[发明专利]一种用于检测恶意链接的设备、方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种用于检测恶意链接的网络安全管理设备、检测设备、方法及系统。

背景技术

随着互联网的发展，各种计算机恶意程序的攻击方式变得越来越层出不穷。比如类似挂马类的恶意程序攻击手段多种多样，比如，包括SQL（StructuredQuery Language，结构化查询语言）注入，网站敏感文件扫描，服务器漏洞，网站程序0day等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库备份/恢复或者上传漏洞获得一个webshell（web入侵的脚本攻击工具）。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP（File Transfer Protocal，文件传输协议），然后直接对网站页面直接进行修改。当访问被加入恶意代码的页面时，就会自动的访问被转向的地址或者下载木马病毒。

在整个挂马检测的防御体系中，关于恶意URL（Universal ResourceLocator，统一资源定位符）的收集就是一个非常重要的环节，如何能够更快速更全面收集到恶意URL，将决定杀毒软件查杀挂马网站是否及时，是否有效。

现有的一种检测挂马网站方案是，反挂马蜘蛛从一些漏洞扫描后收集的高危网站作为种子开始抓取，通过对新发现的页面做链接分析，从中获取新的URL，然后对新的URL进行下载，下载后的内容提交给挂马识别系统。对于基于种子进行抓取的检测系统，由于种子页面仅仅是高危网站，但未必是被挂马的网站，所以无法快速的检测挂马网站，同时覆盖率也就不够全面。

现有的另一种方案是，检测系统通过客户端软件来探测发现高危网站，发现后将数据反馈到蜘蛛系统，由蜘蛛系统进行下载并递交后续分析系统。对于这种基于客户端探测的检测系统，由于黑客入侵后嵌入的恶意攻击代码可以随时停止，所以经常无法检测到有恶意行为，也就无法将被攻击的网址回传到服务端检测系统，在检测手法上比较被动。因此，这种方案也无法快速发现检测到尽量多的挂马网站，并且也无法检测到尽量多的挂马网站。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的用于检测恶意链接的网络安全管理设备、检测设备、系统和相应的用于检测恶意链接的方法。

依据本发明的一个方面，提供了一种用于检测恶意链接的网络安全管理设备，恶意链接是互联网中恶意的网络资源的链接地址，包括：第一行为检测器，被配置为至少对客户端设备检测出的可疑链接进行恶意行为检测，检测是否为恶意链接，以及对检测为恶意链接的内嵌的其他链接进行恶意行为检测，检测出恶意链接的内嵌的其他恶意链接；第一行为评估器，被配置为至少根据第一行为检测器检测出的各恶意链接之间的内嵌关系，对各恶意链接评估恶意值，并对各恶意链接相关的恶意网站主机名评估恶意值，以及根据第一行为检测器检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更新；第一筛选器，被配置为根据第一行为评估器评估出的结果，筛选出恶意值高于第一预置阈值的危险恶意网站主机名集合和其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合，并将危险恶意网站主机名集合和危险恶意链接集合的信息通知至客户端设备；第一获取器，被配置为获取客户端设备基于危险恶意网站主机名集合和危险恶意链接集合检测出的新的可疑链接，并将新的可疑链接传输至第一行为检测器进行检测，新的可疑链接的内嵌的其他链接命中危险恶意网站主机名集合或危险恶意链接集合。

可选的，待评估恶意值的恶意链接为目标恶意链接，目标恶意链接的内嵌的其他恶意链接为目标恶意链接的内嵌恶意链接，每个内嵌恶意链接的恶意外链数目具体是以该内嵌恶意链接作为内嵌的链接的所有恶意链接的总数，第一行为评估器包括：第一识别模块，被配置为根据各恶意链接之间的内嵌关系，识别出目标恶意链接的所有内嵌恶意链接以及每个内嵌恶意链接的恶意外链数目；第一评估模块，被配置为根据第一识别模块识别出的目标恶意链接的各内嵌恶意链接的最新恶意值，和每个内嵌恶意链接的恶意外链数目，评估目标恶意链接的恶意值。