一种多态URL检测方法、装置及存储介质制造方法及图纸

本发明专利技术提出一种多态URL检测方法、装置及存储介质，所述方法包括：获取已知URL并进行分类，确认每一类URL的灰度及阈值；对待检测URL进行解析归类，根据对应类别URL的灰度值，得到待检测URL的灰度，并根据阈值，确定该URL是否为恶意；并将结果规范化输出；对于未检出的URL，则直接检测该URL。同时该方法还定期对所检测过的URL进行传统方法检测，来对灰度及阈值进行调整，提高检测结果的准确度。通过本发明专利技术方法及装置，能够通过对多态URL进行精确识别和分类，对每类URL进行检测，大大降低了误报的可能性。

A polymorphic URL detection method, device and storage medium

【技术实现步骤摘要】
一种多态URL检测方法、装置及存储介质
本专利技术涉及网络安全
，特别涉及一种多态URL检测方法、装置及存储介质。
技术介绍
随着计算机的更新换代及互联网的普及，恶意URL也相应发生着演变，无论是在数量上，还是种类上，都呈现出较高的增长趋势。传统的启发式检测方法，需要进行复杂的逻辑分析，或虚拟环境来动态执行URL链接，因此具有大概率、大范围误报的可能。
技术实现思路
基于上述问题，本申请提出了一种多态URL检测方法、装置及存储介质，通过聚类分析方法，对多态URL进行精确识别和分类，从而对每类URL进行检测，大大降低了误报的可能。本申请中所述的多态URL，是指通过聚类分析得到的，具有相同格式，包括但不限于主机名(hostname)、路径(path)、参数(parameters)等等方面的内容具有一致性的，参数值不同的URL，所述URL包含但不限于挂马类URL。首先，本专利技术提出一种多态URL检测方法，包括：获取已知恶意URL并进行聚类分析，将具有相同格式，不同参数值的URL归一化处理，归为同一类别；分别设定每个URL类别的灰度值及阈值，建立知识库；获取待检测URL，对所述待检测URL进行解析；判断所述待检测URL是否与知识库中任一URL类别匹配；若匹配，则根据知识库，确认所述待检测URL对应URL类别的灰度值，判断所述灰度值是否大于阈值，如果是，则判定所述待检测URL为恶意；否则，判定所述待检测URL非恶意；将检测结果规范化输出，并将待检测URL及检测结果存储到知识库中；若不匹配，则对所述待检测URL进行常规检测，判断所述待检测URL是否为恶意，如果是，则将所述待检测URL作为新类别加入知识库。所述的方法中，判断所述待检测URL是否与知识库中任一URL类别匹配，具体为：将所述待检测URL归一化处理，并与知识库中每一类别URL归一化处理结果对比，若相同，则匹配。所述的方法中，将所述待检测URL作为新分类加入知识库，具体为：将所述待检测URL归一化处理结果作为新类别存储到知识库，并设定灰度值及阈值。所述的方法中，所述灰度值，为根据每个URL类别中恶意URL的比例，确定的值；所述阈值，为根据每个URL类别的威胁程度，设定的灰度值的阈值。上述的任一方法中，还包括：根据预设周期，对知识库中的URL进行检测，并根据检测结果调整灰度值及阈值。本专利技术还相应提出一种多态URL检测装置，包括：存储器和处理器；所述存储器可存储在处理器上运行的计算机程序；所述处理器在运行计算机程序时，实现如下步骤：获取已知恶意URL并进行聚类分析，将具有相同格式，不同参数值的URL归一化处理，归为同一类别；分别设定每个URL类别的灰度值及阈值，建立知识库；获取待检测URL，对所述待检测URL进行解析；判断所述待检测URL是否与知识库中任一URL类别匹配；若匹配，则根据知识库，确认所述待检测URL对应URL类别的灰度值，判断所述灰度值是否大于阈值，如果是，则判定所述待检测URL为恶意；否则，判定所述待检测URL非恶意；将检测结果规范化输出，并将待检测URL及检测结果存储到知识库中；若不匹配，则对所述待检测URL进行常规检测，判断所述待检测URL是否为恶意，如果是，则将所述待检测URL作为新类别加入知识库。所述的装置中，判断所述待检测URL是否与知识库中任一URL类别匹配，具体为：将所述待检测URL归一化处理，并与知识库中每一类别URL归一化处理结果对比，若相同，则匹配。所述的装置中，将所述待检测URL作为新分类加入知识库，具体为：将所述待检测URL归一化处理结果作为新类别存储到知识库，并设定灰度值及阈值。所述的装置中，所述灰度值，为根据每个URL类别中恶意URL的比例，确定的值；所述阈值，为根据每个URL类别的威胁程度，设定的灰度值的阈值。上述任一所述的装置中，还包括：根据预设周期，对知识库中的URL进行检测，并根据检测结果调整灰度值及阈值。一种多态URL检测装置，包括：知识库模块，获取已知恶意URL并进行聚类分析，将具有相同格式，不同参数值的URL归一化处理，归为同一类别；分别设定每个URL类别的灰度值及阈值，建立知识库；获取模块，获取待检测URL，对所述待检测URL进行解析；判断模块，判断所述待检测URL是否与知识库中任一URL类别匹配；若匹配，则根据知识库，确认所述待检测URL对应URL类别的灰度值，判断所述灰度值是否大于阈值，如果是，则判定所述待检测URL为恶意；否则，判定所述待检测URL非恶意；将检测结果规范化输出，并将待检测URL及检测结果存储到知识库中；检测模块，若不匹配，则对所述待检测URL进行常规检测，判断所述待检测URL是否为恶意，如果是，则将所述待检测URL作为新类别加入知识库。本专利技术还提出一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的多态URL检测方法。本专利技术的优势在于，能够通过聚类分析的方法，可多态URL进行分类，并依据分类进行识别和判定，并且灰度值可以根据定期对URL的精确检测进行调整，同时根据某一类URL的恶意程度来修改阈值，实现了对未知URL的检测，同时大大降低了误报的可能。本专利技术提出一种多态URL检测方法、装置及存储介质，所述方法包括：获取已知URL并进行分类，确认每一类URL的灰度及阈值；对待检测URL进行解析归类，根据所述类别URL的灰度值，得到待检测URL的灰度，并根据阈值，确定该URL是否为恶意；并将结果规范化输出；对于未检出的URL，则直接检测该URL。同时该方法还定期对所检测过的URL进行传统方法检测，来对灰度及阈值进行调整，提高检测结果的准确度。通过本专利技术方法及装置，能够通过对多态URL进行精确识别和分类，对每类URL进行检测，大大降低了误报的可能性。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术一种多态URL检测方法流程图；图2为本专利技术一种多态URL检测装置实施例结构示意图；图3为本专利技术一种多态URL检测装置实施例结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明。本申请中所述的多态URL，是指通过聚类分析得到的，具有相同格式，包括但不限于主机名(hostname)、路径(path)、参数(parameters)等等方面的内容具有一致性的，参数值不同的URL，所述URL包含但不限于挂马类URL，挂马类U本文档来自技高网...

【技术保护点】
1.一种多态URL检测方法，其特征在于，包括：/n获取已知恶意URL并进行聚类分析，将具有相同格式，不同参数值的URL归一化处理，归为同一类别；/n分别设定每个URL类别的灰度值及阈值，建立知识库；/n获取待检测URL，对所述待检测URL进行解析；/n判断所述待检测URL是否与知识库中任一URL类别匹配；若匹配，则根据知识库，确认所述待检测URL对应URL类别的灰度值，判断所述灰度值是否大于阈值，如果是，则判定所述待检测URL为恶意；否则，判定所述待检测URL非恶意；将检测结果规范化输出，并将待检测URL及检测结果存储到知识库中；/n若不匹配，则对所述待检测URL进行常规检测，判断所述待检测URL是否为恶意，如果是，则将所述待检测URL作为新类别加入知识库。/n

【技术特征摘要】
1.一种多态URL检测方法，其特征在于，包括：
获取已知恶意URL并进行聚类分析，将具有相同格式，不同参数值的URL归一化处理，归为同一类别；
分别设定每个URL类别的灰度值及阈值，建立知识库；
获取待检测URL，对所述待检测URL进行解析；
判断所述待检测URL是否与知识库中任一URL类别匹配；若匹配，则根据知识库，确认所述待检测URL对应URL类别的灰度值，判断所述灰度值是否大于阈值，如果是，则判定所述待检测URL为恶意；否则，判定所述待检测URL非恶意；将检测结果规范化输出，并将待检测URL及检测结果存储到知识库中；
若不匹配，则对所述待检测URL进行常规检测，判断所述待检测URL是否为恶意，如果是，则将所述待检测URL作为新类别加入知识库。


2.如权利要求1所述的方法，其特征在于，判断所述待检测URL是否与知识库中任一URL类别匹配，具体为：将所述待检测URL归一化处理，并与知识库中每一类别URL归一化处理结果对比，若相同，则匹配。


3.如权利要求1所述的方法，其特征在于，将所述待检测URL作为新类别加入知识库，具体为：将所述待检测URL归一化处理结果作为新类别存储到知识库，并设定灰度值及阈值。


4.如权利要求3所述的方法，其特征在于，所述灰度值，为根据每个URL类别中恶意URL的比例确定的值；所述阈值，为根据每个URL类别的威胁程度，设定的灰度值的阈值。


5.如权利要求1至4任一所述的方法，其特征在于，还包括：根据预设周期，对知识库中的URL进行检测，并根据检测结果调整灰度值及阈值。


6.一种多态URL检测装置，其特征在于，包括：存储器和处理器；
所述存储器可存储在处理器上运行的计算机程序；
所述处理器在运行计算机程序时，实现如下步骤：
获取已知恶意URL并进行聚类分析，将具有相同格式，不同参数值的URL归一化处理，归为同一类别；
分别设定每个URL类别的灰度值及阈值，建立知识库；
获取待检测URL，对所述待检测URL进行解析；
判断所述待检测URL是否与知识库中任一URL类别匹配；若匹配，则根据知识库，确认所述待检测URL对应URL类别的灰度值...

【专利技术属性】
技术研发人员：李增光，童志明，何公道，
申请(专利权)人：哈尔滨安天科技集团股份有限公司，
类型：发明
国别省市：黑龙;23