一种对链接进行恶意性检测的方法及装置与流程

本发明涉及网络攻击或网络安全领域，具体涉及一种对链接进行恶意性检测的方法及装置，尤其涉及一种多维度、加权值的对链接进行恶意性检测的方法及装置。

背景技术：

随着互联网的发展，越来越多的不法分子利用网络中存在着的各种漏洞，去恶意攻击或者获取别人的私密信息，导致用户不同程度的受到财产或其他方面的损失。

现在很多公司都有提供对url(Uniform Resource Locator，统一资源定位符，其是指标准资源在互联网上的地址，对该标准资源进行访问方法和获得位置的一种简单表示)恶意性行为进行检测的入口，其基本实现方案为：存在一个接口定时更新网络中存在的恶意性的url，并将之存放在数据库中，当用户想要检测某一条url是否为恶意性的url时，将该条url与数据库中存放的数据进行对比分析，如果该url存放在数据库中，判定该url为恶意性的，并返回该数据；如果不存在于数据库中，将该url代入检测接口再次进行检测，并将最后的结果进行返回。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

在进行恶意性行为判定的过程中，对比的数据库比较单一，可能因为数据库的单一性从而影响url检测结果的准确性。

输出的结果只显示该url是否为恶意性的，并没有标注是哪种恶意的url分类。

技术实现要素：

本发明实施例提供一种对链接进行恶意性检测的方法及装置，以提高恶意链接检测的准确度和可信度，并明确恶意链接的具体类型。

为达上述目的，一方面，提供一种对链接进行恶意性检测的方法，其包括：获取待检测链接；获得多个来源数据库分别对所述待检测链接的多个初步检测结果，所述初步检测结果包括所述待检测链接为安全链接、或者属于相应分类的恶意链接；将各来源数据库预分配的权值分别作为其初步检测结果对应的权值，并将结果相同的各初步检测结果的权值进行统计求和，选取权值统计和值最高的初步检测结果作为所述待检测链接的最终检测结果。

为达上述目的，另一方面，提供一种对链接进行恶意性检测的装置，其包括：输入模块，用于获取待检测链接；查询模块，用于获得多个来源数据库分别对所述待检测链接的多个初步检测结果，所述初步检测结果包括所述待检测链接为安全链接、或者属于相应分类的恶意链接；以及，检测模块，用于将各来源数据库预分配的权值分别作为其初步检测结果对应的权值，并将结果相同的各初步检测结果的权值进行统计求和，选取权值计和值最高的初步检测结果作为所述待检测链接的最终检测结果。

上述技术方案具有如下有益效果：

上术技术方案由于收集不同的数据库的来源，在对链接进行恶意性行为分析的时候，对比多个数据库，并根据数据来源的可靠性，分配不同的权值，从而得出更为准确的检测结果。另外，检测结果不仅仅反映安全链接或恶意链接，还能检测出恶意链接的具体分类。上述方案实现了对链接进行多维度、加权值的恶意性检测。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例的一种对链接进行恶意性检测的方法的流程图；

图2是本发明的实施例的另一种对链接进行恶意性检测的方法的流程图；

图3是本发明的实施例的利用更新接口进行数据库更新的示意图；

图4是本发明的实施例的作为一个举例的查询数据库的返回结果示意图；

图5是本发明的实施例的一种对链接进行恶意性检测的装置的逻辑功能框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

图1是本发明实施例的一种对链接进行恶意性检测的方法的流程图。如图1所示，该方法包括如下步骤：

步骤110：获取待检测链接。这里的链接包括url链接等。这里的链接可以是单一待检测链接，也可以是多个待检测链接，依序循环进行查询和检测，还可以是复合型的待检测链接，即内嵌有其他链接的链接数据。

步骤120：获得多个来源数据库分别对该待检测链接的多个初步检测结果，各初步检测结果包括该待检测链接为安全链接、或者属于相应分类的恶意链接。

在本实施例中，根据网络攻击或者目的的不同，可以将这些恶意攻击分为钓鱼、挂马、欺诈、违规内容、业务作弊等不同分类。其中，钓鱼：是指不法分子利用各种方式，仿造真实网站的地址及网页内容，或利用网站中存在的漏洞插入有危害的代码，用来获取用户的密码、账号等真实信息。挂马：是指在网页加载过程中能够自动运行的由不法分子恶意构造的攻击第三方插件或者浏览器的代码。欺诈：是指欺骗用户，可能存在使用户泄露个人信息或者造成财产损失的行为，例如虚假的中奖信息等。违规内容：是指违反国家法律法规的内容，例如黄、赌、毒。业务作弊：是指对互联网行业的运行造成严重干扰的行为，例如刷粉、刷信誉值、差评师、游戏外挂等。由于本步骤获取的各初步检索结果包括恶意链接的分类，增加了对恶意链接分类的标注或标识，从而相比于现有技术只显示该链接是否为恶意性的，更有利于对恶意链接的分类处理和网络安全管理。恶意链接分类标识可以是十进制数字、字母、数字字母的组合、二进制数字或者文字标识信息等。

单一数据库的恶意链接检测结果可能不够全面、客观，准确性与可信度无法有效保障。本步骤由于获取多个来源数据库对该待检测链接的多个初步检测结果，从而相比于现有技术的仅从单一数据库获取检测数据，恶意性检测分析结果更加准确，可信度更高。

在一示例性的实施例中，步骤120具体可包括如下步骤：在预先建立的链接数据库中查询，获得多个来源数据库分别对所述待检测链接的多个初步检测结果，该链接数据库中记录每一个疑似恶意链接、与多个来源数据库分别对该疑似恶意链接的多个初步检测结果之间的对应关系，该疑似恶意链接是指多个来源数据库分别对该疑似恶意链接的多个初步检测结果中，至少有一个初步检测结果不为安全链接；或者，如果在预先建立的恶意链接数据库中不存在该待检测链接时，将该待检测链接代入多个来源数据库进行初步检测，并获得多个来源数据库返回的多个初步检测结果。

步骤130：将各来源数据库预分配的权值分别作为其初步检测结果对应的权值，并将结果相同的各初步检测结果的权值进行统计求和，选取权值统计和值最高的初步检测结果作为该待检测链接的最终检测结果。

在本实施例中，权值也称为权数或者权重，是对加权平均数中的各个数的频数的解释。由于各数据来源(例如来源数据库)的可靠程度不同，因此需要预先对各数据来源赋予不同的权值。权值的分配规则有许多种，例如根据历史数据进行分析来分配权值，或者根据对各数据来源进行取样分析，对检测结果进行验证以得到分配给各数据来源的可信度权值。本步骤通过收集不同的数据库的来源，在对链接进行恶意性行为分析的时候，对比多个数据库，并根据来数据库来源的可靠性，分配不同的权值，从而可得出更为准确的恶意链接检测结果。

在本步骤中，当具有两个或以上的相同的初步检测结果时，将这两个或以上的相同初步检测结果的权值相加，得到其权值和值。这相当于将相同的检测结果对应的权值合并相加后再与其他检测结果的权值进行大小比较。

本发明的实施例的上述技术方案，由于收集不同的数据库的来源，在对链接进行恶意性行为分析的时候，对比多个来源数据库，并根据数据来源的可靠性，分配不同的权值，从而得出更为准确的检测结果。另外，检测结果不仅仅反映安全链接或恶意链接，还能检测出恶意链接的具体分类，检测结果更加科学，有利于对恶意链接的分类处理或管理。

实施例2

图2是本发明的实施例的另一种对链接进行恶意性检测的方法的流程图。图2是基于图1思想的一种更加具体和优化的实施方式。如图2所示，其包括如下流程：

接受url作为参数(步骤201)，将该url去预先建立的链接数据库进行查询(步骤203)，判断该url是否存在于该链接数据库中(步骤204)，如果存在于该链接数据库中，则从该链接数据库中获得各来源数据库的(初步)检测结果，并赋予相应的权值(步骤205)，综合各来源数据库的检测结果及权值，得到该url的最终检测结果，并还可以同时输出各来源数据库对该url的检测结果(步骤207)。上述链接数据库中记录具体url、各来源数据库对该url是否为恶意链接或安全链接的判定结果，或者为何种类型的恶意链接。

如果该链接数据库中不存在作为参数输入的url，则将该url作为参数，代入各来源数据库(合作方)提供的检测接口进行恶意性检测，得到各检测接口的输出结果，匹配各权值之后，得到最终检测结果予以输出(步骤204-步骤206-步骤207)。

在接收接受url作为参数之后，如果发现该url包含内置链接，则筛选出该url请求页面中存在的其他的url链接，同样利用上述步骤203-步骤207对内置的url链接求解出结果集，并将结果作为子集进行输出。在现有技术中，只针对该输入的一条url进行判定，没有对该url页面中可能包含的内置的url链接进行判定，同样会影响url检测结果的准确性。而本申请通过对url进行分析，筛选出该url请求页面内置的其他url链接，并进行恶意性检测与分析，有利于提高链接恶意性检测结果的准确性。

如果输入的不是单一的待检测url，而是一个包含大量待检测url数据的文本，从所述文本中获得各待检测url链接，将所有的待检测url读入数组，依次循环进行上述恶意性检测操作即可。通过这种方式可解决现有技术只针对某一条待检测url数据进行检测，无法对大量的含有待检测url的数据进行检测并返回结果的问题。

进一步地，本实施例还可包括周期性地或实时地更新恶意链接数据库的步骤，即周期性地获取各来源数据库上报的更新链接，以及各来源数据库对更新链接的初步检测结果，针对任一更新链接，如果本周期内至少一个来源数据库对其初步检测结果不为安全链接，则将当前的更新链接确定为疑似恶意链接，并在链接数据库中记录当前的更新链接、与所有来源数据库对当前的更新链接的各初步检测结果之间的对应关系；对于链接数据库中某一疑似恶意链接，如果本周期内所有来源数据库对其初步检测结果均为安全链接，则从链接数据库中删除该疑似恶意链接的记录。具体地，可以定时获取更新各合作方予以更新的恶意url，将该恶意url存入数据库，并设置标志位标明该恶意url的来源，及各来源对该恶意url的检测结果。图3为利用该更新接口进行数据库更新的示意图。src1、src2、src3、src4、src5等分别代表不同的数据来源。

进一步地，以下举具体的实例来详述本发明的技术方案：

假设想要查询：

url＝786666.com/？uid＝BDS_570875710950168-2e5eab1bb2c970d％7C2205061828&ua＝BDS_320_480_android_2.0.1_a1&from＝7300029a&ut＝GN106_2.3.4_10&pkgname＝com.baidu.searchbox_gionee是否为恶意性的链接，将该url作为检测接口的参数进行传递，后端服务器接收该参数，并将该url作为值去数据库中匹配，假设查询数据库的结果如图4所示。

src1、src2、src3、src4、src5等分别代表不同的数据来源，其中不同来源分别对应的数字表示该url的检测结果，数字对应的含义如表1所示。

表1数字对应结果表

因为各数据来源的可靠程度不同，需要对各数据来源赋予不同的权值，暂时使用的方法为：数据库中随机抽取100条数据，手工验证数据的结果，经过比较，可赋予f₁＝1，f₂＝2，f₃＝5，f₄＝3，f₅＝3不同的权值，经过计算该阶段的返回结果为{"result":"违规内容","probability":6,"src":[{"src1":"安全","probability":1},{"src2":"钓鱼、欺诈","probability":2},{"src3":"赌博网站","probability":5},{"src4":"违规内容","probability":3},{"src5":"违规内容","probability":3}]}。

假设该url中含有内置的url1＝www.baidu.com，经数据库查找，没有查找到该结果，将该url1作为参数引入各个来源提供的检测接口，经过验证，最后可形成的结果为{"result":"违规内容","probability":6,"src":[{"src1":"安全","probability":1},{"src2":"钓鱼、欺诈","probability":2},{"src3":"赌博网站","probability":5},{"src4":"违规内容","probability":3},{"src5":"违规内容","probability":3}],"build_in":{"url":"www.baidu.com","result":"安全","probability":14,"src":[{"src1":"安全","probability":1},{"src2":"安全","probability":2},{"src3":"安全","probability":5},{"src4":"安全","probability":3},{"src5":"安全","probability":3}]}}。

本发明的实施例的上述技术方案带来的有益技术效果如下：

可以对含有大量url数据的文本进行检测并将结果返回。

收集不同的数据库的来源，在对url进行恶意性行为分析的时候，对比多个数据库，并根据数据的可靠性，分配不同的权值，从而可得出更为准确的结果。

在对url进行恶意性行为分析的时候，不再单一的对该一条数据进行分析，将该条url中内置的url链接取出，同样对内置的url链接进行恶意性行为分析，赋予不同的权值。

实施例3

图5是本发明的实施例的一种对链接进行恶意性检测的装置的逻辑功能框图。该装置可以为服务器，如图5所示，该装置包括：

输入模块310(输入接口)，用于获取待检测链接；

查询模块320，用于获得多个来源数据库分别对该待检测链接的多个初步检测结果，初步检测结果包括该待检测链接为安全链接、或者属于相应分类的恶意链接；

检测模块330(检测接口)，用于将各来源数据库预分配的权值分别作为其初步检测结果对应的权值，并将结果相同的各初步检测结果的权值进行统计求和，选取权值计和值最高的初步检测结果作为该待检测链接的最终检测结果。

进一步地，查询模块320，具体用于在预先建立的链接数据库中查询，获得多个来源数据库分别对待检测链接的多个初步检测结果，该链接数据库中记录每一个疑似恶意链接、与多个来源数据库分别对该疑似恶意链接的多个初步检测结果之间的对应关系，疑似恶意链接是指多个来源数据库分别对该疑似恶意链接的多个初步检测结果中，至少有一个初步检测结果不为安全链接；或者，如果在预先建立的恶意链接数据库中不存在该待检测链接时，将该待检测链接代入多个来源数据库进行初步检测，并获得多个来源数据库返回的多个初步检测结果。

进一步地，该装置还包括更新模块340(更新接口)，用于周期性地获取各来源数据库上报的更新链接，以及各来源数据库对更新链接的初步检测结果，针对任一更新链接，如果本周期内至少一个来源数据库对其初步检测结果不为安全链接，则将当前的更新链接确定为疑似恶意链接，并在链接数据库中记录当前的更新链接、与所有来源数据库对当前的更新链接的各初步检测结果之间的对应关系；对于链接数据库中某一疑似恶意链接，如果本周期内所有来源数据库对其初步检测结果均为安全链接，则从链接数据库中删除该疑似恶意链接的记录。

进一步地，该装置还包括筛选模块350，用于在获取待检测链接之后，判断该待检测链接是否包含内置链接，如是则筛选出待检测链接中的内置链接，将该内置链接作为另一待检测链接并触发所述查询模块320。需要说明的是，待检测链接中包含的内置链接，作为另一待检测链接，同样由查询模块320和检测模块330对该内置链接进行恶意性检测，得到该内置链接的最终检测结果，内置链接的恶意性检测方法与图1、图2所示方法相同，待检测链接与其多个内置链接的最终检测结果均会独立存在并全部呈现给查询方。

进一步地，输入模块310，可具体用于获取输入的单一的待检测链接；或者，输入包含大量待检测链接的文本，从所述文本中获得各所述待检测链接，并将所有的待检测链接读入数组，以等候对数组中的各待检测链接依次进行恶意性检测。

该装置的工作过程已在前面方法实施例中详述，在此不再赘述。

上述装置具有如下有益技术效果：

可以对含有大量url数据的文本进行检测并将结果返回。

收集不同的数据库的来源，在对url进行恶意性行为分析的时候，对比多个数据库，并根据来源数据库的可靠性，分配不同的权值，得出更为准确的恶意性检测结果。

在对url进行恶意性行为分析的时候，不再单一的对该一条url进行分析，而是将该条url中内置的url取出，同样对内置的url进行恶意性行为分析，赋予不同的权值。

本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block)，单元，和步骤可以通过电子硬件、电脑软件，或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability)，上述的各种说明性部件(illustrative components)，单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本发明实施例保护的范围。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。