專利名稱:一種用于檢測惡意鏈接的設(shè)備���、方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域���,具體涉及一種用于檢測惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備、檢測設(shè)備�、方法及系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)的發(fā)展����,各種計(jì)算機(jī)惡意程序的攻擊方式變得越來越層出不窮。比如類似掛馬類的惡意程序攻擊手段多種多樣�����,比如�,包括SQUStructuredQuery Language,結(jié)構(gòu)化查詢語言)注入,網(wǎng)站敏感文件掃描����,服務(wù)器漏洞,網(wǎng)站程序Oday等各種方法獲得網(wǎng)站管理員賬號,然后登陸網(wǎng)站后臺�,通過數(shù)據(jù)庫備份/恢復(fù)或者上傳漏洞獲得一個(gè)webshell(web入侵的腳本攻擊工具)。利用獲得的webshell修改網(wǎng)站頁面的內(nèi)容���,向頁面中加入惡 意轉(zhuǎn)向代碼���。也可以直接通過弱口令獲得服務(wù)器或者網(wǎng)站FTP(File Transfer Protocal,文件傳輸協(xié)議),然后直接對網(wǎng)站頁面直接進(jìn)行修改�。當(dāng)訪問被加入惡意代碼的頁面時(shí),就會自動的訪問被轉(zhuǎn)向的地址或者下載木馬病毒�����。在整個(gè)掛馬檢測的防御體系中��,關(guān)于惡意URL(Universal ResourceLocator,統(tǒng)一資源定位符)的收集就是一個(gè)非常重要的環(huán)節(jié)����,如何能夠更快速更全面收集到惡意URL,將決定殺毒軟件查殺掛馬網(wǎng)站是否及時(shí)�,是否有效?,F(xiàn)有的一種檢測掛馬網(wǎng)站方案是,反掛馬蜘蛛從一些漏洞掃描后收集的高危網(wǎng)站作為種子開始抓取�,通過對新發(fā)現(xiàn)的頁面做鏈接分析,從中獲取新的URL�����,然后對新的URL進(jìn)行下載,下載后的內(nèi)容提交給掛馬識別系統(tǒng)�����。對于基于種子進(jìn)行抓取的檢測系統(tǒng)�,由于種子頁面僅僅是高危網(wǎng)站,但未必是被掛馬的網(wǎng)站�,所以無法快速的檢測掛馬網(wǎng)站,同時(shí)覆蓋率也就不夠全面?���,F(xiàn)有的另一種方案是,檢測系統(tǒng)通過客戶端軟件來探測發(fā)現(xiàn)高危網(wǎng)站����,發(fā)現(xiàn)后將數(shù)據(jù)反饋到蜘蛛系統(tǒng),由蜘蛛系統(tǒng)進(jìn)行下載并遞交后續(xù)分析系統(tǒng)�。對于這種基于客戶端探測的檢測系統(tǒng),由于黑客入侵后嵌入的惡意攻擊代碼可以隨時(shí)停止���,所以經(jīng)常無法檢測到有惡意行為�����,也就無法將被攻擊的網(wǎng)址回傳到服務(wù)端檢測系統(tǒng)����,在檢測手法上比較被動。因此����,這種方案也無法快速發(fā)現(xiàn)檢測到盡量多的掛馬網(wǎng)站,并且也無法檢測到盡量多的掛馬網(wǎng)站�����。
發(fā)明內(nèi)容
鑒于上述問題�����,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的用于檢測惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備�����、檢測設(shè)備�����、系統(tǒng)和相應(yīng)的用于檢測惡意鏈接的方法���。依據(jù)本發(fā)明的一個(gè)方面����,提供了一種用于檢測惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備�����,惡意鏈接是互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址���,包括第一行為檢測器�����,被配置為至少對客戶端設(shè)備檢測出的可疑鏈接進(jìn)行惡意行為檢測�����,檢測是否為惡意鏈接�,以及對檢測為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測�����,檢測出惡意鏈接的內(nèi)嵌的其他惡意鏈接;第一行為評估器�,被配置為至少根據(jù)第一行為檢測器檢測出的各惡意鏈接之間的內(nèi)嵌關(guān)系,對各惡意鏈接評估惡意值���,并對各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評估惡意值��,以及根據(jù)第一行為檢測器檢測出的新的惡意鏈接對相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新��;第一篩選器��,被配置為根據(jù)第一行為評估器評估出的結(jié)果��,篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和其余惡意網(wǎng)站主機(jī)名下�����、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合��,并將危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合的信息通知至客戶端設(shè)備�����;第一獲取器�����,被配置為獲取客戶端設(shè)備基于危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合檢測出的新的可疑鏈接�,并將新的可疑鏈接傳輸至第一行為檢測器進(jìn)行檢測,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合���。可選的�,待評估惡意值的惡意鏈接為目標(biāo)惡意鏈接,目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接為目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接��,每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目具體是以該內(nèi)嵌惡意鏈接作為內(nèi)嵌的鏈接的所有惡意鏈接的總數(shù)����,第一行為評估器包括第一識別模塊,被配置為根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系�,識別出目標(biāo)惡意鏈接的所有內(nèi)嵌惡意鏈接以及每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目;第一評估模塊����,被配置為根據(jù)第一識別模塊識別出的目標(biāo)惡意鏈接的各內(nèi)嵌惡意鏈接的最新惡意值,和每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù) 目���,評估目標(biāo)惡意鏈接的惡意值���?��?蛇x的,待評估惡意值的惡意網(wǎng)站主機(jī)名為目標(biāo)惡意網(wǎng)站主機(jī)名���,目標(biāo)惡意網(wǎng)站主機(jī)名下各惡意鏈接的內(nèi)嵌的其他惡意鏈接所屬的惡意網(wǎng)站主機(jī)名��,是與目標(biāo)惡意網(wǎng)站主機(jī)名具有關(guān)聯(lián)關(guān)系的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名�����,每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目具體是該關(guān)聯(lián)惡意網(wǎng)站主機(jī)名下所有惡意鏈接的惡意外鏈數(shù)目之和���,第一評估器包括第二識別模塊,被配置為根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系��,識別出目標(biāo)惡意網(wǎng)站主機(jī)名的所有關(guān)聯(lián)惡意網(wǎng)站主機(jī)名��,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目���;第二評估模塊��,被配置為根據(jù)目標(biāo)惡意網(wǎng)站主機(jī)名的各關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的最新惡意值�,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目���,評估目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值�����??蛇x的,第一評估模塊還被配置為通過多輪迭代方式獲得各目標(biāo)惡意鏈接的惡意值���,在第一輪處理時(shí)為各目標(biāo)惡意鏈接設(shè)置初始惡意值;第二評估模塊還被配置為通過多輪迭代方式獲得各目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值�����,在第一輪處理時(shí)為各目標(biāo)惡意網(wǎng)站主機(jī)名設(shè)置初始惡意值��?��?蛇x的��,惡意鏈接或可疑鏈接的內(nèi)嵌的其他鏈接包括訪問惡意鏈接或可疑鏈接時(shí)被自動執(zhí)行的其他鏈接���。可選的����,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合包括新的可疑鏈接的內(nèi)嵌的其他鏈接的網(wǎng)站主機(jī)名�����,至少是危險(xiǎn)惡意網(wǎng)站主機(jī)名集合中的一個(gè)網(wǎng)站主機(jī)名���;或者,新的可疑鏈接的內(nèi)嵌的其他鏈接�����,至少是危險(xiǎn)惡意鏈接集合中的一個(gè)鏈接����。可選的�����,第一行為檢測器具體是掛馬行為檢測器�,的惡意行為檢測具體是掛馬惡意行為檢測,惡意鏈接具體惡意掛馬鏈接�����,惡意鏈接的內(nèi)嵌的其他惡意鏈接具體為惡意掛馬鏈接的內(nèi)嵌的其他惡意掛馬鏈接。根據(jù)本發(fā)明的另一方面���,提供了一種用于檢測惡意鏈接的方法����,惡意鏈接包括互聯(lián)網(wǎng)中各種惡意的網(wǎng)絡(luò)資源的鏈接地址����,包括至少對客戶端設(shè)備檢測出的可疑鏈接進(jìn)行惡意行為檢測,檢測是否為惡意鏈接��,以及對檢測為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測���,檢測出惡意鏈接的內(nèi)嵌的其他惡意鏈接;至少根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系�,對各惡意鏈接評估惡意值,并對各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評估惡意值�����,以及根據(jù)檢測出的新的惡意鏈接對相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新�;篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合,并將危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合的信息通知至客戶端設(shè)備�;獲取客戶端設(shè)備基于危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合檢測出的新的可疑鏈接,并將新的可疑鏈接進(jìn)行惡意行為檢測��,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合���。根據(jù)本發(fā)明的又一方面��,提供了一種用于檢測惡意鏈接的檢測設(shè)備�����,惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址�,該檢測設(shè)備包括第二行為檢測器��,被配置為對網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測��,將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測��;第二獲取器���,被配置為獲取服務(wù)器端設(shè)備基于第二行為檢測器提供的可疑鏈接確定的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合��,危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合��,危險(xiǎn)惡意鏈接集合是服務(wù)器端 篩選出的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合以外的其余惡意網(wǎng)站主機(jī)名下�、惡意值高于第二預(yù)置閾值的各惡意鏈接的集合;第二鏈接檢測器�����,被配置為根據(jù)第二獲取器獲取的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合檢測出新的可疑鏈接��,并將新的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行檢測及更新相關(guān)惡意值�,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合。根據(jù)本發(fā)明的又一方面�,提供了一種用于檢測惡意鏈接的檢測方法,惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址��,包括對網(wǎng)絡(luò)資源的惡意行為進(jìn)行檢測����,將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測�����;從服務(wù)器端設(shè)備獲取危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合�����,危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合,危險(xiǎn)惡意鏈接集合是服務(wù)器端篩選出的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合以外的其余惡意網(wǎng)站主機(jī)名下���、惡意值高于第二預(yù)置閾值的各惡意鏈接的集合����;根據(jù)危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合檢測出新的可疑鏈接��,并將新的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行檢測及更新相關(guān)惡意值���,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合�����。根據(jù)本發(fā)明的又一方面����,提供了一種用于檢測惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備���,惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址��,包括第一行為檢測器��,被配置為至少對客戶端設(shè)備檢測出的可疑鏈接進(jìn)行惡意行為檢測�,檢測是否為惡意鏈接,以及對檢測為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測�����,檢測出惡意鏈接的內(nèi)嵌的其他惡意鏈接�����;第一行為評估器�����,被配置為至少根據(jù)第一行為檢測器檢測出的各惡意鏈接之間的內(nèi)嵌關(guān)系�,對各惡意鏈接評估惡意值,以及根據(jù)第一行為檢測器檢測出的新的惡意鏈接對相關(guān)惡意鏈接的惡意值進(jìn)行更新����;第一篩選器,被配置為根據(jù)第一行為評估器評估出的結(jié)果�,篩選出惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合,并將危險(xiǎn)惡意鏈接集合的信息通知至客戶端設(shè)備���;第一獲取器,被配置為獲取客戶端設(shè)備基于危險(xiǎn)惡意鏈接集合檢測出的新的可疑鏈接��,并將新的可疑鏈接傳輸至第一行為檢測器進(jìn)行檢測,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意鏈接集合�����。根據(jù)本發(fā)明的又一方面�,提供了一種用于檢測惡意鏈接的檢測設(shè)備,惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址�,包括第二行為檢測器,被配置為對網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測��,將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測�����;第二獲取器�,被配置為獲取服務(wù)器端設(shè)備基于第二行為檢測器提供的可疑鏈接確定的危險(xiǎn)惡意鏈接集合,危險(xiǎn)惡意鏈接集合是服務(wù)器端篩選出的惡意值高于第二預(yù)置閾值的各惡意鏈接的集合�����;第二鏈接檢測器��,被配置為根據(jù)第二獲取器獲取的危險(xiǎn)惡意鏈接集合檢測出新的可疑鏈接�,并將新的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行檢測及更新相關(guān)惡意值,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意鏈接集合�。根據(jù)本發(fā)明的又一方面�����,提供了一種用于檢測惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備�,惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址�����,包括第一行為檢測器�,被配置為至少對客戶端設(shè)備檢測出的可疑鏈接進(jìn)行惡意行為檢測,檢測是否為惡意鏈接�,以及對檢測為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測,檢測出惡意鏈接的內(nèi)嵌的其他惡意鏈接�;第一行為評估器,被配置為至少根據(jù)第一行為檢測器檢測出的各惡意鏈接之間的內(nèi)嵌關(guān)系��, 對各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評估惡意值���,以及根據(jù)第一行為檢測器檢測出的新的惡意鏈接對相關(guān)的惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新����;第一篩選器����,被配置為根據(jù)第一行為評估器評估出的結(jié)果,篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合����,并將危險(xiǎn)惡意網(wǎng)站主機(jī)名集合的信息通知至客戶端設(shè)備;第一獲取器��,被配置為獲取客戶端設(shè)備基于危險(xiǎn)惡意網(wǎng)站主機(jī)名集合檢測出的新的可疑鏈接���,并將新的可疑鏈接傳輸至第一行為檢測器進(jìn)行檢測�,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合�。根據(jù)本發(fā)明的又一方面,提供了一種用于檢測惡意鏈接的檢測設(shè)備��,惡意鏈接包括互聯(lián)網(wǎng)中各種惡意的網(wǎng)絡(luò)資源的鏈接地址��,包括第二行為檢測器����,被配置為對網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測,將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測�;第二獲取器,被配置為獲取服務(wù)器端設(shè)備至少基于第二行為檢測器提供的可疑鏈接確定的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合�����,危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合;第二鏈接檢測器�,被配置為根據(jù)第二獲取器獲取的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合檢測出新的可疑鏈接,并將新的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行檢測及更新相關(guān)惡意值��,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合�����。根據(jù)本發(fā)明的又一方面�,提供了一種用于檢測惡意鏈接的系統(tǒng),包括服務(wù)器端設(shè)備和客戶端設(shè)備服務(wù)器端設(shè)備包括前述任一的網(wǎng)絡(luò)安全管理設(shè)備�����,客戶端設(shè)備前述任一的檢測設(shè)備�����。根據(jù)本發(fā)明的用于檢測惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備���、檢測設(shè)備�、系統(tǒng)及方法��,可以快速檢測到更多的可疑鏈接、惡意鏈接����,由此解決了現(xiàn)有技術(shù)無法快速檢測到盡量多的惡意鏈接的技術(shù)問題,取得了能夠快速檢測到大量惡意鏈接的有益效果����。上述說明僅是本發(fā)明技術(shù)方案的概述�����,為了能夠更清楚了解本發(fā)明的技術(shù)手段����,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的����、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的具體實(shí)施方式
���。
通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述��,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了��。附圖僅用于示出優(yōu)選實(shí)施方式的目的�����,而并不認(rèn)為是對本發(fā)明的限制�。而且在整個(gè)附圖中,用相同的參考符號表示相同的部件��。在附圖中圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測惡意鏈接的系統(tǒng)示意圖��;圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意鏈接之間內(nèi)嵌關(guān)系的示意圖�����;圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意網(wǎng)站主機(jī)名之間關(guān)聯(lián)關(guān)系的示意圖���;圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測惡意鏈接的方法流程圖��;以及
圖5示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測惡意鏈接的檢測方法流程圖����。
具體實(shí)施例方式下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例���。雖然附圖中顯示了本公開的示例性實(shí)施例���,然而應(yīng)當(dāng)理解�����,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制����。相反�,提供這些實(shí)施例是為了能夠更透徹地理解本公開��,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員���。本發(fā)明實(shí)施例可以應(yīng)用于計(jì)算機(jī)系統(tǒng)/服務(wù)器���,其可與眾多其它通用或?qū)S糜?jì)算系統(tǒng)環(huán)境或配置一起操作。適于與計(jì)算機(jī)系統(tǒng)/服務(wù)器一起使用的眾所周知的計(jì)算系統(tǒng)���、環(huán)境和/或配置的例子包括但不限于個(gè)人計(jì)算機(jī)系統(tǒng)����、服務(wù)器計(jì)算機(jī)系統(tǒng)�����、瘦客戶機(jī)、厚客戶機(jī)��、手持或膝上設(shè)備�、基于微處理器的系統(tǒng)、機(jī)頂盒��、可編程消費(fèi)電子產(chǎn)品��、網(wǎng)絡(luò)個(gè)人電腦��、小型計(jì)算機(jī)系統(tǒng)�����、大型計(jì)算機(jī)系統(tǒng)和包括上述任何系統(tǒng)的分布式云計(jì)算技術(shù)環(huán)境����,等
坐寸ο計(jì)算機(jī)系統(tǒng)/服務(wù)器可以在由計(jì)算機(jī)系統(tǒng)執(zhí)行的計(jì)算機(jī)系統(tǒng)可執(zhí)行指令(諸如程序模塊)的一般語境下描述。通常�,程序模塊可以包括例程、程序���、目標(biāo)程序�����、組件��、邏輯�、數(shù)據(jù)結(jié)構(gòu)等等,它們執(zhí)行特定的任務(wù)或者實(shí)現(xiàn)特定的抽象數(shù)據(jù)類型�。計(jì)算機(jī)系統(tǒng)/服務(wù)器可以在分布式云計(jì)算環(huán)境中實(shí)施,分布式云計(jì)算環(huán)境中�����,任務(wù)是由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行的���。在分布式云計(jì)算環(huán)境中,程序模塊可以位于包括存儲設(shè)備的本地或遠(yuǎn)程計(jì)算系統(tǒng)存儲介質(zhì)上����。請參閱圖1,其示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測惡意鏈接的系統(tǒng)示意圖�,該系統(tǒng)包括服務(wù)器端設(shè)備100和客戶端設(shè)備200,其中�,服務(wù)器端設(shè)備至少包括用于檢測惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備110,具體而言��,網(wǎng)絡(luò)安全管理設(shè)備110包括第一行為檢測器112、第一行為評估器114�����、第一獲取器116以及第一篩選器118 ;客戶端設(shè)備至少包括用于檢測惡意鏈接的檢測設(shè)備210��,具體而言�,檢測設(shè)備210包括第二行為檢測器212、第二獲取器214以及第二鏈接檢測器216���。首先���,客戶端側(cè)檢測設(shè)備200中的第二行為檢測器212對網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測,網(wǎng)絡(luò)資源包括但不限于互聯(lián)網(wǎng)中的網(wǎng)頁�、視頻及音頻等?�?蛻舳藗?cè)預(yù)先維護(hù)一個(gè)可疑行為特征庫�����,在該特征庫中記錄有一些可疑行為的特征(可疑的程序行為的特征)包括但不限于在訪問某個(gè)網(wǎng)頁過程中調(diào)用某些特定的系統(tǒng)函數(shù)��、執(zhí)行加載了某些特定代碼�、分配了可疑的內(nèi)存��,將某些文件存放到可疑的位置��、或者是產(chǎn)生了內(nèi)存溢出等���,這些可疑行為可以是客戶端側(cè)的檢測設(shè)備200根據(jù)以往的加密后的歷史數(shù)據(jù)的特征值總結(jié)的,也可以是從服務(wù)器側(cè)獲取的加密后的特征值或程序行為�,可疑行為的具體內(nèi)容可以不斷更新,種類也可以不斷豐富���,服務(wù)端可以利用類似于決策樹�����,貝葉斯算法�����,神經(jīng)網(wǎng)域計(jì)算等方法,或者使用簡單的閾值分析進(jìn)行機(jī)器學(xué)習(xí)等��,對客戶端側(cè)通過各種方式獲知的各種可疑行為以及各種可疑行為的檢測手段在本發(fā)明實(shí)施例中都是適用的����,本發(fā)明對此并沒有限制�。當(dāng)客戶端側(cè)訪問某些鏈接地址的網(wǎng)絡(luò)資源時(shí)�,第二行為檢測器212就會根據(jù)已知的可疑行為特征庫對當(dāng)前的訪問過程、行為進(jìn)行監(jiān)控檢測�����。由于客戶端側(cè)保存有用戶的各種私人文件����,而且客戶端側(cè)的運(yùn)行分析能力也有限,因此第二行為檢測器212在檢測到可疑行為后�����,一般在征得用戶的同意后予以攔截�,不會再繼續(xù)執(zhí)行當(dāng)前的操作,防止危害真正發(fā)生���。比如�����,如果檢測到當(dāng)前登錄的某網(wǎng)頁鏈接在調(diào)用某種可疑的系統(tǒng)函數(shù)���,那么客戶端一般不會再讓該調(diào)用繼續(xù)下去�,進(jìn)而也就無法知道后續(xù)調(diào)用完可疑函數(shù)之后還執(zhí)行了哪些程序或者下載了哪些文檔��,因此客戶端無法準(zhǔn)確判斷該網(wǎng)頁鏈接是否真的是惡意鏈接��,僅能確定為可疑鏈接�,然后將該可疑鏈接上報(bào)至服務(wù)器端的網(wǎng)絡(luò)安全管理設(shè)備110做進(jìn)一步檢測確認(rèn)。服務(wù)器端與客戶端反饋聯(lián)動����,并且保持多個(gè)服務(wù)器集群并聯(lián)進(jìn)行任務(wù)處理。
網(wǎng)絡(luò)安全管理設(shè)備110的第一行為檢測器112接收到來自客戶端側(cè)的可疑鏈接信息后�,對這些可疑鏈接進(jìn)行惡意行為檢測,檢測是否為惡意鏈接�。具體而言,由于服務(wù)器端的運(yùn)行分析能力更強(qiáng)�����,因此有多種更先進(jìn)�����、權(quán)威的檢測手段以便對可疑鏈接做進(jìn)一步確認(rèn)��。比如��,在不影響服務(wù)器端整體網(wǎng)絡(luò)環(huán)境安全的情況下��,可以在基于虛擬機(jī)等運(yùn)行環(huán)境中完成對可疑鏈接的整個(gè)訪問或下載過程���,讓程序執(zhí)行完畢�����,比如完成可疑系統(tǒng)函數(shù)的調(diào)用����,加載完可疑代碼�、分配可疑的內(nèi)存空間等,從而檢測在該鏈接訪問或下載的整個(gè)過程中�����,究竟下載了哪些代碼��、下載了哪些文件�����、調(diào)用可疑系統(tǒng)函數(shù)做了什么事情,甚至還可以繼續(xù)執(zhí)行該程序下載的各種代碼�����、運(yùn)行各種下載的文件等等�����,進(jìn)而通過這些檢測以及網(wǎng)絡(luò)側(cè)更強(qiáng)大的特征庫�,可以更準(zhǔn)確的確定該鏈接是否為真正的惡意鏈接。再比如����,利用服務(wù)器端比客戶端更新更及時(shí)、全面的惡意特征數(shù)據(jù)庫���、黑白名單等也可以對客戶端上報(bào)的可疑鏈接做進(jìn)一步判斷確認(rèn)���。需要說明的是,服務(wù)器端擁有比客戶端側(cè)更強(qiáng)大�����、更及時(shí)的檢測手段和資源���,因此現(xiàn)有和將來各種服務(wù)器端用以確認(rèn)某個(gè)可疑鏈接是否為惡意鏈接的技術(shù)���,都適用于本發(fā)明,因此本發(fā)明對此并沒有限制����。客戶端側(cè)告知的可疑鏈接經(jīng)過服務(wù)器側(cè)的第一行為檢測器112進(jìn)一步檢測后����,可能檢測到全部是真正的惡意鏈接,但也有可能檢測到有一部分并不是真正的惡意鏈接�。因此第一行為檢測器112的主要目的是從客戶端側(cè)告知的可疑鏈接中檢測出真正的惡意鏈接,以便后續(xù)操作���。在第一行為檢測器112檢測出惡意鏈接之后����,進(jìn)一步對這些惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測�����,檢測出這些惡意鏈接的內(nèi)嵌的其他惡意鏈接����。惡意鏈接的內(nèi)嵌的其他鏈接���,可以是訪問、執(zhí)行該惡意鏈接的過程中自動執(zhí)行的其他鏈接�����,或者說自動跳轉(zhuǎn)訪問的其他鏈接�。具體而言,第一行為檢測器112會監(jiān)控網(wǎng)絡(luò)端口��,在訪問某個(gè)惡意鏈接后���,會通過網(wǎng)絡(luò)端口提供的數(shù)據(jù)信息獲知訪問該惡意鏈接的同時(shí)自動打開(或稱訪問)了哪些其他的鏈接�,進(jìn)而這些其他的鏈接就是該惡意鏈接的內(nèi)嵌的鏈接���。進(jìn)而第一行為檢測器112還會對這些內(nèi)嵌的鏈接訪問�、執(zhí)行一遍���,以便判斷這些內(nèi)嵌的鏈接中哪些是惡意的鏈接��。通過上述的操作���,第一行為檢測器112就可以檢測出若干惡意鏈接����,以及這些惡意鏈接之間的內(nèi)嵌關(guān)系����。
例如����,第一行為檢測器112首先檢測某A鏈接是惡意鏈接,A 鏈接hxxp://www. cqcmc. cn/xxx/xxx/ list_5. html,同時(shí)通過監(jiān)控網(wǎng)絡(luò)端口的訪問記錄檢測在訪問該惡意鏈接A時(shí)會自動訪問B鏈接或者說自動下載B鏈接中的內(nèi)容�,B 鏈接hxxp://vma. jkub. com: xx/3/maay. htm,由此可以確定B鏈接是A鏈接的內(nèi)嵌的鏈接,進(jìn)而第一行為檢測器12再通過前述的各種檢測手段檢測B鏈接是否為惡意鏈接���,如果是����,則可以確定B鏈接是惡意鏈接A鏈接的內(nèi)嵌的惡意鏈接�����。以此類推���,通過這種方式��,第一行為檢測器112可以檢測出若干惡意鏈接以及他們內(nèi)嵌的惡意鏈接�,進(jìn)而也就知道了各惡意鏈接之間的內(nèi)嵌關(guān)系。
在一個(gè)實(shí)施例中����,第一行為檢測器112在檢測出各惡意鏈接以及他們之間的內(nèi)嵌關(guān)系之后,第一行為評估器114根據(jù)第一行為檢測器112提供的各惡意鏈接之間的內(nèi)嵌關(guān)系��,對各惡意鏈接評估惡意值��。具體而言�,為敘述方便,將待評估惡意值的惡意鏈接稱為目標(biāo)惡意鏈接�����,將目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接稱為該目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接����,每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目是以該內(nèi)嵌惡意鏈接作為內(nèi)嵌的鏈接的所有惡意鏈接的總數(shù)。例如圖2��,其示出了對惡意鏈接評估惡意值的鏈接關(guān)系示意圖�。假設(shè)圖中的惡意鏈接A為待評估惡意值的目標(biāo)惡意鏈接��,根據(jù)第一行為檢測器112獲知惡意鏈接A有3個(gè)內(nèi)嵌惡意鏈接�����,即鏈接B�����、鏈接C以及鏈接D是經(jīng)第一行為檢測器112檢測確認(rèn)的惡意鏈接��。從圖中還可以看出,實(shí)際上鏈接E也是惡意鏈接A的內(nèi)嵌鏈接�����,但是由于鏈接E是非惡意鏈接�����,因此在評估目標(biāo)惡意鏈接A的惡意值時(shí)不予以參考���;此外��,假設(shè)訪問鏈接A時(shí)會自動執(zhí)行跳轉(zhuǎn)執(zhí)行鏈接F����,但是鏈接F是與鏈接A屬于同一網(wǎng)站內(nèi)的鏈接,比如這兩個(gè)鏈接的域名相同���,那么在評估目標(biāo)惡意鏈接A的惡意值時(shí)�,無論鏈接F是否為惡意鏈接�����,都不考慮鏈接F�,即在評估惡意鏈接的惡意值時(shí)只考慮不同網(wǎng)站之間的內(nèi)嵌關(guān)系,不考慮同一網(wǎng)站內(nèi)各鏈接之間的內(nèi)嵌關(guān)系����。即將目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接限定為非同一網(wǎng)站的惡意鏈接,換而言之����,目標(biāo)惡意鏈接的內(nèi)嵌的非同一網(wǎng)站的惡意鏈接,為該目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接��。對于目標(biāo)惡意鏈接內(nèi)嵌的同一網(wǎng)站的其他惡意鏈接雖然不用于計(jì)算目標(biāo)惡意鏈接的惡意值�����,但是還可以進(jìn)一步分析該內(nèi)嵌惡意鏈接是否還內(nèi)嵌了其他網(wǎng)站的惡意鏈接,即可以把目標(biāo)惡意網(wǎng)站內(nèi)嵌的同一網(wǎng)站的其他惡意鏈接當(dāng)做一個(gè)新的惡意鏈接去分析����,并評估其惡意值。應(yīng)當(dāng)注意的是��,也不完全排除在某種特殊應(yīng)用場景下��,目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接不必限定為非同一網(wǎng)站的內(nèi)嵌惡意鏈接�����,即同一網(wǎng)站的內(nèi)嵌惡意鏈接也參與計(jì)算目標(biāo)惡意鏈接的惡意值�����,此種情況下�,目標(biāo)惡意鏈接的內(nèi)嵌的各種惡意鏈接���,包括非同一網(wǎng)站內(nèi)的�,也可能包含同一網(wǎng)站內(nèi)的���,均為該目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接��。因此����,以上兩種方案都在本發(fā)明的保護(hù)范圍內(nèi),根據(jù)實(shí)際應(yīng)用場景的不同可以采用不同的方案予以實(shí)現(xiàn)��。在評估每個(gè)目標(biāo)惡意鏈接的惡意值時(shí)����,主要通過第一行為評估器114執(zhí)行。具體而言�����,第一行為評估器114可以包括第一識別模塊和第一評估模塊�。首先,第一識別模塊根據(jù)第一行為檢測器112提供的各惡意鏈接之間的內(nèi)嵌關(guān)系���,識別出目標(biāo)惡意鏈接的所有內(nèi)嵌惡意鏈接以及每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目����。仍然以圖2為例�,第一識別模塊先根據(jù)第一檢測器112提供的信息,識別出目標(biāo)惡意鏈接A的所有內(nèi)嵌惡意鏈接分別是惡意鏈接B、C�����、D�����。進(jìn)而再統(tǒng)計(jì)每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目����。從圖2可以看出,惡意鏈接B除了是惡意鏈接A的內(nèi)嵌惡意鏈接外�,還是惡意鏈接G、H�、I的內(nèi)嵌惡意鏈接,由此可知A的內(nèi)嵌惡意鏈接B的惡意外鏈數(shù)目是4 ;同理��,知道A的內(nèi)嵌惡意鏈接C的惡意外鏈數(shù)目是3 (惡意外鏈分別是鏈接A�����、J����、K),A的內(nèi)嵌惡意鏈接D的惡意外鏈數(shù)目是I (惡意外鏈只有鏈接A)�。然后,第一識別模塊將統(tǒng)計(jì)出的上述信息告知第一評估模塊��,第一評估模塊根據(jù)目標(biāo)惡意鏈接的各內(nèi)嵌惡意鏈接的最新惡意值�,和每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目,評估目標(biāo)惡意鏈接的惡意值��。在一個(gè)實(shí)施例中���,第一評估模塊可以包括第一比值子模塊���,用于獲得目標(biāo)惡意鏈接的每個(gè)內(nèi)嵌惡意鏈接的最新惡意值與該內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目的比值;第一累加子模塊�����,用于將目標(biāo)惡意鏈接的各內(nèi)嵌惡意鏈接的最新惡意值與對應(yīng)的惡意外鏈數(shù)目的比值進(jìn)行累加�����,獲得第一累加值��;以及第一加權(quán)子模塊��,用于將所述第一累加值乘以第一權(quán)值后與第二權(quán)值相加,得到目標(biāo)惡意鏈接的惡意值��。仍然以圖2為例進(jìn)行詳細(xì)說明��。在一個(gè)實(shí)施例中��,在評估目標(biāo)惡意鏈接A的惡意值時(shí)可以采用下述公式進(jìn)行評估PR(A)=a+b*(PR(B)/links(B)+PR(C)/links (C)+PR(D)/links (D)+......)其中�����,PR ()表示相關(guān)惡意鏈接的惡意值(也可稱為rank值)�����,links ()表示相關(guān)惡意鏈接的惡意外鏈數(shù)目��,a相當(dāng)于前述的第一權(quán)值���,b相當(dāng)于前述的第二權(quán)值�����。起始時(shí)可以給所有惡意鏈接的惡意值賦一初始值�����。應(yīng)當(dāng)注意���,該初始值、權(quán)值a和權(quán)值b���,均可以根據(jù)實(shí)際應(yīng)用場景需求或經(jīng)驗(yàn)設(shè)置不同的數(shù)值����,本發(fā)明實(shí)施例對此并沒有限制�����。多數(shù)情況下�,可以限制權(quán)值a和b之和等于I。當(dāng)然在某些情況下甚至也可以不給權(quán)值a和b設(shè)置實(shí)際意義的值�����。假設(shè)在一個(gè)實(shí)施例中��,將a設(shè)置為O. 15�,b設(shè)置為O. 85,各惡意鏈接的初始惡意值設(shè)置為I���。通過前面第一識別模塊的描述可知�,在圖2對應(yīng)的實(shí)施例中,links(B)=4����,links (C) =3, links (D) =1,在第一輪計(jì)算各惡意鏈接的惡意值時(shí),相關(guān)惡意鏈接的惡意值均使用初始值,如 PR (B) =1�,PR (C) =1,PR (D) =1���,進(jìn)而PR (A)=0. 15+0. 85*(1/4+1/3+1/1)=1. 4958于是��,在第一輪計(jì)算各目標(biāo)惡意鏈接時(shí)����,惡意鏈接A的惡意值即為1. 4958��,同理�����,按照同樣的方法���,還可以評估出第一輪其他惡意鏈接的惡意值���,如惡意鏈接B�����、C、D��、G等的惡意值�����。第一評估模塊可以通過多輪迭代方式獲得各目標(biāo)惡意鏈接的惡意值�,在第一輪處理時(shí)為各目標(biāo)惡意鏈接設(shè)置初始惡意值,后續(xù)每輪處理時(shí)帶入的相關(guān)惡意鏈接惡意值都是上輪計(jì)算出的結(jié)果��;當(dāng)經(jīng)過多輪迭代之后�,在惡意鏈接數(shù)據(jù)量、以及各惡意鏈接之間的內(nèi)嵌關(guān)系沒有發(fā)生更新的情況下��,每個(gè)目標(biāo)惡意鏈接的惡意值會趨于恒定�����,即能夠得出一個(gè)比較接近于實(shí)際的惡意值����。當(dāng)有第一行為檢測器112檢測出新的惡意鏈接之后����,第一行為評估器就可以及時(shí)或者定期重新計(jì)算相關(guān)惡意鏈接的惡意值����,即進(jìn)行更新。惡意值越高說明該惡意鏈接越有可能是一個(gè)掛馬源鏈接����。該惡意鏈接可能會感染很多其他的鏈接或網(wǎng)站���。在上一個(gè)實(shí)施例中���,第一行為評估器114根據(jù)第一行為檢測器112檢測出的各惡意鏈接之間的內(nèi)嵌關(guān)系,對各惡意鏈接評估惡意值���。在本發(fā)明的另一個(gè)實(shí)施例中�����,第一行為評估器114還可以根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系�,對各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評估惡意值,以及根據(jù)第一行為檢測器112檢測出的新的惡意鏈接對相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新��。具體而言���,第一行為評估器114可以包括第二識別模塊和第二評估模塊�。待評估惡意值的惡意網(wǎng)站主機(jī)名為目標(biāo)惡意網(wǎng)站主機(jī)名����,目標(biāo)惡意網(wǎng)站主機(jī)名下各惡意鏈接的內(nèi)嵌的其他惡意鏈接所屬的惡意網(wǎng)站主機(jī)名���,是與目標(biāo)惡意網(wǎng)站主機(jī)名具有關(guān)聯(lián)關(guān)系的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名��。如何確定某個(gè)惡意鏈接的內(nèi)嵌的其他惡意鏈接可以參看前述實(shí)施例中的相關(guān)描述�,此處不再贅述���。請參閱圖3�����,其為根據(jù)本發(fā)明一個(gè)實(shí)施例的各惡意網(wǎng)站主機(jī)名之間的關(guān)聯(lián)關(guān)系示意圖����。第一行為評估器114檢測到第一行為檢測器112檢測出某網(wǎng)站主機(jī)名 aaa 下存在 4 個(gè)惡意鏈接,比如���,www. aaa. com/a�、www. aaa. com/b�����、www. aaa. com/c 以及www. aaa. com/d�,其中,www. aaa. com/a 有個(gè)內(nèi)嵌惡意鏈接 www. bbb. com/h, www. aaa. com/c也有個(gè)內(nèi)嵌惡意鏈接www. ccc. com/g, www. aaa. com/b和www. aaa. com/d無內(nèi)嵌惡意鏈接�����。進(jìn)一步分析URL可知����,惡意內(nèi)嵌鏈接www. bbb. com/h所屬的網(wǎng)站主機(jī)名是bbb,內(nèi)嵌惡意鏈接www. ccc. com/g所屬的網(wǎng)站主機(jī)名是ccc,由此可知,與目標(biāo)惡意網(wǎng)站主機(jī)名aaa具有關(guān)聯(lián)關(guān)系的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名分別是“bbb”和“ccc”�。 每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目具體是該關(guān)聯(lián)惡意網(wǎng)站主機(jī)名下所有惡意鏈接的惡意外鏈數(shù)目之和。例如�����,假設(shè)“bbb”網(wǎng)站主機(jī)名下共有3個(gè)惡意鏈接,分別是 ww. bbb. com/h��、ww. bbb. com/i 以及 ww. bbb. com/k�����。其中����,w ww. bbb. com/h 又分別是惡意鏈接G(www. aaa. com/a)、惡意鏈接H的內(nèi)嵌惡意鏈接,即說明w ww. bbb. com/h的惡意外鏈數(shù)目是2 ;同理,www. bbb. com/i的惡意外鏈數(shù)目是3 ����;www. bbb. com/k的惡意外鏈數(shù)目是0�,那么“bbb”網(wǎng)站主機(jī)名的惡意外鏈數(shù)目就是2+3+0=5。根據(jù)相同的方式可以統(tǒng)計(jì)出與惡意網(wǎng)站主機(jī)名aaa相關(guān)聯(lián)的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名ccc的惡意外鏈數(shù)目�����,比如為2�。第二識別模塊可以通過上述方式根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識別出各目標(biāo)惡意網(wǎng)站主機(jī)名的所有關(guān)聯(lián)惡意網(wǎng)站主機(jī)名��,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目��。然后,第二評估模塊�,根據(jù)目標(biāo)惡意網(wǎng)站主機(jī)名的各關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的最新惡意值,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目�����,評估所述目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值�。例如,在一個(gè)實(shí)施例中�,第二評估模塊可以包括第二比值子模塊,用于獲得所述目標(biāo)惡意網(wǎng)站王機(jī)名的每個(gè)關(guān)聯(lián)惡意網(wǎng)站王機(jī)名的最新惡意值與該關(guān)聯(lián)惡意網(wǎng)站王機(jī)名的惡意外鏈數(shù)目的比值��;第二累加子模塊����,用于將目標(biāo)惡意網(wǎng)站主機(jī)名的各關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的最新惡意值與對應(yīng)的惡意外鏈數(shù)目的各比值累加,獲得第二累加值����;第二加權(quán)子模塊,用于將第二累加值乘以第三權(quán)值后與第四權(quán)值相加���,得到目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值����。下面仍然以圖3中評估惡意網(wǎng)站主機(jī)名aaa為例進(jìn)行詳細(xì)說明。在評估惡意網(wǎng)站主機(jī)名A的惡意值時(shí)可以采用下述公式PR (a) =A+B* (PR (b) /1 inks (b) +PR (c) /1 inks (c) +PR (d) /1 inks (d) +......)其中����,PR ()表示相關(guān)惡意網(wǎng)站主機(jī)名的惡意值(也可稱為rank值),links ()表示相關(guān)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目���,A相當(dāng)于前述的第三權(quán)值���,B相當(dāng)于前述的第四權(quán)值。起始時(shí)可以給所有惡意網(wǎng)站主機(jī)名的惡意值賦一初始值����。應(yīng)當(dāng)注意,該初始值�、權(quán)值A(chǔ)和權(quán)值B,均可以根據(jù)實(shí)際應(yīng)用場景需求或經(jīng)驗(yàn)設(shè)置不同的數(shù)值�����,本發(fā)明實(shí)施例對此并沒有限制����。多數(shù)情況下���,可以限制權(quán)值A(chǔ)和B之和等于I�����。當(dāng)然在某些情況下甚至也可以不給權(quán)值A(chǔ)和B設(shè)置實(shí)際意義的值�����。假設(shè)在一個(gè)實(shí)施例中����,將A設(shè)置為O. 15,B設(shè)置為O. 85�,各惡意網(wǎng)站主機(jī)名的初始惡意值設(shè)置為I。通過前面第二識別模塊的描述可知���,在圖3對應(yīng)的實(shí)施例中����,惡意網(wǎng)站主機(jī)名aaa總共有兩個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名��,分別是bbb和ccc,而links (bbb)=5, links (ccc) =2,在第一輪計(jì)算各惡意鏈接的惡意值時(shí)��,關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意值均使用初始值�,如PR (bbb) =1�,PR (ccc) =1��,進(jìn)而PR (aaa) =0. 15+0. 85* (1/5+1/2) =0. 745于是����,在第一輪計(jì)算各目標(biāo)惡意網(wǎng)站主機(jī)名時(shí),惡意網(wǎng)站主機(jī)名aaa的惡意值即為O. 745�����,同理�����,按照同樣的方法����,還可以評估出第一輪其他惡意網(wǎng)站主機(jī)名的惡意值,如惡意網(wǎng)站主機(jī)名bbb�����、ccc等的惡意值�����。一般網(wǎng)站主機(jī)名下具有惡意鏈接的��,就可以稱其為惡 意網(wǎng)站主機(jī)名��,進(jìn)而可以評估它的惡意值����。在惡意鏈接數(shù)據(jù)量、以及各惡意鏈接之間的內(nèi)嵌關(guān)系沒有發(fā)生更新的情況下����,每個(gè)目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值在經(jīng)過多輪迭代計(jì)算后會趨于恒定,即能夠得出一個(gè)比較接近于實(shí)際的惡意值��。當(dāng)有第一行為檢測器112檢測出新的惡意鏈接之后��,第一行為評估器就可以及時(shí)或者定期重新計(jì)算相關(guān)惡意網(wǎng)站主機(jī)名的惡意值���,即進(jìn)行更新�。惡意值越高說明該惡意網(wǎng)站主機(jī)名越有可能是一個(gè)掛馬網(wǎng)站����,可能會感染很多其他的網(wǎng)站或鏈接。應(yīng)當(dāng)注意的是�,第一行為評估器114可以僅對惡意鏈接評估惡意值�,也可以僅對惡意網(wǎng)站主機(jī)名評估惡意值����,還可以同時(shí)對惡意鏈接和惡意網(wǎng)站主機(jī)名進(jìn)行評估,這幾種方案均在本發(fā)明的保護(hù)范圍內(nèi)���。在第一行為評估器114評估出各惡意鏈接和/或各惡意網(wǎng)站主機(jī)名的惡意值之后���,第一篩選器根據(jù)第一行為評估器114評估出的結(jié)果��,篩選相關(guān)的
口 O在一個(gè)實(shí)施例中�����,如果第一評估器114既評估出了各惡意鏈接的惡意值��,又評估出了各惡意網(wǎng)站主機(jī)名的惡意值��,那么第一篩選器118篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合���,以及其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合��。例如,假設(shè)第一評估器評估出了 1000個(gè)惡意網(wǎng)站主機(jī)名的惡意值�,其中惡意值在第一預(yù)置閾值以上的有700個(gè)��,那么第一篩選器118就將這700個(gè)網(wǎng)站主機(jī)名作為危險(xiǎn)惡意網(wǎng)站主機(jī)名集合�,然后在剩余的這300個(gè)惡意網(wǎng)站主機(jī)名下的所有惡意鏈接中,挑選惡意值高于第二預(yù)置閾值的那些惡意鏈接�����,進(jìn)而這些惡意鏈接組成危險(xiǎn)惡意鏈接集
口 ο在又一個(gè)實(shí)施例中��,如果第一評估器114僅評估出了各惡意鏈接的惡意值���,沒有評估各惡意網(wǎng)站主機(jī)名的惡意值����,那么第一篩選器118會篩選出惡意值高于第三預(yù)置閾值的惡意鏈接���,進(jìn)而將這些篩選出的惡意鏈接組成危險(xiǎn)惡意鏈接集合�����。同理���,在又一個(gè)實(shí)施例中�����,如果第一評估器114僅評估出了各惡意網(wǎng)站主機(jī)名的惡意值����,沒有評估各惡意鏈接的惡意值���,那么第一篩選器118會篩選出惡意值高于第四預(yù)置閾值的惡意鏈接�����,進(jìn)而將這些篩選出的惡意網(wǎng)站主機(jī)名組成危險(xiǎn)惡意網(wǎng)站主機(jī)名集合�。應(yīng)當(dāng)注意的是���,以上第一����、第二�����、第三及第四預(yù)置閾值的具體數(shù)值設(shè)置,可以根據(jù)經(jīng)驗(yàn)��、實(shí)際需求指標(biāo)等多種因素綜合考慮�����,這四個(gè)值可能相同�,也可能不同�,本發(fā)明實(shí)施例對這些均沒有限制?���?梢钥闯觯举|(zhì)上第一篩選器118篩選出的各種集合是源于客戶端側(cè)第二行為檢測器212上報(bào)的可疑鏈接進(jìn)行分析處理后所得�。在第一篩選器118篩選出相應(yīng)的集合后,將危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合的信息通知至客戶端設(shè)備100的第二獲取器214�����。進(jìn)而��,第二獲取器214將獲得的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合告知第二鏈接檢測器216�,第二鏈接檢測器216根據(jù)危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合檢測出新的可疑鏈接。具體而言�,第二鏈接檢測器216通過監(jiān)控網(wǎng)絡(luò)端口檢測后續(xù)一些新鏈接的內(nèi)嵌的其他鏈接(簡稱內(nèi)嵌鏈接)具體是什么��,并且將這些內(nèi)嵌鏈接與危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合中的內(nèi)容進(jìn)行對比�,如果檢測命中���,則將該新鏈接確定為新的可疑鏈接���。
例如,客戶端側(cè)的第二鏈接檢測器216檢測有一新鏈接A的內(nèi)嵌鏈接包括鏈接B�、C和D,于是將內(nèi)嵌鏈接B��、C�����、D與服務(wù)器端下發(fā)的危險(xiǎn)惡意鏈接集合中的鏈接信息對比�����,檢測危險(xiǎn)惡意鏈接集合中也有鏈接A的信息����,于是第二鏈接檢測器216便將鏈接A確定為新的可疑鏈接。再例如���,第二鏈接檢測器216檢測到一新鏈接E,其內(nèi)嵌鏈接是www. aaa. com.cn/XXX,于是將www. aaa. com. cn/XXX的主機(jī)名“aaa”與服務(wù)器端下發(fā)的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合中的信息對比����,假如危險(xiǎn)網(wǎng)站主機(jī)名集合中包含“aaa”這個(gè)網(wǎng)站主機(jī)名,則表明新鏈接E的內(nèi)嵌鏈接命中危險(xiǎn)網(wǎng)站主機(jī)名集合�����,于是將新鏈接E確定為新的可疑鏈接�����。換而言之�����,所述新的可疑鏈接的內(nèi)嵌的其他鏈接的網(wǎng)站主機(jī)名��,至少是危險(xiǎn)惡意網(wǎng)站主機(jī)名集合中的一個(gè)網(wǎng)站主機(jī)名��;或者��,新的可疑鏈接的內(nèi)嵌的其他鏈接����,至少是危險(xiǎn)惡意鏈接集合中的一個(gè)鏈接。由此可以看出����,即便客戶端設(shè)備200無法通過其他的手段檢測出鏈接A和E具有前述的各種可疑行為,但是�����,通過服務(wù)器端提供的危險(xiǎn)惡意鏈接集合和/或危險(xiǎn)惡意網(wǎng)站主機(jī)名集合����,也可以將這兩個(gè)鏈接確定為可疑鏈接。前面提過�,危險(xiǎn)惡意鏈接集合和危險(xiǎn)惡意網(wǎng)站主機(jī)名集合中的惡意鏈接或惡意網(wǎng)站主機(jī)名都是惡意值比較高的,也就是它們很可能是真正的感染源���,比如是真正的掛馬源鏈接或掛馬源網(wǎng)站主機(jī)名�����,而不僅僅是被感染者���,一個(gè)感染源通常會感染很多網(wǎng)站,因此�,通過部分網(wǎng)站找出感染源�����,然后再通過這個(gè)感染源就可以檢測更多其他的被感染網(wǎng)站��,通過這種方式�,擴(kuò)大了客戶端設(shè)備200檢測可疑鏈接的網(wǎng)站數(shù)量�����,也提高了檢測可疑鏈接的效率�����,因此能夠很快收集到大量的惡意鏈接或惡意網(wǎng)站的信息��,從而為網(wǎng)絡(luò)安全提供更好的保障�����。在第二鏈接檢測器216將基于危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合檢測出新的可疑鏈接之后�����,發(fā)送至服務(wù)器端設(shè)備100的第一獲取器116���,進(jìn)而第一獲取器116將獲取到的新的可疑鏈接信息傳輸至第一行為檢測器112進(jìn)行惡意行為檢測��,如果第一行為檢測器112確認(rèn)為是惡意鏈接��,則告知第一行為評估器114���,第一行為評估器114如果檢測原有用于計(jì)算惡意鏈接或惡意網(wǎng)站主機(jī)名的數(shù)據(jù)庫中沒有這條惡意鏈接,該條惡意鏈接的加入導(dǎo)致原有惡意鏈接之間的內(nèi)嵌發(fā)生了變化����,那么第一行為評估器114可以重新計(jì)算相關(guān)惡意鏈接和/或惡意網(wǎng)站主機(jī)名的惡意值,從而可以根據(jù)數(shù)據(jù)量的增加不斷修正相關(guān)惡意網(wǎng)站主機(jī)名或惡意鏈接的惡意值��,從而使他們的惡意值更貼近真實(shí)的情況����,能夠更準(zhǔn)確的通過惡意值反映出該惡意鏈接或惡意網(wǎng)站主機(jī)名是感染源還是被感染者,所謂的被感染者是指本身網(wǎng)站自身沒有問題����,只是受到感染源的惡意攻擊被感染了病毒,比如是被掛馬的正常網(wǎng)站�����,而非真正的掛馬源網(wǎng)站。前面各實(shí)施例提供的方案可以用于多種惡意鏈接或惡意網(wǎng)站的檢測�����,比如可以是掛馬檢測����,相應(yīng)的,第一行為檢測器具體是掛馬行為檢測器���,惡意行為檢測具體是掛馬惡意行為檢測���,惡意鏈接具體惡意掛馬鏈接,惡意鏈接的內(nèi)嵌的其他惡意鏈接具體為惡意掛馬鏈接的內(nèi)嵌的其他惡意掛馬鏈接�。當(dāng)然,還可以是其他與掛馬類似的病毒檢測���,只要是具有一個(gè)病毒感染源通常會感染一批正常網(wǎng)站的病毒傳播特征,基本都可以采用本發(fā)明的各種技術(shù)方案�����。請參閱圖4�,其示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測惡意鏈接的方法����,惡意鏈接包括互聯(lián)網(wǎng)中各種惡意的網(wǎng)絡(luò)資源的鏈接地址���。該方法可以在服務(wù)器端予以實(shí)現(xiàn)�����。該方法始于步驟S410��,在步驟S410中���,至少對客戶端設(shè)備檢測出的可疑鏈接進(jìn)行惡意行為檢測,檢測是否為惡意鏈接�,以及對檢測為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測,檢測出惡意鏈接的內(nèi)嵌的其他惡意鏈接��,然后進(jìn)入步驟S420����。 在步驟S420中,至少根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系���,對各惡意鏈接評估惡意值和/或?qū)Ω鲪阂怄溄酉嚓P(guān)的惡意網(wǎng)站主機(jī)名評估惡意值��,以及根據(jù)檢測出的新的惡意鏈接對相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新�����;然后進(jìn)入步驟S430�。 在S430中,篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和其余惡意網(wǎng)站主機(jī)名下�、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合,或者��,僅篩選出惡意值高于第三預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合����,再或者僅篩選出惡意值高于第四預(yù)置閾值的危險(xiǎn)惡意鏈接集合,然后將危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合的信息通知至客戶端設(shè)備�。通過該步驟,可以找出比較可能是感染源的惡意鏈接或惡意鏈接主機(jī)名�,以便讓客戶端根據(jù)這些最可能的病毒感染源再去檢測其他的被感染鏈接或網(wǎng)站。此后�,進(jìn)入步驟S440。在步驟S440中����,獲取客戶端設(shè)備基于危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合檢測出的新的可疑鏈接,并將新的可疑鏈接進(jìn)行惡意行為檢測�,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合。通過該步驟��,服務(wù)器端可以獲得更多的可疑鏈接�,進(jìn)而經(jīng)過檢測后可以獲得更多的惡意鏈接信息。以上的步驟S410可以通過前述各實(shí)施例中的第一行為檢測器112予以執(zhí)行�����,步驟S420可以通過第一行為評估器114予以執(zhí)行�,步驟S430可以通過第一篩選器118予以執(zhí)行,步驟S440可以通過第一獲取器116和第一行為檢測器112共同執(zhí)行���。各步驟的具體實(shí)現(xiàn)可以參看前面相關(guān)部件的描述�����,此處不再贅述�。以上檢測惡意鏈接的方法主要是從服務(wù)端角度描述的��,下面從客戶端角度描述���。請參閱圖5�����,其示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的用于檢測惡意鏈接的檢測方法����。該方法始于步驟S510,在步驟S510中�,首先對網(wǎng)絡(luò)資源的惡意行為進(jìn)行檢測,將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測�����,然后進(jìn)入步驟S520��,在步驟S520中�����,從服務(wù)器端設(shè)備獲取危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合�。在一個(gè)實(shí)施例中,危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合�,危險(xiǎn)惡意鏈接集合是服務(wù)器端篩選出的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合以外的其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的各惡意鏈接的集合�����。在另一個(gè)實(shí)施例中,危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第三預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合���。在又一個(gè)實(shí)施例中,危險(xiǎn)惡意鏈接集合是服務(wù)器端設(shè)備篩選出的惡意值高于第四預(yù)置閾值的惡意鏈接集合��。其中�,第一、第二����、第三及第四預(yù)置閾值可以根據(jù)實(shí)際需要或經(jīng)驗(yàn)設(shè)置,可以相同也可以不同�����,本發(fā)明實(shí)施例對此沒有限制���。然后進(jìn)入步驟S530�����,根據(jù)危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和/或危險(xiǎn)惡意鏈接集合檢測出新的可疑鏈接�����,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合�,進(jìn)而將新的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行檢測及更新相關(guān)惡意值,例如相關(guān)的惡意鏈接的惡意值�,或相關(guān)的惡意網(wǎng)站主機(jī)名的惡意值。由于危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合中的鏈接或網(wǎng)站主機(jī)名都是惡意值較高的�����,即很可能是真正的病毒感染源���,比如是真正的掛馬源鏈接或網(wǎng)站�,而這些真正的病毒感染源一般不僅感染一兩個(gè)網(wǎng)站���,往往會感染很多網(wǎng)站�,即會成為很多原本正常網(wǎng)站的內(nèi)嵌鏈接���,因此可以通過這些病毒感染源與其他網(wǎng)站�����、鏈接之間的內(nèi)嵌關(guān)系��,檢測更多被感染的網(wǎng)站或惡意鏈接����,從而擴(kuò)大了可疑鏈接的檢測效率和數(shù)量。以上的步驟S510可以通過前述各實(shí)施例中的第二行為檢測器212予以執(zhí)行�����,步驟 S520可以通過第二獲取器214予以執(zhí)行��,步驟S530可以通過第二鏈接檢測器118予以執(zhí)行���。各步驟的具體實(shí)現(xiàn)可以參看前面相關(guān)部件的描述,此處不再贅述�����。在此提供的算法和顯示不與任何特定計(jì)算機(jī)����、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用��。根據(jù)上面的描述�����,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外����,本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白�����,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容���,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式��。在此處所提供的說明書中����,說明了大量具體細(xì)節(jié)����。然而,能夠理解��,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐����。在一些實(shí)例中�,并未詳細(xì)示出公知的方法����、結(jié)構(gòu)和技術(shù)��,以便不模糊對本說明書的理解�����。類似地�,應(yīng)當(dāng)理解���,為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)���,在上面對本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例�����、圖�����、或者對其的描述中。然而�����,并不應(yīng)將該公開的方法解釋成反映如下意圖即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征��。更確切地說�����,如下面的權(quán)利要求書所反映的那樣����,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此�����,遵循具體實(shí)施方式
的權(quán)利要求書由此明確地并入該具體實(shí)施方式
��,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例���。本領(lǐng)域那些技術(shù)人員可以理解�����,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中����。可以把實(shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件�,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外�����,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求��、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合����。除非另外明確陳述��,本說明書(包括伴隨的權(quán)利要求�����、摘要和附圖)中公開的每個(gè)特征可以由提供相同����、等同或相似目的的替代特征來代替��。此外���,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征�����,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例�。例如,在下面的權(quán)利要求書中�,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)�����,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)�,或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解���,可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP )來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的用于檢測惡意鏈接的設(shè)備或檢測設(shè)備中的一些或者全部部件的一些或者全部功能����。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)��。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲在計(jì)算機(jī)可讀介質(zhì)上�����,或者可以具有一個(gè)或者多個(gè)信號的形式�。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供����,或者以任何其他形式提供。應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制��,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例����。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制����。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟��。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這 樣的元件���。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)�。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)����。單詞第一、第二��、以及第三等的使用不表示任何順序�。可將這些單詞解釋為名稱�����。
權(quán)利要求
1.一種用于檢測惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備���,所述惡意鏈接是互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址����,包括 第一行為檢測器����,被配置為至少對客戶端設(shè)備檢測出的可疑鏈接進(jìn)行惡意行為檢測,檢測是否為惡意鏈接�����,以及對所述檢測為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測,檢測出所述惡意鏈接的內(nèi)嵌的其他惡意鏈接�; 第一行為評估器,被配置為至少根據(jù)所述第一行為檢測器檢測出的各惡意鏈接之間的內(nèi)嵌關(guān)系�����,對各惡意鏈接評估惡意值�����,并對各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評估惡意值�,以及根據(jù)所述第一行為檢測器檢測出的新的惡意鏈接對相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新; 第一篩選器����,被配置為根據(jù)所述第一行為評估器評估出的結(jié)果,篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和其余惡意網(wǎng)站主機(jī)名下���、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合��,并將所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合的信息通知至所述客戶端設(shè)備���; 第一獲取器,被配置為獲取客戶端設(shè)備基于所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和所述危險(xiǎn)惡意鏈接集合檢測出的新的可疑鏈接���,并將所述新的可疑鏈接傳輸至所述第一行為檢測器進(jìn)行檢測��,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合���。
2.根據(jù)權(quán)利要求1所述的設(shè)備,所述待評估惡意值的惡意鏈接為目標(biāo)惡意鏈接��,所述目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接為所述目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接�,所述每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目具體是以該內(nèi)嵌惡意鏈接作為內(nèi)嵌的鏈接的所有惡意鏈接的總數(shù),所述第一行為評估器包括 第一識別模塊���,被配置為根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系��,識別出所述目標(biāo)惡意鏈接的所有內(nèi)嵌惡意鏈接以及每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目����; 第一評估模塊���,被配置為根據(jù)所述第一識別模塊識別出的目標(biāo)惡意鏈接的各內(nèi)嵌惡意鏈接的最新惡意值��,和每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目���,評估所述目標(biāo)惡意鏈接的惡意值���。
3.根據(jù)權(quán)利要求1或2所述的設(shè)備,所述待評估惡意值的惡意網(wǎng)站主機(jī)名為目標(biāo)惡意網(wǎng)站主機(jī)名�,所述目標(biāo)惡意網(wǎng)站主機(jī)名下各惡意鏈接的內(nèi)嵌的其他惡意鏈接所屬的惡意網(wǎng)站主機(jī)名,是與所述目標(biāo)惡意網(wǎng)站主機(jī)名具有關(guān)聯(lián)關(guān)系的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名�,所述每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目具體是該關(guān)聯(lián)惡意網(wǎng)站主機(jī)名下所有惡意鏈接的惡意外鏈數(shù)目之和,所述第一評估器包括 第二識別模塊����,被配置為根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識別出所述目標(biāo)惡意網(wǎng)站主機(jī)名的所有關(guān)聯(lián)惡意網(wǎng)站主機(jī)名����,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目; 第二評估模塊����,被配置為根據(jù)所述目標(biāo)惡意網(wǎng)站主機(jī)名的各關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的最新惡意值,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目�,評估所述目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值。
4.根據(jù)權(quán)利要求2或3所述的設(shè)備��, 所述第一評估模塊還被配置為通過多輪迭代方式獲得各目標(biāo)惡意鏈接的惡意值,在第一輪處理時(shí)為各目標(biāo)惡意鏈接設(shè)置初始惡意值��;所述第二評估模塊還被配置為通過多輪迭代方式獲得各目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值���,在第一輪處理時(shí)為各目標(biāo)惡意網(wǎng)站主機(jī)名設(shè)置初始惡意值。
5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的設(shè)備���,所述惡意鏈接或可疑鏈接的內(nèi)嵌的其他鏈接包括訪問所述惡意鏈接或可疑鏈接時(shí)被自動執(zhí)行的其他鏈接����。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的設(shè)備���,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合包括 所述新的可疑鏈接的內(nèi)嵌的其他鏈接的網(wǎng)站主機(jī)名�����,至少是所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合中的一個(gè)網(wǎng)站主機(jī)名����; 或者���, 所述新的可疑鏈接的內(nèi)嵌的其他鏈接����,至少是所述危險(xiǎn)惡意鏈接集合中的一個(gè)鏈接。
7.根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的設(shè)備����,所述第一行為檢測器具體是掛馬行為檢測器,所述的惡意行為檢測具體是掛馬惡意行為檢測�����,所述惡意鏈接具體惡意掛馬鏈接�,所述惡意鏈接的內(nèi)嵌的其他惡意鏈接具體為惡意掛馬鏈接的內(nèi)嵌的其他惡意掛馬鏈接。
8.一種用于檢測惡意鏈接的方法��,所述惡意鏈接包括互聯(lián)網(wǎng)中各種惡意的網(wǎng)絡(luò)資源的鏈接地址��,包括 至少對客戶端設(shè)備檢測出的可疑鏈接進(jìn)行惡意行為檢測�����,檢測是否為惡意鏈接�,以及對所述檢測為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測,檢測出所述惡意鏈接的內(nèi)嵌的其他惡意鏈接���; 至少根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系�,對各惡意鏈接評估惡意值,并對各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評估惡意值����,以及根據(jù)檢測出的新的惡意鏈接對相關(guān)惡意鏈接或惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新; 篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和其余惡意網(wǎng)站主機(jī)名下���、惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合��,并將所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合的信息通知至所述客戶端設(shè)備; 獲取客戶端設(shè)備基于所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和所述危險(xiǎn)惡意鏈接集合檢測出的新的可疑鏈接�����,并將所述新的可疑鏈接進(jìn)行惡意行為檢測�����,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合�����。
9.根據(jù)權(quán)利要求8所述的方法�,所述待評估惡意值的惡意鏈接為目標(biāo)惡意鏈接,所述目標(biāo)惡意鏈接的內(nèi)嵌的其他惡意鏈接為所述目標(biāo)惡意鏈接的內(nèi)嵌惡意鏈接�����,所述每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目具體是以該內(nèi)嵌惡意鏈接作為內(nèi)嵌的鏈接的所有惡意鏈接的總數(shù),所述根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系����,對各惡意鏈接評估惡意值包括 根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識別出所述目標(biāo)惡意鏈接的所有內(nèi)嵌惡意鏈接以及每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目��; 根據(jù)所述目標(biāo)惡意鏈接的各內(nèi)嵌惡意鏈接的最新惡意值�����,和每個(gè)內(nèi)嵌惡意鏈接的惡意外鏈數(shù)目�����,評估所述目標(biāo)惡意鏈接的惡意值���。
10.根據(jù)權(quán)利要求8或9所述的方法���,所述待評估惡意值的惡意網(wǎng)站主機(jī)名為目標(biāo)惡意網(wǎng)站主機(jī)名,所述目標(biāo)惡意網(wǎng)站主機(jī)名下各惡意鏈接的內(nèi)嵌的其他惡意鏈接所屬的惡意網(wǎng)站主機(jī)名����,是與所述目標(biāo)惡意網(wǎng)站主機(jī)名具有關(guān)聯(lián)關(guān)系的關(guān)聯(lián)惡意網(wǎng)站主機(jī)名���,所述每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目具體是該關(guān)聯(lián)惡意網(wǎng)站主機(jī)名下所有惡意鏈接的惡意外鏈數(shù)目之和,所述根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系�,對各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評估惡意值包括 根據(jù)各惡意鏈接之間的內(nèi)嵌關(guān)系,識別出所述目標(biāo)惡意網(wǎng)站主機(jī)名的所有關(guān)聯(lián)惡意網(wǎng)站主機(jī)名��,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目�; 根據(jù)所述目標(biāo)惡意網(wǎng)站主機(jī)名的各關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的最新惡意值,以及每個(gè)關(guān)聯(lián)惡意網(wǎng)站主機(jī)名的惡意外鏈數(shù)目�,評估所述目標(biāo)惡意網(wǎng)站主機(jī)名的惡意值。
11.根據(jù)權(quán)利要求8至10中任一項(xiàng)所述的方法���,所述惡意鏈接或可疑鏈接的內(nèi)嵌的其他鏈接包括訪問所述惡意鏈接或可疑鏈接時(shí)被自動執(zhí)行的其他鏈接。
12.一種用于檢測惡意鏈接的檢測設(shè)備����,所述惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址,該檢測設(shè)備包括 第二行為檢測器��,被配置為對網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測�,將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測; 第二獲取器����,被配置為獲取所述服務(wù)器端設(shè)備基于所述第二行為檢測器提供的可疑鏈接確定的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合���,所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合,所述危險(xiǎn)惡意鏈接集合是服務(wù)器端篩選出的所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合以外的其余惡意網(wǎng)站主機(jī)名下��、惡意值高于第二預(yù)置閾值的各惡意鏈接的集合��; 第二鏈接檢測器�,被配置為根據(jù)所述第二獲取器獲取的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合檢測出新的可疑鏈接,并將所述新的可疑鏈接傳輸至所述服務(wù)器端設(shè)備進(jìn)行檢測及更新相關(guān)惡意值��,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合��。
13.一種用于檢測惡意鏈接的檢測方法���,所述惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址�����,包括 對網(wǎng)絡(luò)資源的惡意行為進(jìn)行檢測�����,將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測����; 從所述服務(wù)器端設(shè)備獲取危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合,所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合�,所述危險(xiǎn)惡意鏈接集合是服務(wù)器端篩選出的所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合以外的其余惡意網(wǎng)站主機(jī)名下、惡意值高于第二預(yù)置閾值的各惡意鏈接的集合����; 根據(jù)所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合檢測出新的可疑鏈接,并將所述新的可疑鏈接傳輸至所述服務(wù)器端設(shè)備進(jìn)行檢測及更新相關(guān)惡意值�����,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或所述危險(xiǎn)惡意鏈接集合�����。
14.一種用于檢測惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備����,所述惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址���,包括 第一行為檢測器���,被配置為至少對客戶端設(shè)備檢測出的可疑鏈接進(jìn)行惡意行為檢測,檢測是否為惡意鏈接����,以及對所述檢測為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測�����,檢測出所述惡意鏈接的內(nèi)嵌的其他惡意鏈接����; 第一行為評估器���,被配置為至少根據(jù)所述第一行為檢測器檢測出的各惡意鏈接之間的內(nèi)嵌關(guān)系���,對各惡意鏈接評估惡意值,以及根據(jù)所述第一行為檢測器檢測出的新的惡意鏈接對相關(guān)惡意鏈接的惡意值進(jìn)行更新��; 第一篩選器��,被配置為根據(jù)所述第一行為評估器評估出的結(jié)果�,篩選出惡意值高于第二預(yù)置閾值的危險(xiǎn)惡意鏈接集合,并將所述危險(xiǎn)惡意鏈接集合的信息通知至所述客戶端設(shè)備; 第一獲取器�����,被配置為獲取客戶端設(shè)備基于所述危險(xiǎn)惡意鏈接集合檢測出的新的可疑鏈接,并將所述新的可疑鏈接傳輸至所述第一行為檢測器進(jìn)行檢測����,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意鏈接集合。
15.一種用于檢測惡意鏈接的檢測設(shè)備���,所述惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址�,包括 第二行為檢測器�,被配置為對網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測,將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測�; 第二獲取器,被配置為獲取所述服務(wù)器端設(shè)備基于所述第二行為檢測器提供的可疑鏈接確定的危險(xiǎn)惡意鏈接集合���,所述危險(xiǎn)惡意鏈接集合是服務(wù)器端篩選出的惡意值高于第二預(yù)置閾值的各惡意鏈接的集合�����; 第二鏈接檢測器����,被配置為根據(jù)所述第二獲取器獲取的危險(xiǎn)惡意鏈接集合檢測出新的可疑鏈接�����,并將所述新的可疑鏈接傳輸至所述服務(wù)器端設(shè)備進(jìn)行檢測及更新相關(guān)惡意值��,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意鏈接集合�����。
16.一種用于檢測惡意鏈接的網(wǎng)絡(luò)安全管理設(shè)備�,所述惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址,包括 第一行為檢測器�����,被配置為至少對客戶端設(shè)備檢測出的可疑鏈接進(jìn)行惡意行為檢測�����,檢測是否為惡意鏈接��,以及對所述檢測為惡意鏈接的內(nèi)嵌的其他鏈接進(jìn)行惡意行為檢測���,檢測出所述惡意鏈接的內(nèi)嵌的其他惡意鏈接��; 第一行為評估器�����,被配置為至少根據(jù)所述第一行為檢測器檢測出的各惡意鏈接之間的內(nèi)嵌關(guān)系����,對各惡意鏈接相關(guān)的惡意網(wǎng)站主機(jī)名評估惡意值,以及根據(jù)所述第一行為檢測器檢測出的新的惡意鏈接對相關(guān)的惡意網(wǎng)站主機(jī)名的惡意值進(jìn)行更新��; 第一篩選器��,被配置為根據(jù)所述第一行為評估器評估出的結(jié)果�,篩選出惡意值高于第一預(yù)置閾值的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合,并將所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合的信息通知至所述客戶端設(shè)備���; 第一獲取器����,被配置為獲取客戶端設(shè)備基于所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合檢測出的新的可疑鏈接���,并將所述新的可疑鏈接傳輸至所述第一行為檢測器進(jìn)行檢測��,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合�。
17.一種用于檢測惡意鏈接的檢測設(shè)備��,所述惡意鏈接包括互聯(lián)網(wǎng)中各種惡意的網(wǎng)絡(luò)資源的鏈接地址�,包括 第二行為檢測器�����,被配置為對網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測,將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測���; 第二獲取器�,被配置為獲取所述服務(wù)器端設(shè)備至少基于所述第二行為檢測器提供的可疑鏈接確定的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合����,所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機(jī)名的集合; 第二鏈接檢測器����,被配置為根據(jù)所述第二獲取器獲取的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合檢測出新的可疑鏈接,并將所述新的可疑鏈接傳輸至所述服務(wù)器端設(shè)備進(jìn)行檢測及更新相關(guān)惡意值��,所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險(xiǎn)惡意網(wǎng)站主機(jī)名集合��。
18.一種用于檢測惡意鏈接的系統(tǒng)��,包括服務(wù)器端設(shè)備和客戶端設(shè)備 所述服務(wù)器端設(shè)備包括如權(quán)利要求14所述的網(wǎng)絡(luò)安全管理設(shè)備�����,所述客戶端設(shè)備包括如權(quán)利要求15所述的檢測設(shè)備; 或者����, 所述服務(wù)器端設(shè)備包括如權(quán)利要求16所述的網(wǎng)絡(luò)安全管理設(shè)備,所述客戶端設(shè)備包括如權(quán)利要求17所述的檢測設(shè)備�。
全文摘要
本發(fā)明公開了一種用于檢測惡意鏈接的設(shè)備、方法及系統(tǒng)�����。其中�����,設(shè)備包括第二行為檢測器��,被配置為對網(wǎng)絡(luò)資源的可疑行為進(jìn)行檢測�,將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行進(jìn)一步檢測;第二獲取器����,被配置為獲取服務(wù)器端設(shè)備基于第二行為檢測器提供的可疑鏈接確定的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合;第二鏈接檢測器�����,被配置為根據(jù)第二獲取器獲取的危險(xiǎn)惡意網(wǎng)站主機(jī)名集合和危險(xiǎn)惡意鏈接集合檢測出新的可疑鏈接,并將新的可疑鏈接傳輸至服務(wù)器端設(shè)備進(jìn)行檢測及更新相關(guān)惡意值�,新的可疑鏈接的內(nèi)嵌的其他鏈接命中危險(xiǎn)惡意網(wǎng)站主機(jī)名集合或危險(xiǎn)惡意鏈接集合。
文檔編號H04L29/06GK103023905SQ20121055913
公開日2013年4月3日 申請日期2012年12月20日 優(yōu)先權(quán)日2012年12月20日
發(fā)明者李曉波, 劉起 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司