[发明专利]恶意特征数据库的建立方法、恶意对象检测方法及其装置

权利要求书

1.一种恶意特征数据库的建立方法，其特征在于，该建立方法包括：

S1、获取恶意对象样本；

S2、从样本中的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表；

S3、利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象。

2.根据权利要求1所述的建立方法，其特征在于，在所述步骤S3之后还包括：

S4、从步骤S3确定出的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表。

3.根据权利要求1所述的建立方法，其特征在于，所述恶意特征包括：挂马源、域名信息、注册信息、链接关系信息、网络内容提供商ICP信息或者关键词索引。

4.根据权利要求1所述的建立方法，其特征在于，所述利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象具体包括：

判断搜索数据库中的对象包含的超链接是否为恶意特征数据库的黑名单列表中的对象，如果是，则确定搜索数据库中的该对象为恶意对象；或者，

将搜索数据库中的对象与恶意特征数据库的黑名单列表中的对象进行相似度计算，如果相似度超过预设的相似度阈值，则确定搜索数据库中的该对象为恶意对象；或者，

将搜索数据库中的对象与恶意特征数据库的恶意特征列表中的恶意特征进行匹配，如果满足匹配条件，则确定搜索数据库中的该对象为恶意对象；或者，

判断搜索数据库中的对象是否是恶意特征数据库的黑名单列表中恶意对象所引用的对象，如果是，则确定搜索数据库中的该对象为恶意对象。

5.根据权利要求1所述的建立方法，其特征在于，该建立方法还包括：

定时对恶意特征数据库中的黑名单列表中的恶意对象和恶意特征列表中的恶意特征进行有效性验证，保留验证有效的恶意对象和恶意特征，删除验证无效的恶意对象和恶意特征。

6.根据权利要求5所述的建立方法，其特征在于，所述有效性验证具体包括：

向所述黑名单列表中的对象发出请求，根据响应结果确定该对象是否失效，在所述黑名单列表中保留仍然有效的恶意对象，将失效的恶意对象从所述黑名单列表中删除；

对于仍然有效的恶意对象进一步进行恶意对象检测，如果检测结果仍为恶意，则在所述恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征；如果检测结果为非恶意，则将该恶意对象以及该恶意对象对应的恶意特征分别从所述黑名单列表和恶意特征列表中删除。

7.根据权利要求6所述的建立方法，其特征在于，在所述恶意特征列表中保留所述仍然有效的恶意对象对应的恶意特征具体包括：判断所述仍然有效的恶意对象的恶意特征是否发生变更，如果是，则更新恶意特征列表中所述仍然有效的恶意对象对应的恶意特征；否则保留所述仍然有效的恶意对象对应的恶意特征。

8.一种恶意对象检测方法，其特征在于，该检测方法包括：

A1、判断待检测对象是否包含在恶意特征数据库的黑名单列表中，如果是，确定所述待检测对象为恶意对象，结束对所述待检测对象的检测；否则，执行步骤A2；

A2、将所述待检测对象在恶意特征数据库的恶意特征列表中进行匹配，如果满足匹配条件，则确定所述待检测对象为恶意对象；否则，确定所述待检测对象为非恶意对象；

其中所述恶意特征数据库是采用如权利要求1至7任一权项所述建立方法得到的。

9.根据权利要求8所述的检测方法，其特征在于，在所述步骤A2中如果确定所述待检测对象为恶意对象，则进一步从恶意对象中提取恶意特征，分别将该恶意对象以及对应的恶意特征加入所述恶意特征数据库的黑名单列表和恶意特征列表。

10.一种恶意特征数据库的建立装置，其特征在于，该建立装置包括：

样本获取单元，用于获取恶意对象样本；

特征提取单元，用于从样本中的恶意对象中提取恶意特征，分别将恶意对象及对应的恶意特征加入恶意特征数据库的黑名单列表和恶意特征列表；

反挖掘单元，用于利用恶意特征数据库对搜索数据库中的对象进行匹配，将匹配得到的对象确定为恶意对象。