WO2014180123A1 - 恶意网址的访问防御方法和相关装置 - Google Patents

Abstract

本发明实施例公开了恶意网址的访问防御方法和相关装置。其中一种恶意网址的访问防御方法，可包括：接收来自用户终端的携带有一统一资源定位符的安全性查询请求；在N条域名安全性记录中查询是否有与统一资源定位符中包含的域名相匹配的记录，其中，N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，N为大于或等于1的整数；若查找到N条域名安全性记录中的域名安全性记录N1，与域名相匹配，且域名安全性记录N1指示出域名为恶意域名，则通知用户终端域名为恶意域名。本发明实施例提供的技术方案有利于更为灵活有效的防御恶意网址。

Description

恶意网址的访问防御方法和相关装置

本申请要求于 2013 年 5 月 07 日提交中国专利局、 申请号为 201310164648.8、 发明名称为"恶意网址的访问防御方法和相关装置"的中国专 利申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络安全技术领域，具体涉及恶意网址的访问防御方法和相关 装置及网络系统。 背景技术

伴随着互联网技术的发展， 计算机病毒的种类也变得越来越多。

互联网技术的快速发展给人们生活带来越来越多的便利。人们通过互联网 可以方便的分享和下载各类资料、 获取各类重要信息、 在线支付账单等。 与此 同时， 互联网安全形势也不容乐观， 木马病毒伪装成正常文件肆意传播， 钓鱼 网站模仿正常网站盗取用户帐号密码愈演愈烈。 发明内容

本发明实施例提供恶意网址的访问防御方法和相关装置及网络系统，以期 更为灵活有效的防御恶意网址。

本发明实施例第一方面提供一种恶意网址的访问防御方法， 可包括： 接收用户的包括一统一资源定位符的安全性查询请求；

在存储的 N条域名安全性记录中查询是否有与所述统一资源定位符中包 含的一域名相匹配的记录， 其中， 所述 N条域名安全性记录中的每条域名安全 性记录中记录了域名和该域名是否为恶意域名的指示， 其中， 所述 N为大于或 等于 1的整数；

若查找到所述 N条域名安全性记录中的域名安全性记录 N1与所述域名相 匹配， 且所述域名安全性记录 N1指示出所述域名为恶意域名， 则通知所述用 户所述域名为恶意域名。

本发明实施例第二方面提供一种恶意网址的访问防御方法， 可包括： 接收来自用户终端的携带有统一资源定位符的安全性查询请求； 在存储的 M条站点安全性记录中查询是否有与所述统一资源定位符中包 含的站点名相匹配的记录， 其中， 所述 M条站点安全性记录中的每条站点安全 性记录中记录了站点名和该站点名是否为恶意站点名的指示， 其中， 所述 M为 大于或等于 1的整数；

若查找到所述 M条域名安全性记录之中的站点安全性记录 Ml , 与所述站 点名相匹配， 且所述站点安全性记录 Ml指示出所述站点名为恶意站点名， 则 通知所述用户终端所述站点名为恶意站点名。

本发明实施例第三方面提供一种恶意网址的访问防御装置， 可包括： 接收单元，用于接收来自用户终端的携带有统一资源定位符的安全性查询 请求；

第一查询单元， 用于在 N条域名安全性记录中查询是否有与所述统一资源 定位符中包含的一域名相匹配的记录， 其中， 所述 N条域名安全性记录中的每 条域名安全性记录中记录了域名和该域名是否为恶意域名的指示， 其中， 所述 N为大于或等于 1的整数；

判断单元， 用于若所述第一查询单元查找到所述 N条域名安全性记录中的 域名安全性记录 N1 , 与所述域名相匹配， 且所述域名安全性记录 N1指示出所 述域名为恶意域名， 则通知所述用户终端所述域名为恶意域名。

本发明实施例第四方面提供一种恶意网址的访问防御装置， 可包括： 接收单元， 用于接收用户的包括一统一资源定位符的安全性查询请求； 第二查询单元，用于在 M条站点安全性记录中查询是否有与所述统一资源 定位符中包含的站点名相匹配的记录， 其中， 所述 M条站点安全性记录中的每 条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示， 其 中， 所述 M为大于或等于 1的整数；

判断单元，用于若所述第二查询单元查找到所述 M条域名安全性记录之中 的站点安全性记录 Ml , 与所述站点名相匹配， 且所述站点安全性记录 Ml指示 出所述站点名为恶意站点名， 则通知所述用户终端所述站点名为恶意站点名。

由上可见， 本发明实施例中， 例如云安全服务器等恶意网址的访问防御设 备在接收来自用户终端的携带有一 URL的安全性查询请求之后； 在存储的 N条 域名安全性记录中查询是否有与一 URL中包含的一域名相匹配的记录， 上述 N 条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶 意域名的指示， 上述 N为大于或等于 1的整数； 若查找到上述 N条域名安全性记 录中的域名安全性记录 N1与所述域名相匹配， 且上述域名安全性记录 N1指示 出所述域名为恶意域名， 则通知上述用户终端所述域名为恶意域名。 由于摒弃 了现有云安全系统只是单一的以 URL作为安全性判定的基本单位，将域名也作 为安全性判定的一种粒度， 实践证明， 这可以有效打击此类随机变换的恶意 URL, 从而更好地为用户抵御恶意网站的攻击。 同时对于每一条随机 URL, 若 域名安全性记录指示该 URL所属域名为恶意域名，则可无需再记录该 URL的安 全信息， 而理论上黑客可以生成无数多条上述随机变化的 URL, 因而基于本发 明实施例机制可节省大量的服务端存储空间 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作筒单地介绍，显而易见地， 下面描述 中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲，在不付 出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1是本发明实施例提供的一种恶意网址的访问防御方法的流程示意图； 图 2是本发明实施例提供的另一种恶意网址的访问防御方法的流程示意 图；

图 3是本发明实施例提供的另一种恶意网址的访问防御方法的流程示意 图；

图 4-a是本发明实施例提供的一种域名安全性纪录的示意图；

图 4-b是本发明实施例提供的一种站点安全性纪录的示意图；

图 4-c是本发明实施例提供的一种云安全服务器的示意图；

图 5-a是本发明实施例提供的一种恶意网址的访问防御装置的示意图； 图 5-b是本发明实施例提供的另一种恶意网址的访问防御装置的示意图； 图 5-c是本发明实施例提供的另一种恶意网址的访问防御装置的示意图； 图 6-a是本发明实施例提供的另一种恶意网址的访问防御装置的示意图； 图 6-b是本发明实施例提供的另一种恶意网址的访问防御装置的示意图； 图 7是本发明实施例提供的另一种云安全服务器的示意图；

图 8是本发明实施例提供的另一种云安全服务器的示意图；

图 9是本发明实施例提供的一种网络系统的示意图；

图 10是本发明实施例提供的一种用户终端的示意图。 具体实施方式

本发明实施例提供恶意网址的访问防御方法和相关装置及网络系统，以期 更为灵活有效的防御恶意网址。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施 例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所 描述的实施例仅仅是本发明一部分的实施例， 而不是全部的实施例。基于本发 明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所 有其他实施例， 都应当属于本发明保护的范围。

以下分别进行详细说明。

本发明的说明书和权利要求书及上述附图中的术语 "第一"、 "第二"、 "第 三" "第四" 等（如果存在）是用于区别类似的对象， 而不必用于描述特定的 顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换， 以便这里 描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。 此外， 术语 "包括" 和 "具有" 以及他们的任何变形， 意图在于覆盖不排他的 包含， 例如， 包含了一系列步骤或单元的过程、 方法、 系统、 产品或设备不必 限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些 过程、 方法、 产品或设备固有的其它步骤或单元。 本发明一种恶意网址的访问防御方法的一个实施例，恶意网址的访问防御 方法可包括： 接收来自用户终端的携带有第一 URL的安全性查询请求； 在 N条 域名安全性记录中查询是否有与第一 URL中包含的第一域名相匹配的记录，其 中， 上述 N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名 是否为恶意域名的指示， 其中， 上述 N为大于或等于 1的整数； 若查找到上述 N 条域名安全性记录中的域名安全性记录 N1 , 与第一域名相匹配， 且上述域名 安全性记录 N1指示出第一域名为恶意域名， 则通知上述用户终端第一域名为 恶意域名。

首先请参见图 1 ,图 1是本发明一个实施例提供的一种恶意网址的访问防御 方法的流程示意图。 如图 1所示， 本发明一个实施例提供的一种恶意网址的访 问防御方法可包括以下内容：

101、 接收来自用户终端的携带有第一 URL的安全性查询请求。

在本发明的一些实施例中， 例如， 安装了浏览器的某用户终端在浏览某 URL (为便于后续引述， 称第一 URL )时， 为保证安全性， 用户终端先向例如 云安全服务器等恶意网址的访问防御装置发送携带第一 URL的安全性查询请 求， 以请求云端服务器验证第一 URL的安全性， 其中， 用户终端可访问安全的 URL, 而可拒绝访问未知或恶意的 URL。对于基于云安全服务器的云安全系统 而言，一条恶意 URL在首次出现在网络上后，通常只需数秒到数分钟即可被系 统捕获和拦截， 从而 ^艮难蔓延和危害互联网的海量用户群体。

102、 在 N条域名安全性记录中查询是否有与第一 URL中包含的第一域名 相匹配的记录， 其中， 上述 N条域名安全性记录中的每条域名安全性记录中记 录了域名和该域名是否为恶意域名的指示， 其中， 上述 N为大于或等于 1的整 数。

在本发明的一些实施例中， 可在某个域名下的 URL首次被访问时， 生成该 域名对应的一条域名安全性记录， 其中， 该条域名安全性记录中记录了该某个 域名和该域名是否为恶意域名的指示。或者， 也可进一步主动从互联网上收集 多个域名 （可包括热点域名、 还可包括非热点域名等）， 并可分别生成该多个 域名对应的域名安全性记录， 其中，每条域名安全性记录中记录了一个域名和 该域名是否为恶意域名的指示。

103、 若查找到上述 N条域名安全性记录中的域名安全性记录 N1 , 与第一 域名相匹配， 且上述域名安全性记录 N1指示出第一域名为恶意域名， 则通知 上述用户终端第一域名为恶意域名。 当然， 若查找到上述 N条域名安全性记录中的域名安全性记录 Nl , 与第一 域名相匹配， 且上述域名安全性记录 N1指示出第一域名为安全域名， 则可通 知上述用户终端第一域名为安全域名。

在本发明的一些实施例中， 若查找到上述 N条域名安全性记录中的域名安 全性记录 N1 , 与第一域名相匹配， 且上述域名安全性记录 N1指示出第一域名 为安全域名，则在 M条站点安全性记录中查询是否有与第一 URL中包含的第一 站点名相匹配的记录， 其中， 上述 M条站点安全性记录中的每条站点安全性记 录中记录了站点名和该站点名是否为恶意站点名的指示， 其中， 上述 M为大于 或等于 1的整数； 若查找到上述 M条域名安全性记录之中的站点安全性记录 Ml 与第一站点名相匹配， 且上述站点安全性记录 Ml指示出第一站点名为恶意站 点名， 则可通知上述用户终端第一站点名为恶意站点名。

在本发明的一些实施例中， 可在某个站点名下的 URL首次被访问时， 生成 该站点名对应的一条站点安全性记录， 其中， 该条站点安全性记录中记录了该 某个站点名和该站点名是否为恶意站点名的指示。或者，也可进一步主动从互 联网上收集多个站点名 （可包括热点站点名、 还可包括非热点站点名等）， 并 可分别生成该多个站点名对应的站点安全性记录，其中，每条站点安全性记录 中记录了一个站点名和该站点名是否为恶意站点名的指示。

在本发明的一些实施例中，若查找到上述 M条域名安全性记录之中的站点 安全性记录 Ml与第一站点名相匹配， 且上述站点安全性记录 Ml指示出第一站 点名为安全站点名， 则可进一步检查第一 URL是否为恶意 URL, 若检查出第一 URL为恶意 URL, 则可通知上述用户终端第一 URL为恶意 URL, 若检查出第一 URL为安全 URL, 则可通知上述用户终端第一 URL为安全 URL。

在本发明的一些实施例中， 可在第一域名满足预设的整域拉截条件时，在 上述站点安全性记录 N1中记录第一域名为恶意域名的指示， 可在第一域名未 满足预设的整域拦截条件时， 在站点安全性记录 N1中记录第一域名为安全域 名或风险域名的指示。其中，预设的整域拉截条件可以根据实际的安全性需求 进行具体设定， 举例来说， 整域拉截条件包括如下条件的至少一个： 统计出在 第一时长（例如 2分钟或其它值） 内第一域名下恶意 URL的被访问次数超过设 定的第一阈值（例如 100次或其它值）、 统计出在第二时长（例如 2分钟或其它 值）内第一域名下恶意 URL的被访问次数， 占第一域名下的所有 URL的被访问 总次数的比例超过设定的第二阈值（例如 5%或其它值）、统计出在第三时长（例 如 5分钟或其它值） 内第一域名下被访问的恶意 URL的个数超过设定的第三阈 值（例如 50个或其它值）、 统计出在第四时长（例如 2分钟或其它值） 内第一域 名下被访问的恶意 URL的个数，占第一域名下被访问的所有 URL的总个数的比 例超过设定的第四阈值（例如 10%或其它值）、 第一域名下的恶意站点个数超 过设定的第九阈值（例如 10个或其它值）、 第一域名下的恶意站点个数占第一 域名下站点总个数的比例超过设定的第十阈值（例如 10%或其它值）。

在本发明一些实施例中，可在第一站点名满足预设的整站拦截条件时，在 上述站点安全性记录 Ml中记录第一站点名为恶意站点名的指示， 在第一站点 名未满足预设的整站拦截条件时， 在上述站点安全性记录 Ml中记录第一站点 名为安全站点名或风险站点名的指示。 其中，预设的整站拦截条件可以根据实 际的安全性需求进行具体设定，举例来说， 整站拦截条件包括如下条件的至少 一个： 统计出在第五时长（例如 2分钟或者其它值） 内第一站点名下恶意 URL 的被访问次数超过设定的第五阈值（例如 100次或者其它值）、统计出在第六时 长（例如 2分钟或其它值） 内第一站点名下恶意 URL的被访问次数， 占第一站 点名下的所有 URL的被访问总次数的比例超过设定的第六阈值（例如 5%或者 其它值）、 统计出在第七时长（例如 5分钟或其它值）内第一站点名下被访问的 恶意 URL的个数超过设定的第七阈值（例如 10个或其它值）、 统计出在第八时 长（例如 10分钟或其它值）内第一站点名下被访问的恶意 URL的个数， 占第一 站点名下被访问的所有 URL的总个数的比例超过设定的第八阈值（例如 10%或 其它值）。

在本发明一些实施例中， 第一时长、 第二时长、 第三时长、 第四时长、 第 五时长、 第六时长、 第七时长和第八时长中的部分或全部时长可相等， 当然各 时长亦可均不相等。

可以理解的是，本实施例上述方案例如可以在云安全服务器等恶意网址的 访问防御装置中具体实施。 其中， 本发明各实施例所指的用户终端可为个人电脑、 手机、 个人数字处 理设备或其它类型的能够利用 URL进行网页访问的用户终端，本发明实施例对 于用户终端的具体产品形式不做特别限定。

由上可见， 本实施例方案中， 例如云安全服务器在接收来自用户终端的携 带有第一 URL的安全性查询请求； 在 N条域名安全性记录中查询是否有与第一 URL中包含的第一域名相匹配的记录， 上述 N条域名安全性记录中的每条域名 安全性记录中记录了域名和该域名是否为恶意域名的指示， 上述 N为大于或等 于 1的整数； 若查找到上述 N条域名安全性记录中的域名安全性记录 N1 , 与第 一域名相匹配， 且上述域名安全性记录 N1指示出第一域名为恶意域名， 则通 知上述用户终端第一域名为恶意域名。由于摒弃了现有云安全系统只是单一的 以 URL作为安全性判定的基本单位，将域名也作为安全性判定的一种粒度， 实 践证明， 这可以有效打击此类随机变换的恶意 URL,从而更好地为用户抵御恶 意网站的攻击。 同时对于每一条随机 URL, 若域名安全性记录指示该 URL所属 域名为恶意域名， 则可无需再记录该 URL的安全信息， 而理论上黑客可以生成 无数多条上述随机变化的 URL,因而基于本发明实施例机制可节省大量的服务 端存储空间。 本发明一种恶意网址的访问防御方法的另一实施例，恶意网址的访问防御 方法包括： 接收来自用户终端的携带有第一 URL的安全性查询请求； 在 M条站 点安全性记录中查询是否有与第一 URL中包含的第一站点名相匹配的记录，其 中上述 M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站 点名是否为恶意站点名的指示， 其中上述 M为大于或等于 1的整数； 若查找到 上述 M条域名安全性记录之中的站点安全性记录 Ml与第一站点名相匹配， 且 上述站点安全性记录 Ml指示出第一站点名为恶意站点名， 则通知上述用户终 端第一站点名为恶意站点名。

首先请参见图 2,图 2是本发明另一个实施例提供的一种恶意网址的访问防 御方法的流程示意图。 如图 2所示， 本发明另一个实施例提供的一种恶意网址 的访问防御方法可包括以下内容：

201、 接收来自用户终端的携带有第一 URL的安全性查询请求。 在本发明的一些实施例中， 例如浏览器等用户终端在浏览某 URL (为便于 后续引述， 称第一 URL )时， 为保证安全性， 用户终端先向例如云安全服务器 等恶意网址的访问防御装置发送携带第一 URL的安全性查询请求，以请求云端 服务器验证第一 URL的安全性， 用户终端可访问安全的 URL, 而可拒绝访问未 知或恶意的 URL。 对于基于云安全服务器的云安全系统而言， 一条恶意 URL 在首次出现在网络上后，通常只需数秒到数分钟即可被系统捕获和拦截，从而 4艮难蔓延和危害互联网的海量用户群体。

202、 在 M条站点安全性记录中查询是否有与第一 URL中包含的第一站点 名相匹配的记录， 其中， 上述 M条站点安全性记录中的每条站点安全性记录中 记录了站点名和该站点名是否为恶意站点名的指示， 其中， 上述 M为大于或等 于 1的整数。

203、 若查找到 M条域名安全性记录之中的站点安全性记录 Ml , 与第一站 点名相匹配， 且站点安全性记录 Ml指示出第一站点名为恶意站点名， 则通知 上述用户终端第一站点名为恶意站点名。

在本发明的一些实施例中， 可在某个站点名下的 URL首次被访问时， 生成 该站点名对应的一条站点安全性记录， 其中， 该条站点安全性记录中记录了该 某个站点名和该站点名是否为恶意站点名的指示。或者，也可进一步主动从互 联网上收集多个站点名 （可包括热点站点名、 还可包括非热点站点名等）， 并 可分别生成该多个站点名对应的站点安全性记录，其中，每条站点安全性记录 中记录了一个站点名和该站点名是否为恶意站点名的指示。

在本发明一些实施例中， 可在第一站点名满足预设的整站拦截条件时，在 上述站点安全性记录 Ml中记录第一站点名为恶意站点名的指示， 在第一站点 名未满足预设的整站拦截条件时， 在上述站点安全性记录 Ml中记录第一站点 名为安全站点名或风险站点名的指示。 其中，预设的整站拦截条件可以根据实 际的安全性需求进行具体设定，举例来说， 整站拦截条件包括如下条件的至少 一个：统计出在第五时长内第一站点名下恶意 URL的被访问次数超过设定的第 五阈值、统计出在第六时长内第一站点名下恶意 URL的被访问次数， 占第一站 点名下的所有 URL的被访问总次数的比例超过设定的第六阈值、统计出在第七 时长内第一站点名下被访问的恶意 URL被访问的个数超过设定的第七阈值、统 计出在第八时长内第一站点名下被访问的恶意 URL的个数，占第一站点名下被 访问的所有 URL的总个数的比例超过设定的第八阈值。

在本发明的一些实施例中，若查找到 M条域名安全性记录之中的站点安全 性记录 Ml , 与第一站点名相匹配， 且站点安全性记录 Ml指示出第一站点名为 安全站点名， 还可进一步在 N条域名安全性记录中查询是否有与第一 URL中包 含的第一域名相匹配的记录， 其中， 上述 N条域名安全性记录中的每条域名安 全性记录中记录了域名和该域名是否为恶意域名的指示， 上述 N为大于或等于 1的整数， 若查找到上述 N条域名安全性记录中的域名安全性记录 N1 , 与第一 域名相匹配， 且上述域名安全性记录 N1指示出第一域名为恶意域名， 则可通 知上述用户终端第一域名为恶意域名。

在本发明的一些实施例中， 可在第一域名满足预设的整域拉截条件时，在 上述站点安全性记录 N1中记录第一域名为恶意域名的指示， 可在第一域名未 满足预设的整域拦截条件时， 在站点安全性记录 N1中记录第一域名为安全域 名或风险域名的指示。其中，预设的整域拉截条件可以根据实际的安全性需求 进行具体设定， 举例来说， 整域拉截条件包括如下条件的至少一个： 统计出在 第一时长内第一域名下恶意 URL的被访问次数超过设定的第一阈值、统计出在 第二时长内第一域名下恶意 URL的被访问次数，占第一域名下的所有 URL的被 访问总次数的比例超过设定的第二阈值、统计出在第三时长内第一域名下被访 问的恶意 URL的个数超过设定的第三阈值、统计出在第四时长内第一域名下被 访问的恶意 URL的个数，占第一域名下被访问的所有 URL的总个数的比例超过 设定的第四阈值、第一域名下的恶意站点个数超过设定的第九阈值、第一域名 下的恶意站点个数占第一域名下站点总个数的比例超过设定的第十阈值。

在本发明一些实施例中， 第一时长、 第二时长、 第三时长、 第四时长、 第 五时长、 第六时长、 第七时长和第八时长中的部分或全部时长可相等， 当然各 时长亦可均不相等。

在本发明的一些实施例中， 若查找到上述 N条域名安全性记录中的域名安 全性记录 N1 , 与第一域名相匹配， 且上述域名安全性记录 N1指示出第一域名 为安全域名， 则可进一步检查第一 URL是否为恶意 URL, 若检查出第一 URL 为恶意 URL, 则可通知上述用户终端第一 URL为恶意 URL, 若检查出第一 URL 为安全 URL, 则可通知上述用户终端第一 URL为安全 URL。

可以理解的是，本实施例上述方案例如可以在云安全服务器等恶意网址的 访问防御装置中具体实施。

由上可见， 本实施例方案中， 例如云安全服务器在接收来自用户终端的携 带有第一 URL的安全性查询请求之后；先在 M条站点安全性记录中查询是否有 与第一 URL中包含的第一站点名相匹配的记录， 其中， 上述 M条站点安全性记 录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的 指示， 其中上述 M为大于或等于 1的整数； 若查找到上述 M条域名安全性记录 之中的站点安全性记录 Ml与第一站点名相匹配， 且上述站点安全性记录 Ml指 示出第一站点名为恶意站点名， 则通知上述用户终端第一站点名为恶意站点 名。 由于摒弃了现有云安全系统只是单一的以 URL作为安全性判定的基本单 位， 将站点也作为安全性判定的一种粒度， 实践证明， 这可以有效打击此类随 机变换的恶意 URL, 从而更好地为用户抵御恶意网站的攻击。 参见图 3 ,图 3是本发明另一个实施例提供的一种恶意网址的访问防御方法 的流程示意图。 如图 1所示， 本发明另一个实施例提供的一种恶意网址的访问 防御方法可包括以下内容：

301、 云安全服务器接收来自用户终端的携带有 URL-1的安全性查询请求 ql;

302、 云安全服务器接收到携带有 URL-1的安全性查询请求 ql之后， 云安 全服务器在 N条域名安全性记录中查询是否有与 URL-1中包含的域名 zl相匹配 的记录；

若是， 则执行步骤 303; 若否， 则执行步骤 305;

其中， 上述 N条域名安全性记录中的每条域名安全性记录中记录了域名和 该域名是否为恶意域名的指示， 其中， 上述 N为大于或等于 1的整数。

其中， 每条域名安全性记录可如图 4-a所示， 可包括域名字段和安全性指 示字段， 其中， 域名字段记录域名， 安全性指示字段记录该域名是为恶意域名 的指示。

303、 若查找到上述 N条域名安全性记录中的域名安全性记录 N1与第一域 名相匹配， 判断上述域名安全性记录 N1是否指示出第一域名为恶意域名； 若是， 则执行步骤 304; 若否 （即域名安全性记录 N1指示出第一域名为安 全域名 ), 则执行步骤 305;

304、 若上述域名安全性记录 N1指示出第一域名为恶意域名， 则云安全服 务器通知上述用户终端第一域名为恶意域名。

305、 云安全服务器在 M条站点安全性记录中查询是否有与 URL- 1中包含 的第一站点名相匹配的记录。

若是， 则执行步骤 306; 若否， 则执行步骤 308;

其中，上述 M条站点安全性记录中的每条站点安全性记录中记录了站点名 和该站点名是否为恶意站点名的指示， 其中， 上述 M为大于或等于 1的整数； 其中， 每条站点安全性记录可如图 4-b所示， 可包括站点名字段和安全性 指示字段， 其中， 站点名字段记录站点名， 安全性指示字段记录该站点名是为 恶意站点名的指示。

306、 若查找到上述 M条域名安全性记录之中的站点安全性记录 Ml与第一 站点名相匹配， 则判断上述站点安全性记录 Ml是否指示出第一站点名为恶意 站点名；

若是， 则执行步骤 307;

若否（即站点安全性记录 Ml指示出第一站点名为安全站点名 ), 则执行步 骤 308;

307、 若站点安全性记录 Ml指示出第一站点名为恶意站点名， 则云安全服 务器可通知用户终端第一站点名为恶意站点名。

308、 则云安全服务器可检查 URL-1是否为安全 URL。

若是， 则执行步骤 309; 若否， 则执行步骤 310;

309、 若检查出 URL-1为安全 URL, 则云安全服务器通知用户终端 URL-1 名为安全 URL。

310、 若检查出 URL-1为恶意 URL, 则云安全服务器通知用户终端 URL-1 名为恶意 URL。

可以理解的是， 本实施例中主要是以先检查域名的安全性，再检查站点的 安全性、 最后检查 URL安全性的检查顺序为例进行说明的， 当然， 在其它应用 场景下亦可按照先检查站点安全性，再检查域名安全性、最后检查 URL安全性 的检查顺序进行操作。

可以理解的是，本实施例上述方案例如可以在云安全服务器等恶意网址的 访问防御装置中具体实施。

由上可见，本实施例方案中云安全服务器接收来自用户终端的携带有 URL 的安全性查询请求之后； 先检测该 URL中包含的第一域名是否恶意，在先检测 该 URL中包含的站点名是否恶意， 最后检查该 URL是否恶意。 由于摒弃了现有 云安全系统只是单一的以 URL作为安全性判定的基本单位，将域名和站点名也 作为安全性判定的一种粒度， 实践证明， 这可以有效打击此类随机变换的恶意 URL, 从而更好地为用户抵御恶意网站的攻击。 同时， 对于每条随机 URL, 若 域名安全性记录指示该 URL所属域名为恶意域名，则可无需再记录该 URL的安 全信息， 而理论上黑客可以生成无数多条上述随机变化的 URL, 因而基于本发 明实施例机制可节省大量的服务端存储空间。 为便于更好的理解和实施本发明实施例的上述方面，下面通过举例几个应 用场景进行进一步介绍。

用户通过用户终端访问的 URL通常由以下几部分组成：

〈协议名〉： //<站点 >: 〈端口 >/<路径 >?<参数 >

t匕^口 http：〃 news.qq.com:80/2012/shenzhen/top.html?username=bob

协议名默认为 http, 用户可不填写。

上述 URL中， qq.com为一级域名， 一级域名下可能包含许多站点名， 例如 news.qq.com, book.qq.com, mail.qq.com等；

端口号默认为 80, 用户可不填写。

路径 2012/shenzhen/top.html指明了用户访问此站点下的页面路径， 如 2012 目录下的 shenzhen子目录下的 top.html文件；

参数 username=bob表示访问网页时用户附带的信息， 比如用户在网站上登 录的用户名等。

通过参数随机变换的方式，黑客很容易构造出同一站点下大量不同的 URL 指向同样的网页内容。

参见图 4-c, 图 4-c是本发明实施例提供的一种云安全服务器， 可包括： 聚 类分析模块 410、 云端查询模块 420、 云端鉴定模块 430。 下面以基于图 4-c所示 架构的云安全服务器实施恶意网址的访问防御方法为例进行说明。

其中， 云端查询模块 420可接收来自用户终端的安全性查询请求， 其中安 全性查询请求携带用户终端将访问的 URL。

聚类分析模块 410可以站点或者域名为单位实时统计各站点的查询情况和 检测情况，当满足设定条件时标记整站或整域为恶意并可将记录发送给云端鉴 定模块 420。

云端鉴定模块 420, 用于先查询用户终端将访问的 URL所对应的一级域名 是否恶意， 如果恶意则通知用户终端； 否则， 继续查询此 URL所对应的站点是 否是恶意的， 如果恶意也通知用户终端； 当一级域名和站点均不是恶意时， 才 进一步查询本条 URL的安全状态。

聚类分析模块 410记录每一次用户终端的查询结果，记录内容类似三元组 < 查询时间， 查询 URL, 查询结果>, 表示在某个时间用户访问了安全 /恶意 /未 知的某个网址； 聚类分析模块 410记录每一次云端鉴定模块的检测结果， 记录 内容可类似三元组 <检测时间， 检测 URL, 检测结果>, 表示在某个时间检测 出某个网址为安全 /恶意。

聚类分析模块 410可统计各站点下 URL的检测和查询情况， 例如过去一段 时间内用户访问了某站点下的安全 /恶意 /未知 URL各多少次， 过去一段时间内 检测出某站点下的安全 /恶意 URL各多少次。

聚类分析模块 410判定站点是否满足预设整站拦截条件。

聚类分析模块 410可在第一站点满足预设的整域拦截条件时， 在站点安全 性记录 Ml中记录第一站点名为恶意站点名的指示， 可在第一站点未满足预设 的整站拦截条件时， 在站点安全性记录 Ml中记录第一站点名为安全站点名或 风险站点名的指示。其中，预设的整域拦截条件可以根据实际的安全性需求进 行具体设定， 举例来说， 整站拦截条件包括如下条件的至少一个： a) .在 tl时长内某站点下恶意 URL被访问次数超过设定阈值 n 1、

b) .在 tl时长内某站下恶意 URL被访问次数占总访问次数的比例超过设定 阈值 n2、

c).在 tl时长内检出某站下恶意 URL被访问的个数超过设定阈值 n3、 d).在 tl时长内检出某站下被访问的恶意 URL个数占被访问 URL的总数比 例超过设定阈值 n4。

举例来说， 例如设置 tl=l小时， nl=90, n2=0.5 , n3=10, n4=0.5。

假设在最近 1小时内， 某站点下的 URL来云安全服务器查询了 100次， 其中 的 80次返回结果是恶意 URL,最近一小时内检测 a.test.com下 URL共 20条，其中 15条为鉴定为恶意 URL, 整站拦截条件 a)、 b)、 c)、 d)均满足， 聚类分析模块 510可以对站点名进行恶意标记， 以便后续做整站拦截。 其中， 其它场景可以 此类推。

聚类分析模块 410判定域名是否满足预设整域拦截条件。

聚类分析模块 410可在第一域名满足预设的整域拦截条件时， 在上述域名 安全性记录 N1中记录第一域名为恶意域名的指示， 可在第一域名未满足预设 的整域拦截条件时， 在域名安全性记录 N1中记录第一域名为安全域名或风险 域名的指示。其中，预设的整域拉截条件可以根据实际的安全性需求进行具体 设定， 举例来说， 整域拦截条件包括如下条件的至少一个：

a).在 t2时长内某域名下恶意 URL被访问次数超过设定阈值 n5、

b) .在 t2时长内某域名下恶意 URL被访问次数占总访问次数的比例超过设 定阈值 n6、

c) .在 t2时长内检出某域名下恶意 URL被访问的个数超过设定阈值 n7、 d) .在 t2时长内检出某域名下被访问的恶意 URL个数占被访问 URL的总数 比例超过设定阈值 n8、

e) . 某域名下的恶意站点数目超过设定阈值 n5;

f) .某域名下的恶意站点比例超过设定阈值 n6。

举例来说， 例如设置 n5=10, n6=0.5。 比如域名 test.com下共有 30个站点， 其中 18个已经标记为恶意站点， 整域 拦截条件 e)和 f)均满足， 聚类分析模块 510可以对此一级域名 test.com进行恶意 标记， 以便后续做整域拉截， 其它场景以此类推。

上述举例仅为进行问题说明， 在实际应用中可以适应性的灵活变化。 为便于更好的实施本发明实施例的上述方案，下面还提供用于实施上述方 案的相关装置。 参见图 5-a, 本发明实施例提供一种恶意网址的访问防御装置 500, 可以包 括： 接收单元 510、 第一查询单元 520和判断单元 530。

其中， 接收单元 510, 用于接收来自用户终端的携带有第一 URL的安全性 查询请求。

第一查询单元 520, 用于在 N条域名安全性记录中查询是否有与第一 URL 中包含的第一域名相匹配的记录， 其中， 上述 N条域名安全性记录中的每条域 名安全性记录中记录了域名和该域名是否为恶意域名的指示， 其中， 上述 N为 大于或等于 1的整数。

判断单元 530, 用于若第一查询单元 520查找到上述 N条域名安全性记录中 的域名安全性记录 N1 , 与第一域名相匹配， 且上述域名安全性记录 N1指示出 第一域名为恶意域名， 则通知上述用户终端第一域名为恶意域名。

参见图 5-b , 在本发明的一些实施例中， 恶意网址的访问防御装置 500还可 包括：

第二查询单元 540, 用于若查找到上述 N条域名安全性记录中的域名安全 性记录 N1 , 与第一域名相匹配， 且上述域名安全性记录 N1指示出第一域名为 安全域名，则在 M条站点安全性记录中查询是否有与第一 URL中包含的第一站 点名相匹配的记录， 其中， 上述 M条站点安全性记录中的每条站点安全性记录 中记录了站点名和该站点名是否为恶意站点名的指示， 其中， 上述 M为大于或 等于 1的整数。

判断单元 530还可用于，若第二查询单元 550查找到上述 M条域名安全性记 录之中的站点安全性记录 Ml , 与第一站点名相匹配， 且上述站点安全性记录 Ml指示出第一站点名为恶意站点名， 则通知上述用户终端第一站点名为恶意 站点名。

在本发明的一些实施例中， 第二查询单元 540若查找到上述 M条域名安全 性记录之中的站点安全性记录 Ml与第一站点名相匹配， 且上述站点安全性记 录 Ml指示出第一站点名为安全站点名，则判断单元 530可进一步检查第一 URL 是否为恶意 URL, 若检查出第一 URL为恶意 URL, 则可通知上述用户终端第一 URL为恶意 URL, 若检查出第一 URL为安全 URL, 则可通知上述用户终端第一 URL为安全 URL。

参见图 5-c, 在本发明的一些实施例中， 恶意网址的访问防御装置 500还可 包括：

记录单元 550, 用于在第一域名满足预设的整域拦截条件时， 在上述站点 安全性记录 N1中记录第一域名为恶意域名的指示； 和 /或， 在第一站点名满足 预设的整站拦截条件时， 在上述站点安全性记录 Ml中记录第一站点名为恶意 站点名的指示。

在本发明的一些实施例中， 记录单元 550可在第一域名满足预设的整域拉 截条件时， 在上述站点安全性记录 N1中记录第一域名为恶意域名的指示， 可 在第一域名未满足预设的整域拦截条件时， 在站点安全性记录 N1中记录第一 域名为安全域名或风险域名的指示。其中，预设的整域拦截条件可以根据实际 的安全性需求进行具体设定，举例来说， 整域拦截条件包括如下条件的至少一 个： 统计出在第一时长（例如 2分钟或其它值） 内第一域名下恶意 URL的被访 问次数超过设定的第一阈值（例如 100次或其它值）、 统计出在第二时长（例如 2分钟或其它值） 内第一域名下恶意 URL的被访问次数， 占第一域名下的所有 URL的被访问总次数的比例超过设定的第二阈值（例如 5%或其它值）、 统计出 在第三时长（例如 5分钟或其它值） 内第一域名下被访问的恶意 URL的个数超 过设定的第三阈值（例如 50个或其它值）、 统计出在第四时长（例如 2分钟或其 它值） 内第一域名下被访问的恶意 URL的个数， 占第一域名下被访问的所有 URL的总个数的比例超过设定的第四阈值（例如 10%或其它值）、 第一域名下 的恶意站点个数超过设定的第九阈值（例如 10个或其它值）、 第一域名下的恶 意站点个数占第一域名下站点总个数的比例超过设定的第十阈值（例如 10%或 其它值）。

在本发明的一些实施例中， 记录单元 550可在第一站点名满足预设的整站 拦截条件时， 在上述站点安全性记录 Ml中记录第一站点名为恶意站点名的指 示， 在第一站点名未满足预设的整站拦截条件时， 在上述站点安全性记录 Ml 中记录第一站点名为安全站点名或风险站点名的指示。其中，预设的整站拦截 条件可以根据实际的安全性需求进行具体设定， 例如， 整站拦截条件包括如下 条件的至少一个： 统计出在第五时长（如 2分钟或者其它值） 内第一站点名下 恶意 URL的被访问次数超过设定的第五阈值（例如 100次或其它值）、统计出在 第六时长（例如 2分钟或其它值） 内第一站点名下恶意 URL的被访问次数， 占 第一站点名下的所有 URL的被访问总次数的比例超过设定的第六阈值（例如 5%或者其它值）、 统计出在第七时长（例如 5分钟或者其它值） 内第一站点名 下被访问的恶意 URL的个数超过设定的第七阈值（例如 10个或者其它值）、 统 计出在第八时长（例如 10分钟或其它值） 内第一站点名下被访问的恶意 URL 的个数，占第一站点名下被访问的所有 URL的总个数的比例超过设定的第八阈 值（例如 10%或其它值）。

在本发明一些实施例中， 第一时长、 第二时长、 第三时长、 第四时长、 第 五时长、 第六时长、 第七时长和第八时长中的部分或全部时长可相等， 当然各 时长亦可均不相等。

可以理解的是， 本实施例的恶意网址的访问防御装置 500的各功能模块的 功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述 方法实施例的相关描述， 此处不再赘述。 参见图 6-a, 本发明实施例提供另一种恶意网址的访问防御装置 600, 可以 包括： 接收单元 610、 第二查询单元 620和判断单元 630。

接收单元 610, 用于接收来自用户终端的携带有第一 URL的安全性查询请 求。

第二查询单元 620, 用于在 M条站点安全性记录中查询是否有与第一 URL 中包含的第一站点名相匹配的记录， 其中， 上述 M条站点安全性记录中的每条 站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示， 其中， 上述 M为大于或等于 1的整数。

判断单元 630,用于若第二查询单元 620查找到上述 M条域名安全性记录之 中的站点安全性记录 Ml , 与第一站点名相匹配， 且上述站点安全性记录 Ml指 示出第一站点名为恶意站点名， 则通知上述用户终端第一站点名为恶意站点 名。

在本发明的一些实施例中， 第二查询单元 620若查找到上述 M条域名安全 性记录之中的站点安全性记录 Ml与第一站点名相匹配， 且上述站点安全性记 录 Ml指示出第一站点名为安全站点名，则判断单元 630可进一步检查第一 URL 是否为恶意 URL, 若检查出第一 URL为恶意 URL, 则可通知上述用户终端第一 URL为恶意 URL, 若检查出第一 URL为安全 URL, 则可通知上述用户终端第一 URL为安全 URL。

参见图 6-b, 在本发明的一些实施例中， 恶意网址的访问防御装置 600还可 包括：

记录单元 640, 用于在第一域名满足预设的整域拦截条件时， 在上述站点 安全性记录 N1中记录第一域名为恶意域名的指示； 和 /或， 在第一站点名满足 预设的整站拦截条件时， 在上述站点安全性记录 Ml中记录第一站点名为恶意 站点名的指示。

在本发明的一些实施例中， 记录单元 640可在第一域名满足预设的整域拉 截条件时， 在上述站点安全性记录 N1中记录第一域名为恶意域名的指示， 可 在第一域名未满足预设的整域拦截条件时， 在站点安全性记录 N1中记录第一 域名为安全域名或风险域名的指示。其中，预设的整域拦截条件可以根据实际 的安全性需求进行具体设定，举例来说， 整域拦截条件包括如下条件的至少一 个： 统计出在第一时长（例如 2分钟或其它值） 内第一域名下恶意 URL的被访 问次数超过设定的第一阈值（例如 100次或其它值）、 统计出在第二时长（例如 2分钟或其它值） 内第一域名下恶意 URL的被访问次数， 占第一域名下的所有 URL的被访问总次数的比例超过设定的第二阈值（例如 5%或其它值）、 统计出 在第三时长（例如 5分钟或其它值） 内第一域名下被访问的恶意 URL的个数超 过设定的第三阈值（例如 50个或其它值）、 统计出在第四时长（例如 2分钟或其 它值） 内第一域名下被访问的恶意 URL的个数， 占第一域名下被访问的所有 URL的总个数的比例超过设定的第四阈值（例如 10%或其它值）、 第一域名下 的恶意站点个数超过设定的第九阈值（例如 10个或其它值）、 第一域名下的恶 意站点个数占第一域名下站点总个数的比例超过设定的第十阈值（例如 10%或 其它值）。

在本发明的一些实施例中， 记录单元 640可在第一站点名满足预设的整站 拦截条件时， 在上述站点安全性记录 Ml中记录第一站点名为恶意站点名的指 示， 在第一站点名未满足预设的整站拦截条件时， 在上述站点安全性记录 Ml 中记录第一站点名为安全站点名或风险站点名的指示。其中，预设的整站拦截 条件可以根据实际的安全性需求进行具体设定， 例如， 整站拦截条件包括如下 条件的至少一个： 统计出在第五时长（如 2分钟或者其它值） 内第一站点名下 恶意 URL的被访问次数超过设定的第五阈值（例如 100次或其它值）、统计出在 第六时长（例如 2分钟或其它值） 内第一站点名下恶意 URL的被访问次数， 占 第一站点名下的所有 URL的被访问总次数的比例超过设定的第六阈值（例如 5%或者其它值）、 统计出在第七时长（例如 5分钟或者其它值） 内第一站点名 下被访问的恶意 URL的个数超过设定的第七阈值（例如 10个或者其它值）、 统 计出在第八时长（例如 10分钟或其它值） 内第一站点名下被访问的恶意 URL 的个数，占第一站点名下被访问的所有 URL的总个数的比例超过设定的第八阈 值（例如 10%或其它值）。

可以理解的是， 本实施例的恶意网址的访问防御装置 600的各功能模块的 功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述 方法实施例的相关描述， 此处不再赘述。 参见图 7, 本发明实施例提供一种云安全服务器 700, 可包括：

处理器 710、 存储器 720、 输入装置 730和输出装置 740。 云安全服务器 700 中的处理器 710的数量可以一个或多个， 图 7中以一个处理器为例。在本发明的 一些实施例中， 处理器 710、 存储器 720、 输入装置 730和输出装置 740可通过总 线或其它方式连接， 其中， 图 7中以通过总线连接为例。

存储器 720可用于存储软件程序以及模块，处理器 710通过运行存储在存储 器 720的软件程序以及模块，从而执行云安全服务器 700的各种功能应用以及数 据处理。 存储器 720可主要包括存储程序区和存储数据区， 其中， 存储程序区 可存储操作系统、 至少一个功能所需的应用程序（比如声音播放功能、 图像播 放功能等 )等； 存储数据区可存储根据手机的使用所创建的数据 (比如音频数 据、 电话本等）等。 此外， 存储器 720可以包括高速随机存取存储器， 还可以 包括非易失性存储器， 例如至少一个磁盘存储器件、 闪存器件、 或其他易失性 固态存储器件。 输入装置 730可用于接收输入的数字或字符信息， 以及产生与 云安全服务器 700的用户设置以及功能控制有关的键信号输入。

其中， 处理器 710执行如下步骤：

接收来自用户终端的携带有第一 URL的安全性查询请求； 在 N条域名安全 性记录中查询是否有与第一 URL中包含的第一域名相匹配的记录， 其中， 上述 N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为 恶意域名的指示， 其中， 上述 N为大于或等于 1的整数； 若查找到上述 N条域名 安全性记录中的域名安全性记录 N1 , 与第一域名相匹配， 且上述域名安全性 记录 N1指示出第一域名为恶意域名， 则通知上述用户终端第一域名为恶意域 名。

在本发明的一些实施例中， 处理器 710可在某个域名下的 URL首次被访问 时， 生成该域名对应的一条域名安全性记录， 其中， 该条域名安全性记录中记 录了该某个域名和该域名是否为恶意域名的指示。或者，也可进一步主动从互 联网上收集多个域名 （可包括热点域名、 还可包括非热点域名等）， 并可分别 生成该多个域名对应的域名安全性记录， 其中，每条域名安全性记录中记录了 一个域名和该域名是否为恶意域名的指示。

当然， 若查找到上述 N条域名安全性记录中的域名安全性记录 N1 , 与第一 域名相匹配， 且上述域名安全性记录 N1指示出第一域名为安全域名， 则处理 器 710可通知上述用户终端第一域名为安全域名。

在本发明的一些实施例中， 处理器 710若查找到上述 N条域名安全性记录 中的域名安全性记录 N1 , 与第一域名相匹配， 且上述域名安全性记录 N1指示 出第一域名为安全域名，则在 M条站点安全性记录中查询是否有与第一 URL中 包含的第一站点名相匹配的记录， 其中， 上述 M条站点安全性记录中的每条站 点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示， 其中， 上 述 M为大于或等于 1的整数； 若查找到上述 M条域名安全性记录之中的站点安 全性记录 M 1与第一站点名相匹配， 且上述站点安全性记录 M 1指示出第一站点 名为恶意站点名， 则可通知上述用户终端第一站点名为恶意站点名。

在本发明的一些实施例中， 处理器 710可在某个站点名下的 URL首次被访 问时， 生成该站点名对应的一条站点安全性记录， 其中， 该条站点安全性记录 中记录了该某个站点名和该站点名是否为恶意站点名的指示。或者，也可进一 步主动从互联网上收集多个站点名（可包括热点站点名、还可包括非热点站点 名等）， 并可分别生成该多个站点名对应的站点安全性记录， 其中， 每条站点 安全性记录中记录了一个站点名和该站点名是否为恶意站点名的指示。

在本发明的一些实施例中， 处理器 710若查找到上述 M条域名安全性记录 之中的站点安全性记录 Ml与第一站点名相匹配， 且上述站点安全性记录 Ml指 示出第一站点名为安全站点名， 则可进一步检查第一 URL是否为恶意 URL, 若 检查出第一 URL为恶意 URL, 则可通知上述用户终端第一 URL为恶意 URL, 若 检查出第一 URL为安全 URL, 则可通知上述用户终端第一 URL为安全 URL。

在本发明的一些实施例中， 处理器 710可在第一域名满足预设的整域拦截 条件时， 在上述站点安全性记录 N1中记录第一域名为恶意域名的指示， 可在 第一域名未满足预设的整域拦截条件时， 在站点安全性记录 N1中记录第一域 名为安全域名或风险域名的指示。其中，预设的整域拉截条件可以根据实际的 安全性需求进行具体设定，举例来说，整域拉截条件包括如下条件的至少一个： 统计出在第一时长（例如 2分钟或其它值） 内第一域名下恶意 URL的被访问次 数超过设定的第一阈值（例如 100次或其它值）、 统计出在第二时长（例如 2分 钟或其它值）内第一域名下恶意 URL的被访问次数， 占第一域名下的所有 URL 的被访问总次数的比例超过设定的第二阈值（例如 5%或其它值）、 统计出在第 三时长（例如 5分钟或其它值） 内第一域名下被访问的恶意 URL的个数超过设 定的第三阈值（例如 50个或其它值）、统计出在第四时长（例如 2分钟或其它值） 内第一域名下被访问的恶意 URL的个数，占第一域名下被访问的所有 URL的总 个数的比例超过设定的第四阈值（例如 10%或其它值）、 第一域名下的恶意站 点个数超过设定的第九阈值（例如 10个或其它值）、 第一域名下的恶意站点个 数占第一域名下站点总个数的比例超过设定的第十阈值（例如 10%或其它值）。

在本发明一些实施例中， 处理器 710可在第一站点名满足预设的整站拦截 条件时， 在站点安全性记录 Ml中记录第一站点名为恶意站点名的指示， 在第 一站点名未满足预设的整站拦截条件时， 在上述站点安全性记录 Ml中记录第 一站点名为安全站点名或风险站点名的指示。其中，预设的整站拦截条件可以 根据实际的安全性需求进行具体设定，举例来说， 整站拦截条件包括如下条件 的至少一个： 统计出在第五时长（例如 2分钟或者其它值） 内第一站点名下恶 意 URL的被访问次数超过设定的第五阈值（例如 100次或者其它值）、统计出在 第六时长（例如 2分钟或其它值） 内第一站点名下恶意 URL的被访问次数， 占 第一站点名下的所有 URL的被访问总次数的比例超过设定的第六阈值（例如 5%或者其它值）、 统计出在第七时长（如 5分钟或其它值） 内第一站点名下被 访问的恶意 URL的个数超过设定的第七阈值（如 10个或其它值）、 统计出在第 八时长（例如 10分钟或其它值）内第一站点名下被访问的恶意 URL的个数， 占 第一站点名下被访问的所有 URL的总个数的比例超过设定的第八阈值（例如 10%或其它值）。

可以理解的是， 本实施例的云安全服务器 700的各功能模块的功能可根据 上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例 的相关描述， 此处不再赘述。 参见图 8, 本发明实施例提供一种云安全服务器 800, 可包括：

处理器 810、 存储器 820、 输入装置 830和输出装置 840。 云安全服务器 800 中的处理器 810的数量可以一个或多个， 图 8中以一个处理器为例。在本发明的 一些实施例中， 处理器 810、 存储器 820、 输入装置 830和输出装置 840可通过总 线或其它方式连接， 其中， 图 8中以通过总线连接为例。

存储器 820可用于存储软件程序以及模块，处理器 810通过运行存储在存储 器 820的软件程序以及模块，从而执行云安全服务器 800的各种功能应用以及数 据处理。 存储器 820可主要包括存储程序区和存储数据区， 其中， 存储程序区 可存储操作系统、 至少一个功能所需的应用程序（比如声音播放功能、 图像播 放功能等 )等； 存储数据区可存储根据手机的使用所创建的数据 (比如音频数 据、 电话本等）等。 此外， 存储器 820可以包括高速随机存取存储器， 还可以 包括非易失性存储器， 例如至少一个磁盘存储器件、 闪存器件、 或其他易失性 固态存储器件。 输入装置 830可用于接收输入的数字或字符信息， 以及产生与 云安全服务器 800的用户设置以及功能控制有关的键信号输入。

其中， 处理器 810执行如下步骤：

接收来自用户终端的携带有第一 URL的安全性查询请求；在 M条站点安全 性记录中查询是否有与第一 URL中包含的第一站点名相匹配的记录，其中上述 M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是 否为恶意站点名的指示， 其中上述 M为大于或等于 1的整数； 若查找到上述 M 条域名安全性记录之中的站点安全性记录 Ml与第一站点名相匹配， 且上述站 点安全性记录 Ml指示出第一站点名为恶意站点名， 则通知上述用户终端第一 站点名为恶意站点名。

在本发明一些实施例中， 处理器 810可在第一站点名满足预设的整站拦截 条件时， 在上述站点安全性记录 Ml中记录第一站点名为恶意站点名的指示， 在第一站点名未满足预设的整站拦截条件时， 在上述站点安全性记录 Ml中记 录第一站点名为安全站点名或风险站点名的指示。其中，预设的整站拦截条件 可以根据实际的安全性需求进行具体设定，举例来说， 整站拦截条件包括如下 条件的至少一个：统计出在第五时长内第一站点名下恶意 URL的被访问次数超 过设定的第五阈值、 统计出在第六时长内第一站点名下恶意 URL的被访问次 数， 占第一站点名下的所有 URL的被访问总次数的比例超过设定的第六阈值、 统计出在第七时长内第一站点名下被访问的恶意 URL被访问的个数超过设定 的第七阈值、统计出在第八时长内第一站点名下被访问的恶意 URL的个数， 占 第一站点名下被访问的所有 URL的总个数的比例超过设定的第八阈值。

在本发明的一些实施例中， 处理器 810若查找到 M条域名安全性记录之中 的站点安全性记录 Ml , 与第一站点名相匹配， 且站点安全性记录 Ml指示出第 一站点名为安全站点名， 还可进一步在 N条域名安全性记录中查询是否有与第 一 URL中包含的第一域名相匹配的记录， 其中， 上述 N条域名安全性记录中的 每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示， 上述 N为 大于或等于 1的整数， 若查找到上述 N条域名安全性记录中的域名安全性记录 N1 , 与第一域名相匹配， 且上述域名安全性记录 N1指示出第一域名为恶意域 名， 则可通知上述用户终端第一域名为恶意域名。

可以理解的是， 本实施例的云安全服务器 800的各功能模块的功能可根据 上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例 的相关描述， 此处不再赘述。

本发明实施例还提供一种通信系统， 包括用户终端和云安全服务器 800或 云安全服务器 700或云安全服务器 400。

本发明实施例还提供一种通信系统，包括用户终端和恶意网址的访问防御 装置 500或恶意网址的访问防御装置 600。 参见图 9, 本发明实施例还提供一种通信系统， 其特征在于， 包括： 用户终端 900和云安全月良务器 1000;

其中， 用户终端 900, 用于向云安全服务器 1000发送携带有第一 URL的安 全性查询请求。

云安全服务器 1000, 用于接收来自用户终端 900的携带有第一 URL的安全 性查询请求； 在 N条域名安全性记录中查询是否有与第一 URL中包含的第一域 名相匹配的记录， 其中， 上述 N条域名安全性记录中的每条域名安全性记录中 记录了域名和该域名是否为恶意域名的指示， 其中， 上述 N为大于或等于 1的 整数； 若查找到上述 N条域名安全性记录中的域名安全性记录 N1 , 与第一域名 相匹配， 且上述域名安全性记录 N1指示出第一域名为恶意域名， 则通知上述 用户终端第一域名为恶意域名。

如图 10所示， 为了便于说明， 仅示出了与本发明实施例相关的部分， 具体 技术细节未揭示的， 请参照本发明实施例方法部分。 图 10所示用户终端 900可 以为手机、 平板电脑、 个人数字助理（PDA, Personal Digital Assistant ), 销售 终端（POS, Point of Sales )、 车载电脑等任意终端设备， 下面主要以用户终端 900为手机为例： 其中，图 10示出的是与本发明实施例提供的终端相关的手机的部分结构的 框图。 参考图 10, 手机包括： 射频（Radio Frequency, RF ) 电路 910、 存储器 920、输入单元 630、无线保真（wireless fidelity, WiFi )模块 970、显示单元 940、 传感器 950、 音频电路 960、 处理器 980、 以及电源 990等部件。

其中， 本领域技术人员可以理解， 图 7中示出的手机结构并不构成对手机 的限定， 可以包括比图示更多或更少的部件， 或者组合某些部件， 或者不同的 部件布置。

下面结合图 10对手机的各个构成部件进行具体的介绍：

RF电路 910可用于在收发信息或通话过程中，信号的接收和发送，特别地， 将基站的下行信息接收后， 给处理器 980处理； 另外， 将设计上行的数据发送 给基站。 通常， RF电路包括但不限于天线、 至少一个放大器、 收发信机、 耦 合器、 低噪声放大器（ Low Noise Amplifier, LNA )、 双工器等。 此外， RF电 路 910还可以通过无线通信与网络和其他设备通信。 上述无线通信可以使用任 一通信标准或协议， 包括但不限于全球移动通讯系统 （ Global System of Mobile communication , GSM )、 通用分组无线月良务 ( General Packet Radio Service, GPRS )、 码分多址（ Code Division Multiple Access, CDMA ), 宽带码 分多址（ Wideband Code Division Multiple Access, WCDMA ),长期演进 （ Long Term Evolution, LTE ) )、 电子邮件、 短消息服务（ Short Messaging Service, SMS )等。

其中，存储器 920可用于存储软件程序以及模块， 处理器 980通过运行存储 在存储器 920的软件程序以及模块， 从而执行手机的各种功能应用以及数据处 理。 存储器 920可主要包括存储程序区和存储数据区， 其中， 存储程序区可存 储操作系统、 至少一个功能所需的应用程序（如声音播放功能、 图像播放功能 等）等； 存储数据区可存储根据手机的使用所创建的数据（如音频数据、 电话 本等）等。 此外， 存储器 920可以包括高速随机存取存储器， 还可以包括非易 失性存储器， 例如至少一个磁盘存储器件、 闪存器件、 或其他易失性固态存储 器件。

输入单元 930可用于接收输入的数字或字符信息，以及产生与手机 900的用 户设置以及功能控制有关的键信号输入。 具体地， 输入单元 930可包括触控面 板 931以及其他输入设备 932。 触控面板 931 , 也称为触摸屏， 可收集用户在其 上或附近的触摸操作 (比如用户使用手指、触笔等任何适合的物体或附件在触 控面板 931上或在触控面板 931附近的操作 ), 并根据预先设定的程式驱动相应 的连接装置。 可选的， 触控面板 931可包括触摸检测装置和触摸控制器两个部 分。 其中， 触摸检测装置检测用户的触摸方位， 并检测触摸操作带来的信号， 将信号传送给触摸控制器； 触摸控制器从触摸检测装置上接收触摸信息， 并将 它转换成触点坐标，再送给处理器 980, 并能接收处理器 980发来的命令并加以 执行。 此外， 可以采用电阻式、 电容式、 红外线以及表面声波等多种类型实现 触控面板 931。 除了触控面板 931 , 输入单元 930还可以包括其他输入设备 932。 具体地， 其他输入设备 932可以包括但不限于物理键盘、 功能键（比如音量控 制按键、 开关按键等）、 轨迹球、 鼠标、 操作杆等中的一种或多种。

其中， 显示单元 940可用于显示由用户输入的信息或提供给用户的信息以 及手机的各种菜单。 显示单元 940可包括显示面板 941 , 可选的， 可以采用液晶 显示器（ Liquid Crystal Display, LCD ),有机发光二极管（ Organic Light-Emitting Diode, OLED )等形式来配置显示面板 941。 进一步的， 触控面板 931可覆盖显 示面板 941 , 当触控面板 931检测到在其上或附近的触摸操作后，传送给处理器 980以确定触摸事件的类型， 随后处理器 980根据触摸事件的类型在显示面板 941上提供相应的视觉输出。 虽然在图 7中，触控面板 931与显示面板 941是作为 两个独立的部件来实现手机的输入和输入功能，但是在某些实施例中， 可以将 触控面板 931与显示面板 941集成而实现手机的输入和输出功能。

其中， 手机 900还可包括至少一种传感器 950, 比如光传感器、运动传感器 以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中， 环境光传感器可根据环境光线的明暗来调节显示面板 941的亮度， 接近传感器 可在手机移动到耳边时，关闭显示面板 941和 /或背光。作为运动传感器的一种， 加速计传感器可检测各个方向上（一般为三轴 )加速度的大小， 静止时可检测 出重力的大小及方向， 可用于识别手机姿态的应用 （比如横竖屏切换、 相关游 戏、 磁力计姿态校准）、 振动识别相关功能（比如计步器、 敲击）等； 至于手 机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器， 在此不再赘述。

音频电路 960、扬声器 961 ,传声器 962可提供用户与手机之间的音频接口。 音频电路 960可将接收到的音频数据转换后的电信号，传输到扬声器 961 , 由扬 声器 961转换为声音信号输出； 另一方面，传声器 962将收集的声音信号转换为 电信号， 由音频电路 960接收后转换为音频数据，再将音频数据输出处理器 980 处理后， 经 RF电路 910以发送给比如另一手机， 或者将音频数据输出至存储器 920以便进一步处理。

WiFi属于短距离无线传输技术， 手机通过 WiFi模块 970可以帮助用户收发 电子邮件、浏览网页和访问流式媒体等， 它为用户提供了无线的宽带互联网访 问。 虽然图 7示出了 WiFi模块 970, 但是可以理解的是， 其并不属于手机 900的 必须构成， 完全可以根据需要在不改变发明的本质的范围内而省略。

处理器 980是手机的控制中心， 利用各种接口和线路连接整个手机的各个 部分， 通过运行或执行存储在存储器 920内的软件程序和 /或模块， 以及调用存 储在存储器 920内的数据， 执行手机的各种功能和处理数据， 从而对手机进行 整体监控。 可选的， 处理器 980可包括一个或多个处理单元； 优选的， 处理器 980可集成应用处理器和调制解调处理器， 其中， 应用处理器主要处理操作系 统、 用户界面和应用程序等， 调制解调处理器主要处理无线通信。 可以理解的 是， 上述调制解调处理器也可以不集成到处理器 980中。

手机 900还包括给各个部件供电的电源 990 (比如电池）， 优选的， 电源可 以通过电源管理系统与处理器 980逻辑相连， 从而通过电源管理系统实现管理 充电、 放电、 以及功耗管理等功能。 尽管未示出， 手机 900还可以包括摄像头、 蓝牙模块等， 在此不再赘述。

在本发明实施例中， 该终端所包括的处理器 980还具有以下功能： 向云安 全服务器 1000发送携带有第一 URL的安全性查询请求。

本发明实施例还提供一种计算机存储介质， 其中， 该计算机存储介质可存 储有程序，该程序执行时包括上述方法实施例中记载的恶意网址的访问防御方 法的部分或全部步骤。 需要说明的是， 对于前述的各方法实施例， 为了筒单描述， 故将其都表述 为一系列的动作组合，但是本领域技术人员应该知悉， 本发明并不受所描述的 动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。 其次， 本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施 例， 所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中， 对各个实施例的描述都各有侧重， 某个实施例中没 有详述的部分， 可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中， 应该理解到， 所揭露的装置， 可通过其 它的方式实现。 例如， 以上所描述的装置实施例仅仅是示意性的， 例如所述单 元的划分， 仅仅为一种逻辑功能划分， 实际实现时可以有另外的划分方式， 例 如多个单元或组件可以结合或者可以集成到另一个系统， 或一些特征可以忽 略， 或不执行。 另一点， 所显示或讨论的相互之间的耦合或直接耦合或通信连 接可以是通过一些接口， 装置或单元的间接耦合或通信连接， 可以是电性或其 它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为 单元显示的部件可以是或者也可以不是物理单元， 即可以位于一个地方， 或者 也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部 单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以集成在一个处理单元中，也 可以是各个单元单独物理存在， 也可以两个或两个以上单元集成在一个单元 中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的 形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售 或使用时， 可以存储在一个计算机可读取存储介质中。基于这样的理解， 本发 明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全 部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储 介质中， 包括若干指令用以使得一台计算机设备（可为个人计算机、 服务器或 者网络设备等 )执行本发明各个实施例所述方法的全部或部分步骤。 而前述的 存储介质包括： U盘、 只读存储器（ROM, Read-Only Memory )、 随机存取存 储器（RAM, Random Access Memory ), 移动硬盘、 磁碟或者光盘等各种可以 存储程序代码的介质。

以上所述， 以上实施例仅用以说明本发明的技术方案， 而非对其限制； 尽 管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理 解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其中部分 技术特征进行等同替换； 而这些修改或者替换， 并不使相应技术方案的本质脱 离本发明各实施例技术方案的精神和范围。

Claims

权 利 要 求

1、 一种恶意网址的访问防御方法， 其特征在于， 包括：

接收用户的包括一统一资源定位符的安全性查询请求；

在存储的 N条域名安全性记录中查询是否有与所述统一资源定位符中包 含的一域名相匹配的记录， 其中， 所述 N条域名安全性记录中的每条域名安全 性记录中记录了域名和该域名是否为恶意域名的指示， 其中， 所述 N为大于或 等于 1的整数；

若查找到所述 N条域名安全性记录中的域名安全性记录 N1与所述域名相 匹配， 且所述域名安全性记录 N1指示出所述域名为恶意域名， 则通知用户所 述域名为恶意域名。

2、 根据权利要求 1所述的方法， 其特征在于，

所述方法还包括：

若查找到所述 N条域名安全性记录中的域名安全性记录 N1与所述域名相 匹配， 且所述域名安全性记录 N1指示出所述域名为安全域名， 则在存储的 M 条站点安全性记录中查询是否有与所述统一资源定位符中包含的站点名相匹 配的记录， 其中， 所述 M条站点安全性记录中的每条站点安全性记录中记录了 站点名和该站点名是否为恶意站点名的指示， 其中， 所述 M为大于或等于 1的 整数；

若查找到所述 M条域名安全性记录之中的站点安全性记录 Ml与所述站点 名相匹配， 并且所述站点安全性记录 Ml指示出所述站点名为恶意站点名， 则 通知所述用户所述站点名为恶意站点名。

3、 根据权利要求 2所述的方法， 其特征在于，

所述方法还包括：

在所述域名满足预设的整域拦截条件时， 在所述站点安全性记录 N1中记 录所述域名为恶意域名的指示； 和 /或， 在所述站点名满足预设的整站拦截条 件时， 在所述站点安全性记录 Ml中记录所述站点名为恶意站点名的指示。

4、 根据权利要求 3所述的方法， 其特征在于，

所述整域拦截条件包括如下条件的至少一个： 统计出在第一时长内所述域名下恶意统一资源定位符的被访问次数超过 设定的第一阈值、统计出在第二时长内所述域名下恶意统一资源定位符的被访 问次数，占所述第一域名下的所有统一资源定位符的被访问总次数的比例超过 设定的第二阈值、统计出在第三时长内所述域名下被访问的恶意统一资源定位 符的个数超过设定的第三阈值、统计出在第四时长内所述域名下被访问的恶意 统一资源定位符的个数，占所述域名下被访问的所有统一资源定位符的总个数 的比例超过设定的第四阈值、 所述域名下的恶意站点个数超过设定的第九阈 值、所述域名下的恶意站点个数占所述第一域名下站点总个数的比例超过设定 的第十阈值。

5、 根据权利要求 3或 4所述的方法， 其特征在于，

所述整站拦截条件包括如下条件的至少一个：

统计出在第五时长内所述站点名下恶意统一资源定位符的被访问次数超 过设定的第五阈值、

统计出在第六时长内所述站点名下恶意统一资源定位符的被访问次数，占 所述站点名下的所有统一资源定位符的被访问总次数的比例超过设定的第六 阈值、

统计出在第七时长内所述站点名下被访问的恶意统一资源定位符的个数 超过设定的第七阈值、

统计出在第八时长内所述站点名下被访问的恶意统一资源定位符的个数， 占所述第一站点名下被访问的所有统一资源定位符的总个数的比例超过设定 的第八阈值。

6、 一种恶意网址的访问防御方法， 其特征在于， 包括：

接收来自用户的携带有一统一资源定位符的安全性查询请求；

在存储的 M条站点安全性记录中查询是否有与所述统一资源定位符中包 含的站点名相匹配的记录， 其中， 所述 M条站点安全性记录中的每条站点安全 性记录中记录了站点名和该站点名是否为恶意站点名的指示， 其中， 所述 M为 大于或等于 1的整数；

若查找到所述 M条域名安全性记录之中的站点安全性记录 Ml与所述站点 名相匹配， 且所述站点安全性记录 Ml指示出所述站点名为恶意站点名， 则通 知所述用户所述站点名为恶意站点名。

7、 一种恶意网址的访问防御装置， 其特征在于， 包括：

接收单元， 用于接收来自用户的包括一统一资源定位符的安全性查询请 求；

第一查询单元， 用于在存储的 N条域名安全性记录中查询是否有与所述统 一资源定位符中包含的域名相匹配的记录， 其中， 所述 N条域名安全性记录中 的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示， 其中， 所述 N为大于或等于 1的整数；

判断单元， 用于若所述第一查询单元查找到所述 N条域名安全性记录中的 域名安全性记录 N1 , 与所述域名相匹配， 且所述域名安全性记录 N1指示出所 述域名为恶意域名， 则通知所述用户所述第一域名为恶意域名。

8、 根据权利要求 7所述的装置， 其特征在于，

所述装置还包括：

第二查询单元， 用于若查找到所述 N条域名安全性记录中的域名安全性记 录 N1 , 与所述域名相匹配， 且所述域名安全性记录 N1指示出所述域名为安全 域名，则在 M条站点安全性记录中查询是否有与所述统一资源定位符中包含的 站点名相匹配的记录， 其中， 所述 M条站点安全性记录中的每条站点安全性记 录中记录了站点名和该站点名是否为恶意站点名的指示， 其中， 所述 M为大于 或等于 1的整数；

所述判断单元还用于，若所述第二查询单元查找到所述 M条域名安全性记 录之中的站点安全性记录 Ml , 与所述站点名相匹配， 且所述站点安全性记录 Ml指示出所述站点名为恶意站点名， 则通知所述用户所述站点名为恶意站点 名。

9、 根据权利要求 8所述的装置， 其特征在于，

所述装置还包括：

记录单元， 用于在所述域名满足预设的整域拉截条件时，在所述站点安全 性记录 N1中记录所述域名为恶意域名的指示； 和 /或， 在所述站点名满足预设 的整站拦截条件时， 在所述站点安全性记录 Ml中记录所述站点名为恶意站点 名的指示。

10、 一种恶意网址的访问防御装置， 其特征在于， 包括：

接收单元，用于接收来自用户的携带有一统一资源定位符的安全性查询请 求；

第二查询单元，用于在 M条站点安全性记录中查询是否有与所述统一资源 定位符中包含的站点名相匹配的记录， 其中， 所述 M条站点安全性记录中的每 条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示， 其 中， 所述 M为大于或等于 1的整数；

判断单元，用于若所述第二查询单元查找到所述 M条域名安全性记录之中 的站点安全性记录 Ml , 与所述站点名相匹配， 且所述站点安全性记录 Ml指示 出所述站点名为恶意站点名， 则通知所述用户所述站点名为恶意站点名。