[发明专利]一种恶意网站的识别方法和装置

权利要求书

1.一种恶意网站的识别方法，其特征在于，包括：

提取待识别网站的URL地址和页面内容，根据所述URL地址查询URL分类库，获取相应的第一网站分类信息；其中，所述URL分类库存储URL地址样本与网站分类信息的映射关系，所述第一网站分类信息从所述网站分类信息中确定；

根据设定的匹配策略，将所述页面内容与预先创建的内容识别模板进行匹配，确定与所述页面内容相匹配的内容识别模板对应的第二网站分类信息；

比较所述第一网站分类信息与所述第二网站分类信息是否相同，当所述第一网站分类信息与所述第二网站分类信息不同时，判定所述待识别网站为恶意网站。

2.根据权利要求1所述的方法，其特征在于，所述网站分类信息包括站点数据对应的站点分类，以及路径数据对应的路径分类；

根据所述URL地址查询URL分类库，获取相应的第一网站分类信息，包括：

根据所述URL地址的字段信息，查询与所述字段信息相匹配的站点数据，以及所述站点数据对应的站点分类；

判断相匹配的站点数据在所述站点分类下是否存在与URL地址中的路径字段一致的路径数据，在所述站点数据中所述路径数据对应有路径分类，根据判断结果，将所述站点分类或者所述路径分类作为所述URL地址的第一网站分类信息。

3.根据权利要求2所述的方法，其特征在于，所述字段信息包括主机名称、至少一级域名和域名对应的IP地址；

根据所述URL地址的字段信息，查询与所述字段信息相匹配的站点数据，包括：

从所述URL地址的当前字段信息开始，递归式查询与所述当前字段信息相匹配的站点数据，直至查询到与所述当前字段信息相匹配的站点数据；其中，所述当前字段信息的取值依次为所述主机名称、非顶级域名外的其他级域名、所述IP地址和顶级域名；在所述其他级域名包括多级域名时，则按照域名级别由低到高的顺序，将所述多级域名依次作为所述当前字段信息。

4.根据权利要求2所述的方法，其特征在于，根据判断结果，将所述站点分类或者所述路径分类作为所述URL地址的第一网站分类信息，包括：

如果相匹配的站点数据在站点分类下不存在与URL地址中的路径字段一致的路径数据，则将所述站点分类作为所述URL地址的第一网站分类信息；

如果相匹配的站点数据在站点分类下存在与URL地址中的路径字段一致的路径数据，则将所述路径分类作为所述URL地址的第一网站分类信息。

5.根据权利要求1所述的方法，其特征在于，所述第二网站分类信息包括网站类型，所述方法还包括：

获取隶属于设定网站类型的网站样本的页面内容，从所述网站样本的页面内容中提取关键词；

根据所述关键词以及对应的权重，创建相应网站类型的所述内容识别模板。

6.根据权利要求5所述的方法，其特征在于，所述匹配策略包括：所述待识别网站的页面内容与所述内容识别模板的关键词相匹配；

将所述页面内容与预先创建的内容识别模板进行匹配，包括：

统计所述待识别网站的页面内容中所包含的当前内容识别模板的关键词，将统计出的关键词对应的权重求和，得到总权重；

将所述总权重与设定权重阈值进行比较，当所述总权重大于等于所述权重阈值时，判定所述待识别网站的页面内容与所述当前内容识别模板相匹配。

7.根据权利要求1至6的任一项所述的方法，其特征在于，所述方法还包括：

从所述URL分类库中抽取多个URL地址样本，基于抽取的所述URL地址样本对机器学习模型进行训练，得到分类识别模型；

将新URL地址样本输入所述分类识别模型，得到所述新URL地址样本的分类预测结果；

将所述分类预测结果与设定预测阈值进行比较，根据比较结果，将所述新URL地址样本和对应的分类预测结果更新到所述URL分类库；其中，所述分类预测结果即所述网站分类信息。