[发明专利]一种基于URLs极大模式的恶意URL检测方法在审
| 申请号: | 201610023559.5 | 申请日: | 2016-01-14 |
| 公开(公告)号: | CN105528544A | 公开(公告)日: | 2016-04-27 |
| 发明(设计)人: | 张鹏;熊翠文;刘庆云;杨嵘;郑超;孙永 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京君尚知识产权代理事务所(普通合伙) 11200 | 代理人: | 司立彬 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 urls 极大 模式 恶意 url 检测 方法 | ||
1.一种基于URLs极大模式的恶意URL检测方法,其步骤为:
1)创建或选取一恶意URL训练样本集,将其中每一恶意URL分割成三个段:域名、路 径名、文件名,分别对应得到域名段模式集合、路径名段序列模式集合、文件名段模 式集合;
2)计算该域名段模式集合的极大段模式集合并记录集合中每一极大段模式的样本来源 编号,计算该文件名段模式集合的极大段模式集合并记录集合中每一极大段模式的样 本来源编号,计算该路径名段模式集合的极大段序列模式集合并记录集合中每一极大 段序列模式的样本来源编号;
3)根据样本来源编号对域名段模式集合的极大段模式集合中的极大段模式、文件名段模 式集合的极大段模式集合中的极大段模式和路径名段序列模式集合的极大段序列模 式集合中的极大段序列模式进行组合,得到多个URL极大模式,构成一URL极大模 式集;
4)利用该URL极大模式集与被检测的URL进行匹配;如果匹配,则判断该被检测的 URL为恶意URL。
2.如权利要求1所述的方法,其特征在于,计算所述域名段模式集合的极大段模式集合的方 法为:首先根据该域名段模式集合构成一段模式集合;其中,从该域名段模式集合的每一 域名段模式中分别提取一段模式,构成一该段模式集合;然后对于该段模式集合计算其极 大段模式集合,即先计算该段模式集合中两段模式s1、s2的极大段模式集合;然后计算该 极大段模式集合与该段模式集合中一未参与计算的段模式s3的极大段模式集合;依此类 推,计算最新得到的极大段模式集合与该段模式集合中一未参与计算的段模式si的极大段 模式集合,最终得到该段模式集合对应的极大段模式集合。
3.如权利要求1所述的方法,其特征在于,计算所述文件名段模式集合的极大段模式集合的 方法为:首先根据该文件名段模式集合构成一段模式集合;其中,从该文件名段模式集合 的每一文件名段模式中分别提取一段模式,构成一该段模式集合;然后对于该段模式集合 计算其极大段模式集合,即先计算该段模式集合中两段模式s1、s2的极大段模式集合;然 后计算该极大段模式集合与该段模式集合中一未参与计算的段模式s3的极大段模式集合; 依此类推,计算最新得到的极大段模式集合与该段模式集合中一未参与计算的段模式si的极大段模式集合,最终得到该段模式集合对应的极大段模式集合。
4.如权利要求1所述的方法,其特征在于,计算该路径名段序列模式集合的极大段序列模式 集合的方法为:首先根据该路径名段序列模式集合构成一段序列模式集合;其中,从该路 径名段序列模式集合的每一路径名序列段模式中分别提取一段序列模式,构成一该段序列 模式集合;然后对于该段序列模式集合计算其极大段序列模式集合,即先计算该段序列模 式集合中两段序列模式s1、s2的极大段序列模式集合;然后计算该极大段序列模式集合与 该段序列模式集合中一未参与计算的段序列模式s3的极大段序列模式集合;依此类推,计 算最新得到的极大段序列模式集合与该段序列模式集合中一未参与计算的段序列模式si的极大段序列模式集合,最终得到该段序列模式集合对应的极大段序列模式集合。
5.如权利要求1所述的方法,其特征在于,采用有穷自动机方法将该URL极大模式集与被 检测的URL进行匹配。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201610023559.5/1.html,转载请声明来源钻瓜专利网。
