用於檢測惡意連結的方法及系統的製作方法

2023-06-12 21:38:16

專利名稱：用於檢測惡意連結的方法及系統的製作方法
技術領域：
本發明涉及網絡安全技術領域，具體涉及一種用於檢測惡意連結的方法及系統。
背景技術：
隨著網際網路的發展，各種計算機惡意程序的攻擊方式變得越來越層出不窮。比如類似掛馬類的惡意程序攻擊手段多種多樣，比如，包括SQUStructuredQuery Language,結構化查詢語言)注入，網站敏感文件掃描，伺服器漏洞，網站程序Oday等各種方法獲得網站管理員帳號，然後登陸網站後臺，通過資料庫備份/恢復或者上傳漏洞獲得一個webshe I I(web入侵的腳本攻擊工具)。利用獲得的webshel I修改網站頁面的內容，向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得伺服器或者網站FTP(Fi Ie Transfer Protocal,文件傳輸協議)，然後直接對網站頁面直接進行修改。當訪問被加入惡意代碼的頁面時，就會自動的訪問被轉向的地址或者下載木馬病毒。在整個掛馬檢測的防禦體系中，關於惡意URL (Universal Resource Locator,統一資源定位符)的收集就是一^Is非常重要的環節,如何能夠更快速更全面收集到惡意URL，將決定殺毒軟體查殺掛馬網站是否及時，是否有效。現有的一種檢測掛馬網站方案是，反掛馬蜘蛛從一些漏洞掃描後收集的高危網站作為種子開始抓取，通過對新發現的頁面做連結分析，從中獲取新的URL，然後對新的URL進行下載，下載後的內容提交給掛馬識別系統。對於基於種子進行抓取的檢測系統，由於種子頁面僅僅是高危網站，但未必是被掛馬的網站，所以無法快速的檢測掛馬網站，同時覆蓋率也就不夠全面。現有的另一種方案是，檢測系統通過客戶端軟體來探測發現高危網站，發現後將數據反饋到蜘蛛系統，由蜘蛛系統進行下載並遞交後續分析系統。對於這種基於客戶端探測的檢測系統，由於黑客入侵後嵌入的惡意攻擊代碼可以隨時停止，所以經常無法檢測到有惡意行為，也就無法將被攻擊的網址回傳到服務端檢測系統，在檢測手法上比較被動。因此，這種方案也無法快速發現檢測到儘量多的掛馬網站，並且也無法檢測到儘量多的掛馬網站。

發明內容
鑑於上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的用於檢測惡意連結的系統和相應的用於檢測惡意連結的方法。依據本發明的一個方面，提供了一種用於檢測惡意連結的系統，包括伺服器端設備和客戶端設備；所述伺服器端設備包括網絡安全管理設備，所述客戶端設備包括檢測設備；所述惡意連結包括網際網路中惡意的網絡資源的連結地址，其中，所述檢測設備包括第二行為檢測器，被配置為對網絡資源的可疑行為進行檢測，將檢測出的可疑連結傳輸至伺服器端設備進行進一步檢測；第二獲取器，被配置為獲取所述伺服器端設備基於所述第二行為檢測器提供的可疑連結確定的危險惡意網站主機名集合和危險惡意連結集合，所述危險惡意網站主機名集合是伺服器端設備篩選出的惡意值高於第一預置閾值的各惡意網站主機名的集合，所述危險惡意連結集合是伺服器端篩選出的所述危險惡意網站主機名集合以外的其餘惡意網站主機名下、惡意值高於第二預置閾值的各惡意連結的集合；第二連結檢測器，被配置為根據所述第二獲取器獲取的危險惡意網站主機名集合和危險惡意連結集合檢測出新的可疑連結，並將所述新的可疑連結傳輸至所述伺服器端設備進行檢測及更新相關惡意值，所述新的可疑連結的內嵌的其他連結命中所述危險惡意網站主機名集合或所述危險惡意連結集合；所述網絡安全管理設備包括第一行為檢測器，被配置為至少對客戶端設備檢測出的可疑連結進行惡意行為檢測，檢測是否為惡意連結，以及對所述檢測為惡意連結的內嵌的其他連結進行惡意行為檢測，檢測出所述惡意連結的內嵌的其他惡意連結；第一行為評估器，被配置為至少根據所述第一行為檢測器檢測出的各惡意連結之間的內嵌關係，對各惡意連結評估惡意值，並對各惡意連結相關的惡意網站主機名評估惡意值，以及根據所述第一行為檢測器檢測出的新的惡意連結對相關惡意連結或惡意網站主機名的惡意值進行更新；第一篩選器，被配置為根據所述第一行為評估器評估出的結果，篩選出惡意值高於第一預置閾值的危險惡意網站主機名集合和其餘惡意網站主機名下、惡意值高於第二預置閾值的危險惡意連結集合，並將所述危險惡意網站主機名集合和危險惡意連結集合的信息通知至所述客戶端設備；第一獲取器，被配置為獲取客戶端設備基於所述危險惡意網站主機名集合和所述危險惡意連結集合檢測出的新的可疑連結，並將所述新的可疑連結傳輸至所述第一行為檢測器進行檢測，所述新的可疑連結的內嵌的其他連結命中所述危險惡意網站主機名集合或所述危險惡意連結集合。可選的，待評估惡意值的惡意連結為目標惡意連結，目標惡意連結的內嵌的其他惡意連結為目標惡意連結的內嵌惡意連結，每個內嵌惡意連結的惡意外鏈數目具體是以該內嵌惡意連結作為內嵌的連結的所有惡意連結的總數，第一行為評估器包括第一識別模塊，被配置為根據各惡意連結之間的內嵌關係，識別出目標惡意連結的所有內嵌惡意連結以及每個內嵌惡意連結的惡意外鏈數目；第一評估模塊，被配置為根據第一識別模塊識別出的目標惡意連結的各內嵌惡意連結的最新惡意值，和每個內嵌惡意連結的惡意外鏈數目，評估目標惡意連結的惡意值。可選的，待評估惡意值的惡意網站主機名為目標惡意網站主機名，目標惡意網站主機名下各惡意連結的內嵌的其他惡意連結所屬的惡意網站主機名，是與目標惡意網站主機名具有關聯關係的關聯惡意網站主機名，每個關聯惡意網站主機名的惡意外鏈數目具體是該關聯惡意網站主機名下所有惡意連結的惡意外鏈數目之和，第一評估器包括第二識別模塊，被配置為根據各惡意連結之間的內嵌關係，識別出目標惡意網站主機名的所有關聯惡意網站主機名，以及每個關聯惡意網站主機名的惡意外鏈數目；第二評估模塊，被配置為根據目標惡意網站主機名的各關聯惡意網站主機名的最新惡意值，以及每個關聯惡意網站主機名的惡意外鏈數目，評估目標惡意網站主機名的惡意值。可選的，第一評估模塊還被配置為通過多輪迭代方式獲得各目標惡意連結的惡意值，在第一輪處理時為各目標惡意連結設置初始惡意值；第二評估模塊還被配置為通過多輪迭代方式獲得各目標惡意網站主機名的惡意值，在第一輪處理時為各目標惡意網站主機名設置初始惡意值。可選的，惡意連結或可疑連結的內嵌的其他連結包括訪問惡意連結或可疑連結時被自動執行的其他連結。
可選的，新的可疑連結的內嵌的其他連結命中危險惡意網站主機名集合或危險惡意連結集合包括新的可疑連結的內嵌的其他連結的網站主機名，至少是危險惡意網站主機名集合中的一個網站主機名；或者，新的可疑連結的內嵌的其他連結，至少是危險惡意連結集合中的一個連結。可選的，第一行為檢測器具體是掛馬行為檢測器，的惡意行為檢測具體是掛馬惡意行為檢測，惡意連結具體惡意掛馬連結，惡意連結的內嵌的其他惡意連結具體為惡意掛馬連結的內嵌的其他惡意掛馬連結。根據本發明的另一方面，提供了一種用於檢測惡意連結的方法，惡意連結包括網際網路中各種惡意的網絡資源的連結地址，包括至少對客戶端設備檢測出的可疑連結進行惡意行為檢測，檢測是否為惡意連結，以及對檢測為惡意連結的內嵌的其他連結進行惡意行為檢測，檢測出惡意連結的內嵌的其他惡意連結；至少根據各惡意連結之間的內嵌關係，對各惡意連結評估惡意值，並對各惡意連結相關的惡意網站主機名評估惡意值，以及根據檢測出的新的惡意連結對相關惡意連結或惡意網站主機名的惡意值進行更新；篩選出惡意值高於第一預置閾值的危險惡意網站主機名集合和其餘惡意網站主機名下、惡意值高於第二預置閾值的危險惡意連結集合，並將危險惡意網站主機名集合和危險惡意連結集合的信息通知至客戶端設備；獲取客戶端設備基於危險惡意網站主機名集合和危險惡意連結集合檢測出的新的可疑連結，並將新的可疑連結進行惡意行為檢測，新的可疑連結的內嵌的其他連結命中危險惡意網站主機名集合或危險惡意連結集合；其中，所述惡意連結或可疑連結的內嵌的其他連結包括訪問所述惡意連結或可疑連結時被自動執行的其他連結。根據本發明的用於檢測惡意連結的系統及方法，可以快速檢測到更多的可疑連結、惡意連結，由此解決了現有技術無法快速檢測到儘量多的惡意連結的技術問題，取得了能夠快速檢測到大量惡意連結的有益效果。上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段，而可依照說明書的內容予以實施，並且為了讓本發明的上述和其它目的、特徵和優點能夠更明顯易懂，以下特舉本發明的`具體實施方式
。


通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對於本領域普通技術人員將變得清楚明了。附圖僅用於示出優選實施方式的目的，而並不認為是對本發明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中圖1示出了根據本發明一個實施例的用於檢測惡意連結的系統示意圖；圖2示出了根據本發明一個實施例的惡意連結之間內嵌關係的示意圖；圖3示出了根據本發明一個實施例的惡意網站主機名之間關聯關係的示意圖；圖4示出了根據本發明一個實施例的用於檢測惡意連結的方法流程圖；以及圖5示出了根據本發明一個實施例的用於檢測惡意連結的檢測方法流程圖。
具體實施例方式下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應當理解，可以以各種形式實現本公開而不應被這裡闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，並且能夠將本公開的範圍完整的傳達給本領域的技術人員。本發明實施例可以應用於計算機系統/伺服器，其可與眾多其它通用或專用計算系統環境或配置一起操作。適於與計算機系統/伺服器一起使用的眾所周知的計算系統、環境和/或配置的例子包括但不限於個人計算機系統、伺服器計算機系統、瘦客戶機、厚客戶機、手持或膝上設備、基於微處理器的系統、機頂盒、可編程消費電子產品、網絡個人電腦、小型計算機系統、大型計算機系統和包括上述任何系統的分布式雲計算技術環境，等
坐寸ο計算機系統/伺服器可以在由計算機系統執行的計算機系統可執行指令(諸如程序模塊)的一般語境下描述。通常，程序模塊可以包括例程、程序、目標程序、組件、邏輯、數據結構等等，它們執行特定的任務或者實現特定的抽象數據類型。計算機系統/伺服器可以在分布式雲計算環境中實施，分布式雲計算環境中，任務是由通過通信網絡連結的遠程處理設備執行的。在分布式雲計算環境中，程序模塊可以位於包括存儲設備的本地或遠程計算系統存儲介質上。請參閱圖1，其示出了根據本發明一個實施例的用於檢測惡意連結的系統示意圖，該系統包括伺服器端設備100和客戶端設備200，其中，伺服器端設備至少包括用於檢測惡意連結的網絡安全管理設備110，具體而言，網絡安全管理設備110包括第一行為檢測器112、第一行為評估器114、第一獲取器116以及第一篩選器118 ;客戶端設備至少包括用於檢測惡意連結的檢測設備210，具 體而言，檢測設備210包括第二行為檢測器212、第二獲取器214以及第二連結檢測器216。首先，客戶端側檢測設備200中的第二行為檢測器212對網絡資源的可疑行為進行檢測，網絡資源包括但不限於網際網路中的網頁、視頻及音頻等。客戶端側預先維護一個可疑行為特徵庫，在該特徵庫中記錄有一些可疑行為的特徵(可疑的程序行為的特徵)包括但不限於在訪問某個網頁過程中調用某些特定的系統函數、執行加載了某些特定代碼、分配了可疑的內存，將某些文件存放到可疑的位置、或者是產生了內存溢出等，這些可疑行為可以是客戶端側的檢測設備200根據以往的加密後的歷史數據的特徵值總結的，也可以是從伺服器側獲取的加密後的特徵值或程序行為，可疑行為的具體內容可以不斷更新，種類也可以不斷豐富，服務端可以利用類似於決策樹，貝葉斯算法，神經網域計算等方法，或者使用簡單的閾值分析進行機器學習等，對客戶端側通過各種方式獲知的各種可疑行為以及各種可疑行為的檢測手段在本發明實施例中都是適用的，本發明對此並沒有限制。當客戶端側訪問某些連結地址的網絡資源時，第二行為檢測器212就會根據已知的可疑行為特徵庫對當前的訪問過程、行為進行監控檢測。由於客戶端側保存有用戶的各種私人文件，而且客戶端側的運行分析能力也有限，因此第二行為檢測器212在檢測到可疑行為後，一般在徵得用戶的同意後予以攔截，不會再繼續執行當前的操作，防止危害真正發生。比如，如果檢測到當前登錄的某網頁連結在調用某種可疑的系統函數，那麼客戶端一般不會再讓該調用繼續下去，進而也就無法知道後續調用完可疑函數之後還執行了哪些程序或者下載了哪些文檔，因此客戶端無法準確判斷該網頁連結是否真的是惡意連結，僅能確定為可疑連結，然後將該可疑連結上報至伺服器端的網絡安全管理設備110做進一步檢測確認。伺服器端與客戶端反饋聯動，並且保持多個伺服器集群並聯進行任務處理。
網絡安全管理設備110的第一行為檢測器112接收到來自客戶端側的可疑連結信息後，對這些可疑連結進行惡意行為檢測，檢測是否為惡意連結。具體而言，由於伺服器端的運行分析能力更強，因此有多種更先進、權威的檢測手段以便對可疑連結做進一步確認。比如，在不影響伺服器端整體網絡環境安全的情況下，可以在基於虛擬機等運行環境中完成對可疑連結的整個訪問或下載過程，讓程序執行完畢，比如完成可疑系統函數的調用，加載完可疑代碼、分配可疑的內存空間等，從而檢測在該連結訪問或下載的整個過程中，究竟下載了哪些代碼、下載了哪些文件、調用可疑系統函數做了什麼事情，甚至還可以繼續執行該程序下載的各種代碼、運行各種下載的文件等等，進而通過這些檢測以及網絡側更強大的特徵庫，可以更準確的確定該連結是否為真正的惡意連結。再比如，利用伺服器端比客戶端更新更及時、全面的惡意特徵資料庫、黑白名單等也可以對客戶端上報的可疑連結做進一步判斷確認。需要說明的是，伺服器端擁有比客戶端側更強大、更及時的檢測手段和資源，因此現有和將來各種伺服器端用以確認某個可疑連結是否為惡意連結的技術，都適用於本發明，因此本發明對此並沒有限制。客戶端側告知的可疑連結經過伺服器側的第一行為檢測器112進一步檢測後，可能檢測到全部是真正的惡意連結，但也有可能檢測到有一部分並不是真正的惡意連結。因此第一行為檢測器112的主要目的是從客戶端側告知的可疑連結中檢測出真正的惡意連結，以便後續操作。在第一行為檢測器112檢測出惡意連結之後，進一步對這些惡意連結的內嵌的其他連結進行惡意行為檢測，檢測出這些惡意連結的內嵌的其他惡意連結。惡意連結的內嵌的其他連結，可以是訪問、執行該惡意連結的過程中自動執行的其他連結，或者說自動跳轉訪問的其他連結。具體而言，第一行為檢測器112會監控網絡埠，在訪問某個惡意連結後，會通過網絡埠提供的數據信息獲知訪問該惡意連結的同時自動打開(或稱訪問)了哪些其他的連結，進而這些其他的連結就是該惡意連結的內嵌的連結。進而第一行為檢測器112還會對這些內嵌的連結訪問、執行一遍，以便判斷這些內嵌的連結中哪些是惡意的連結。通過上述的操作，第一行為檢測器112就可以檢測出若干惡意連結，以及這些惡意連結之間的內嵌關係。例如，第一行為檢測器112首先檢測某A連結是惡意連結，A 連結hxxp://www. cqcmc. cn/xxx/xxx/ list_5. html,同時通過監控網絡埠的訪問記錄檢測在訪問該惡意連結A時會自動訪問B連結或者說自動下載B連結中的內容，B 連結hxxp://vma. jkub.com: xx/3/maay. htm,由此可以確定B連結是A連結的內嵌的連結，進而第一行為檢測器12再通過前述的各種檢測手段檢測B連結是否為惡意連結，如果是，則可以確定B連結是惡意連結A連結的內嵌的惡意連結。以此類推，通過這種方式，第一行為檢測器112可以檢測出若干惡意連結以及他們內嵌的惡意連結，進而也就知道了各惡意連結之間的內嵌關係。在一個實施例中，第一行為檢測器112在檢測出各惡意連結以及他們之間的內嵌關係之後，第一行為評估器114根據第一行為檢測器112提供的各惡意連結之間的內嵌關係，對各惡意連結評估惡意值。具體而言，為敘述方便，將待評估惡意值的惡意連結稱為目標惡意連結，將目標惡意連結的內嵌的其他惡意連結稱為該目標惡意連結的內嵌惡意連結，每個內嵌惡意連結的惡意外鏈數目是以該內嵌惡意連結作為內嵌的連結的所有惡意連結的總數。例如圖2，其示出了對惡意連結評估惡意值的連結關係示意圖。假設圖中的惡意連結A為待評估惡意值的目標惡意連結，根據第一行為檢測器112獲知惡意連結A有3個內嵌惡意連結，即連結B、連結C以及連結D是經第一行為檢測器112檢測確認的惡意連結。從圖中還可以看出，實際上連結E也是惡意連結A的內嵌連結，但是由於連結E是非惡意連結，因此在評估目標惡意連結A的惡意值時不予以參考；此外，假設訪問連結A時會自動執行跳轉執行連結F，但是連結F是與連結A屬於同一網站內的連結，比如這兩個連結的域名相同，那麼在評估目標惡意連結A的惡意值時，無論連結F是否為惡意連結，都不考慮連結F，即在評估惡意連結的惡意值時只考慮不同網站之間的內嵌關係，不考慮同一網站內各連結之間的內嵌關係。即將目標惡意連結的內嵌的其他惡意連結限定為非同一網站的惡意連結，換而言之，目標惡意連結的內嵌的非同一網站的惡意連結，為該目標惡意連結的內嵌惡意連結。對於目標惡意連結內嵌的同一網站的其他惡意連結雖然不用於計算目標惡意連結的惡意值，但是還可以進一步分析該內嵌惡意連結是否還內嵌了其他網站的惡意連結，即可以把目標惡意網站內嵌的同一網站的其他惡意連結當做一個新的惡意連結去分析，並評估其惡意值。應當注意的是，也不完全排除在某種特殊應用場景下，目標惡意連結的內嵌的其他惡意連結不必限定為非同一網站的內嵌惡意連結，即同一網站的內嵌惡意連結也參與計算目標惡意連結的惡意值，此種情況下，目標惡意連結的內嵌的各種惡意連結，包括非同一網站內的，也可能包含同一網站內的，均為該目標惡意連結的內嵌惡意連結。因此，以上兩種方案都在本發明的保護範圍內，根據實際應用場景的不同可以採用不同的方案予以實現。在評估每個目標惡意連結的惡意值時，主要通過第一行為評估器114執行。具體而言，第一行為評估器114可以包括第一識別模塊和第一評估模塊。首先，第一識別 模塊根據第一行為檢測器112提供的各惡意連結之間的內嵌關係，識別出目標惡意連結的所有內嵌惡意連結以及每個內嵌惡意連結的惡意外鏈數目。仍然以圖2為例，第一識別模塊先根據第一檢測器112提供的信息，識別出目標惡意連結A的所有內嵌惡意連結分別是惡意連結B、C、D。進而再統計每個內嵌惡意連結的惡意外鏈數目。從圖2可以看出，惡意連結B除了是惡意連結A的內嵌惡意連結外，還是惡意連結G、H、I的內嵌惡意連結，由此可知A的內嵌惡意連結B的惡意外鏈數目是4 ;同理，知道A的內嵌惡意連結C的惡意外鏈數目是3 (惡意外鏈分別是連結A、J、K)，A的內嵌惡意連結D的惡意外鏈數目是I (惡意外鏈只有連結A)。然後，第一識別模塊將統計出的上述信息告知第一評估模塊，第一評估模塊根據目標惡意連結的各內嵌惡意連結的最新惡意值，和每個內嵌惡意連結的惡意外鏈數目，評估目標惡意連結的惡意值。在一個實施例中，第一評估模塊可以包括第一比值子模塊，用於獲得目標惡意連結的每個內嵌惡意連結的最新惡意值與該內嵌惡意連結的惡意外鏈數目的比值；第一累加子模塊，用於將目標惡意連結的各內嵌惡意連結的最新惡意值與對應的惡意外鏈數目的比值進行累加，獲得第一累加值；以及第一加權子模塊，用於將所述第一累加值乘以第一權值後與第二權值相加，得到目標惡意連結的惡意值。仍然以圖2為例進行詳細說明。在一個實施例中，在評估目標惡意連結A的惡意值時可以採用下述公式進行評估PR (A) =a+b* (PR (B)/links (B) +PR (C)/links (C) +PR (D)/links (D) +......)其中，PR
表示相關惡意連結的惡意值(也可稱為rank值)，links 表示相關惡意連結的惡意外鏈數目，a相當於前述的第一權值，b相當於前述的第二權值。起始時可以給所有惡意連結的惡意值賦一初始值。應當注意，該初始值、權值a和權值b，均可以根據實際應用場景需求或經驗設置不同的數值，本發明實施例對此並沒有限制。多數情況下，可以限制權值a和b之和等於I。當然在某些情況下甚至也可以不給權值a和b設置實際意義的值。假設在一個實施例中，將a設置為O. 15，b設置為O. 85，各惡意連結的初始惡意值設置為I。通過前面第一識別模塊的描述可知，在圖2對應的實施例中，links(B)=4，links (C) =3, links (D) =1,在第一輪計算各惡意連結的惡意值時,相關惡意連結的惡意值均使用初始值，如 PR (B) =1，PR (C) =1，PR (D) =1，進而 PR (A) =0. 15+0. 85* (1/4+1/3+1/1) =1. 4958於是，在第一輪計算各目標惡意連結時，惡意連結A的惡意值即為1. 4958，同理，按照同樣的方法，還可以評估出第一輪其他惡意連結的惡意值，如惡意連結B、C、D、G等的惡意值。

第一評估模塊可以通過多輪迭代方式獲得各目標惡意連結的惡意值，在第一輪處理時為各目標惡意連結設置初始惡意值，後續每輪處理時帶入的相關惡意連結惡意值都是上輪計算出的結果；當經過多輪迭代之後，在惡意連結數據量、以及各惡意連結之間的內嵌關係沒有發生更新的情況下，每個目標惡意連結的惡意值會趨於恆定，即能夠得出一個比較接近於實際的惡意值。當有第一行為檢測器112檢測出新的惡意連結之後，第一行為評估器就可以及時或者定期重新計算相關惡意連結的惡意值，即進行更新。惡意值越高說明該惡意連結越有可能是一個掛馬源連結。該惡意連結可能會感染很多其他的連結或網站。在上一個實施例中，第一行為評估器114根據第一行為檢測器112檢測出的各惡意連結之間的內嵌關係，對各惡意連結評估惡意值。在本發明的另一個實施例中，第一行為評估器114還可以根據各惡意連結之間的內嵌關係，對各惡意連結相關的惡意網站主機名評估惡意值，以及根據第一行為檢測器112檢測出的新的惡意連結對相關惡意連結或惡意網站主機名的惡意值進行更新。具體而言，第一行為評估器114可以包括第二識別模塊和第二評估模塊。待評估惡意值的惡意網站主機名為目標惡意網站主機名，目標惡意網站主機名下各惡意連結的內嵌的其他惡意連結所屬的惡意網站主機名，是與目標惡意網站主機名具有關聯關係的關聯惡意網站主機名。如何確定某個惡意連結的內嵌的其他惡意連結可以參看前述實施例中的相關描述，此處不再贅述。請參閱圖3，其為根據本發明一個實施例的各惡意網站主機名之間的關聯關係示意圖。第一行為評估器114檢測到第一行為檢測器112檢測出某網站主機名 aaa 下存在 4 個惡意連結，比如，www. aaa. com/a、www. aaa. com/b、www. aaa. com/c 以及www. aaa. com/d，其中，www. aaa. com/a 有個內嵌惡意連結 www. bbb. com/h, www. aaa. com/c也有個內嵌惡意連結www. ccc. com/g, www. aaa. com/b和www. aaa. com/d無內嵌惡意連結。進一步分析URL可知,惡意內嵌連結www. bbb. com/h所屬的網站主機名是bbb,內嵌惡意連結WWW. ccc. com/g所屬的網站主機名是ccc,由此可知，與目標惡意網站主機名aaa具有關聯關係的關聯惡意網站主機名分別是「bbb」和「ccc」。每個關聯惡意網站主機名的惡意外鏈數目具體是該關聯惡意網站主機名下所有惡意連結的惡意外鏈數目之和。例如，假設「bbb」網站主機名下共有3個惡意連結，分別是 ww. bbb. com/h、ww. bbb. com/i 以及 ww. bbb. com/k。其中，www. bbb. com/h 又分別是惡意連結G (www. aaa. com/a)、惡意連結H的內嵌惡意連結,即說明www. bbb. com/h的惡意外鏈數目是2 ;同理,www. bbb. com/i的惡意外鏈數目是3 ；www. bbb. com/k的惡意外鏈數目是O,那麼「bbb」網站主機名的惡意外鏈數目就是2+3+0=5。根據相同的方式可以統計出與惡意網站主機名aaa相關聯的關聯惡意網站主機名ccc的惡意外鏈數目，比如為2。第二識別模塊可以通過上述方式根據各惡意連結之間的內嵌關係，識別出各目標惡意網站主機名的所有關聯惡意網站主機名，以及每個關聯惡意網站主機名的惡意外鏈數目。然後，第二評估模塊，根據目標惡意網站主機名的各關聯惡意網站主機名的最新惡意值，以及每個關聯惡意網站主機名的惡意外鏈數目，評估所述目標惡意網站主機名的惡意值。例如，在一個實施例中，第二評估模塊可以包括第二比值子模塊，用於獲得所述目標惡意網站王機名的每個關聯惡意網站王機名的最新惡意值與該關聯惡意網站王機名的惡意外鏈數目的比值；第二累加子模塊，用於將目標惡意網站主機名的各關聯惡意網站主機名的最新惡意值與對應的惡意外鏈數目的各比值累加，獲得第二累加值；第二加權子模塊，用於將第二累加值乘以第三權值後與第四權值相加，得到目標惡意網站主機名的惡意值。下面仍然以圖3中評估惡意網站主機名aaa為例進行詳細說明。在評估惡意網站主機名A的惡意值時可以採用下述公式PR (a) =A+B* (PR (b) /1 inks (b) +PR (c) /1 inks (c) +PR (d) /1 inks (d) +......)其中，PR
O表不相關惡意網站王機名的 惡意值(也可稱為rank值)，links O表不相關惡意網站王機名的惡意外鏈數目，A相當於前述的第三權值，B相當於前述的第四權值。起始時可以給所有惡意網站主機名的惡意值賦一初始值。應當注意，該初始值、權值A和權值B，均可以根據實際應用場景需求或經驗設置不同的數值，本發明實施例對此並沒有限制。多數情況下，可以限制權值A和B之和等於I。當然在某些情況下甚至也可以不給權值A和B設置實際意義的值。假設在一個實施例中，將A設置為0.15，B設置為0.85，各惡意網站主機名的初始惡意值設置為I。通過前面第二識別模塊的描述可知，在圖3對應的實施例中，惡意網站主機名aaa總共有兩個關聯惡意網站主機名，分別是bbb和ccc,而links (bbb)=5, links (ccc) =2,在第一輪計算各惡意連結的惡意值時，關聯惡意網站主機名的惡意值均使用初始值，如PR (bbb) =1，PR (ccc) =1，進而PR(aaa)=0. 15+0. 85*(1/5+1/2)=0. 745於是，在第一輪計算各目標惡意網站主機名時，惡意網站主機名aaa的惡意值即為0. 745，同理，按照同樣的方法，還可以評估出第一輪其他惡意網站主機名的惡意值，如惡意網站主機名bbb、ccc等的惡意值。一般網站主機名下具有惡意連結的，就可以稱其為惡意網站主機名，進而可以評估它的惡意值。在惡意連結數據量、以及各惡意連結之間的內嵌關係沒有發生更新的情況下，每個目標惡意網站主機名的惡意值在經過多輪迭代計算後會趨於恆定，即能夠得出一個比較接近於實際的惡意值。當有第一行為檢測器112檢測出新的惡意連結之後，第一行為評估器就可以及時或者定期重新計算相關惡意網站主機名的惡意值，即進行更新。惡意值越高說明該惡意網站主機名越有可能是一個掛馬網站，可能會感染很多其他的網站或連結。應當注意的是，第一行為評估器114可以僅對惡意連結評估惡意值，也可以僅對惡意網站主機名評估惡意值，還可以同時對惡意連結和惡意網站主機名進行評估，這幾種方案均在本發明的保護範圍內。在第一行為評估器114評估出各惡意連結和/或各惡意網站主機名的惡意值之後，第一篩選器根據第一行為評估器114評估出的結果，篩選相關的在一個實施例中，如果第一評估器114既評估出了各惡意連結的惡意值，又評估出了各惡意網站主機名的惡意值，那麼第一篩選器118篩選出惡意值高於第一預置閾值的危險惡意網站主機名集合，以及其餘惡意網站主機名下、惡意值高於第二預置閾值的危險惡意連結集合。例如，假設第一評估器評估出了 1000個惡意網站主機名的惡意值，其中惡意值在第一預置閾值以上的有700個，那麼第一篩選器118就將這700個網站主機名作為危險惡意網站主機名集合，然後在剩餘的這300個惡意網站主機名下的所有惡意連結中，挑選惡意值高於第二預置閾值的那些惡意連結，進而這些惡意連結組成危險惡意連結集在又一個實施例中，如果第一評估器114僅評估出了各惡意連結的惡意值，沒有評估各惡意網站主機名的惡意值，那麼第一篩選器118會篩選出惡意值高於第三預置閾值的惡意連結，進而將這些篩選出的惡意連結組成危險惡意連結集合。同理，在又一個實施例中，如果第一評估器114僅評估出了各惡意網站主機名的惡意值，沒有評估各惡意連結的惡意值，那麼第一篩選器118會篩選出惡意值高於第四預置閾值的惡意連結，進而將這些篩選出的惡意網站主機名組成危險惡意網站主機名集合。應當注意的是，以上第一、第二、第三及第四預置閾值的具體數值設置，可以根據經驗、實際需求指標等多種因素綜合考慮，這四個值可能相同，也可能不同，本發明實施例對這些均沒有限制。可以看出，本質上第一篩選器118篩選出的各種集合是源於客戶端側第二行為檢測器212上報的可疑連結進行分析處理後所得。在第一篩選器118篩選出相應的集合後，將危險惡意網站主機名集合和/或危險惡意連結集合的信息通知至客戶端設備100的第二獲取器214。進而，第二獲取器214將獲得的危險惡意網站主機名集合和/或危險惡意連結集合告知第二連結檢測器216，第二連結檢測器216根據危險惡意網站主機名集合和/或危險惡意連結集合檢測出新的可疑連結。具體而言，第二連結檢測器216通過監控網絡埠檢測後續一些新連結的內嵌的其他連結(簡稱內嵌連結)具體是什麼，並且將這些內嵌連結與危險惡意網站主機名集合和/或危險惡意連結集合中的內容進行對比，如果檢測命中，則將該新連結確定為新的可疑連結。例如，客戶端側的第二連結檢測器216檢測有一新連結A的內嵌連結包括連結B、C和D，於是將內嵌連結B、C、D與伺服器端下發的危險惡意連結集合中的連結信息對比，檢測危險惡意連結集合中也有連結A的信息，於是第二連結檢測器216便將連結A確定為新的可疑連結。再例如，第二連結檢測器216檢測到一新連結E,其內嵌連結是www. aaa. com.cn/XXX,於是將www. aaa. com. cn/XXX的主機名「aaa」與伺服器端下發的危險惡意網站主機名集合中的信息對比，假如危險網站主機名集合中包含「aaa」這個網站主機名，則表明新連結E的內嵌連結命中危險網站主機名集合，於是將新連結E確定為新的可疑連結。換而言之，所述新的可疑連結的內嵌的其他連結的網站主機名，至少是危險惡意網站主機名集合中的一個網站主機名；或者，新的可疑連結的內嵌的其他連結，至少是危險惡意連結集合中的一個連結。 由此可以看出，即便客戶端設備200無法通過其他的手段檢測出連結A和E具有前述的各種可疑行為，但是，通過伺服器端提供的危險惡意連結集合和/或危險惡意網站主機名集合，也可以將這兩個連結確定為可疑連結。前面提過，危險惡意連結集合和危險惡意網站主機名集合中的惡意連結或惡意網站主機名都是惡意值比較高的，也就是它們很可能是真正的感染源，比如是真正的掛馬源連結或掛馬源網站主機名，而不僅僅是被感染者，一個感染源通常會感染很多網站，因此，通過部分網站找出感染源，然後再通過這個感染源就可以檢測更多其他的被感染網站，通過這種方式，擴大了客戶端設備200檢測可疑連結的網站數量，也提高了檢測可疑連結的效率，因此能夠很快收集到大量的惡意連結或惡意網站的信息，從而為網絡安全提供更好的保障。在第二連結檢測器216將基於危險惡意網站主機名集合和/或危險惡意連結集合檢測出新的可疑連結之後，發送至伺服器端設備100的第一獲取器116，進而第一獲取器116將獲取到的新的可疑連結信息傳輸至第一行為檢測器112進行惡意行為檢測，如果第一行為檢測器112確認為是惡意連結，則告知第一行為評估器114，第一行為評估器114如果檢測原有用於計算惡意連結或惡意網站主機名的資料庫中沒有這條惡意連結，該條惡意連結的加入導致原有惡意連結之間的內嵌發生了變化，那麼第一行為評估器114可以重新計算相關惡意連結和/或惡意網站主機名的惡意值，從而可以根據數據量的增加不斷修正相關惡意網站主機名或惡意連結的惡意值，從而使他們的惡意值更貼近真實的情況，能夠更準確的通過惡意值反映出該惡意連結或惡意網站主機名是感染源還是被感染者，所謂的被感染者是指本身網站自身沒有問題，只是受到感染源的惡意攻擊被感染了病毒，比如是被掛馬的正常網站，而非真正的掛馬源網站。前面各實施例提供的方案可以用於多種惡意連結或惡意網站的檢測，比如可以是掛馬檢測，相應的，第一行為檢測器具體是掛馬行為檢測器，惡意行為檢測具體是掛馬惡意行為檢測，惡意連結具體惡意掛馬連結，惡意連結的內嵌的其他惡意連結具體為惡意掛馬連結的內嵌的其他惡意掛馬連結。當然，還可以是其他與掛馬類似的病毒檢測，只要是具有一個病毒感染源通常會感染一批正常網站的病毒傳播特徵，基本都可以採用本發明的各種技術方案。請參閱圖4，其示出了根據本發明一個實施例的用於檢測惡意連結的方法，惡意連結包括網際網路中各種惡意的網絡資源的連結地址。該方法可以在伺服器端予以實現。該方法始於步驟S410，在步驟S410中，至少對客戶端設備檢測出的可疑連結進行惡意行為檢測，檢測是否為惡意連結，以及對檢測為惡意連結的內嵌的其他連結進行惡意行為檢測，檢測出惡意連結的內嵌的其他惡意連結，然後進入步驟S420。在步驟S420中，至少根據各惡意連結之間的內嵌關係，對各惡意連結評估惡意值和/或對各惡意連結相關的惡意網站主機名評估惡意值，以及根據檢測出的新的惡意連結對相關惡意連結或惡意網站主機名的惡意值進行更新；然後進入步驟S430。
在S430中，篩選出惡意值高於第一預置閾值的危險惡意網站主機名集合和其餘惡意網站主機名下、惡意值高於第二預置閾值的危險惡意連結集合，或者，僅篩選出惡意值高於第三預置閾值的危險惡意網站主機名集合，再或者僅篩選出惡意值高於第四預置閾值的危險惡意連結集合，然後將危險惡意網站主機名集合和/或危險惡意連結集合的信息通知至客戶端設備。通過該步驟，可以找出比較可能是感染源的惡意連結或惡意連結主機名，以便讓客戶端根據這些最可能的病毒感染源再去檢測其他的被感染連結或網站。此後，進入步驟S440。在步驟S440中，獲取客戶端設備基於危險惡意網站主機名集合和/或危險惡意連結集合檢測出的新的可疑連結，並將新的可疑連結進行惡意行為檢測，新的可疑連結的內嵌的其他連結命中危險惡意網站主機名集合或危險惡意連結集合。通過該步驟，伺服器端可以獲得更多的可疑連結，進而經過檢測後可以獲得更多的惡意連結信息。以上的步驟S410可以通過前述各實施例中的第一行為檢測器112予以執行，步驟S420可以通過第一行為評估器114予以執行，步驟S430可以通過第一篩選器118予以執行，步驟S440可以通過第一獲取器116和第一行為檢測器112共同執行。各步驟的具體實現可以參看前面相關部件的描述，此處不再贅述。以上檢測惡意連結的方法主要是從服務端角度描述的，下面從客戶端角度描述。請參閱圖5，其示出了根據本發明一個實施例的用於檢測惡意連結的檢測方法。該方法始於步驟S510，在步驟S510中，首先對網絡資源的惡意行為進行檢測，將檢測出的可疑連結傳輸至伺服器端設備進行進一步檢測，然後進入步驟S520，在步驟S520中，從伺服器端設備獲取危險惡意網站主機名集合和/或危險惡意連結集合。在一個實施例中，危險惡意網站主機名集合是伺服器端設備篩選出的惡意值高於第一預置閾值的各惡意網站主機名的集合，危險惡意連結集合是伺服器端篩選出的危險惡意網站主機名集合以外的其餘惡意網站主機名下、惡意值高於第二預置閾值的各惡意連結的集合。在另一個實施例中，危險惡意網站主機名集合是伺服器端設備篩選出的惡意值高於第三預置閾值的各惡意網站主機名的集合。在又一個實施例中，危險惡意連結集合是伺服器端設備篩選出的惡意值高於第四預置閾值的惡意連結集合。其中，第一、第二、第三及第四預置閾值可以根據實際需要或經驗設置，可以相同也可以不同，本發明實施例對此沒有限制。然後進入步驟S530，根據危險惡意網站主機名集合和/或危險惡意連結集合檢測出新的可疑連結，新的可疑連結的內嵌的其他連結命中危險惡意網站主機名集合或危險惡意連結集合，進而將新的可疑連結傳輸至伺服器端設備進行檢測及更新相關惡意值，例如相關的惡意連結的惡意值，或相關的惡意網站主機名的惡意值。由於危險惡意網站主機名集合或危險惡意連結集合中的連結或網站主機名都是惡意值較高的，即很可能是真正的病毒感染源，比如是真正的掛馬源連結或網站，而這些真正的病毒感染源一般不僅感染一兩個網站，往往會感染很多網站，即會成為很多原本正常網站的內嵌連結，因此可以通過這些病毒感染源與其他網站、連結之間的內嵌關係，檢測更多被感染的網站或惡意連結，從而擴大了可疑連結的檢測效率和數量。以上的步驟S510可以通過前述各實施例中的第二行為檢測器212予以執行，步驟S520可以通過第二獲取器214予以執行，步驟S530可以通過第二連結檢測器118予以執行。各步驟的具體實現可以參看前面相關部件的描述，此處不再贅述。
在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基於在此的示教一起使用。根據上面的描述，構造這類系統所要求的結構是顯而易見的。此外，本發明也不針對任何特定程式語言。應當明白，可以利用各種程式語言實現在此描述的本發明的內容，並且上面對特定語言所做的描述是為了披露本發明的最佳實施方式。在此處所提供的說明書中，說明了大量具體細節。然而，能夠理解，本發明的實施例可以在沒有這些具體細節的情況下實踐。在一些實例中，並未詳細示出公知的方法、結構和技術，以便不模糊對本說明書的理解。類似地，應當理解，為了精簡本公開並幫助理解各個發明方面中的一個或多個，在上面對本發明的示例性實施例的描述中，本發明的各個特徵有時被一起分組到單個實施例、圖、或者對其的描述中。然而，並不應將該公開的方法解釋成反映如下意圖即所要求保護的本發明要求比在每個權利要求中所明確記載的特徵更多的特徵。更確切地說，如下面的權利要求書所反映的那樣，發明方面在於少於前面公開的單個實施例的所有特徵。因此，遵循具體實施方式
的權利要求書由此明確地併入該具體實施方式
，其中每個權利要求本身都作為本發明的單獨實施例。本領域那些技術人員可以理解，可以對實施例中的設備中的模塊進行自適應性地改變並且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特徵和/或過程或者單元中的至少一些是相互排斥之外，可以採用任何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特徵以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的權利要求、摘要和附圖)中公開的每個特徵可以由提供相同、等同或相似目的的替代特徵來代替。此外，本領域的技術人員能夠理解，儘管在此所述的一些實施例包括其它實施例中所包括的某些特徵而不是其它特徵，但是不同實施例的特徵的組合意味著處於本發明的範圍之內並且形成不同的實施例。例如，在下面的權利要求書中，所要求保護的實施例的任意之一都可以以任意的組合方式來使用。本發明的各個部件實施例可以以硬體實現，或者以在一個或者多個處理器上運行的軟體模塊實現，或者以它們的組合實現。本領域的技術人員應當理解，可以在實踐中使用微處理器或者數位訊號處理器(DSP)來實現根據本發明實施例的用於檢測惡意連結的系統中的一些或者全部部件的一些或者全部功能。本發明還可以實現為用於執行這裡所描述的方法的一部分或者全部的設備或者裝置程序(例如，電腦程式和電腦程式產品)。這樣的實現本發明的程序可以存儲在計算機可讀介質上，或者可以具有一個或者多個信號的形式。這樣的信號可以從網際網路網站上下載得到，或者在載體信號上提供，或者以任何其他形式提供。應該注意的是上述實施例對本發明進行說明而不是對本發明進行限制，並且本領域技術人員在不脫離所附權利要求的範圍的情況下可設計出替換實施例。在權利要求中，不應將位於括號之間的任何參考符 號構造成對權利要求的限制。單詞「包含」不排除存在未列在權利要求中的元件或步驟。位於元件之前的單詞「一」或「一個」不排除存在多個這樣的元件。本發明可以藉助於包括有若干不同元件的硬體以及藉助於適當編程的計算機來實現。在列舉了若干裝置的單元權利要求中,這些裝置中的若干個可以是通過同一個硬體項來具體體現。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。
權利要求
1.一種用於檢測惡意連結的系統，包括伺服器端設備和客戶端設備； 所述伺服器端設備包括網絡安全管理設備，所述客戶端設備包括檢測設備；所述惡意連結包括網際網路中惡意的網絡資源的連結地址，其中， 所述檢測設備包括 第二行為檢測器，被配置為對網絡資源的可疑行為進行檢測，將檢測出的可疑連結傳輸至伺服器端設備進行進一步檢測； 第二獲取器，被配置為獲取所述伺服器端設備基於所述第二行為檢測器提供的可疑連結確定的危險惡意網站主機名集合和危險惡意連結集合，所述危險惡意網站主機名集合是伺服器端設備篩選出的惡意值高於第一預置閾值的各惡意網站主機名的集合，所述危險惡意連結集合是伺服器端篩選出的所述危險惡意網站主機名集合以外的其餘惡意網站主機名下、惡意值高於第二預置閾值的各惡意連結的集合； 第二連結檢測器，被配置為根據所述第二獲取器獲取的危險惡意網站主機名集合和危險惡意連結集合檢測出新的可疑連結，並將所述新的可疑連結傳輸至所述伺服器端設備進行檢測及更新相關惡意值，所述新的可疑連結的內嵌的其他連結命中所述危險惡意網站主機名集合或所述危險惡意連結集合； 所述網絡安全管理設備包括 第一行為檢測器，被配置為至少對客戶端設備檢測出的可疑連結進行惡意行為檢測，檢測是否為惡意連結，以及對所述檢測為惡意連結的內嵌的其他連結進行惡意行為檢測，檢測出所述惡意連結的內嵌的其他惡意連結； 第一行為評估器，被配置為至少根據所述第一行為檢測器檢測出的各惡意連結之間的內嵌關係，對各惡意連結評估惡意值，並對各惡意連結相關的惡意網站主機名評估惡意值，以及根據所述第一行為檢測器檢測出的新的惡意連結對相關惡意連結或惡意網站主機名的惡意值進行更新； 第一篩選器，被配置為根據所述第一行為評估器評估出的結果，篩選出惡意值高於第一預置閾值的危險惡意網站主機名集合和其餘惡意網站主機名下、惡意值高於第二預置閾值的危險惡意連結集合，並將所述危險惡意網站主機名集合和危險惡意連結集合的信息通知至所述客戶端設備； 第一獲取器，被配置為獲取客戶端設備基於所述危險惡意網站主機名集合和所述危險惡意連結集合檢測出的新的可疑連結，並將所述新的可疑連結傳輸至所述第一行為檢測器進行檢測，所述新的可疑連結的內嵌的其他連結命中所述危險惡意網站主機名集合或所述危險惡意連結集合。
2.根據權利要求1所述的系統，所述待評估惡意值的惡意連結為目標惡意連結，所述目標惡意連結的內嵌的其他惡意連結為所述目標惡意連結的內嵌惡意連結，所述每個內嵌惡意連結的惡意外鏈數目具體是以該內嵌惡意連結作為內嵌的連結的所有惡意連結的總數，所述第一行為評估器包括 第一識別模塊，被配置為根據各惡意連結之間的內嵌關係，識別出所述目標惡意連結的所有內嵌惡意連結以及每個內嵌惡意連結的惡意外鏈數目； 第一評估模塊，被配置為根據所述第一識別模塊識別出的目標惡意連結的各內嵌惡意連結的最新惡意值，和每個內嵌惡意連結的惡意外鏈數目，評估所述目標惡意連結的惡意值。
3.根據權利要求1或2所述的系統，所述待評估惡意值的惡意網站主機名為目標惡意網站主機名，所述目標惡意網站主機名下各惡意連結的內嵌的其他惡意連結所屬的惡意網站主機名，是與所述目標惡意網站主機名具有關聯關係的關聯惡意網站主機名，所述每個關聯惡意網站主機名的惡意外鏈數目具體是該關聯惡意網站主機名下所有惡意連結的惡意外鏈數目之和，所述第一評估器包括 第二識別模塊，被配置為根據各惡意連結之間的內嵌關係，識別出所述目標惡意網站主機名的所有關聯惡意網站主機名，以及每個關聯惡意網站主機名的惡意外鏈數目； 第二評估模塊，被配置為根據所述目標惡意網站主機名的各關聯惡意網站主機名的最新惡意值，以及每個關聯惡意網站主機名的惡意外鏈數目，評估所述目標惡意網站主機名的惡意值。
4.根據權利要求2或3所述的系統， 所述第一評估模塊還被配置為通過多輪迭代方式獲得各目標惡意連結的惡意值，在第一輪處理時為各目標惡意連結設置初始惡意值； 所述第二評估模塊還被配置為通過多輪迭代方式獲得各目標惡意網站主機名的惡意值，在第一輪處理時為各目標惡意網站主機名設置初始惡意值。
5.根據權利要求1至4中任一項所述的系統，所述惡意連結或可疑連結的內嵌的其他連結包括訪問所述惡意連結或可疑連結時被自動執行的其他連結。
6.根據權利要求1至5中任一項所述的系統，所述新的可疑連結的內嵌的其他連結命中所述危險惡意網站主機名集合或所述危險惡意連結集合包括 所述新的可疑連結的內嵌的其他連結的網站主機名，至少是所述危險惡意網站主機名集合中的一個網站主機名； 或者， 所述新的可疑連結的內嵌的其他連結，至少是所述危險惡意連結集合中的一個連結。
7.根據權利要求1至6中任一項所述的系統，所述第一行為檢測器具體是掛馬行為檢測器，所述的惡意行為檢測具體是掛馬惡意行為檢測，所述惡意連結具體惡意掛馬連結，所述惡意連結的內嵌的其他惡意連結具體為惡意掛馬連結的內嵌的其他惡意掛馬連結。
8.一種用於檢測惡意連結的方法，所述惡意連結包括網際網路中各種惡意的網絡資源的連結地址，包括 至少對客戶端設備檢測出的可疑連結進行惡意行為檢測，檢測是否為惡意連結，以及對所述檢測為惡意連結的內嵌的其他連結進行惡意行為檢測，檢測出所述惡意連結的內嵌的其他惡意連結； 至少根據各惡意連結之間的內嵌關係，對各惡意連結評估惡意值，並對各惡意連結相關的惡意網站主機名評估惡意值，以及根據檢測出的新的惡意連結對相關惡意連結或惡意網站主機名的惡意值進行更新； 篩選出惡意值高於第一預置閾值的危險惡意網站主機名集合和其餘惡意網站主機名下、惡意值高於第二預置閾值的危險惡意連結集合，並將所述危險惡意網站主機名集合和危險惡意連結集合的信息通知至所述客戶端設備； 獲取客戶端設備基於所述危險惡意網站主機名集合和所述危險惡意連結集合檢測出的新的可疑連結，並將所述新的可疑連結進行惡意行為檢測，所述新的可疑連結的內嵌的其他連結命中所述危險惡意網站主機名集合或所述危險惡意連結集合； 其中，所述惡意連結或可疑連結的內嵌的其他連結包括訪問所述惡意連結或可疑連結時被自動執行的其他連結。
9.根據權利要求8所述的方法，所述待評估惡意值的惡意連結為目標惡意連結，所述目標惡意連結的內嵌的其他惡意連結為所述目標惡意連結的內嵌惡意連結，所述每個內嵌惡意連結的惡意外鏈數目具體是以該內嵌惡意連結作為內嵌的連結的所有惡意連結的總數，所述根據各惡意連結之間的內嵌關係，對各惡意連結評估惡意值包括 根據各惡意連結之間的內嵌關係，識別出所述目標惡意連結的所有內嵌惡意連結以及每個內嵌惡意連結的惡意外鏈數目； 根據所述目標惡意連結的各內嵌惡意連結的最新惡意值，和每個內嵌惡意連結的惡意外鏈數目，評估所述目標惡意連結的惡意值。
10.根據權利要求8或9所述的方法，所述待評估惡意值的惡意網站主機名為目標惡意網站主機名，所述目標惡意網站主機名下各惡意連結的內嵌的其他惡意連結所屬的惡意網站主機名，是與所述目標惡意網站主機名具有關聯關係的關聯惡意網站主機名，所述每個關聯惡意網站主機名的惡意外鏈數目具體是該關聯惡意網站主機名下所有惡意連結的惡意外鏈數目之和，所述根據各惡意連結之間的內嵌關係，對各惡意連結相關的惡意網站主機名評估惡意值包括 根據各惡意連結之間的內嵌關係，識別出所述目標惡意網站主機名的所有關聯惡意網站主機名，以及每個關聯惡意網站主機名的惡意外鏈數目； 根據所述目標惡意網站主機名的各關聯惡意網站主機名的最新惡意值，以及每個關聯惡意網站主機名的惡意外鏈數目，評估所述目標惡意網站主機名的惡意值。
全文摘要
本發明公開了一種用於檢測惡意連結的方法及系統。其中，該方法包括進行惡意行為檢測，以及對內嵌的其他連結進行惡意行為檢測；對各惡意連結評估惡意值並對各惡意連結相關的惡意網站主機名評估惡意值，以及對相關惡意連結或惡意網站主機名的惡意值進行更新；篩選出危險惡意連結集合，並將所述危險惡意網站主機名集合和危險惡意連結集合的信息通知至客戶端設備；獲取新的可疑連結並將新的可疑連結進行惡意行為檢測；其中，所述惡意連結或可疑連結的內嵌的其他連結包括訪問所述惡意連結或可疑連結時被自動執行的其他連結。
文檔編號H04L29/06GK103036896SQ20121056016
公開日2013年4月10日 申請日期2012年12月20日 優先權日2012年12月20日
發明者李曉波, 劉起 申請人:北京奇虎科技有限公司, 奇智軟體(北京)有限公司