[发明专利]一种恶意URL鉴定方法及装置

说明书

技术领域

本发明涉及计算机安全领域，更具体地说，涉及一种恶意URL鉴定方法及装置。

背景技术

URL(Uniform Resource Locator，统一资源定位符)，也被称为网页地址，简称网址，是因特网上标准的资源的地址。通过URL用户可以访问网络中对应的网页内容。恶意URL是指各类欺诈、仿冒、钓鱼或挂马网页，当用户不慎访问此类网页时，就可能对用户造成如经济上的损失、个人隐私信息的泄露或是使当前电脑感染木马病毒等不利影响。

目前的安全软件通过对恶意URL进行鉴定，从而可以在识别出恶意URL后警示用户，以保护用户的安全。

现有技术中，对恶意URL进行鉴定主要是基于网页内容的，比如，可以通过对网页的文本内容鉴定来识别该网页的网址是否为恶意URL；在此方式中，通过预先搜集恶意特征的关键词，通过与被鉴定网址的网页文本进行匹配，将符合设定匹配规则的URL识别为恶意URL。但是，发明人经过研究发现，现有技术中的这种方式，黑客可以通过复杂的编码、对页面加密、JS多次跳转、利用大型网站的漏洞上传仿冒QQ空间钓鱼页面等方式，以使得基本上不需要在页面显示文字，从而躲避过上述的检测方式，从而降低了对恶意URL的鉴定效果。

发明内容

有鉴于此，本发明实施例提供了恶意URL鉴定方法及装置，以实现提高恶意URL鉴定效果的目的。

本发明实施例是这样实现的：

一种恶意URL鉴定方法，包括步骤：

将通讯消息的内容所包括的URL与预设的URL黑名单进行URL匹配；若所述URL匹配成功，生成风险提示，否则：

将所述通讯消息的发送端的IP地址与预设的IP黑名单进行IP匹配；若所述IP匹配成功时，生成风险提示。

优选的，在本发明实施例中，所述URL匹配成功后，还包括：

将所述URL的域名与预设的可疑域名库进行域名匹配；

若所述域名匹配成功，进行所述IP匹配。

优选的，在本发明实施例中，所述URL匹配成功后，还包括：

将所述URL的域名加入所述可疑域名库。

优选的，在本发明实施例中，所述URL匹配成功后，还包括：

将所述通讯消息的发送端的IP地址加入所述IP黑名单。

优选的，在本发明实施例中，所述IP匹配成功后，还包括：

将所述URL加入所述URL黑名单。

优选的，在本发明实施例中，所述URL匹配、所述IP匹配和所述域名匹配中的一种或任意组合，在所述通讯消息的接收端实施。

优选的，在本发明实施例中，所述URL匹配、所述IP匹配和所述域名匹配中的一种或任意组合，通过获取转发所述通讯消息的服务器中的所述通讯消息的内容来实施。

在本申请的另一面，还提供了一种恶意URL鉴定装置，包括：

URL匹配单元，用于将通讯消息的内容所包括的URL与预设的URL黑名单进行URL匹配；

IP匹配单元，用于当所述URL匹配失败时，将所述通讯消息的发送端的IP地址与预设的IP黑名单进行IP匹配；

风险提示单元，用于在URL匹配时，或，IP匹配成功时生成风险提示。

优选的，在本发明实施例中，还包括：

域名匹配单元，用于当所述URL匹配成功后，将所述URL的域名与预设的可疑域名库进行域名匹配；

若所述域名匹配成功，进行所述IP匹配。

优选的，在本发明实施例中，还包括：

可疑域名库更新单元，用于在所述URL匹配成功后将所述URL的域名加入所述可疑域名库。

优选的，在本发明实施例中，还包括：

IP黑名单更新单元，用于在所述URL匹配成功后将所述通讯消息的发送端的IP地址加入所述IP黑名单。

优选的，在本发明实施例中，还包括：

URL黑名单更新单元，用于在所述IP匹配成功时将所述URL加入所述URL黑名单。

优选的，在本发明实施例中，所述URL匹配单元、所述IP匹配单元和所述域名匹配单元中的一种或任意组合，设置于所述通讯消息的接收端。

优选的，在本发明实施例中，所述URL匹配单元、所述IP匹配单元和所述域名匹配单元中的一种或任意组合，通过获取转发所述通讯消息的服务器中的所述通讯消息的内容来实施匹配。