[发明专利]一种用于检测恶意链接的设备、方法及系统

权利要求书

1.一种用于检测恶意链接的网络安全管理设备，所述恶意链接是互联网中恶意的网络资源的链接地址，包括：

第一行为检测器，被配置为至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对所述检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出所述恶意链接的内嵌的其他恶意链接；

第一行为评估器，被配置为至少根据所述第一行为检测器检测出的各恶意链接之间的内嵌关系，对各恶意链接评估恶意值，并对各恶意链接相关的恶意网站主机名评估恶意值，以及根据所述第一行为检测器检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更新；

第一筛选器，被配置为根据所述第一行为评估器评估出的结果，筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合和其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合，并将所述危险恶意网站主机名集合和危险恶意链接集合的信息通知至所述客户端设备；

第一获取器，被配置为获取客户端设备基于所述危险恶意网站主机名集合和所述危险恶意链接集合检测出的新的可疑链接，并将所述新的可疑链接传输至所述第一行为检测器进行检测，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合。

2.根据权利要求1所述的设备，所述待评估恶意值的恶意链接为目标恶意链接，所述目标恶意链接的内嵌的其他恶意链接为所述目标恶意链接的内嵌恶意链接，所述每个内嵌恶意链接的恶意外链数目具体是以该内嵌恶意链接作为内嵌的链接的所有恶意链接的总数，所述第一行为评估器包括：

第一识别模块，被配置为根据各恶意链接之间的内嵌关系，识别出所述目标恶意链接的所有内嵌恶意链接以及每个内嵌恶意链接的恶意外链数目；

第一评估模块，被配置为根据所述第一识别模块识别出的目标恶意链接的各内嵌恶意链接的最新恶意值，和每个内嵌恶意链接的恶意外链数目，评估所述目标恶意链接的恶意值。

3.根据权利要求1或2所述的设备，所述待评估恶意值的恶意网站主机名为目标恶意网站主机名，所述目标恶意网站主机名下各恶意链接的内嵌的其他恶意链接所属的恶意网站主机名，是与所述目标恶意网站主机名具有关联关系的关联恶意网站主机名，所述每个关联恶意网站主机名的恶意外链数目具体是该关联恶意网站主机名下所有恶意链接的恶意外链数目之和，所述第一评估器包括：

第二识别模块，被配置为根据各恶意链接之间的内嵌关系，识别出所述目标恶意网站主机名的所有关联恶意网站主机名，以及每个关联恶意网站主机名的恶意外链数目；

第二评估模块，被配置为根据所述目标恶意网站主机名的各关联恶意网站主机名的最新恶意值，以及每个关联恶意网站主机名的恶意外链数目，评估所述目标恶意网站主机名的恶意值。

4.根据权利要求2或3所述的设备，

所述第一评估模块还被配置为通过多轮迭代方式获得各目标恶意链接的恶意值，在第一轮处理时为各目标恶意链接设置初始恶意值；

所述第二评估模块还被配置为通过多轮迭代方式获得各目标恶意网站主机名的恶意值，在第一轮处理时为各目标恶意网站主机名设置初始恶意值。

5.根据权利要求1至4中任一项所述的设备，所述恶意链接或可疑链接的内嵌的其他链接包括：访问所述恶意链接或可疑链接时被自动执行的其他链接。

6.根据权利要求1至5中任一项所述的设备，所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合包括：

所述新的可疑链接的内嵌的其他链接的网站主机名，至少是所述危险恶意网站主机名集合中的一个网站主机名；

或者，

所述新的可疑链接的内嵌的其他链接，至少是所述危险恶意链接集合中的一个链接。

7.根据权利要求1至6中任一项所述的设备，所述第一行为检测器具体是挂马行为检测器，所述的恶意行为检测具体是挂马恶意行为检测，所述恶意链接具体恶意挂马链接，所述恶意链接的内嵌的其他恶意链接具体为恶意挂马链接的内嵌的其他恶意挂马链接。