一种基于URL异构性的可疑事件检测方法及系统技术方案

本发明专利技术公开了一种基于URL异构性的可疑事件检测方法及系统，首先，捕获用户发出方向的网络数据包；解析所述网络数据包，提取所述网络数据包中的URL；基于知识库中的检测规则来判断所述URL是否是高度可疑事件，若是，则进行深度检测，否则利用预设的检测方案进行检测；所述检测规则根据需要添加或删除，包括：判断所述URL请求的服务器端口是否为系统保留端口，若是，则是安全事件，否则是高度可疑事件；判断所述URL的域名是否是具有实际意义的词汇，若是，则是安全事件，否则是高度可疑事件。解决了传统检测方法对于已知恶意的URL有效，对于未知的或者未捕获的URL无能为力的问题。

【技术实现步骤摘要】

【技术保护点】
一种基于URL异构性的可疑事件检测方法，其特征在于，包括：捕获用户发出方向的网络数据包；解析所述网络数据包，提取所述网络数据包中的URL；基于知识库中的检测规则来判断所述URL是否是高度可疑事件，若是，则进行深度检测，否则利用预设的检测方案进行检测；所述检测规则根据需要添加或删除，包括：判断所述URL请求的服务器端口是否为系统保留端口，若是，则是安全事件，否则是高度可疑事件；判断所述URL的域名是否是具有实际意义的词汇，若是，则是安全事件，否则是高度可疑事件。

【技术特征摘要】

【专利技术属性】
技术研发人员：童志明，沈长伟，张栗伟，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23