一种恶意网址检测方法、装置、设备及可读存储介质制造方法及图纸

本发明专利技术公开了一种恶意网址检测方法、装置、设备及可读存储介质，该方法包括：获取待检测网址；提取待检测网址对应的流量分析标识信息；其中，流量分析标识信息包括待检测网址在对应的流量分析平台中的标识；根据流量分析标识信息和预设恶意标识信息，确定待检测网址的网址类型；本发明专利技术通过根据流量分析标识信息和预设恶意标识信息，确定待检测网址的网址类型，利用不同恶意网址在流量分析平台中的标识之间的关联关系，实现恶意网址的准确检测，降低了恶意网址检测的误报率，可以避免主机信息和词汇语法等静态内容的统计和机器学习模型的使用，解决了现有的恶意网址检测中静态内容统计的特征可解释性差和机器学习模型的误检率高的缺陷。率高的缺陷。率高的缺陷。

【技术实现步骤摘要】
一种恶意网址检测方法、装置、设备及可读存储介质


[0001]本专利技术涉及计算机
，特别涉及一种恶意网址检测方法、装置、设备及可读存储介质。

技术介绍

[0002]目前，恶意网址的检测技术往往通过从网页中提取主机信息和词汇语法等静态统计特征，并通过机械学习模型实现网址的识别分类，如良性网址和恶意网址。然而如主机信息和词汇语法等的静态内容的特征可解释性差，同时易受到恶意网站躲避机制的干扰；并且机器学习模型通常需要利用大量符合真实分布的标注数据进行训练，同时识别中具有较高的误检率；而且现有的恶意网址的检测往往仅关注对恶意网站的识别分类，忽视了不同网址之间存在的潜在关联。
[0003]因此，如何能够通过对不同网址之间的潜在关联关系的挖掘利用，实现对恶意网址的准确检测，解决现有的恶意网址检测中静态内容统计的特征可解释性差和机器学习模型的误检率高的缺陷，是现今急需解决的问题。

技术实现思路

[0004]本专利技术的目的是提供一种恶意网址检测方法、装置、设备及可读存储介质，通过流量分析标识信息的利用，有效挖掘不同网址之间的潜在关联关系，实现对恶意网址的准确检测。
[0005]为解决上述技术问题，本专利技术提供一种恶意网址检测方法，包括：
[0006]获取待检测网址；
[0007]提取所述待检测网址对应的流量分析标识信息；其中，所述流量分析标识信息包括所述待检测网址在对应的流量分析平台中的标识；
[0008]根据所述流量分析标识信息和预设恶意标识信息，确定所述待检测网址的网址类型；其中，所述网址类型包括恶意网址和良性网址，所述预设恶意标识信息包括各流量分析平台中的恶意网址标识。
[0009]本方案中，利用不同恶意网址在流量分析平台中的标识之间的关联关系，实现恶意网址的准确检测，降低了恶意网址检测的误报率，可以避免主机信息和词汇语法等静态内容的统计和机器学习模型的使用，解决了现有的恶意网址检测中静态内容统计的特征可解释性差和机器学习模型的误检率高的缺陷。
[0010]优选的，所述标识为流量分析平台ID时，所述提取所述待检测网址对应的流量分析标识信息，包括：
[0011]模拟多种版本的浏览器访问待检测网址；
[0012]爬取所述待检测网址对应的页面HTML内容；
[0013]从所述页面HTML内容中提取所述流量分析平台ID。
[0014]本方案中，通过模拟不同版本的浏览器实现页面HTML内容的爬取，提取其中的流
量分析平台ID，实现对待检测网址在流量分析平台中的标识的准确提取。
[0015]优选的，所述提取所述待检测网址对应的流量分析标识信息之前，还包括：
[0016]检测所述待检测网址是否为黑名单网址；
[0017]若是，则确定所述待检测网址的网址类型为所述恶意网址；
[0018]若否，则执行所述提取所述待检测网址对应的流量分析标识信息的步骤。
[0019]本方案中，利用黑名单网址对待检测网址进行初步过滤，减少了不必要的计算量，提高了恶意网址的检测效率。
[0020]优选的，所述预设恶意标识信息包括每个所述恶意网址标识对应的预设置信度时，所述根据所述流量分析标识信息和预设恶意标识信息，确定所述待检测网址的网址类型，包括：
[0021]检测所述流量分析标识信息中是否存在匹配标识；其中，每个所述匹配标识与所述预设恶意标识信息中属于同一流量分析平台的一个所述恶意网址标识相同；
[0022]若不存在所述匹配标识，则确定所述待检测网址的网址类型为所述良性网址；
[0023]若存在所述匹配标识，则根据所述流量分析标识信息中的全部所述匹配标识各自对应的预设置信度，确定所述待检测网址的网址类型。
[0024]本方案中，利用流量分析标识信息所匹配到的预设恶意标识对应的预设置信度，对待检测网址的网址类型进行检测，通过预先设置的预设恶意标识对应的置信度，保证了恶意网址检测的准确性。
[0025]优选的，所述根据所述流量分析标识信息中的全部所述匹配标识各自对应的预设置信度，确定所述待检测网址的网址类型，包括：
[0026]判断所述流量分析标识信息中的全部所述匹配标识各自对应的预设置信度之和是否大于阈值；
[0027]若大于所述阈值，则确定所述待检测网址的网址类型为所述恶意网址；
[0028]若小于或等于所述阈值，则确定所述待检测网址的网址类型为所述良性网址。
[0029]本方案中，利用流量分析标识信息所匹配到的全部预设恶意标识对应的预设置信度之和与阈值的比较，确定待检测网址的网址类型，能够在保证恶意网址检测的准确性的基础上，提高检测速度。
[0030]优选的，所述若小于或等于所述阈值，则确定所述待检测网址的网址类型为所述良性网址，包括：
[0031]在所述流量分析标识信息中的全部所述匹配标识各自对应的预设置信度之和小于或等于所述阈值时，利用低交互蜜罐系统在浏览器中所述待检测网址对应的页面进行页面点击操作，并监测所述页面中的是否出现异常行为；
[0032]若出现异常行为，则确定所述待检测网址的网址类型为所述恶意网址；
[0033]若未出现异常行为，则确定所述待检测网址的网址类型为所述良性网址。
[0034]本方案中，利用低交互蜜罐系统对难以确定网址类型的待检测网址进行进一步的检测，进一步提升恶意网址检测的准确性，降低恶意网址检测的误报率。
[0035]优选的，所述根据所述流量分析标识信息和预设恶意标识信息，确定所述待检测网址的网址类型，包括：
[0036]判断所述流量分析标识信息中是否存在匹配标识；其中，每个所述匹配标识与所
述预设恶意标识信息中属于同一流量分析平台的一个所述恶意网址标识相同；
[0037]若是，则确定所述待检测网址的网址类型为所述恶意网址；
[0038]若否，则确定所述待检测网址的网址类型为所述良性网址。
[0039]本方案中，通过检测流量分析标识信息与预设恶意标识的匹配情况，对待检测网址的网址类型进行快速检测，提高了恶意网址检测的速度。
[0040]优选的，该方法还包括：所述预设恶意标识信息的配置过程；
[0041]其中，所述预设恶意标识信息的配置过程，包括：
[0042]获取恶意网址数据库中的预设恶意网址；
[0043]提取所述预设恶意网址对应的原始恶意标识信息；其中，所述原始恶意标识信息包括所述预设恶意网址在对应的流量分析平台中的标识；
[0044]利用预设良性标识信息，对所述原始恶意标识信息进行过滤，得到过滤恶意标识信息；其中，所述预设良性标识信息包括各流量分析平台中的良性网址标识，所述过滤恶意标识信息中不包括与所述良性网址标识相同且属于同一的流量分析平台的标识；
[0045]对所述过滤恶意标识信息中的标识对应的预设恶意网址进行病毒检测，并利用目标预设恶意网址对应的标识，对所述过滤恶意标识信息进行过滤，得到目本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意网址检测方法，其特征在于，包括：获取待检测网址；提取所述待检测网址对应的流量分析标识信息；其中，所述流量分析标识信息包括所述待检测网址在对应的流量分析平台中的标识；根据所述流量分析标识信息和预设恶意标识信息，确定所述待检测网址的网址类型；其中，所述网址类型包括恶意网址和良性网址，所述预设恶意标识信息包括各流量分析平台中的恶意网址标识。2.根据权利要求1所述的恶意网址检测方法，其特征在于，所述标识为流量分析平台ID时，所述提取所述待检测网址对应的流量分析标识信息，包括：模拟多种版本的浏览器访问待检测网址；爬取所述待检测网址对应的页面HTML内容；从所述页面HTML内容中提取所述流量分析平台ID。3.根据权利要求1所述的恶意网址检测方法，其特征在于，所述提取所述待检测网址对应的流量分析标识信息之前，还包括：检测所述待检测网址是否为黑名单网址；若是，则确定所述待检测网址的网址类型为所述恶意网址；若否，则执行所述提取所述待检测网址对应的流量分析标识信息的步骤。4.根据权利要求1所述的恶意网址检测方法，其特征在于，所述预设恶意标识信息包括每个所述恶意网址标识对应的预设置信度时，所述根据所述流量分析标识信息和预设恶意标识信息，确定所述待检测网址的网址类型，包括：检测所述流量分析标识信息中是否存在匹配标识；其中，每个所述匹配标识与所述预设恶意标识信息中属于同一流量分析平台的一个所述恶意网址标识相同；若不存在所述匹配标识，则确定所述待检测网址的网址类型为所述良性网址；若存在所述匹配标识，则根据所述流量分析标识信息中的全部所述匹配标识各自对应的预设置信度，确定所述待检测网址的网址类型。5.根据权利要求4所述的恶意网址检测方法，其特征在于，所述根据所述流量分析标识信息中的全部所述匹配标识各自对应的预设置信度，确定所述待检测网址的网址类型，包括：判断所述流量分析标识信息中的全部所述匹配标识各自对应的预设置信度之和是否大于阈值；若大于所述阈值，则确定所述待检测网址的网址类型为所述恶意网址；若小于或等于所述阈值，则确定所述待检测网址的网址类型为所述良性网址。6.根据权利要求5所述的恶意网址检测方法，其特征在于，所述若小于或等于所述阈值，则确定所述待检测网址的网址类型为所述良性网址，包括：在所述流量分析标识信息中的全部所述匹配标识各自对应的预设置信度之和小于或等于所述阈值时，利用低交互蜜罐系统在浏览器中所述待检测网址对应的页面进行页面点击操作，并监测所述页面中的是否出现异常行为；若出现异常行为，则确定所述待检测网址的网址类型为所述恶意网址；若未出现异常行为，则确定所述待检测网址的网址类型为所述良性网址。
7.根据权利要求1所述的恶意网址检测方法，其特征在于，所述根据所述流量分析标识信息和预设恶意标识信息，确定所述待检测网址的网址类型，包括：判断所述流量分析标识信息中是否存在匹配标识；其中，每个所述匹配标识与所述预设恶意标识信息中属于同一流量分析平台的一个所述恶意网址标识相同；若是，则确定所述待检测网址的网址类型为所述恶意网址；若否，则确定所述待检测网址的网址类型为所述良性网址。8.根据权利要求1至7任一项所述的恶意网址检测方法，其特征在于，还包括：...

【专利技术属性】
技术研发人员：李峰，金星，闫凡，郜振锋，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：