地址信息的检测方法、装置、存储介质和电子装置与流程

本发明涉及计算机领域，具体而言，涉及一种地址信息的检测方法、装置、存储介质和电子装置。

背景技术：

目前，随着互联网和移动支付等技术的普及，网络已在人们的生活中不可或缺。然而，这也给很多不法分子带来了可乘之机。由于虚假支付、诱导分享类等恶意网址逐渐成为爆发之势，这类网站要么通过虚假色情信息骗取用户钱财，要么通过虚假信息诱导用户进行分享，进而通过推广广告达到盈利的目的。

上述恶意网址存在制作成本低、变化快、传播量大、周期性传播等特点，影响到用户的正常生活，因而需要设计用于对网址信息进行检测的检测模型，以对恶意网址进行打击。

图1是根据相关技术中的一种地址信息的检测方法的流程图。如图1所示，该方法包括以下步骤：步骤s101'，收集恶意样本；步骤s102'，分析恶意样本，并提取样本特征；步骤s103'，在提取样本特征的基础上，设计检测模型；步骤s104'，在真实环境中，验证检测模型的检测能力是否达到要求；步骤s105'，线上打击，也即，如果检测模型的检测能力达到要求，则正式上线，开始打击恶意网址。另外，如果在步骤s104'中，检测模型的检测能力未达到要求，则执行步骤s103'，继续优化模型，直到检测模型的检测能力达到要求。

上述地址信息的检测方法为基于恶意样本的被动发现方法，这类方法通常都需要首先收集恶意样本，然后分析样本，并得到相关特征，再利用得到的相关特征来人工设计规则模型，或者利用机器学习方法来得到分类模型，或者基于内容设计检测模型，最后再将这些模型用于检测未知的地址信息。

由于现有的检测模型技术是基于已有恶意样本的基础上建立的，为被动发现的方法，因而不可避免地导致如下缺点：(1)地址信息的打击有赖于恶意样本的及时发现；(2)对恶意网址的打击落后于它的传播，对不法分子的遏制效果不够明显；(3)基于内容特征的检测引擎缺乏灵活性。由于现有的检测引擎预先都是根据恶意样本来建立的，所以如果恶意网址出现了新的变种，检测引擎是检测不出来的，很容易被不法分子绕过，从而导致地址信息的检测效率低的问题。

针对上述地址信息的检测效率低的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供了一种地址信息的检测方法、装置、存储介质和电子装置，以至少解决相关技术中地址信息的检测效率低的技术问题。

根据本发明实施例的一个方面，提供了一种地址信息的检测方法。该方法包括：获取第一地址信息的多个特征，其中，多个特征被用于检测第一地址信息；分别获取多个特征在第一时间段内出现的频率，得到多个频率，其中，多个频率与多个特征一一对应；将与多个频率中大于第一预设值的频率对应的特征确定为目标特征，其中，多个特征包括目标特征；获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。

根据本发明实施例的另一方面，还提供了一种地址信息的检测装置。该装置包括：第一获取单元，用于获取第一地址信息的多个特征，其中，多个特征被用于检测第一地址信息；第二获取单元，用于分别获取多个特征在第一时间段内出现的频率，得到多个频率，其中，多个频率与多个特征一一对应；确定单元，用于将与多个频率中大于第一预设值的频率对应的特征确定为目标特征，其中，多个特征包括目标特征；处理单元，用于获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。

根据本发明实施例的另一方面，还提供了一种存储介质。该存储介质包括存储的程序，其中，程序运行时执行本发明实施例的地址信息的检测方法。

根据本发明实施例的另一方面，还提供了一种电子装置。该电子装置包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，处理器通过计算机程序执行本发明实施例的地址信息的检测方法。

在本发明实施例中，采用获取第一地址信息的多个特征，其中，多个特征被用于检测第一地址信息；分别获取多个特征在第一时间段内出现的频率，得到多个频率，其中，多个频率与多个特征一一对应；将与多个频率中大于第一预设值的频率对应的特征确定为目标特征，其中，多个特征包括目标特征；获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。由于不需要预先分析恶意样本，而是利用地址信息在传播时的特性进行实时主动地发现，达到了对地址信息进行检测的目的，从而实现了提高地址信息的检测效率的技术效果，进而解决了相关技术中地址信息的检测效率低的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据相关技术中的一种地址信息的检测方法的流程图；

图2是根据本发明实施例的一种地址信息的检测方法的硬件环境的示意图；

图3是根据本发明实施例的一种地址信息的检测方法的流程图；

图4是根据本发明实施例的另一种地址信息的检测方法的流程图；

图5是根据本发明实施例的一种获取第一地址信息的多个特征的方法的流程图；

图6是根据本发明实施例的一种按照预设数据结构存储多个特征的方法的流程图；

图7是根据本发明实施例的一种地址信息的检测系统的示意图；

图8是根据本发明实施例的一种对地址信息的特征进行存储的数据结构的示意图；

图9是根据本发明实施例的一种树结构中的节点结构的示意图；

图10是根据本发明实施例的一种对地址信息进行存储的方法的流程图；

图11是根据本发明实施例的另一种检测地址信息的方法的流程图；

图12是根据本发明实施例的一种地址信息的检测装置的示意图；以及

图13是根据本发明实施例的一种电子装置的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1

根据本发明实施例，提供了一种地址信息的检测方法的实施例。

可选地，在本实施例中，上述地址信息的检测方法可以应用于如图2所示的由服务器202和终端204所构成的硬件环境中。图2是根据本发明实施例的一种地址信息的检测方法的硬件环境的示意图。如图2所示，服务器202通过网络与终端204进行连接，上述网络包括但不限于：广域网、城域网或局域网，终端204并不限定于pc、手机、平板电脑等。本发明实施例的地址信息的检测方法可以由服务器202来执行，也可以由终端204来执行，还可以是由服务器202和终端204共同执行。其中，终端204执行本发明实施例的地址信息的检测方法也可以是由安装在其上的客户端来执行。

图3是根据本发明实施例的一种地址信息的检测方法的流程图。如图3所示，该方法可以包括以下步骤：

步骤s302，获取第一地址信息的多个特征。

在本申请上述步骤s302提供的技术方案中，获取第一地址信息的多个特征，其中，多个特征被用于检测第一地址信息。

在该实施例中，地址信息可以适用于互联网、移动支付、分享类应用等技术中，为网址信息，比如，为统一资源定位符(uniformresourcelocator，简称为url)。统一资源定位符可以用于表示从互联网上得到的资源的位置和访问方法，是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的url，它包含的信息指出文件的位置以及浏览器应该怎么处理它。

在地址信息的检测过程中，未知状态的地址信息源源不断地送入到检测引擎中。在在线状态下，获取第一地址信息的多个特征，该第一地址信息为待检测的地址信息，并非为已确定的恶意地址信息。该第一地址信息的状态为待确定状态，可能为恶意地址信息，会为用户的利益带来损害，也可能为正常地址信息，也即，为安全地址信息，不会为用户的利益带来损害。该第一地址信息包括多个特征，该特征也即维度特征，可以包括网址信息、网页标题、ip地址、域名注册email信息、注册途径信息、页面内容、第一地址信息中的路径等，此处不做限制。

可选地，该实施例的第一地址信息具有如下特点：在某一时间段内，第一地址信息的传播量比其它网站高出数倍；非法分子利用同样的信息注册大量的域名；很多网站都是在同一ip地址下进行的；很多网站都是以一定的固定模式，随机生成大量的第一地址信息，其中，固定模式为以一定的基础生成规则，使生成的第一地址信息中的部分信息不变，比如，使生成的第一地址信息的长度不变，而其中的参数改变，这样使得生成的大量第一地址信息具有一定的共性。

步骤s304，分别获取多个特征在第一时间段内出现的频率，得到多个频率。

在本申请上述步骤s304提供的技术方案中，分别获取多个特征在第一时间段内出现的频率，得到多个频率，其中，多个频率与多个特征一一对应。

在获取第一地址信息的多个特征之后，分别获取多个特征在第一时间段内出现的频率，得到多个频率，也即，检测引擎主动获取多个特征在第一时间段内出现的频率，每个特征对应一个在第一段时间内出现的频率，可以通过多个特征在第一时间段内出现的次数和第一时间计算出多个特征在第一时间段内出现的频率。其中，第一时间段可以为恶意地址信息爆发的时间段，考虑到计算机资源有限，该第一时间段可疑为一段很短的时间。

可选地，利用滑动窗口原理，实时统计第一地址信息对应的各特征在第一时间段内出现的频率，比如，实时统计第一地址信息中的ip地址、域名注册email信息、url中的路径等在一个小时内出现的频率，得到多个频率。其中，滑动窗口原理为在任意时刻，发送方都维持了一个连续的允许发送的帧的序号，同时接收方也维持了一个连续的允许接收的帧的序号。

步骤s306，将与多个频率中大于第一预设值的频率对应的特征确定为目标特征。

在本申请上述步骤s306提供的技术方案中，将与多个频率中大于第一预设值的频率对应的特征确定为目标特征，其中，多个特征包括目标特征。

在分别获取多个特征在第一时间段内出现的频率，得到多个频率之后，检测引擎判断每一特征的频率是否大于第一预设值，以确定第一地址信息的状态。该第一预设值为用于判断特征在一段时间内出现的频率是否正常的安全频率，也即，当特征的频率大于第一预设值时，可以确定该特征为可疑特征，也即，可能为恶意地址信息；当特征的频率不大于第一预设值时，可以确定该特征为安全特征。在获取到的多个频率中，当某个特征的频率大于第一预设值时，则将该特征确定为目标特征，也即，该目标特征为需要针对处理的特征。

步骤s308，获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。

在本申请上述步骤s308提供的技术方案中，获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。

在将与多个频率中大于第一预设值的频率对应的特征确定为目标特征之后，获取包括目标特征的第二地址信息，也即，获取含有该特征的所有地址信息，该所有地址信息为第二地址信息。将第二地址信息确定为目标地址信息，并对该第二地址信息进行标记，也即，该标记的第二地址信息可能为恶意地址信息。在确定第二地址信息为恶意地址信息的情况下，将该第二地址信息列入黑名单中，以在客户端对地址信息进行拦截，进行打击。

由于现有的检测引擎预先都是根据恶意样本来建立的，如果恶意地址信息出现了新的变种，检测引擎是检测不出来的。而该实施例不需要预先分析恶意样本，利用地址信息在传播上不可绕过的特性进行主动地、实时地发现，通过统计地址信息的特征出现的频率来找到可疑特征，进而找到恶意的url，以进行实时打击，而且灵活性高。

通过上述步骤s302至步骤s308，采用获取第一地址信息的多个特征，其中，多个特征被用于检测第一地址信息；分别获取多个特征在第一时间段内出现的频率，得到多个频率，其中，多个频率与多个特征一一对应；将与多个频率中大于第一预设值的频率对应的特征确定为目标特征，其中，多个特征包括目标特征；获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。由于不需要预先分析恶意样本，而是利用地址信息在传播时的特性进行实时主动地发现，达到了对地址信息进行检测的目的，从而实现了提高地址信息的检测效率的技术效果，进而解决了相关技术中地址信息的检测效率低的技术问题。

作为一种可选的实施方式，步骤s308，将第二地址信息确定为目标地址信息包括：在第二地址信息符合预设条件的情况下，将第二地址信息确定为目标地址信息。

在步骤s308中，获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息，该目标地址信息为初步标记为可疑的地址信息。由于计算机的资源有限，只能统计一段很短时间内的情况，得到的目标地址信息可能存在误报的情况，还不能确定该目标地址信息是否为恶意地址信息。可以在离线状态下，判断第二地址信息是否符合预设条件，如果判断出第二地址信息符合预设条件，则将第二地址信息确定为目标地址信息。其中，预设条件为用于确定第二地址信息的真实状态的条件。

可选地，预设条件包括：用于确定地址信息为安全地址信息的第一预设条件和用于确定地址信息为恶意地址信息的第二预设条件。如果判断出第二地址信息符合第一预设条件，则将第二地址信息确定为安全地址信息，如果判断出第二地址信息符合第二预设条件，则将第二地址信息确定为恶意地址信息。

作为一种可选的实施方式，在步骤s308，将第二地址信息确定为目标地址信息之前，该方法还包括：在第二地址信息在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件；在第二地址信息在第二预设时间段内出现的次数不大于第二预设值的情况下，确定第二地址信息不符合预设条件。

图4是根据本发明实施例的另一种地址信息的检测方法的流程图。如图4所示，该方法包括以下步骤：

步骤s401，在第二地址信息在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件。

在本申请上述步骤s401提供的技术方案中，在将第二地址信息确定为目标地址信息之前，在第二地址信息在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件，进而将第二地址信息确定为目标地址信息。

在将第二地址信息确定为目标地址信息之前，判断第二地址信息在第二预设时间段内出现的次数是否大于第二预设值。其中，第二预设时间段可以为在离线状态下判断第二地址信息是否符合预设条件的间隔时间。比如，离线系统每隔时间t就会运行一次，判断第二地址信息是否符合预设条件，以在第二地址信息符合预设条件的情况下，将第二地址信息确定为目标地址信息。第二预设值可以为在第二预设时间段内用于确定第二地址信息出现的次数是否异常的参考次数。

在判断第二地址信息在第二预设时间段内出现的次数是否大于第二预设值之后，如果判断出第二地址信息在第二预设时间段内出现的次数大于第二预设值，则确定第二地址信息符合预设条件，可以将该第二地址信息确定为恶意的地址信息。

步骤s402，在第二地址信息在第二预设时间段内出现的次数不大于第二预设值的情况下，确定第二地址信息不符合预设条件。

在本申请上述步骤s402提供的技术方案中，在第二地址信息在第二预设时间段内出现的次数不大于第二预设值的情况下，确定第二地址信息不符合预设条件。

在判断第二地址信息在第二预设时间段内出现的次数是否大于第二预设值之后，如果判断出第二地址信息在第二预设时间段内出现的次数不大于第二预设值，确定第二地址信息不符合预设条件，可以将该第二地址信息确定为安全的地址信息。

该实施例在将第二地址信息确定为目标地址信息之前，在第二地址信息在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件；在第二地址信息在第二预设时间段内出现的次数不大于第二预设值的情况下，确定第二地址信息不符合预设条件，以在第二地址信息符合预设条件的情况下，将第二地址信息确定为目标地址信息，提高了地址信息检测的效率。

作为一种可选的实施方式，步骤s401，在第二地址信息在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件包括：在第二地址信息中的域名在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件；在第二地址信息在第二预设时间段内出现的次数不大于第二预设值的情况下，确定第二地址信息不符合预设条件包括：在第二地址信息的域名在第二预设时间段内出现的次数不大于第二预设值的情况下，确定第二地址信息不符合预设条件。

地址信息包括域名，该域名可以为网站域名。可以判断第二地址信息的域名在第二预设时间段内出现的次数是否大于第二预设值。如果判断出第二地址信息中的域名在第二预设时间段内出现的次数大于第二预设值，则确定第二地址信息符合预设条件，可以将该第二地址信息确定为恶意的地址信息；如果判断出第二地址信息中的域名在第二预设时间段内出现的次数不大于第二预设值，则确定第二地址信息不符合预设条件，可以将该第二地址信息确定为安全的地址信息。

作为一种可选的实施方式，步骤s302，获取第一地址信息的多个特征包括：从第一地址信息中提取多个特征；按照预设数据结构存储多个特征。

图5是根据本发明实施例的一种获取第一地址信息的多个特征的方法的流程图。如图5所示，该方法包括以下步骤：

步骤s501，从第一地址信息中提取多个特征。

在本申请上述步骤s501提供的技术方案中，从第一地址信息中提取多个特征。

第一地址信息包括多个特征，从第一地址信息中提取多个特征。比如，第一地址信息为url“http://www.testurl.com/app/word/index.php？a＝x&b＝y”从url中提取路径特征“/app/word/”，提取参数特征“index.php？a＝b＝”，ip地址特征可以为“199.134.34.21”。

步骤s502，按照预设数据结构存储多个特征。

在本申请上述步骤s502提供的技术方案中，按照预设数据结构存储多个特征。

由于该实施例是通过统计地址信息中的特征出现的频率来查找到可疑的特征，进而找到恶意地址信息。但是待检测的地址信息是源源不断的，而计算机资源是有限的，可以在从第一地址信息中提取多个特征之后，按照预设数据结构存储多个特征，该预设数据结构可以高效地存储地址信息，可以随时间变化存储地址信息中的特征出现的情况。

该实施例通过从第一地址信息中提取多个特征；按照预设数据结构存储多个特征，实现了获取第一地址信息的多个特征，进而将与多个频率中大于第一预设值的频率对应的特征确定为目标特征；获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息，提高了地址信息的检测效率。

作为一种可选的实施方式，步骤s502，按照预设数据结构存储多个特征包括：在多个特征中的第一特征存在于与第一特征对应的树结构中，且第一特征的第一域名存在于树结构中与第一特征关联的第一列表的情况下，将第一列表存储的第一域名的域名信息更新为第一域名的当前域名信息，得到第二列表；在第一特征存在于树结构中、且第一域名不存在于与第一特征关联的列表的情况下，将第一域名的当前域名信息添加到树结构中与第一特征关联的第三列表中。

图6是根据本发明实施例的一种按照预设数据结构存储多个特征的方法的流程图。如图6所示，该方法包括以下步骤：

步骤s601，在多个特征中的第一特征存在于与第一特征对应的树结构中，且第一特征的第一域名存在于树结构中与第一特征关联的第一列表的情况下，将第一列表存储的第一域名的域名信息更新为第一域名的当前域名信息，得到第二列表。

在本申请上述步骤s601提供的技术方案中，预设数据结构包括树结构，树结构的每一个节点用于存储与第一特征具有相同类型的特征。

在该实施例，每一类特征都可以通过树结构进行存储，树结构中的每一个节点用于存储同一类的特征树结构中的每一个节点，可以是一个key-list结构。比如，url中的ip地址通过树结构进行存储，也即，ip树，其中每一个节点可以用于存储地址信息中不同的ip地址；url中的路径信息可以通过树结构进行存储，也即，路径树，其中每一个节点可以用于存储地址信息中不同的路径信息；url中的参数可以通过树结构进行存储，也即，参数树，其中每一个节点可以用于存储地址信息中不同的参数，从而便于查询，达到高效地存储地址信息中的相应信息。

在树结构中，与key关联的value值是一个列表，列表中的每个元素为特征对应的网站域名、域名首次出现时间、最新出现时间、域名在一段时间内出现的次数、该网站域名在当天的传播次数，也即，key：特征(比如，ip：127.168.0.1)，value{域名，域名首次出现时间、最新出现时间、域名在一段时间内出现的次数、该网站域名在当天的传播次数}。

在第一地址信息中的多个特征中确定第一特征，查询第一特征是否存在于与第一特征对应的树结构中。如果查询出第一特征存在于与第一特征对应的树结构中，则继续查询第一特征的第一域名是否存在于与该第一特征关联的第一列表中，该第一列表为与第一特征关联的任意列表。如果查询到第一特征的第一域名存在于第一列表，则将第一列表存储的第一域名的域名信息更新为第一域名的当前域名信息，得到第二列表，其中，域名信息为第一列表的列表元素，为与域名的相关信息，包括域名、域名首次出现时间、最新出现时间、域名出现次数、域名热度等。其中，域名热度可以由域名传播次数确定。可选地，如果查询到第一特征的第一域名存在于第一列表，则将该第一域名所在的列表元素中的域名出现次数加1，最新出现时间更新为当前时间，同时将域名热度更新此时域名的传播热度。

步骤s602，在第一特征存在于树结构中、且第一域名不存在于与第一特征关联的列表的情况下，将第一域名的当前域名信息添加到树结构中与第一特征关联的第三列表中。

在本申请上述步骤s602提供的技术方案中，在查询第一特征是否存在于与第一特征对应的树结构中之后，如果第一特征存在于树结构中，在第一特征的第一域名不存在于与第一特征关联的任意列表的情况下，将第一域名的当前域名信息添加到树结构中与第一特征关联的第三列表中，可以构建该第一域名在与第一特征关联的列表中的列表元素，其中，将列表元素中的域名首次出现时间和最新出现时间都为当前域名信息中的当前时间，将列表元素中的域名出现次数初始化为1，然后将包括上述列表元素的第三列表添加至与第一特征关联的列表的末尾。

该实施例在多个特征中的第一特征存在于与第一特征对应的树结构中，且第一特征的第一域名存在于树结构中与第一特征关联的第一列表的情况下，将第一列表存储的第一域名的域名信息更新为第一域名的当前域名信息，得到第二列表，预设数据结构包括树结构，树结构的每一个节点用于存储与第一特征具有相同类型的特征；在第一特征存在于树结构中、且第一域名不存在于与第一特征关联的列表的情况下，将第一域名的当前域名信息添加到树结构中与第一特征关联的第三列表中，从而实现了按照预设数据结构存储多个特征的目的，以达到高效地存储与地址信息相关的信息的目的。

作为一种可选的实施方式，第一域名的域名信息包括以下至少之一：第一域名；第一域名在第一次出现时的时间；第一域名在最近一次出现时的时间；第一域名出现的次数；第一域名的传播热度。

该实施例的第一域名为第一地址信息的特征的域名，第一域名在第一次出现时的时间可以为检测系统首次检测到第一域名的时间，第一域名在最近一次出现时的时间可以为检测系统在最近一次检测到第一域名的时间，第一域名出现的次数可以为截止当前检测系统检测到第一域名的次数，第一域名的传播热度可以为检测系统检测到的第一域名在当天的传播次数。

作为一种可选的实施方式，将第一列表存储的第一域名的域名信息更新为第一域名的当前域名信息，得到第二列表包括：将第一域名在最近一次出现时的时间更新为当前时间，其中，当前域名信息包括当前时间；将第一域名的传播热度更新为第一域名当前的传播热度，其中，当前域名信息包括第一域名当前的传播热度；将第一域名出现的次数加1。

在多个特征中的第一特征存在于与第一特征对应的树结构中，且第一特征的第一域名存在于树结构中与第一特征关联的第一列表的情况下，将第一列表中第一域名在最近一次出现时的时间更新为当前时间；将第一列表中的第一域名的传播热度更新为第一域名在当前的传播热度；将第一列表中的第一域名出现的次数加1，从而将第一列表更新为第二列表，实现了对与第一特征关联的列表的更新，达到了高效地存储与地址信息相关的信息的目的。

作为一种可选的实施方式，该地址信息的检测方法还包括：在第一特征存在于树结构中、且第一域名不存在于与第一特征关联的列表的情况下，将第一域名的当前域名信息添加到树结构中与第一特征关联的第三列表中包括：向树结构中与第一特征关联的最后一个列表的后面添加第三列表，第三列表至少包括以下之一：第一域名；第一域名在第一次出现时的时间，其中，第一次出现时的时间为当前时间；第一域名在最近一次出现时的时间，其中，最近一次出现时的时间为当前时间；第一域名出现的次数，其中，次数为1。

在第一特征存在于树结构中、且第一域名不存在于与第一特征关联的任意列表的情况下，也即，检测系统首次检测到第一域名，则向树结构中与第一特征关联的最后一个列表的后面添加第三列表，构建第三列表的列表元素，该第三列表的列表元素包括：第一域名；第一域名在第一次出现时的时间为当前时间；第一域名在最近一次出现时的时间为当前时间；第一域名出现的次数为1。

作为一种可选的实施方式，按照预设数据结构存储多个特征包括：在不存在与多个特征中的第一特征对应的树结构的情况下，将第一特征和与第一特征关联的第一列表添加至树结构中，其中，预设数据结构包括树结构，树结构的每一个节点用于存储与第一特征具有相同类型的特征。

在该实施例中，如果第一地址信息中的第一特征不存在树结构中，则以该第一特征为key，以与第一特征的域名信息作为列表元素构建value值，添加至树结构中。

需要说明的是，该实施例的第一地址信息中的每一个特征和与特征对应的域名都可以采用上述预设数据结构进行存储，从而更高效地存储地址信息的相关信息，提高地址信息检测的效率。

作为一种可选的实施方式，分别获取多个特征在第一时间段内出现的频率，得到多个频率包括：对多个特征中的每个特征执行以下操作，其中，在执行以下操作时每个特征被称为当前特征：获取与当前特征对应的树结构中存储的当前特征的域名信息；将域名信息中的域名在最近一次出现时的时间和域名在第一次出现时的时间之间的时间差确定为第一时间段；将域名信息中的域名在第一时间段上出现的次数与时间差之商确定为当前特征在第一时间段内出现的频率。

在对地址信息进行存储之后，在一段时间之后，扫描树结构中的每个节点，获取与当前特征对应的树结构中存储的当前特征的域名信息。对于树结构中的每个key对应的列表中的元素，将域名信息中的域名出现次数/(将域名信息中的域名在最近一次出现时的时间-域名在第一次出现时的时间)确定为每个特征在第一时间段内出现的频率，从而得到域名的出现频率，该域名的出现频率为每个特征的出现频率。

作为一种可选的实施方式，将与多个频率中大于第一预设值的频率对应的特征确定为目标特征包括：在当前特征在第一时间段内出现的频率大于第一预设值的情况下，确定当前特征为目标特征，并确定当前特征中的域名信息为目标域名信息；至少输出目标特征和目标域名信息，并在当前特征对应的树结构中删除目标域名信息。

在将域名信息中的域名在第一时间段上出现的次数与时间差之商确定为当前特征在第一时间段内出现的频率之后，判断当前特征在第一时间段内出现的频率是否大于第一预设值。如果判断出当前特征在第一时间段内出现的频率大于第一预设值，则确定该当前特征为目标特征，并确定该特征中的域名信息为目标域名信息，输出目标特征和目标域名信息，该域名信息包括目标特征对应的域名，并在当前特征的树结构中的列表中删除目标域名信息，也即，删除该域名对应的列表元素。

该实施例可以用于对地址信息的打击，由检测模型确定的恶意地址信息都会进入到黑名单。该黑名单可以通过云查询的方式对外提供服务，任何想接入url的安全服务的公司和产品，都可以通过api接口进行接入。比如，在电脑管家侧，如果一条地址信息被查询为黑名单中的地址信息，则会在浏览器中展示一个中间页，暂时阻断用户访问，并提示用户该页面可能存在恶意信息，实现了对恶意地址信息的拦截。

该实施例由于不再基于恶意样本来设计检测引擎，而是利用恶意url的传播特性进行打击，可以及时地对恶意诱导分享的地址信息进行检测、打击，而且更灵活，可以实时地、主动地发现恶意地址信息的变种，并能为基于恶意样本的检测引擎提供样本，从而提高了地址信息的检测效率。

实施例2

下面结合优选的实施例对本发明的技术方案进行说明，具体以地址信息为url进行举例说明。

在对url进行检测的过程中，未知状态的url源源不断地送入到检测引擎中，其中，检测引擎也可以为检测模型，分类模型等，url的状态包括是否为可疑url的状态。然后检测引擎根据url的相关特征对url的状态进行判断，比如，根据url的ip地址、路径、参数等特征对url的状态进行判断。

在虚假支付、诱导分享类恶意url中，非法分子为了通过虚假信息骗取用户钱财，通过虚假信息诱导用户分享，通过推广广告挣钱，并提高恶意url传播的成功率和转化率以得到更多的收益，使网址都存在一定共性：(1)在传播特性上，网站都是在某一天突发性地大规模传播url，在某一时间段内，比如，在1个小时内，使url的传播量比其它网站高出数倍；(2)非法分子总是利用同样的信息注册大量的域名；(3)为了节约成本，很多网站都是在同一ip地址下进行的；(4)很多网站都是以一定的固定模式，随机生成大量的url，其中，固定模式为以一定的基础生成规则，使生成的url中的部分信息不变，比如，使生成的url的长度不变，而其中的参数改变，这样使得生成的大量url具有一定的共性。

基于诱导分享url具有的上述特性，该实施例提出了一种地址信息的检测系统。图7是根据本发明实施例的一种地址信息的检测系统的示意图。如图7所示，该系统包括：在线统计系统a和离线计算系统b。

在在线统计系统a中，利用滑动窗口原理，实时统计url对应的各维度特征在一段时间内出现的频率。其中，维度特征可以为url对应的网址信息、网页标题、ip地址、域名注册email信息，注册途径信息、页面内容、url中的路径信息等，此处不做限制。在正常传播url的情况下，不会在短时间内大量传播url，也即，url出现的频率不会太高。当url中的某一个维度特征出现的频率高于一个阈值时，也即，当url中的某一个维度特征出现的频率高于一个预设频率时，则将该维度特征确定为可疑维度特征，并输出该维度特征。而包含有该维度特征的所有url也初步标记为可疑url。

上述通过在线统计系统a得到的可疑url，只是初步被标记的可疑url。由于受限于计算机的资源大小，可以统计的url只能是一段很短时间内的url的情况，还有可能存在对url误报的情况，因而还不能毫无疑义地确其为恶意url。为了避免对url误报的情况，在离线计算系统b中，对在在线统计系统a中被标记的可疑url进行分析。可选地，该离线计算系统b查询url的域名在最近几天的传播热度、域名注册时间、icp备案信息等。将存在热度特变、备案信息可疑的网站最终确定为恶意网站，并在客户端进行拦截。其中，热度特变指url的传播量突然大幅度变化，比如，在前几天处于正常传播量，而在当天突然陡增，或者陡减，则确定该网站为存在热度特变的恶意网站。

该实施例的上述地址信息的检测系统可以为一种在线、实时的可疑url主动发现系统，也可以为实时的诱导分享url主动发现系统。该系统利用网址信息具有短时间内大量传播、具有一定相似性等特点，对恶意网址进行聚类处理。需要说明的是，该聚类处理的方法不同于一般的离线聚类算法，可以在数据流中进行实时地聚类。因此，通过该实施例的地址信息的检测系统，可以对恶意url做到主动发现，并进行实时打击的目的。

需要说明的是，该实施例对恶意url的打击不再基于预先对恶意样本的分析过程，而是利用恶意url在传播上不可绕过的特性，进行实时主动发现的过程，以在恶意url爆发时就能快速感知到，然后在客户端侧对恶意url进行拦截。由于该方法是基于恶意url的传播特性而设计的，不仅打击实时性高，而且检测灵活，不容易被非法分子绕过，提高了地址信息的检测效率。

上述地址信息的检测系统主要是通过统计url特征出现的频率来找到可疑的特征，进而找到恶意的url。但是待检测的url是源源不断的，而计算机资源是有限的。因而，需要一种数据结构可以高效地存储url相应的信息。下面对用于存储url相应的信息地址信息进行存储的数据结构进行介绍。

图8是根据本发明实施例的一种对地址信息的特征进行存储的数据结构的示意图。如图8所示，该实施例采用了一种树结构来存储地址信息的特征，也即，为特征结构树。该树结构随时间变化，可以达到快速查询的目的。每一类维度特征都可以采用图8所示的树结构进行存储，比如，url中的ip地址通过树结构进行存储，也即，ip树，其中每一个节点可以用于存储不同的ip地址；url中的路径信息可以通过树结构进行存储，也即，路径树，其中每一个节点可以用于存储不同的路径信息；url中的参数可以通过树结构进行存储，也即，参数树，其中每一个节点可以用于存储不同的参数。

图9是根据本发明实施例的一种树结构中的节点结构的示意图。如图9所示，树结构中的每一个节点都是一个key-list结构。比如，在ip树中，key为ip地址，value值是一个特征列表(list)，列表中的每个元素为该ip地址对应的网站的域名信息。在一段时间内，统计检测系统检测到该网站的域名的次数、首次出现时间、最新出现时间、该域名在当天的传播次数等，将该网站的域名的次数、首次出现时间、最新出现时间、该域名在当天的传播次数等作为列表元素。可选地，与key对应的value按域名信息的不同依次分为value1、value2、value3，其中，value1、value2、value3按照先来先存储的原则进行串行存储，也即，value2存储在value1后面，value3存储在value3后面。

图10是根据本发明实施例的一种对地址信息进行存储的方法的流程图。如图10所示，该方法可以包括以下步骤：

步骤s1001，获取url。

步骤s1002，从url中提取特征。

在获取url之后，从url中提取特征。

步骤s1003，判断提取的特征是否存在树结构中。

在从url中提取特征之后，判断特征是否存在树结构中。如果判断出特征存在树结构中，则执行步骤s1004；如果判断出特征不存在树结构中，则执行步骤s1008。

步骤s1004，判断域名是否存在特征列表中。

在判断特征是否存在树结构中之后，如果判断出特征存在树结构中，判断域名是否存在特征列表中。如果判断出域名存在特征列表中，则执行步骤s1005；如果判断出域名不存在特征列表中，则执行步骤s1006。

步骤s1005，更新域名在特征列表中对应的列表元素。

在判断域名是否存在特征列表中之后，如果判断出域名存在特征列表中，更新域名在特征列表中对应的列表元素。

步骤s1006，构建域名对应的列表元素。

在判断域名是否存在特征列表中之后，如果判断出域名不存在特征列表中，构建域名对应的列表元素。

步骤s1007，添加域名对应的列表元素至特征列表的末尾。

在构建域名对应的列表元素之后，添加域名对应的列表元素至特征列表的末尾。

步骤s1008，构建特征的域名对应的列表元素。

在判断特征是否存在树结构中之后，如果判断出特征不存在树结构中，构建该特征的域名对应的列表元素。

步骤s1009，将特征的域名对应的列表元素添加至树结构中。

在构建特征的域名对应的列表元素之后，将特征的域名对应的列表元素添加至树结构中。

举例而言，key用于存储特征，比如，ip地址127.168.0.1。value{域名，域名首次出现时间，最新出现时间，域名出现次数，域名传播热度}。

假设一条url为http://www.testurl.com/app/word/index.php？a＝x&b＝y。当url送入到地址信息的检测系统中时，首先提取该url的相应特征(路径：/app/word/，参数：index.php？a＝b＝，ip地址假设为：199.134.34.21)。然后查询这些特征是否存在于特征结构树中。如果特征存在，则继续查询该url的特征的域名是否存在于该特征对应的list表中。如果域名存在，在将该域名的列表元素中的域名出现次数加1，将最新出现时间更新为当前时间，同时更新域名传播热度为此时域名的传播热度。如果该域名不存在，则构建该域名的元素信息，其中，域名首次出现时间和最新出现时间都为此刻时间，域名出现次数初始化为1，然后将该列表元素添加至该特征的对应list末尾。如果该特征一开始就不存在树结构中，则以该特征为key，域名的元素信息为value添加至树结构中。

图11是根据本发明实施例的另一种检测地址信息的方法的流程图。如图11所示，该方法包括以下步骤：

步骤s1101，扫描树结构中的每个节点。

在一段时间t之后，扫描树结构中的每个节点。

步骤s1102，判断是否存在出现频率大于预设阈值的域名。

在扫描树结构中的每个节点之后，判断是否存在出现频率大于预设阈值的域名。如果判断出存在出现频率大于预设阈值的域名，比如，对于树结构中的每个key对应的列表元素，如果判断出域名出现次数/(最新出现时间-首次出现时间)大于一个阈值p，则确定出现频率大于预设阈值的域名为可疑域名，执行步骤s1103。

步骤s1103，输出可疑域名。

在判断是否存在出现频率大于预设阈值的域名之后，如果判断出存在出现频率大于预设阈值的域名，则输出该特征和可疑域名，并删除列表中域名对应的列表元素。

步骤s1104，判断是否存在出现频率小于预设阈值的域名。

在扫描树结构中的每个节点之后，判断是否存在出现频率小于预设阈值的域名。如果判断出存在出现频率小于预设阈值的域名，比如，对于树结构中的每个key对应的列表元素，如果域名出现次数/(最新出现时间-首次出现时间)小于一个阈值q，则确定出现频率小于预设阈值的域名为正常域名，执行步骤s1105。

步骤s1105，删除正常域名。

在判断是否存在出现频率小于预设阈值的域名之后，如果判断出存在出现频率小于预设阈值的域名，则直接将正常域名从树结构中删除，从而节约了内存空间和计算资源。

可选地，所以为了解决误报情况，每隔时间t，运行一次离线计算系统b。然后统计分析这段时间t内输出的所有可疑域名。如果一个域名出现的次数为则确定该域名为最终的恶意域名。其中，t为用于实时统计url对应各维度特征出现的频率的时间。

该实施例由于不再基于恶意样本来设计检测系统，而是利用恶意url的传播特性进行检测，因而对恶意诱导分享的url打击更及时，而且更灵活，可以实时地、主动发现恶意url的变种，并能为基于恶意样本的检测引擎提供样本，提高了地址信息的检测效率。

实施例3

本发明实施例的应用环境可以但不限于参照上述实施例中的应用环境，本实施例中对此不再赘述。本发明实施例提供了用于实施地址信息的检测方法的一种可选的具体应用。

该实施例主要用于钓鱼url的打击，被检测模型判黑的url，都会进入到黑名单。该黑名单可以通过云查的方式对外提供服务，任何想接入到url安全服务的公司和产品，都可以通过api接口进行接入。比如，在腾讯电脑管家侧，如果一条url被查询为黑，也即，为恶意url，则会在浏览器中展示一个中间页，暂时阻断用户访问，并提示用户该页面可能存在恶意信息，从而达到有效拦截恶意url的目的。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例4

根据本发明实施例，还提供了一种用于实施上述地址信息的检测方法的地址信息的检测装置。图12是根据本发明实施例的一种地址信息的检测装置的示意图。如图12所示，该装置可以包括：第一获取单元10、第二获取单元20、确定单元30和处理单元40。

第一获取单元10，用于获取第一地址信息的多个特征，其中，多个特征被用于检测第一地址信息。

第二获取单元20，用于分别获取多个特征在第一时间段内出现的频率，得到多个频率，其中，多个频率与多个特征一一对应。

确定单元30，用于将与多个频率中大于第一预设值的频率对应的特征确定为目标特征，其中，多个特征包括目标特征。

处理单元40，用于获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。

可选地，确定单元30包括：第一确定模块，用于在第二地址信息符合预设条件的情况下，将第二地址信息确定为目标地址信息。

可选地，确定单元30还包括：第二确定模块，用于在将第二地址信息确定为目标地址信息之前，在第二地址信息在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件。

可选地，第一确定模块包括：确定子模块，用于确定第二地址信息符合预设条件包括：在第二地址信息中的域名在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件。

可选地，第一获取单元10包括：提取模块和存储模块。其中，提取模块，用于从第一地址信息中提取多个特征；存储模块，用于按照预设数据结构存储多个特征。

可选地，存储模块包括：更新子模块，用于在多个特征中的第一特征存在于与第一特征对应的树结构中、且第一特征的第一域名存在于树结构中与第一特征关联的第一列表的情况下，将第一列表存储的第一域名的域名信息更新为第一域名的当前域名信息，得到第二列表；其中，预设数据结构包括树结构，树结构的每一个节点用于存储与第一特征具有相同类型的特征。

可选地，第一域名的域名信息包括以下至少之一：第一域名；第一域名在第一次出现时的时间；第一域名在最近一次出现时的时间；第一域名出现的次数；第一域名的传播热度。

可选地，更新子模块用于将第一域名在最近一次出现时的时间更新为当前时间，其中，当前域名信息包括当前时间；将第一域名的传播热度更新为第一域名当前的传播热度，其中，当前域名信息包括第一域名当前的传播热度；将第一域名出现的次数加1。

可选地，确定单元30还包括：第三确定模块，用于在第一特征存在于树结构中、且第一域名不存在于与第一特征关联的列表的情况下，将第一域名的当前域名信息添加到树结构中与第一特征关联的第三列表中，其中，包括：向树结构中与第一特征关联的最后一个列表的后面添加第三列表，其中，第三列表至少包括以下之一：第一域名；第一域名在第一次出现时的时间，其中，第一次出现时的时间为当前时间；第一域名在最近一次出现时的时间，其中，最近一次出现时的时间为当前时间；第一域名出现的次数，其中，次数为1。

可选地，存储模块包括：添加子模块，用于在多个特征中的第一特征不存在于树结构中的情况下，将第一特征和与第一特征关联的第一列表添加至树结构中，其中，预设数据结构包括树结构，树结构的每一个节点用于存储与第一特征具有相同类型的特征。

可选地，第二获取单元20用于通过获取模块、第四确定模块和第五确定模块对多个特征中的每个特征执行以下操作，其中，在执行以下操作时每个特征被称为当前特征：获取模块，用于获取与当前特征对应的树结构中存储的当前特征的域名信息；第四确定模块，用于将域名信息中的域名在最近一次出现时的时间和域名在第一次出现时的时间之间的时间差确定为第一时间段；第五确定模块，用于将域名信息中的域名在第一时间段上出现的次数与时间差之商确定为当前特征在第一时间段内出现的频率。

可选地，确定单元30包括：第六确定模块和输出模块。其中，用于第六确定模块，用于在当前特征在第一时间段内出现的频率大于第一预设值的情况下，确定当前特征为目标特征，并确定当前特征中的域名信息为目标域名信息；输出模块，用于至少输出目标特征和目标域名信息，并在当前特征对应的树结构中删除目标域名信息。

需要说明的是，该实施例中的第一获取单元10可以用于执行本申请实施例1中的步骤s302，该实施例中的第二获取单元20可以用于执行本申请实施例1中的步骤s304，该实施例中的确定单元30可以用于执行本申请实施例1中的步骤s306，该实施例中的处理单元40可以用于执行本申请实施例1中的步骤s308。

该实施例通过第一获取单元10获取第一地址信息的多个特征，其中，多个特征被用于检测第一地址信息，通过第二获取单元20分别获取多个特征在第一时间段内出现的频率，得到多个频率，其中，多个频率与多个特征一一对应，通过确定单元30将与多个频率中大于第一预设值的频率对应的特征确定为目标特征，其中，多个特征包括目标特征，通过处理单元40获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。由于不需要预先分析恶意样本，而是利用地址信息在传播时的特性进行实时主动地发现，达到了对地址信息进行检测的目的，从而实现了提高地址信息的检测效率的技术效果，进而解决了相关技术中地址信息的检测效率低的技术问题。

此处需要说明的是，上述单元与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述单元作为装置的一部分可以运行在如图2所示的硬件环境中，可以通过软件实现，也可以通过硬件实现，其中，硬件环境包括网络环境。

实施例5

根据本发明实施例，还提供了一种用于实施上述地址信息的检测方法的电子装置。

图13是根据本发明实施例的一种电子装置的结构框图。如图13所示，该的电子装置可以包括：一个或多个(图中仅示出一个)处理器131、存储器133。可选地，如图13所示，该电子装置还可以包括传输装置135、输入输出设备137。

其中，存储器133可用于存储软件程序以及模块，如本发明实施例中的地址信息的检测方法和装置对应的程序指令/模块，处理器131通过运行存储在存储器133内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的地址信息的检测方法。存储器133可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器133可进一步包括相对于处理器131远程设置的存储器，这些远程存储器可以通过网络连接至电子装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

上述的传输装置135用于经由一个网络接收或者发送数据，还可以用于处理器与存储器之间的数据传输。上述的网络具体实例可包括有线网络及无线网络。在一个实例中，传输装置135包括一个网络适配器(networkinterfacecontroller，nic)，其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中，传输装置135为射频(radiofrequency，rf)模块，其用于通过无线方式与互联网进行通讯。

其中，具体地，存储器133用于存储应用程序。

处理器131可以通过传输装置135调用存储器133存储的应用程序，以执行下述步骤：

获取第一地址信息的多个特征，其中，多个特征被用于检测第一地址信息；

分别获取多个特征在第一时间段内出现的频率，得到多个频率，其中，多个频率与多个特征一一对应；

将与多个频率中大于第一预设值的频率对应的特征确定为目标特征，其中，多个特征包括目标特征；

获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。

处理器131还用于执行下述步骤：在第二地址信息符合预设条件的情况下，将第二地址信息确定为目标地址信息。

处理器131还用于执行下述步骤：在将第二地址信息确定为目标地址信息之前，在第二地址信息在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件。

处理器131还用于执行下述步骤：在第二地址信息中的域名在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件。

处理器131还用于执行下述步骤：从第一地址信息中提取多个特征；按照预设数据结构存储多个特征。

处理器131还用于执行下述步骤：在多个特征中的第一特征存在于与第一特征对应的树结构中，且第一特征的第一域名存在于树结构中与第一特征关联的第一列表的情况下，将第一列表存储的第一域名的域名信息更新为第一域名的当前域名信息，得到第二列表；其中，预设数据结构包括树结构，树结构的每一个节点用于存储与第一特征具有相同类型的特征。

处理器131还用于执行下述步骤：将第一域名在最近一次出现时的时间更新为当前时间，其中，当前域名信息包括当前时间；将第一域名的传播热度更新为第一域名当前的传播热度，其中，当前域名信息包括第一域名当前的传播热度；将第一域名出现的次数加1。

处理器131还用于执行下述步骤：向树结构中与第一特征关联的最后一个列表的后面添加第三列表，其中，第三列表至少包括以下之一：第一域名；第一域名在第一次出现时的时间，其中，第一次出现时的时间为当前时间；第一域名在最近一次出现时的时间，其中，最近一次出现时的时间为当前时间；第一域名出现的次数，其中，次数为1。

处理器131还用于执行下述步骤：在多个特征中的第一特征不存在于树结构中的情况下，将第一特征和与第一特征关联的第一列表添加至树结构中，其中，预设数据结构包括树结构，树结构的每一个节点用于存储与第一特征具有相同类型的特征。

处理器131还用于执行下述步骤：对多个特征中的每个特征执行以下操作，其中，在执行以下操作时每个特征被称为当前特征：获取与当前特征对应的树结构中存储的当前特征的域名信息；将域名信息中的域名在最近一次出现时的时间和域名在第一次出现时的时间之间的时间差确定为第一时间段；将域名信息中的域名在第一时间段上出现的次数与时间差之商确定为当前特征在第一时间段内出现的频率。

处理器131还用于执行下述步骤：在当前特征在第一时间段内出现的频率大于第一预设值的情况下，确定当前特征为目标特征，并确定当前特征中的域名信息为目标域名信息；至少输出目标特征和目标域名信息，并在当前特征对应的树结构中删除目标域名信息。

采用本发明实施例，提供了一种地址信息的检测方法的方案。通过获取第一地址信息的多个特征，其中，多个特征被用于检测第一地址信息；分别获取多个特征在第一时间段内出现的频率，得到多个频率，其中，多个频率与多个特征一一对应；将与多个频率中大于第一预设值的频率对应的特征确定为目标特征，其中，多个特征包括目标特征；获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。由于不需要预先分析恶意样本，而是利用地址信息在传播时的特性进行实时主动地发现，达到了对地址信息进行检测的目的，从而实现了提高地址信息的检测效率的技术效果，进而解决了相关技术中地址信息的检测效率低的技术问题。

可选地，本实施例中的具体示例可以参考上述实施例中所描述的示例，本实施例在此不再赘述。

本领域普通技术人员可以理解，图13所示的结构仅为示意，电子装置可以是智能手机(如android手机、ios手机等)、平板电脑、掌上电脑以及移动互联网设备(mobileinternetdevices，mid)、pad等电子装置。图13其并不对上述电子装置的结构造成限定。例如，电子装置还可包括比图13中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图13所示不同的配置。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令电子装置相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(read-onlymemory，rom)、随机存取器(randomaccessmemory，ram)、磁盘或光盘等。

实施例6

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于执行地址信息的检测方法的程序代码。

可选地，在本实施例中，上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：

获取第一地址信息的多个特征，其中，多个特征被用于检测第一地址信息；

分别获取多个特征在第一时间段内出现的频率，得到多个频率，其中，多个频率与多个特征一一对应；

将与多个频率中大于第一预设值的频率对应的特征确定为目标特征，其中，多个特征包括目标特征；

获取包括目标特征的第二地址信息，并将第二地址信息确定为目标地址信息。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：在第二地址信息符合预设条件的情况下，将第二地址信息确定为目标地址信息。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：在将第二地址信息确定为目标地址信息之前，在第二地址信息在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：在第二地址信息中的域名在第二预设时间段内出现的次数大于第二预设值的情况下，确定第二地址信息符合预设条件。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：从第一地址信息中提取多个特征；按照预设数据结构存储多个特征。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：在多个特征中的第一特征存在于与第一特征对应的树结构中，且第一特征的第一域名存在于树结构中与第一特征关联的第一列表的情况下，将第一列表存储的第一域名的域名信息更新为第一域名的当前域名信息，得到第二列表；其中，预设数据结构包括树结构，树结构的每一个节点用于存储与第一特征具有相同类型的特征。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：将第一域名在最近一次出现时的时间更新为当前时间，其中，当前域名信息包括当前时间；将第一域名的传播热度更新为第一域名当前的传播热度，其中，当前域名信息包括第一域名当前的传播热度；将第一域名出现的次数加1。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：向树结构中与第一特征关联的最后一个列表的后面添加第三列表，其中，第三列表至少包括以下之一：第一域名；第一域名在第一次出现时的时间，其中，第一次出现时的时间为当前时间；第一域名在最近一次出现时的时间，其中，最近一次出现时的时间为当前时间；第一域名出现的次数，其中，次数为1。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：在多个特征中的第一特征不存在于树结构中的情况下，将第一特征和与第一特征关联的第一列表添加至树结构中，其中，预设数据结构包括树结构，树结构的每一个节点用于存储与第一特征具有相同类型的特征。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：对多个特征中的每个特征执行以下操作，其中，在执行以下操作时每个特征被称为当前特征：获取与当前特征对应的树结构中存储的当前特征的域名信息；将域名信息中的域名在最近一次出现时的时间和域名在第一次出现时的时间之间的时间差确定为第一时间段；将域名信息中的域名在第一时间段上出现的次数与时间差之商确定为当前特征在第一时间段内出现的频率。

可选地，存储介质还被设置为存储用于执行以下步骤的程序代码：在当前特征在第一时间段内出现的频率大于第一预设值的情况下，确定当前特征为目标特征，并确定当前特征中的域名信息为目标域名信息；至少输出目标特征和目标域名信息，并在当前特征对应的树结构中删除目标域名信息。

可选地，本实施例中的具体示例可以参考上述实施例中所描述的示例，本实施例在此不再赘述。

可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在上述计算机可读取的存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在存储介质中，包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的客户端，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。