恶意网址的访问防御方法和相关装置的制作方法

专利名称：恶意网址的访问防御方法和相关装置的制作方法
技术领域：
本发明涉及网络安全技术领域，具体涉及恶意网址的访问防御方法和相关装置及网络系统。
背景技术：
伴随着互联网技术的发展，计算机病毒的种类也变得越来越多。互联网技术的快速发展给人们生活带来越来越多的便利。人们通过互联网可以方便的分享和下载各类资料、获取各类重要信息、在线支付账单等。与此同时，互联网安全形势也不容乐观，木马病毒伪装成正常文件肆意传播，钓鱼网站模仿正常网站盗取用户帐号密码愈演愈烈。近年来，随着云技术的不断发展，各大安全厂商纷纷推出基于云技术的安全软件。现有采用云技术的恶意网址拦截系统的基本原理如下:当用户访问某个网站时，安全软件会首先截获本次访问请求，并将当前访问请求所访问的统一资源定位符(URL, UniformResource Locator)发往云安全服务器进行安全性查询。云安全服务器中的查询模块保存URL及其安全信息，如果用户访问的URL之前已经被鉴定为恶意，则安全软件会弹出警告提示用户谨慎访问；如果户访问的URL之前已经被鉴定为安全，则允许用户正常访问；如果户访问的URL为首次出现在云端查询模块(即URL安全性未知)，也可允许用户正常访问网页，同时发送此未知URL到云端鉴定模块进行检测。云端鉴定模块在接收到未知URL后，经过下载URL对应的页面、检测各类欺诈信息、恶意挂马代码等步骤后，将鉴定结果发往云端查询模块保存。这样，当下一用户访问同样的URL时，就可以查询得到明确的检测结果。本发明的发明人在研究和实践过程中发现，现有技术至 少存在以下的技术问题:随着云安全技术普及，恶意网站制作者在了解云安全系统原理后，也开始尝试各种规避方式，其中，最为普遍的方法即通过随机方式批量产生大量不同的URL，例如多个URL可能均指向同样的网页内容，黑客可以通过在URL参数中附加一个随机数，然后将上述不同的URL分发(例如可能会通过即时通讯工具、邮件、短信等)给不同的目标用户。这样，每一个用户在访问此类URL时，云安全系统对其安全性都是未知的，从而就难以有效保护各个用户上网安全。

发明内容
本发明实施例提供恶意网址的访问防御方法和相关装置及网络系统，以期更为灵活有效的防御恶意网址。本发明实施例第一方面提供一种恶意网址的访问防御方法，可包括:接收来自用户终端的携带有第一统一资源定位符的安全性查询请求；在N条域名安全性记录中查询是否有与所述第一统一资源定位符中包含的第一域名相匹配的记录，其中，所述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，所述N为大于或等于I的整数；
若查找到所述N条域名安全性记录中的域名安全性记录NI,与所述第一域名相匹配，且所述域名安全性记录NI指示出所述第一域名为恶意域名，则通知所述用户终端所述第一域名为恶意域名。本发明实施例第二方面提供一种恶意网址的访问防御方法，可包括:接收来自用户终端的携带有第一统一资源定位符的安全性查询请求；在M条站点安全性记录中查询是否有与所述第一统一资源定位符中包含的第一站点名相匹配的记录，其中，所述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，所述M为大于或等于I的整数；若查找到所述M条域名安全性记录之中的站点安全性记录M1，与所述第一站点名相匹配，且所述站点安全性记录Ml指示出所述第一站点名为恶意站点名，则通知所述用户终端所述第一站点名为恶意站点名。本发明实施例第三方面提供一种恶意网址的访问防御装置，可包括:接收单元，用于接收来自用户终端的携带有第一统一资源定位符的安全性查询请求；第一查询单元，用于在N条域名安全性记录中查询是否有与所述第一统一资源定位符中包含的第一域名相匹配的记录，其中，所述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，所述N为大于或等于I的整数；判决单元，用于若所述第一查询单元查找到所述N条域名安全性记录中的域名安全性记录NI，与所述第一域名相匹配，且所述域名安全性记录NI指示出所述第一域名为恶意域名，则通知所述用户终端所述第一域名为恶意域名。本发明实施例第四方面提供一种恶意网址的访问防御装置，可包括:接收单元，用于接收来自用户终端的携带有第一统一资源定位符的安全性查询请求；第二查询单元，用于在M条站点安全性记录中查询是否有与所述第一统一资源定位符中包含的第一站点名相匹配的记录，其中，所述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，所述M为大于或等于I的整数；判决单元，用于若所述第二查询单元查找到所述M条域名安全性记录之中的站点安全性记录M1，与所述第一站点名相匹配，且所述站点安全性记录Ml指示出所述第一站点名为恶意站点名，则通知所述用户终端所述第一站点名为恶意站点名。

由上可见，本发明实施例中，例如云安全服务器等恶意网址的访问防御设备在接收来自用户终端的携带有第一 URL的安全性查询请求之后；在N条域名安全性记录中查询是否有与第一 URL中包含的第一域名相匹配的记录，上述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，上述N为大于或等于I的整数；若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为恶意域名，则通知上述用户终端第一域名为恶意域名。由于摒弃了现有云安全系统只是单一的以URL作为安全性判定的基本单位，将域名也作为安全性判定的一种粒度，实践证明，这可以有效打击此类随机变换的恶意URL，从而更好地为用户抵御恶意网站的攻击。同时对于每一条随机URL，若域名安全性记录指示该URL所属域名为恶意域名，则可无需再记录该URL的安全信息，而理论上黑客可以生成无数多条上述随机变化的URL，因而基于本发明实施例机制可节省大量的服务端存储空间


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本发明实施例提供的一种恶意网址的访问防御方法的流程示意图；图2是本发明实施例提供的另一种恶意网址的访问防御方法的流程示意图；图3是本发明实施例提供的另一种恶意网址的访问防御方法的流程示意图；图4_a是本发明实施例提供的一种域名安全性纪录的示意图；图4_b是本发明实施例提供的一种站点安全性纪录的示意图；图4-c是本发明实施例提供的一种云安全服务器的示意图；图5_a是本发明实施例提供的一种恶意网址的访问防御装置的示意图；图5_b是本发明实施例提供的另一种恶意网址的访问防御装置的示意图；图5-c是本发明实施例提供的另一种恶意网址的访问防御装置的示意
图6_a是本发明实施例提供的另一种恶意网址的访问防御装置的示意图；图6_b是本发明实施例提供的另一种恶意网址的访问防御装置的示意图；图7是本发明实施例提供的另一种云安全服务器的示意图；图8是本发明实施例提供的另一种云安全服务器的示意图；图9是本发明实施例提供的一种网络系统的示意图；图10是本发明实施例提供的一种用户终端的示意图。
具体实施例方式本发明实施例提供恶意网址的访问防御方法和相关装置及网络系统，以期更为灵活有效的防御恶意网址。为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。以下分别进行详细说明。本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三” “第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。本发明一种恶意网址的访问防御方法的一个实施例，恶意网址的访问防御方法可包括:接收来自用户终端的携带有第一 URL的安全性查询请求；在N条域名安全性记录中查询是否有与第一 URL中包含的第一域名相匹配的记录，其中，上述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，上述N为大于或等于I的整数；若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为恶意域名，则通知上述用户终端第一域名为恶意域名。首先请参见图1，图1是本发明一个实施例提供的一种恶意网址的访问防御方法的流程示意图。如图1所示，本发明一个实施例提供的一种恶意网址的访问防御方法可包括以下内容:101、接收来自用户终端的携带有第一 URL的安全性查询请求。在本发明的一些实施例中，例如，安装了浏览器的某用户终端在浏览某URL (为便于后续引述，称第一 URL)时，为保证安全性，用户终端先向例如云安全服务器等恶意网址的访问防御装置发送携带第一 URL的安全性查询请求，以请求云端服务器验证第一 URL的安全性，其中，用户终端可访问安全的URL，而可拒绝访问未知或恶意的URL。对于基于云安全服务器的云安全系统而言，一条恶意URL在首次出现在网络上后，通常只需数秒到数分钟即可被系统捕获和拦截，从而很难蔓延和危害互联网的海量用户群体。102、在N条域名安全性记录中查询是否有与第一 URL中包含的第一域名相匹配的记录，其中，上述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，上述N为大于或等于I的整数。在本发明的一些实施例中，可在某个域名下的URL首次被访问时，生成该域名对应的一条域名安全性记录，其中，该条域名安全性记录中记录了该某个域名和该域名是否为恶意域名的指示。或者，也可进一步主动从互联网上收集多个域名(可包括热点域名、还可包括非热点域名等)，并可分别生成该多个域名对应的域名安全性记录，其中，每条域名安全性记录中记录了一个域名和该域名是否为恶意域名的指示。103、若查找到上述N条域名安全性记录中的域名安全性记录NI,与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为恶意域名，则通知上述用户终端第一域名为恶意域名。当然，若查找到上述N条域名安全性记录中的域名安全性记录NI,与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为安全域名，则可通知上述用户终端第一域名为安全域名。 在本发明的一些实施例中，若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为安全域名，则在M条站点安全性记录中查询是否有与第一 URL中包含的第一站点名相匹配的记录，其中，上述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，上述M为大于或等于I的整数；若查找到上述M条域名安全性记录之中的站点安全性记录Ml与第一站点名相匹配，且上述站点安全性记录Ml指示出第一站点名为恶意站点名，则可通知上述用户终端第一站点名为恶意站点名。在本发明的一些实施例中，可在某个站点名下的URL首次被访问时，生成该站点名对应的一条站点安全性记录，其中，该条站点安全性记录中记录了该某个站点名和该站点名是否为恶意站点名的指示。或者，也可进一步主动从互联网上收集多个站点名(可包括热点站点名、还可包括非热点站点名等)，并可分别生成该多个站点名对应的站点安全性记录，其中，每条站点安全性记录中记录了一个站点名和该站点名是否为恶意站点名的指示。在本发明的一些实施例中，若查找到上述M条域名安全性记录之中的站点安全性记录Ml与第一站点名相匹配，且上述站点安全性记录Ml指示出第一站点名为安全站点名，则可进一步检查第一 URL是否为恶意URL，若检查出第一 URL为恶意URL，则可通知上述用户终端第一 URL为恶意URL，若检查出第一 URL为安全URL，则可通知上述用户终端第一 URL为安全URL。在本发明的一些实施例中，可在第一域名满足预设的整域拦截条件时，在上述站点安全性记录NI中记录第一域名为恶意域名的指示，可在第一域名未满足预设的整域拦截条件时，在站点安全性记录NI中记录第一域名为安全域名或风险域名的指示。其中，预设的整域拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整域拦截条件包括如下条件的至少一个:统计出在第一时长(例如2分钟或其它值)内第一域名下恶意URL的被访问次数超过设定的第一阈值(例如100次或其它值)、统计出在第二时长(例如2分钟或其它值)内第一域名下恶意URL的被访问次数，占第一域名下的所有URL的被访问总次数的比例超过设定的第二阈值(例如5%或其它值)、统计出在第三时长(例如5分钟或其它值)内第一域名下被访问的恶意URL的个数超过设定的第三阈值(例如50个或其它值)、统计出在第四时长(例如2分钟或其它值)内第一域名下被访问的恶意URL的个数，占第一域名下被访问的所有URL的总个数的比例超过设定的第四阈值(例如10%或其它值)、第一域名下的恶意站点个数超过设定的第九阈值(例如10个或其它值)、第一域名下的恶意站点个数占第一域名下站点总个数的比例超过设定的第十阈值(例如10%或其它值)。在本发明一些实施例中，可在第一站点名满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为恶意站点名的指示，在第一站点名未满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为安全站点名或风险站点名的指示。其中，预设的整站拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整站拦截条件包括如下条件的至少一个:统计出在第五时长(例如2分钟或者其它值)内第一站点名下恶意URL的被访问次数超过设定的第五阈值(例如100次或者其它值)、统计出在第六时长(例如2分钟或其它值)内第一站点名下恶意URL的被访问次数，占第一站点名下的所有URL的被访问总次数的比例超过设定的第六阈值(例如5%或者其它值)、统计出在第七时长(例如5分钟或其它值)内第一站点名下被访问的恶意URL的个数超过设定的第七阈值(例如10个或其它值)、统计出在第八时长(例如10分钟或其它值)内第一站点名下被访问的恶意URL的个数，占第一站点名下被访问的所有URL的总个数的比例超过设定的第八阈值(例如10%或其它值)。在本发明一些实施例中 ，第一时长、第二时长、第三时长、第四时长、第五时长、第六时长、第七时长和第八时长中的部分或全部时长可相等，当然各时长亦可均不相等。可以理解的是，本实施例上述方案例如可以在云安全服务器等恶意网址的访问防御装置中具体实施。其中，本发明各实施例所指的用户终端可为个人电脑、手机、个人数字处理设备或其它类型的能够利用URL进行网页访问的用户终端，本发明实施例对于用户终端的具体产品形式不做特别限定。由上可见，本实施例方案中，例如云安全服务器在接收来自用户终端的携带有第一 URL的安全性查询请求；在N条域名安全性记录中查询是否有与第一 URL中包含的第一域名相匹配的记录，上述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，上述N为大于或等于I的整数；若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为恶意域名，则通知上述用户终端第一域名为恶意域名。由于摒弃了现有云安全系统只是单一的以URL作为安全性判定的基本单位，将域名也作为安全性判定的一种粒度，实践证明，这可以有效打击此类随机变换的恶意URL，从而更好地为用户抵御恶意网站的攻击。同时对于每一条随机URL，若域名安全性记录指示该URL所属域名为恶意域名，则可无需再记录该URL的安全信息，而理论上黑客可以生成无数多条上述随机变化的URL，因而基于本发明实施例机制可节省大量的服务端存储空间。本发明一种恶意网址的访问防御方法的另一实施例，恶意网址的访问防御方法包括:接收来自用户终端的携带有第一 URL的安全性查询请求；在M条站点安全性记录中查询是否有与第一 URL中包含的第一站点名相匹配的记录，其中上述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中上述M为大于或等于I的整数；若查找到上述M条域名安全性记录之中的站点安全性记录Ml与第一站点名相匹配，且上述站点安 全性记录Ml指示出第一站点名为恶意站点名，则通知上述用户终端第一站点名为恶意站点名。首先请参见图2，图2是本发明另一个实施例提供的一种恶意网址的访问防御方法的流程示意图。如图2所示，本发明另一个实施例提供的一种恶意网址的访问防御方法可包括以下内容:201、接收来自用户终端的携带有第一 URL的安全性查询请求。在本发明的一些实施例中，例如浏览器等用户终端在浏览某URL (为便于后续引述，称第一 URL)时，为保证安全性，用户终端先向例如云安全服务器等恶意网址的访问防御装置发送携带第一 URL的安全性查询请求，以请求云端服务器验证第一 URL的安全性，用户终端可访问安全的URL，而可拒绝访问未知或恶意的URL。对于基于云安全服务器的云安全系统而言，一条恶意URL在首次出现在网络上后，通常只需数秒到数分钟即可被系统捕获和拦截，从而很难蔓延和危害互联网的海量用户群体。202、在M条站点安全性记录中查询是否有与第一 URL中包含的第一站点名相匹配的记录，其中，上述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，上述M为大于或等于I的整数。203、若查找到M条域名安全性记录之中的站点安全性记录Ml,与第一站点名相匹配，且站点安全性记录Ml指示出第一站点名为恶意站点名，则通知上述用户终端第一站点名为恶意站点名。在本发明的一些实施例中，可在某个站点名下的URL首次被访问时，生成该站点名对应的一条站点安全性记录，其中，该条站点安全性记录中记录了该某个站点名和该站点名是否为恶意站点名的指示。或者，也可进一步主动从互联网上收集多个站点名(可包括热点站点名、还可包括非热点站点名等)，并可分别生成该多个站点名对应的站点安全性记录，其中，每条站点安全性记录中记录了一个站点名和该站点名是否为恶意站点名的指示。在本发明一些实施例中，可在第一站点名满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为恶意站点名的指示，在第一站点名未满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为安全站点名或风险站点名的指示。其中，预设的整站拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整站拦截条件包括如下条件的至少一个:统计出在第五时长内第一站点名下恶意URL的被访问次数超过设定的第五阈值、统计出在第六时长内第一站点名下恶意URL的被访问次数，占第一站点名下的所有URL的被访问总次数的比例超过设定的 第六阈值、统计出在第七时长内第一站点名下被访问的恶意URL被访问的个数超过设定的第七阈值、统计出在第八时长内第一站点名下被访问的恶意URL的个数，占第一站点名下被访问的所有URL的总个数的比例超过设定的第八阈值。在本发明的一些实施例中，若查找到M条域名安全性记录之中的站点安全性记录M1，与第一站点名相匹配，且站点安全性记录Ml指示出第一站点名为安全站点名，还可进一步在N条域名安全性记录中查询是否有与第一 URL中包含的第一域名相匹配的记录，其中，上述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，上述N为大于或等于I的整数，若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为恶意域名，则可通知上述用户终端第一域名为恶意域名。在本发明的一些实施例中，可在第一域名满足预设的整域拦截条件时，在上述站点安全性记录NI中记录第一域名为恶意域名的指示，可在第一域名未满足预设的整域拦截条件时，在站点安全性记录NI中记录第一域名为安全域名或风险域名的指示。其中，预设的整域拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整域拦截条件包括如下条件的至少一个:统计出在第一时长内第一域名下恶意URL的被访问次数超过设定的第一阈值、统计出在第二时长内第一域名下恶意URL的被访问次数，占第一域名下的所有URL的被访问总次数的比例超过设定的第二阈值、统计出在第三时长内第一域名下被访问的恶意URL的个数超过设定的第三阈值、统计出在第四时长内第一域名下被访问的恶意URL的个数，占第一域名下被访问的所有URL的总个数的比例超过设定的第四阈值、第一域名下的恶意站点个数超过设定的第九阈值、第一域名下的恶意站点个数占第一域名下站点总个数的比例超过设定的第十阈值。在本发明一些实施例中，第一时长、第二时长、第三时长、第四时长、第五时长、第六时长、第七时长和第八时长中的部分或全部时长可相等，当然各时长亦可均不相等。在本发明的一些实施例中，若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为安全域名，则可进一步检查第一 URL是否为恶意URL，若检查出第一 URL为恶意URL，则可通知上述用户终端第一 URL为恶意URL，若检查出第一 URL为安全URL，则可通知上述用户终端第一 URL为安全 URL。
可以理解的是，本实施例上述方案例如可以在云安全服务器等恶意网址的访问防御装置中具体实施。由上可见，本实施例方案中，例如云安全服务器在接收来自用户终端的携带有第一 URL的安全性查询请求之后；先在M条站点安全性记录中查询是否有与第一 URL中包含的第一站点名相匹配的记录，其中，上述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中上述M为大于或等于I的整数；若查找到上述M条域名安全性记录之中的站点安全性记录Ml与第一站点名相匹配，且上述站点安全性记录Ml指示出第一站点名为恶意站点名，则通知上述用户终端第一站点名为恶意站点名。由于摒弃了现有云安全系统只是单一的以URL作为安全性判定的基本单位，将站点也作为安全性判定的一种粒度，实践证明，这可以有效打击此类随机变换的恶意URL，从而更好地为用户抵御恶意网站的攻击。参见图3，图3是本发明另一个实施例提供的一种恶意网址的访问防御方法的流程示意图。如图1所示，本 发明另一个实施例提供的一种恶意网址的访问防御方法可包括以下内容:301、云安全服务器接收来自用户终端的携带有URL-1的安全性查询请求ql ；302、云安全服务器接收到携带有URL-1的安全性查询请求ql之后，云安全服务器在N条域名安全性记录中查询是否有与URL-1中包含的域名zl相匹配的记录；若是，则执行步骤303 ;若否，则执行步骤305 ；其中，上述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，上述N为大于或等于I的整数。其中，每条域名安全性记录可如图4_a所示，可包括域名字段和安全性指示字段，其中，域名字段记录域名，安全性指示字段记录该域名是为恶意域名的指示。303、若查找到上述N条域名安全性记录中的域名安全性记录NI与第一域名相匹配，判断上述域名安全性记录NI是否指示出第一域名为恶意域名；若是，则执行步骤304 ;若否(即域名安全性记录NI指示出第一域名为安全域名)，则执行步骤305 ；304、若上述域名安全性记录NI指示出第一域名为恶意域名，则云安全服务器通知上述用户终端第一域名为恶意域名。305、云安全服务器在M条站点安全性记录中查询是否有与URL-1中包含的第一站点名相匹配的记录。若是，则执行步骤306 ;若否，则执行步骤308 ；其中，上述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，上述M为大于或等于I的整数；其中，每条站点安全性记录可如图4_b所示，可包括站点名字段和安全性指示字段，其中，站点名字段记录站点名，安全性指示字段记录该站点名是为恶意站点名的指示。306、若查找到上述M条域名安全性记录之中的站点安全性记录Ml与第一站点名相匹配，则判断上述站点安全性记录Ml是否指示出第一站点名为恶意站点名；若是，则执行步骤307 ；若否(即站点安全性记录Ml指示出第一站点名为安全站点名)，则执行步骤308 ；
307、若站点安全性记录Ml指示出第一站点名为恶意站点名，则云安全服务器可通知用户终端第一站点名为恶意站点名。308、则云安全服务器可检查URL-1是否为安全URL。若是，则执行步骤309 ;若否，则执行步骤310 ；309、若检查出URL-1为安全URL，则云安全服务器通知用户终端URL-1名为安全URL。310、若检查出URL-1为恶意URL，则云安全服务器通知用户终端URL-1名为恶意URL。可以理解的是，本实施例中主要是以先检查域名的安全性，再检查站点的安全性、最后检查URL安全性的检查顺序为例进行说明的，当然，在其它应用场景下亦可按照先检查站点安全性，再检查域名安全性、最后检查URL安全性的检查顺序进行操作。可以理解的是，本实施例上述方案例如可以在云安全服务器等恶意网址的访问防御装置中具体实施。由上可见，本实施例方案中云安全服务器接收来自用户终端的携带有URL的安全性查询请求之后；先检测该URL中包含的第一域名是否恶意，在先检测该URL中包含的站点名是否恶意，最后检查该URL是否恶意。由于摒弃了现有云安全系统只是单一的以URL作为安全性判定的基本单位，将域名和站点名也作为安全性判定的一种粒度，实践证明，这可以有效打击此类随机变换的恶意URL，从而更好地为用户抵御恶意网站的攻击。同时，对于每条随机URL,若域名安全性记录指示该URL所属域名为恶意域名，则可无需再记录该URL的安全信息，而理论上黑客可以生成无数多条上述随机变化的URL，因而基于本发明实施例机制可节省大量的服务端存储空间。

为便于更好的理解和实施本发明实施例的上述方面，下面通过举例几个应用场景进行进一步介绍。用户通过用户终端访问的URL通常由以下几部分组成:<协议名>://〈站点 >:〈端口 >/〈路径> 〈参数>比如 http://news.qq.com:80/2012/shenzhen/top.html username=bob协议名默认为http，用户可不填写。上述URL中，qq.com为一级域名，一级域名下可能包含许多站点名，例如news,qq.com, book.qq.com, mail.qq.com 等；端口号默认为80，用户可不填写。路径2012/shenzhen/top.html指明了用户访问此站点下的页面路径,如2012目录下的shenzhen子目录下的top.html文件；参数username=bob表示访问网页时用户附带的信息，比如用户在网站上登录的用户名等。通过参数随机变换的方式，黑客很容易构造出同一站点下大量不同的URL指向同样的网页内容。参见图4-c，图4-c是本发明实施例提供的一种云安全服务器，可包括:聚类分析模块410、云端查询模块420、云端鉴定模块430。下面以基于图4_c所不架构的云安全服务器实施恶意网址的访问防御方法为例进行说明。
其中，云端查询模块420可接收来自用户终端的安全性查询请求，其中安全性查询请求携带用户终端将访问的URL。
聚类分析模块410可以站点或者域名为单位实时统计各站点的查询情况和检测情况，当满足设定条件时标记整站或整域为恶意并可将记录发送给云端鉴定模块420。
云端鉴定模块420，用于先查询用户终端将访问的URL所对应的一级域名是否恶意，如果恶意则通知用户终端；否则，继续查询此URL所对应的站点是否是恶意的，如果恶意也通知用户终端；当一级域名和站点均不是恶意时，才进一步查询本条URL的安全状态。
聚类分析模块410记录每一次用户终端的查询结果，记录内容类似三元组〈查询时间，查询URL，查询结果 >，表示在某个时间用户访问了安全/恶意/未知的某个网址 ’聚类分析模块410记录每一次云端鉴定模块的检测结果，记录内容可类似三元组〈检测时间，检测URL，检测结果 >，表示在某个时间检测出某个网址为安全/恶意。
聚类分析模块410可统计各站点下URL的检测和查询情况，例如过去一段时间内用户访问了某站点下的安全/恶意/未知URL各多少次，过去一段时间内检测出某站点下的安全/恶意URL各多少次。
聚类分析模块410判定站点是否满足预设整站拦截条件。
聚类分析模块410可在第一站点满足预设的整域拦截条件时，在站点安全性记录Ml中记录第一站点名为恶意站点名的指示，可在第一站点未满足预设的整站拦截条件时，在站点安全性记录Ml中记录第一站点名为安全站点名或风险站点名的指示。其中，预设的整域拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整站拦截条件包括如下条件的至少一个:
a).在tl时长内某站点下恶意URL被访问次数超过设定阈值nl、
b).在tl时长内某站下恶意URL被访问次数占总访问次数的比例超过设定阈值n2、
c).在tl时长内检出某站下恶意URL被访问的个数超过设定阈值n3、
d).在tl时长内检出某站下被访问的恶意URL个数占被访问URL的总数比例超过设定阈值n4。
举例来说，例如设置tl=l 小时，nl=90, n2=0.5, n3=10, n4=0.5。
假设在最近I小时内，某站点下的URL来云安全服务器查询了 100次，其中的80次返回结果是恶意URL,最近一小时内检测a.test, com下URL共20条,其中15条为鉴定为恶意URL，整站拦截条件a)、b)、c)、d)均满足，聚类分析模块510可以对站点名进行恶意标记，以便后续做整站拦截。其中，其它场景可以此类推。
聚类分析模块410判定域名是否满足预设整域拦截条件。
聚类分析模块410可在第一域名满足预设的整域拦截条件时，在上述域名安全性记录NI中记录第一域名为恶意域名的指示，可在第一域名未满足预设的整域拦截条件时，在域名安全性记录NI中记录第一域名为安全域名或风险域名的指示。其中，预设的整域拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整域拦截条件包括如下条件的至少一个:
a).在t2时长内某域名下恶意URL被访问次数超过设定阈值n5、
b).在t2时长内某域名下恶意URL被访问次数占总访问次数的比例超过设定阈值n6、
c).在t2时长内检出某域名下恶意URL被访问的个数超过设定阈值n7、
d).在t2时长内检出某域名下被访问的恶意URL个数占被访问URL的总数比例超过设定阈值n8、
e).某域名下的恶意站点数目超过设定阈值n5 ；
f).某域名下的恶意站点比例超过设定阈值n6。
举例来说，例如设置n5=10，n6=0.5。
比如域名test, com下共有30个站点，其中18个已经标记为恶意站点，整域拦截条件e)和f)均满足,聚类分析模块510可以对此一级域名test, com进行恶意标记，以便后续做整域拦截，其它场景以此类推。
上述举例仅为进行问题说明，在实际应用中可以适应性的灵活变化。
为便于更好的实施本发明实施例的上述方案，下面还提供用于实施上述方案的相关装置。
参见图5-a，本发明实施例提供一种恶意网址的访问防御装置500，可以包括:接收单元510、第一查询单元520和判决单元530。
其中，接收单元510，用于接收来自用户终端的携带有第一 URL的安全性查询请求。
第一查询单元520，用于在N条域名安全性记录中查询是否有与第一 URL中包含的第一域名相匹配的记录，其中，上述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，上述N为大于或等于I的整数。
判决单元530,用于若第一查询单元520查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为恶意域名，则通知上述用户终端第一域名为恶意域名。
参见图5-b，在本发明的一些实施例中，恶意网址的访问防御装置500还可包括:
第二查询单元540,用于若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为安全域名，则在M条站点安全性记录 中查询是否有与第一 URL中包含的第一站点名相匹配的记录，其中，上述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，上述M为大于或等于I的整数。
判决单元530还可用于，若第二查询单元550查找到上述M条域名安全性记录之中的站点安全性记录M1，与第一站点名相匹配，且上述站点安全性记录Ml指示出第一站点名为恶意站点名，则通知上述用户终端第一站点名为恶意站点名。
在本发明的一些实施例中，第二查询单元540若查找到上述M条域名安全性记录之中的站点安全性记录Ml与第一站点名相匹配，且上述站点安全性记录Ml指示出第一站点名为安全站点名，则判决单元530可进一步检查第一 URL是否为恶意URL，若检查出第一URL为恶意URL，则可通知上述用户终端第一 URL为恶意URL，若检查出第一 URL为安全URL，则可通知上述用户终端第一 URL为安全URL。
参见图5-c，在本发明的一些实施例中，恶意网址的访问防御装置500还可包括:
记录单元550，用于在第一域名满足预设的整域拦截条件时，在上述站点安全性记录NI中记录第一域名为恶意域名的指示；和/或，在第一站点名满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为恶意站点名的指示。
在本发明的一些实施例中，记录单元550可在第一域名满足预设的整域拦截条件时，在上述站点安全性记录NI中记录第一域名为恶意域名的指示，可在第一域名未满足预设的整域拦截条件时，在站点安全性记录NI中记录第一域名为安全域名或风险域名的指示。其中，预设的整域拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整域拦截条件包括如下条件的至少一个:统计出在第一时长(例如2分钟或其它值)内第一域名下恶意URL的被访问次数超过设定的第一阈值(例如100次或其它值)、统计出在第二时长(例如2分钟或其它值)内第一域名下恶意URL的被访问次数，占第一域名下的所有URL的被访问总次数的比例超过设定的第二阈值(例如5%或其它值)、统计出在第三时长(例如5分钟或其它值)内第一域名下被访问的恶意URL的个数超过设定的第三阈值(例如50个或其它值)、统计出在第四时长(例如2分钟或其它值)内第一域名下被访问的恶意URL的个数，占第一域名下被访问的所有URL的总个数的比例超过设定的第四阈值(例如10%或其它值)、第一域名下的恶意站点个数超过设定的第九阈值(例如10个或其它值)、第一域名下的恶意站点个数占第一域名下站点总个数的比例超过设定的第十阈值(例如10%或其它值)。
在本发明的一些实施例中，记录单元550可在第一站点名满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为恶意站点名的指示，在第一站点名未满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为安全站点名或风险站点名的指示。其中，预设的整站拦截条件可以根据实际的安全性需求进行具体设定，例如，整站拦截条件包括如下条件的至少一个:统计出在第五时长(如2分钟或者其它值)内第一站点名下恶意URL的被访问次数超过设定的第五阈值(例如100次或其它值)、统计出在第六时长(例如2分钟或其它值)内第一站点名下恶意URL的被访问次数，占第一站点名下的所有URL的被访问总次数的比例超过设定的第六阈值(例如5%或者其它值)、统计出在第七时长(例如5分钟或者其它值)内第一站点名下被访问的恶意URL的个数超过设定的第七阈值(例如10个或者其它值)、统计出在第八时长(例如10分钟或其它值)内第一站点名下被访问的恶意URL的个数，占第一站点名下被访问的所有URL的总个数的比例超过设定的第八阈值(例如1 0%或其它值)。
在本发明一些实施例中，第一时长、第二时长、第三时长、第四时长、第五时长、第六时长、第七时长和第八时长中的部分或全部时长可相等，当然各时长亦可均不相等。
可以理解的是，本实施例的恶意网址的访问防御装置500的各功能模块的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。
参见图6-a，本发明实施例提供另一种恶意网址的访问防御装置600，可以包括:接收单元610、第二查询单元620和判决单元630。
接收单元610，用于接收来自用户终端的携带有第一 URL的安全性查询请求。
第二查询单元620，用于在M条站点安全性记录中查询是否有与第一 URL中包含的第一站点名相匹配的记录，其中，上述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，上述M为大于或等于I的整数。
判决单元630，用于若第二查询单元620查找到上述M条域名安全性记录之中的站点安全性记录M1，与第一站点名相匹配，且上述站点安全性记录Ml指示出第一站点名为恶意站点名，则通知上述用户终端第一站点名为恶意站点名。
在本发明的一些实施例中，第二查询单元620若查找到上述M条域名安全性记录之中的站点安全性记录Ml与第一站点名相匹配，且上述站点安全性记录Ml指示出第一站点名为安全站点名，则判决单元630可进一步检查第一 URL是否为恶意URL，若检查出第一URL为恶意URL，则可通知上述用户终端第一 URL为恶意URL，若检查出第一 URL为安全URL，则可通知上述用户终端第一 URL为安全URL。
参见图6-b，在本发明的一些实施例中，恶意网址的访问防御装置600还可包括:
记录单元640，用于在第一域名满足预设的整域拦截条件时，在上述站点安全性记录NI中记录第一域名为恶意域名的指示；和/或，在第一站点名满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为恶意站点名的指示。
在本发明的一些实施例中，记录单元640可在第一域名满足预设的整域拦截条件时，在上述站点安全性记录NI中记录第一域名为恶意域名的指示，可在第一域名未满足预设的整域拦截条件时，在站点安全性记录NI中记录第一域名为安全域名或风险域名的指示。其中，预设的整域拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整域拦截条件包括如下条件的至少一个:统计出在第一时长(例如2分钟或其它值)内第一域名下恶意URL的被访问次数超过设定的第一阈值(例如100次或其它值)、统计出在第二时长(例如2分钟或其它值)内第一域名下恶意URL的被访问次数，占第一域名下的所有URL的被访问总次数的比例超过设定的第二阈值(例如5%或其它值)、统计出在第三时长(例如5分钟或其它值)内第一域名下被访问的恶意URL的个数超过设定的第三阈值(例如50个或其它值)、统计出在第四时长(例如2分钟或其它值)内第一域名下被访问的恶意URL的个数，占第一域名下被访问的所有URL的总个数的比例超过设定的第四阈值(例如10%或其它值)、第一域名下的恶意站点个数超过设定的第九阈值(例如10个或其它值)、第一域名下的恶意站点个数占第一域名下站点总个数的比例超过设定的第十阈值(例如10%或其它值)。
在本发明的一些实施例中，记录单元640可在第一站点名满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为恶意站点名的指示，在第一站点名未满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为安全站点名或风险站点名的指示。其中，预设的整站拦 截条件可以根据实际的安全性需求进行具体设定，例如，整站拦截条件包括如下条件的至少一个:统计出在第五时长(如2分钟或者其它值)内第一站点名下恶意URL的被访问次数超过设定的第五阈值(例如100次或其它值)、统计出在第六时长(例如2分钟或其它值)内第一站点名下恶意URL的被访问次数，占第一站点名下的所有URL的被访问总次数的比例超过设定的第六阈值(例如5%或者其它值)、统计出在第七时长(例如5分钟或者其它值)内第一站点名下被访问的恶意URL的个数超过设定的第七阈值(例如10个或者其它值)、统计出在第八时长(例如10分钟或其它值)内第一站点名下被访问的恶意URL的个数，占第一站点名下被访问的所有URL的总个数的比例超过设定的第八阈值(例如10%或其它值)。
可以理解的是，本实施例的恶意网址的访问防御装置600的各功能模块的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。
参见图7，本发明实施例提供一种云安全服务器700，可包括:
处理器710、存储器720、输入装置730和输出装置740。云安全服务器700中的处理器710的数量可以一个或多个，图7中以一个处理器为例。在本发明的一些实施例中，处理器710、存储器720、输入装置730和输出装置740可通过总线或其它方式连接，其中，图7中以通过总线连接为例。
存储器720可用于存储软件程序以及模块，处理器710通过运行存储在存储器720的软件程序以及模块，从而执行云安全服务器700的各种功能应用以及数据处理。存储器720可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器720可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置730可用于接收输入的数字或字符信息，以及产生与云安全服务器700的用户设置以及功能控制有关的键信号输入。
其中，处理器710执行如下步骤:
接收来自用户终端的携带有第一 URL的安全性查询请求；在N条域名安全性记录中查询是否有与第一URL中包含的第一域名相匹配的记录，其中，上述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，上述N为大于或等于I的整数；若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为恶意域名，则通知上述用户终端第一域名为恶意域名。
在本发明的一些实施例中，处理器710可在某个域名下的URL首次被访问时，生成该域名对应的一条域名安全性记录，其中，该条域名安全性记录中记录了该某个域名和该域名是否为恶意域名的指示。或者，也可进一步主动从互联网上收集多个域名(可包括热点域名、还可包括非热点域名等)，并可分别生成该多个域名对应的域名安全性记录，其中，每条域名安全性记录中记录了一个域名和该域名是否为恶意域名的指示。
当然，若查找到上述N条域名安全性记录中的域名安全性记录NI,与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为安全域名，则处理器710可通知上述用户终端第一域名为安全域名。
在本发明的 一些实施例中，处理器710若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为安全域名，则在M条站点安全性记录中查询是否有与第一 URL中包含的第一站点名相匹配的记录，其中，上述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，上述M为大于或等于I的整数；若查找到上述M条域名安全性记录之中的站点安全性记录Ml与第一站点名相匹配，且上述站点安全性记录Ml指示出第一站点名为恶意站点名，则可通知上述用户终端第一站点名为恶意站点名。
在本发明的一些实施例中，处理器710可在某个站点名下的URL首次被访问时，生成该站点名对应的一条站点安全性记录，其中，该条站点安全性记录中记录了该某个站点名和该站点名是否为恶意站点名的指示。或者，也可进一步主动从互联网上收集多个站点名(可包括热点站点名、还可包括非热点站点名等)，并可分别生成该多个站点名对应的站点安全性记录，其中，每条站点安全性记录中记录了一个站点名和该站点名是否为恶意站点名的指示。
在本发明的一些实施例中，处理器710若查找到上述M条域名安全性记录之中的站点安全性记录Ml与第一站点名相匹配，且上述站点安全性记录Ml指示出第一站点名为安全站点名，则可进一步检查第一 URL是否为恶意URL，若检查出第一 URL为恶意URL，则可通知上述用户终端第一 URL为恶意URL，若检查出第一 URL为安全URL，则可通知上述用户终端第一 URL为安全URL。
在本发明的一些实施例中，处理器710可在第一域名满足预设的整域拦截条件时，在上述站点安全性记录NI中记录第一域名为恶意域名的指示，可在第一域名未满足预设的整域拦截条件时，在站点安全性记录NI中记录第一域名为安全域名或风险域名的指示。其中，预设的整域拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整域拦截条件包括如下条件的至少一个:统计出在第一时长(例如2分钟或其它值)内第一域名下恶意URL的被访问次数超过设定的第一阈值(例如100次或其它值)、统计出在第二时长(例如2分钟或其它值)内第一域名下恶意URL的被访问次数，占第一域名下的所有URL的被访问总次数的比例超过设定的第二阈值(例如5%或其它值)、统计出在第三时长(例如5分钟或其它值)内第一域名下被访问的恶意URL的个数超过设定的第三阈值(例如50个或其它值)、统计出在第四时长(例如2分钟或其它值)内第一域名下被访问的恶意URL的个数，占第一域名下被访问的所有URL的总个数的比例超过设定的第四阈值(例如10%或其它值)、第一域名下的恶意站点个数超过设定的第九阈值(例如10个或其它值)、第一域名下的恶意站点个数占第一域名下站点总个数的比例超过设定的第十阈值(例如10%或其它值)。
在本发明一些实施例中，处理器710可在第一站点名满足预设的整站拦截条件时，在站点安全性记录Ml中记录第一站点名为恶意站点名的指示，在第一站点名未满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为安全站点名或风险站点名的指示。其中，预设的整站拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整站拦截条件包括如下条件的至少一个:统计出在第五时长(例如2分钟或者其它值)内第一站点名下恶意URL的被访问次数超过设定的第五阈值(例如100次或者其它值)、统计出在第六时长(例如2分钟或其它值)内第一站点名下恶意URL的被访问次数，占第一站点名下的所有URL的被访问总次数的比例超过设定的第六阈值(例如5%或者其它值)、统计出在第七时长(如5分钟或其它值)内第一站点名下被访问的恶意URL的个数超过设定的第七阈值(如10个或其它值)、统计出在第八时长(例如10分钟或其它值)内第一站点名下被访问的恶意URL的个数，占第一站点名下被访问的所有URL的总个数的比例超过设定的第八阈值(例如10%或其它值)。
可以理解的是，本实施例的云安全服务器700的各功能模块的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。
参见图8，本发明实施例提供一种云安全服务器800，可包括:
处理器810、存储器820、输入装置830和输出装置840。云安全服务器800中的处理器810的数量可以一个或多个，图8中以一个处理器为例。在本发明的一些实施例中，处理器810、存储器820、 输入装置830和输出装置840可通过总线或其它方式连接，其中，图8中以通过总线连接为例。
存储器820可用于存储软件程序以及模块，处理器810通过运行存储在存储器820的软件程序以及模块，从而执行云安全服务器800的各种功能应用以及数据处理。存储器820可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器820可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置830可用于接收输入的数字或字符信息，以及产生与云安全服务器800的用户设置以及功能控制有关的键信号输入。
其中，处理器810执行如下步骤:
接收来自用户终端的携带有第一 URL的安全性查询请求；在M条站点安全性记录中查询是否有与第一 URL中包含的第一站点名相匹配的记录，其中上述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中上述M为大于或等于I的整数；若查找到上述M条域名安全性记录之中的站点安全性记录Ml与第一站点名相匹配，且上述站点安全性记录Ml指示出第一站点名为恶意站点名，则通知上述用户终端第一站点名为恶意站点名。
在本发明一些实施例中，处理器810可在第一站点名满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为恶意站点名的指示，在第一站点名未满足预设的整站拦截条件时，在上述站点安全性记录Ml中记录第一站点名为安全站点名或风险站点名的指示。其中，预设的整站拦截条件可以根据实际的安全性需求进行具体设定，举例来说，整站拦截条件包括如下条件的至少一个:统计出在第五时长内第一站点名下恶意URL的被访问次数超过设定的第五阈值、统计出在第六时长内第一站点名下恶意URL的被访问次数，占第一站点名下的所有URL的被访问总次数的比例超过设定的第六阈值、统计出在第七时长内第一站点名下被访问的恶意URL被访问的个数超过设定的第七阈值、统计出在第八时长内第一站点名下被访问的恶意URL的个数，占第一站点名下被访问的所有URL的总个数的比例超过设定的第八阈值。
在本发明的一些实施例中，处理器810 若查找到M条域名安全性记录之中的站点安全性记录M1，与第一站点名相匹配，且站点安全性记录Ml指示出第一站点名为安全站点名，还可进一步在N条域名安全性记录中查询是否有与第一 URL中包含的第一域名相匹配的记录，其中，上述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，上述N为大于或等于I的整数，若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为恶意域名，则可通知上述用户终端第一域名为恶意域名。
可以理解的是，本实施例的云安全服务器800的各功能模块的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。
本发明实施例还提供一种通信系统，包括用户终端和云安全服务器800或云安全服务器700或云安全服务器400。
本发明实施例还提供一种通信系统，包括用户终端和恶意网址的访问防御装置500或恶意网址的访问防御装置600。
参见图9，本发明实施例还提供一种通信系统，其特征在于，包括:
用户终端900和云安全服务器1000 ；
其中，用户终端900，用于向云安全服务器1000发送携带有第一URL的安全性查询请求。
云安全服务器1000，用于接收来自用户终端900的携带有第一 URL的安全性查询请求；在N条域名安全性记录中查询是否有与第一URL中包含的第一域名相匹配的记录，其中，上述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，上述N为大于或等于I的整数；若查找到上述N条域名安全性记录中的域名安全性记录NI，与第一域名相匹配，且上述域名安全性记录NI指示出第一域名为恶意域名，则通知上述用户终端第一域名为恶意域名。
如图10所示 ，为了便于说明，仅示出了与本发明实施例相关的部分，具体技术细节未揭示的，请参照本发明实施例方法部分。图10所示用户终端900可以为手机、平板电脑、个人数字助理(PDA, Personal Digital Assistant)、销售终端(POS, Point of Sales)、车载电脑等任意终端设备，下面主要以用户终端900为手机为例:
其中，图10示出的是与本发明实施例提供的终端相关的手机的部分结构的框图。参考图10，手机包括:射频(Radio Frequency, RF)电路910、存储器920、输入单元630、无线保真(wireless fidelity, WiFi)模块970、显示单元940、传感器950、音频电路960、处理器980、以及电源990等部件。
其中，本领域技术人员可以理解，图7中示出的手机结构并不构成对手机的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
下面结合图10对手机的各个构成部件进行具体的介绍:
RF电路910可用于在收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，给处理器980处理；另外，将设计上行的数据发送给基站。通常，RF电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low NoiseAmplifier, LNA)、双工器等。此外，RF电路910还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(Global System of Mobile communication, GSM)、通用分组无线服务(General PacketRadio Service, GPRS)、码分多址(Code Division Multiple Access, CDMA)、宽带码分多址(Wideband Code Division Multiple Access, WCDMA)、长期演进(Long Term Evolution,LTE))、电子邮件、短消息服务(Short Messaging Service, SMS)等。
其中，存储器920可用于存储软件程序以及模块，处理器980通过运行存储在存储器920的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器920可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(如音频数据、电话本等)等。此外，存储器920可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元930可用于接收输入的数字或字符信息，以及产生与手机900的用户设置以及功能控制有关的键信号输入。具体地，输入单元930可包括触控面板931以及其他输入设备932。触控面板931，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板931上或在触控面板931附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板931可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标,再送给处理器980，并能接收处理器980发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板931。除了触控面板931，输入单元930还可以包括其他输入设备932。具体地，其他输入设备932可以包括但不限于物理键盘、功能键(比如音量控制按 键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
其中，显示单元940可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元940可包括显示面板941，可选的，可以采用液晶显示器(LiquidCrystal Display, LCD)、有机发光二极管(Organic Light-Emitting Diode, 0LED)等形式来配置显示面板941。进一步的，触控面板931可覆盖显示面板941，当触控面板931检测到在其上或附近的触摸操作后，传送给处理器980以确定触摸事件的类型，随后处理器980根据触摸事件的类型在显示面板941上提供相应的视觉输出。虽然在图7中，触控面板931与显示面板941是作为两个独立的部件来实现手机的输入和输入功能，但是在某些实施例中，可以将触控面板931与显示面板941集成而实现手机的输入和输出功能。
其中，手机900还可包括至少一种传感器950，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板941的亮度，接近传感器可在手机移动到耳边时，关闭显示面板941和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。
音频电路960、扬声器961，传声器962可提供用户与手机之间的音频接口。音频电路960可将接收到的音频数据转换后的电信号,传输到扬声器961,由扬声器961转换为声音信号输出；另一方面，传声器962将收集的声音信号转换为电信号，由音频电路960接收后转换为音频数据，再将音频数据输出处理器980处理后，经RF电路910以发送给比如另一手机，或者将音频数据输出至存储器920以便进一步处理。
WiFi属于短距离无线传输技术，手机通过WiFi模块970可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图7示出了WiFi模块970，但是可以理解的是，其并不属于手机900的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。
处理器980是手机的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器920内的软件程序和/或模块，以及调用存储在存储器920内的数据，执行手机的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器980可包括一个或多个处理单元；优选的，处理器980可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器980中。
手机900还包括给各个部件供电的电源990 (比如电池)，优选的，电源可以通过电源管理系统与处理器980逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。尽管未示出，手机900还可以包括摄像头、蓝牙模块等，在此不再赘述。
在本发明实施例中，该终端所包括的处理器980还具有以下功能:向云安全服务器1000发送携带有第一 URL的安全性查询请求。
本发明实施例还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时包括上述方法实施例中记载的恶意网址的访问防御方法的部分或全部步骤。
需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外，在本发明各实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1.一种恶意网址的访问防御方法，其特征在于，包括: 接收来自用户终端的携带有第一统一资源定位符的安全性查询请求； 在N条域名安全性记录中查询是否有与所述第一统一资源定位符中包含的第一域名相匹配的记录，其中，所述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，所述N为大于或等于I的整数； 若查找到所述N条域名安全性记录中的域名安全性记录NI，与所述第一域名相匹配，且所述域名安全性记录NI指示出所述第一域名为恶意域名，则通知所述用户终端所述第一域名为恶意域名。
2.根据权利要求1所述的方法，其特征在于， 所述方法还包括: 若查找到所述N条域名安全性记录中的域名安全性记录NI，与所述第一域名相匹配，且所述域名安全性记录NI指示出所述第一域名为安全域名，则在M条站点安全性记录中查询是否有与所述第一统一资源定位符中包含的第一站点名相匹配的记录，其中，所述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，所述M为大于或等于I的整数； 若查找到所述M条域名安全性记录之中的站点安全性记录M1，与所述第一站点名相匹配，并且所述站点安全性记录Ml指示出所述第一站点名为恶意站点名，则通知所述用户终端所述第一站点名为恶意站点名。
3.根据权利要求2所述的方法，其特征在于， 所述方法还包括: 在所述第一域名满足预设的整域拦截条件时，在所述站点安全性记录NI中记录所述第一域名为恶意域名的指示；和/或，在所述第一站点名满足预设的整站拦截条件时，在所述站点安全性记录Ml中记录所述第一站点名为恶意站点名的指示。
4.根据权利要求3所述的方法，其特征在于， 所述整域拦截条件包括如下条件的至少一个: 统计出在第一时长内所述第一域名下恶意统一资源定位符的被访问次数超过设定的第一阈值、统计出在第二时长内所述第一域名下恶意统一资源定位符的被访问次数，占所述第一域名下的所有统一资源定位符的被访问总次数的比例超过设定的第二阈值、统计出在第三时长内所述第一域名下被访问的恶意统一资源定位符的个数超过设定的第三阈值、统计出在第四时长内所述第一域名下被访问的恶意统一资源定位符的个数，占所述第一域名下被访问的所有统一资源定位符的总个数的比例超过设定的第四阈值、所述第一域名下的恶意站点个数超过设定的第九阈值、所述第一域名下的恶意站点个数占所述第一域名下站点总个数的比例超过设定的第十阈值。
5.根据权利要求3或4所述的方法，其特征在于， 所述整站拦截条件包括如下条件的至少一个: 统计出在第五时长内所述第一站点名下恶意统一资源定位符的被访问次数超过设定的第五阈值、 统计出在第六时长内所述第一站点名下恶意统一资源定位符的被访问次数，占所述第一站点名下的所有统一资源定位符的被访问总次数的比例超过设定的第六阈值、统计出在第七时长内所述第一站点名下被访问的恶意统一资源定位符的个数超过设定的第七阈值、 统计出在第八时长内所述第一站点名下被访问的恶意统一资源定位符的个数，占所述第一站点名下被访问的所有统一资源定位符的总个数的比例超过设定的第八阈值。
6.一种恶意网址的访问防御方法，其特征在于，包括: 接收来自用户终端的携带有第一统一资源定位符的安全性查询请求； 在M条站点安全性记录中查询是否有与所述第一统一资源定位符中包含的第一站点名相匹配的记录，其中，所述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，所述M为大于或等于I的整数； 若查找到所述M条域名安全性记录之中的站点安全性记录M1，与所述第一站点名相匹配，且所述站点安全性记录Ml指示出所述第一站点名为恶意站点名，则通知所述用户终端所述第一站点名为恶意站点名。
7.一种恶意网址的访问防御装置，其特征在于，包括: 接收单元，用于接收来自用户终端的携带有第一统一资源定位符的安全性查询请求；第一查询单元，用于在N条域名安全性记录中查询是否有与所述第一统一资源定位符中包含的第一域名相匹配的记录，其中，所述N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，所述N为大于或等于I的整数； 判决单元，用于若所述第一查询单元查找到所述N条域名安全性记录中的域名安全性记录NI，与所述第一域名相匹配，且所述域名安全性记录NI指示出所述第一域名为恶意域名，则通知所述用户终端所述第一域名为恶意域名。
8.根据权利要 求7所述的装置，其特征在于， 所述装置还包括: 第二查询单元，用于若查找到所述N条域名安全性记录中的域名安全性记录NI，与所述第一域名相匹配，且所述域名安全性记录NI指示出所述第一域名为安全域名，则在M条站点安全性记录中查询是否有与所述第一统一资源定位符中包含的第一站点名相匹配的记录，其中，所述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，所述M为大于或等于I的整数； 所述判决单元还用于，若所述第二查询单元查找到所述M条域名安全性记录之中的站点安全性记录M1，与所述第一站点名相匹配，且所述站点安全性记录Ml指示出所述第一站点名为恶意站点名，则通知所述用户终端所述第一站点名为恶意站点名。
9.根据权利要求8所述的装置，其特征在于， 所述装置还包括: 记录单元，用于在所述第一域名满足预设的整域拦截条件时，在所述站点安全性记录NI中记录所述第一域名为恶意域名的指示；和/或，在所述第一站点名满足预设的整站拦截条件时，在所述站点安全性记录Ml中记录所述第一站点名为恶意站点名的指示。
10.一种恶意网址的访问防御装置，其特征在于，包括:接收单元，用于接收来自用户终端的携带有第一统一资源定位符的安全性查询请求；第二查询单元，用于在M条站点安全性记录中查询是否有与所述第一统一资源定位符中包含的第一站点名相匹配的记录，其中，所述M条站点安全性记录中的每条站点安全性记录中记录了站点名和该站点名是否为恶意站点名的指示，其中，所述M为大于或等于I的整数； 判决单元，用于若所述第二查询单元查找到所述M条域名安全性记录之中的站点安全性记录M1，与所述第一站点名相匹配，且所述站点安全性记录Ml指示出所述第一站点名为恶意站点名，则通 知所述用户终端所述第一站点名为恶意站点名。
全文摘要
本发明实施例公开了恶意网址的访问防御方法和相关装置。其中一种恶意网址的访问防御方法，可包括接收来自用户终端的携带有第一统一资源定位符的安全性查询请求；在N条域名安全性记录中查询是否有与第一统一资源定位符中包含的第一域名相匹配的记录，其中，N条域名安全性记录中的每条域名安全性记录中记录了域名和该域名是否为恶意域名的指示，其中，N为大于或等于1的整数；若查找到N条域名安全性记录中的域名安全性记录N1，与第一域名相匹配，且域名安全性记录N1指示出第一域名为恶意域名，则通知用户终端第一域名为恶意域名。本发明实施例提供的技术方案有利于更为灵活有效的防御恶意网址。
文档编号H04L29/06GK103220302SQ201310164648
公开日2013年7月24日 申请日期2013年5月7日 优先权日2013年5月7日
发明者刘健 申请人:腾讯科技(深圳)有限公司