[发明专利]恶意网页检测模型训练方法、恶意网页检测方法及系统

说明书

本发明实施例提供了一种恶意网页检测模型的训练方法、检测方法及系统，其中训练方法包括：获得网页的数据集及所述网页是否为恶意网页的判断结果数据；处理所述数据集；建立训练模型架构；以所述网页数据集的处理结果作为输入数据，以所述判断结果做为输出数据训练所述训练模型架构，使形成能够基于输入的网页数据处理结果而预测所述网页是否为恶意网页的检测模型。本发明实施例中的训练方法能够训练出基于输入的网络数据而简单高效地预测出对应地网页是否为恶意网页的检测模型，使通过该检测模型对网页进行预测时精度更高，同时大大简化用户对网页的预测操作。

技术领域

本发明实施例涉及网页检测领域，特别涉及一种恶意网页检测模型训练方法、恶意网页检测方法及系统。

背景技术

随着互联网技术的发展，通过网络获取信息的用户越来越多，收集个人隐私信息、组织犯罪活动创造了新机会。如各类层出不穷的欺诈钓鱼网站、包含恶意代码的网页以及色情和赌博网站等。根据卡巴斯基的统计数据显示，恶意网页在87.36％的网络攻击行为中出现并发挥作用。另据Google数据显示，Google有大约1.3％的搜索结果是链接到挂马网页或钓鱼网页的。由此可见，恶意网页攻击已经超过传统的恶意攻击形式成为当前网络安全领域所面临的最大挑战，由于恶意网页一般通过脚本语言编写，具有形式灵活多变、传播速度快、影响范围广、隐蔽性高等特点，如何高效地检测出恶意网页已经成为当今网络安全领域一个亟待解决的研究课题。

随着大数据时代的到来，每日新产生的网页数量也呈现爆炸式增长，海量的新网页不断涌入，为攻击者提供了极佳的隐蔽环境，由于受到资源和时间的限制，通过传统的检测方法，47％-83％的恶意网页需要12h后才能被发现，而大约63％的钓鱼网站在出现2h后就已经完成首次对用户的攻击行为。因此，面对每日大批涌现出的未知网页，为了更好地保障用户的上网安全，如何在有限的时间内从海量的样本中筛选出新出现的恶意样本，成了恶意网页检测面临的最大挑战。目前，针对恶意网页的检测方法主要分为两大类：动态监测技术和静态检测技术。

现有技术中有一类对恶意网页检测的方法是动态检测技术，动态检测技术主要是通过将捕捉到的HTML或JavaScript源码在虚拟环境中运行，将虚拟机用作诱饵，对待检测网页进行访问，并在访问的过程中实时检测该网页的动态行为(如超链接到其他网页、远程下载并执行可执行文件、创建注册表等)，以此来判断待测网页是否属于恶意网页。该方案的优势在于对未知网页样本，不是仅通过其显示出的文本特征进行分类，而是将其放入虚拟环境中直接运行，并且诱导其在虚拟机中脱去外壳，表现出其真实目的，因此检测的准确率极高。目前最具有代表性的动态检测方案是蜜罐检测技术。传统的蜜罐技术有低交互式服务器蜜罐和高交互式服务器蜜网，它们实际上是将故意暴露出系统漏洞的服务器，用作诱饵以吸引攻击者对其进行攻击并分析攻击者的每一步行为。动态检测技术在恶意网页检测领域的应用保证了对可疑样本判决的准确性。

基于上述内容可知，动态检测技术的缺点是显而易见的，无论是虚拟机脱壳引擎技术还是蜜罐检测技术，检测过程中的系统资源消耗和时间消耗都是十分巨大的，对于大样本集的使用场景，该方案的可行性较差。

现有技术中第二类对恶意网页检测的方法是静态检测技术，静态检测技术主要是在URL精确匹配的基础上提出了基于网页内容、域名信息、URL地址等网页属性的相似性设计和启发式规则，来对恶意网页进行识别和检测。具体的实现方案比如基于模式匹配的方案、基于启发式规则的识别方法等。它们的思路都是在获得该网页相关属性信息的基础上，不在仿真环境中实际运行该段代码，而是通过与以前样本的特征进行比较，通过不同的技术手段得出最终的结论。静态检测技术可以根据网页的属性依据现有的规则进行匹配，来识别出部分目前还未被列入黑名单的网页。因为其实现相对容易，代码执行效率较高，被广泛应用于一些主流的浏览器插件中。