本发明专利技术实施例提供了一种恶意网站的识别方法和装置,所述方法包括:在服务器侧对至少两种识别引擎进行识别能力检测;当检测到所述识别能力不满足预设条件时,对所述至少两种识别引擎进行优化处理;采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别,以判断所述未知网站是否为恶意网站。通过本发明专利技术实施例,能够自动检测识别引擎的识别能力,并对识别能力不满足预设条件的识别引擎进行优化处理,提升了识别引擎的可靠性,且采用优化处理后的至少两种识别引擎进行交叉识别,保证了恶意网站识别的准确性。
A method and device for identifying malicious websites
【技术实现步骤摘要】
一种恶意网站的识别方法和装置
本专利技术涉及网络安全
,特别是涉及一种恶意网站的识别方法和装置。
技术介绍
恶意网站是指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马等的非法网站,在通常情况下,恶意网站是以某种网页形式让人们正常浏览页面内容,同时非法获取用户计算机中的各种数据。如今,恶意网站是影响用户网络环境的主要因素,对恶意网站的识别也已经成为保证网络安全的重要工作之一。在现有技术中,可以通过调用识别引擎的接口,采用识别引擎对恶意网站进行识别。然而,随着恶意网站的不断更新,识别引擎无法及时进行更新,导致误报率较高。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种恶意网站的识别方法和相应的一种恶意网站的识别装置。第一方面,本专利技术实施例提供了一种恶意网站的识别方法,所述方法包括:在服务器侧对至少两种识别引擎进行识别能力检测;当检测到所述识别能力不满足预设条件时,对所述至少两种识别引擎进行优化处理;采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别,以判断所述未知网站是否为恶意网站。可选地,所述在服务器侧对至少两种识别引擎进行识别能力检测的步骤包括:采用至少两种识别引擎对多个已知网站进行识别;其中,所述多个已知网站为可疑恶意网站;针对每种识别引擎,确定对所述多个已知网站进行识别的误报率;当所述误报率大于阈值时,判定所述误报率对应的识别引擎的识别能力不满足预设条件。可选地,所述采用至少两种识别引擎对多个已知网站进行识别的步骤包括:分别获取多个已知网站的基础数据;调用至少两种识别引擎的接口,对所述基础数据进行检测;当检测到所述基础数据命中预设的恶意规则时,则识别所述基础数据对应的已知网站为恶意网站。可选地,所述当检测到所述识别能力不满足预设条件时,对所述至少两种识别引擎进行优化处理的步骤包括:确定所述识别能力不满足预设条件的识别引擎的引擎类型;其中,所述引擎类型包括规则引擎或者学习引擎;当所述引擎类型为规则引擎时,对所述规则引擎增加识别规则;当所述引擎类型为学习引擎时,对所述学习引擎增加样本数据。可选地,所述当所述引擎类型为规则引擎时,对所述规则引擎增加识别规则的步骤包括:从所述多个已知网站中,确定目标网站;其中,所述目标网站为所述识别能力不满足预设条件的识别引擎误报的网站;依据所述目标网站的基础数据,生成对应的识别规则;将所述识别规则加入所述识别能力不满足预设条件的识别引擎中。可选地,所述当所述引擎类型为学习引擎时,对所述学习引擎增加样本数据的步骤包括:从所述多个已知网站中,确定目标网站;其中,所述目标网站为所述识别能力不满足预设条件的识别引擎误报的网站;从所述目标网站的基础数据中提取部分基础数据,作为样本数据;将所述样本数据加入所述所述识别能力不满足预设条件的识别引擎中,以采用所述样本数据进行更新。可选地,所述采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别,以判断所述未知网站是否为恶意网站的步骤包括:接收客户端侧发送的识别请求,所述识别请求包括未知网站的标识;在所述服务器侧采用所述优化处理后的至少两种识别引擎对所述未知网站进行识别。可选地,所述采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别,以判断所述未知网站是否为恶意网站的步骤包括:基于所述优化处理后的至少两种识别引擎,对客户端侧的至少两种识别引擎进行优化同步,并在所述客户端侧采用所述优化同步后至少两种识别引擎对未知网站进行识别。可选地,还包括:当识别所述未知网站为恶意网站时,在所述客户端侧对所述未知网站进行拦截。可选地,所述多个已知网站包括被举报的网站,所述基础数据至少包括如下一项:URL、HTML文本、标识图片。第二方面,本专利技术实施例还提供了一种恶意网站的识别装置,所述装置包括:识别能力检测模块,适于在服务器侧对至少两种识别引擎进行识别能力检测;优化处理模块,适于当检测到所述识别能力不满足预设条件时,对所述至少两种识别引擎进行优化处理;未知网站识别模块,适于采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别,以判断所述未知网站是否为恶意网站。可选地,所述识别能力检测模块包括:已知网站识别子模块,适于采用至少两种识别引擎对多个已知网站进行识别;其中,所述多个已知网站为可疑恶意网站;误报率确定子模块,适于针对每种识别引擎,确定对所述多个已知网站进行识别的误报率;预设条件判定子模块,适于当所述误报率大于阈值时,判定所述误报率对应的识别引擎的识别能力不满足预设条件。可选地,所述已知网站识别子模块包括:基础数据获取单元,适于分别获取多个已知网站的基础数据;基础数据检测单元,适于调用至少两种识别引擎的接口,对所述基础数据进行检测;恶意网站识别单元,适于当检测到所述基础数据命中预设的恶意规则时,则识别所述基础数据对应的已知网站为恶意网站。可选地,所述优化处理模块包括:引擎类型确定子模块,适于确定所述识别能力不满足预设条件的识别引擎的引擎类型;其中,所述引擎类型包括规则引擎或者学习引擎;识别规则增加子模块,适于当所述引擎类型为规则引擎时,对所述规则引擎增加识别规则;样本数据增加子模块,适于当所述引擎类型为学习引擎时,对所述学习引擎增加样本数据。可选地,所述识别规则增加子模块包括:目标网站确定单元,适于从所述多个已知网站中,确定目标网站;其中,所述目标网站为所述识别能力不满足预设条件的识别引擎误报的网站;识别规则生成单元,适于依据所述目标网站的基础数据,生成对应的识别规则;识别规则加入单元,适于将所述识别规则加入所述识别能力不满足预设条件的识别引擎中。可选地,所述样本数据增加子模块包括:目标网站确定单元,适于从所述多个已知网站中,确定目标网站;其中,所述目标网站为所述识别能力不满足预设条件的识别引擎误报的网站;样本数据提取单元,适于从所述目标网站的基础数据中提取部分基础数据,作为样本数据;样本数据加入单元,适于将所述样本数据加入所述所述识别能力不满足预设条件的识别引擎中,以采用所述样本数据进行更新。可选地,所述未知网站识别模块包括:识别请求接收子模块,适于接收客户端侧发送的识别请求,所述识别请求包括未知网站的标识;服务器侧识别子模块,适于在所述服务器侧采用所述优化处理后的至少两种识别引擎对所述未知网站进行识别。可选地,所述未知网站识别模块包括:客户端侧识别子模块,适于基于所述优化处理后的至少两种识别引擎,对客户端侧的至少两种识别引擎进行优化同步,并在所述客户端侧采用所述优化同步后至少两种识别引擎对未知网站进行识别。可选地,还包括:未知网站拦截模块,适于当识别所述未知网站为恶意网站时,通过所述客户端侧对所述未知网站进行拦截。可选地,所述多个已知网站包括被举报的网站,所述基础数据至少包括如下一项:URL、HTML文本、标识图片。第三方面,本专利技术实施例提供了一种终端设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法的步骤。第四方面,本专利技术实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述方法的步骤。在本专利技术实施例中,通本文档来自技高网...
【技术保护点】
1.一种恶意网站的识别方法,所述方法包括:在服务器侧对至少两种识别引擎进行识别能力检测;当检测到所述识别能力不满足预设条件时,对所述至少两种识别引擎进行优化处理;采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别,以判断所述未知网站是否为恶意网站。
【技术特征摘要】
1.一种恶意网站的识别方法,所述方法包括:在服务器侧对至少两种识别引擎进行识别能力检测;当检测到所述识别能力不满足预设条件时,对所述至少两种识别引擎进行优化处理;采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别,以判断所述未知网站是否为恶意网站。2.如权利要求1所述的方法,其特征在于,所述在服务器侧对至少两种识别引擎进行识别能力检测的步骤包括:采用至少两种识别引擎对多个已知网站进行识别;其中,所述多个已知网站为可疑恶意网站;针对每种识别引擎,确定对所述多个已知网站进行识别的误报率;当所述误报率大于阈值时,判定所述误报率对应的识别引擎的识别能力不满足预设条件。3.如权利要求2所述的方法,其特征在于,所述采用至少两种识别引擎对多个已知网站进行识别的步骤包括:分别获取多个已知网站的基础数据;调用至少两种识别引擎的接口,对所述基础数据进行检测;当检测到所述基础数据命中预设的恶意规则时,则识别所述基础数据对应的已知网站为恶意网站。4.如权利要求1或2或3所述的方法,其特征在于,所述当检测到所述识别能力不满足预设条件时,对所述至少两种识别引擎进行优化处理的步骤包括:确定所述识别能力不满足预设条件的识别引擎的引擎类型;其中,所述引擎类型包括规则引擎或者学习引擎;当所述引擎类型为规则引擎时,对所述规则引擎增加识别规则;当所述引擎类型为学习引擎时,对所述学习引擎增加样本数据。5.如权利要求4所述的方法,其特征在于,所述当所述引擎类型为规则引擎时,对所述规则引擎增加识别规则的步骤包括:从所述多个已知网站中,确定目标网站;其中,所述目标网站为所述识别能力不满足预设条件的识别引擎误报的网站;依据所述目标网站的基础数据,生成对应的识别规则;将所述识别...
【专利技术属性】
技术研发人员:郭峰,赵发全,李晓波,尹露,
申请(专利权)人:北京奇虎科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。