设备，所述客户端设备包括如权利要求 16所述的检测设备。

18、一种用于检测恶意链接的系统，包括服务器端设备和客户端设备；

所述服务器端设备包括网络安全管理设备，所述客户端设备包括检测设备；所述恶意链接包括互联网中恶意的网络资源的链接地址，其中，

所述检测设备包括：

第二获取器，被配置为获取所述服务器端设备基于所述第二行为检测器提供的可疑链接确定的危险恶意网站主机名集合和危险恶意链接集合，所述危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第一预置阈值的各恶意网站主机名的集合，所述危险恶意链接集合是服务器端筛选出的所述危险恶意网站主机名集合以外的其余恶意网站主机名下、恶意值高于第二预置阈值的各恶意链接的集合；第二链接检测器，被配置为根据所述第二获取器获取的危险恶意网站主机名集合和危险恶意链接集合检测出新的可疑链接，并将所述新的可疑链接传输至所述服务器端设备进行检测及更新相关恶意值，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合；

所述网络安全管理设备包括：

19、根据权利要求 18所述的系统，所述待评估恶意值的恶意链接为目标恶意链接，所述目标恶意链接的内嵌的其他恶意链接为所述目标恶意链接的内嵌恶意链接，所述每个内嵌恶意链接的恶意外链数目具体是以该内嵌恶意链接作为内嵌的链接的所有恶意链接的总数，所述第一行为评估器包括：

20、根据权利要求 18或 19所述的系统，所述待评估恶意值的恶意网站主机名为目标恶意网站主机名，所述目标恶意网站主机名下各恶意链接的内嵌的其他恶意链接所属的恶意网站主机名，是与所述目标恶意网站主机名具有关联关系的关联恶意网站主机名，所述每个关联恶意网站主机名的恶意外链数目具体是该关联恶意网站主机名下所有恶意链接的恶意外链数目之和，所述第一评估器包括：

21、根据权利要求 19或 20所述的系统，

22、根据权利要求 18至 21 中任一项所述的系统，所述恶意链接或可疑链接的内嵌的其他链接包括：访问所述恶意链接或可疑链接时被自动执行的其他链接。

23、根据权利要求 18至 22 中任一项所述的系统，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合包括：

或者，

24、根据权利要求 18至 23 中任一项所述的系统，所述第一行为检测器具体是挂马行为检测器，所述的恶意行为检测具体是挂马恶意行为检测，所述恶意链接具体恶意挂马链接，所述恶意链接的内嵌的其他恶意链接具体为恶意挂马链接的内嵌的其他恶意挂马链接。

25、一种用于检测恶意链接的方法，所述恶意链接包括互联网中各种恶意的网络资源的链接地址，包括：

获取客户端设备基于所述危险恶意网站主机名集合和所述危险恶意链接集合检测出的新的可疑链接，并将所述新的可疑链接进行恶意行为检测，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合；

其中，所述恶意链接或可疑链接的内嵌的其他链接包括：访问所述恶意链接或可疑链接时被自动执行的其他链接。

26、根据权利要求 25所述的方法，所述待评估恶意值的恶意链接为目标恶意链接，所述目标恶意链接的内嵌的其他恶意链接为所述目标恶意链接的内嵌恶意链接，所述每个内嵌恶意链接的恶意外链数目具体是以该内嵌恶意链接作为内嵌的链接的所有恶意链接的总数，所述根据各恶意链接之间的内嵌关系，对各恶意链接评估恶意值包括：根据各恶意链接之间的内嵌关系，识别出所述目标恶意链接的所有内嵌恶意链接以及每个内嵌恶意链接的恶意外链数目；

27、根据权利要求 25或 26所述的方法，所述待评估恶意值的恶意网站主机名为目标恶意网站主机名，所述目标恶意网站主机名下各恶意链接的内嵌的其他恶意链接所属的恶意网站主机名，是与所述目标恶意网站主机名具有关联关系的关联恶意网站主机名，所述每个关联恶意网站主机名的恶意外链数目具体是该关联恶意网站主机名下所有恶意链接的恶意外链数目之和，所述根据各恶意链接之间的内嵌关系，对各恶意链接相关的恶意网站主机名评估恶意值包括：

根据各恶意链接之间的内嵌关系，识别出所述目标恶意网站主机名的所有关联恶意网站主机名，以及每个关联恶意网站主机名的恶意外链数目；

28、一种计算机程序，包括计算机可读代码，当所述计算机可读代码在服务器上运行时，导致所述服务器执行根据权利要求 7-10、 12、 25-27中的任一个用于检测恶意链接的方法。

29、一种计算机可读介质，其中存储了如权利要求 7-10、 12、 25-27 中的任一个用于检测恶意链接的方法。