[发明专利]恶意网址的识别方法和装置

说明书

技术领域

本发明涉及通信网络技术领域，特别涉及一种恶意网址的识别方法和装置。

背景技术

为了确保网络安全，必须对网络中的恶意网址进行识别。现在业界的恶意网址识别方法主要基于静态，一种方法为基于静态（如hosts）文件的恶意地址判断，其将恶意网址存放在文本型文件（如HOSTS）中后，对浏览器或聊天工具中的数据进行匹配判断；另一种方法为基于散列值的恶意地址判断，其将提取恶意网址的散列值并保存，利用散列值对网络数据进行匹配判断。

上述现有的恶意网址识别技术至少存在如下缺点：

现有方案都是将恶意网址的信息预先保存在固定的特征库（如黑白名单）中，特征库需要人工进行识别和更新，更新时间长，速度慢，导致特征库中存在大量无效数据，既容易封杀合法无害的网站，造成“误杀”，也无法应付快速出现的恶意网站，易于产生“漏杀”现象。

然而，恶意网站传播在最开始时间段，最具破坏能力和传播能力,通常挂马网站或钓鱼网站的存活时间，大多只有几小时或几天，现有固定黑白名单的静态识别模式，已经无法阻止现实中恶意网址的快速传播根本无法达到预期安全目标。

发明内容

本发明提供了一种恶意网址的识别方法和装置，以解决现有业界方案特征库更新缓慢而导致无法及时识别快速出现的恶意网站的问题。

为达到上述目的，本发明实施例采用了如下技术方案：

本发明实施例提供了一种恶意网址的识别方法，所述方法包括：

对出现在设备中的消息实时进行捕获，所述消息包括即时通信IM消息、邮件和网页中的一种或多种；

提取所捕获的消息的统一资源定位符URL；

当判断所述URL为可疑URL时，根据该URL所在的消息的内容和该URL对应的页面资源识别出恶意网址。

本发明实施例还提供了一种恶意网址的识别装置，所述装置包括：

实时捕获单元，用于对出现在设备中的消息实时进行捕获，所述消息包括即时通信IM消息、邮件和网页中的一种或多种；

URL提取单元，用于提取所捕获消息中的统一资源定位符URL；

识别单元，用于当判断所述URL为可疑URL时，根据该URL所在的消息的内容和该URL对应的页面资源识别出恶意网址。

本发明实施例的有益效果是：

本发明实施例能够对恶意网址的特征库自动快速地更新，提高了对恶意网址识别的准确性和有效性。且本方案能够实时识别出新出现的恶意网站，在恶意网址传播的初期切断其传播能力，及时阻止恶意网址的传播和危害。

附图说明

图1为本发明实施例一提供的一种恶意网址的识别方法流程图；

图2为本发明实施例二提供的一种恶意网址的识别方法流程图；

图3为本发明实施例三提供的一种恶意网址的识别装置结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

参见图1，为本发明实施例一提供的一种恶意网址的识别方法，该方法包括：

11：对出现在设备中的消息实时进行捕获，消息可为即时通信（IM）消息、邮件、网页等多种形式。

上述设备为网络或系统中具有集中处理（如集中转发）大量消息能力的设备，如该服务器可以为用于转发网页数据或邮件的网关服务器/核心交换机，每当有消息经过该服务器时，对该消息进行捕获。

根据设备所位于的网络平台的不同，上述消息也不同，例如上述消息可以为即时通信聊天消息、论坛、邮件或微博消息等。

12：提取所捕获的消息中的统一资源定位符(Uniform/Universal Resource Locator，URL)。

本实施例中主要对消息中携带的URL进行提取，并根据提取的URL进行恶意网址的识别，可以理解，需要时，也可以基于消息发送端和接收端的URL对恶意网址进行识别。

13：判断所述URL是否为可疑URL，若否，执行步骤14，若是，执行步骤15。

14：确认该URL为正常网址，允许该URL。

15：当判断出所述URL为可疑URL时，根据该URL所在的消息的内容和该URL对应的页面资源识别出恶意网址。

由上所述，本发明实施例能够对恶意网址的特征库自动快速地更新，提高了对恶意网址识别的准确性和有效性。且本方案能够实时识别出新出现的恶意网站，在恶意网址传播的初期切断其传播能力，及时阻止恶意网址的传播和危害。