[发明专利]恶意网站识别方法和系统

说明书

技术领域

本发明涉及恶意网站识别领域，特别是涉及恶意网站识别方法和系统。

背景技术

随着互联网技术的发展以及机器学习技术逐步普及，自动化技术在互联网安全领域的攻防双方都得到了充分地利用。恶意网站和携带恶意的页面亦使用自动化技术进行自我伪装、自我复制、自我散播。恶意网站网页识别技术提升的同时，恶意网站的生成技术也在逐步升级。操作系统、浏览器、防火墙等软件修正了部分安全漏洞，防范了部分安全威胁，其新增功能极大地方便了用户的日常生活、工作生活、金融方式等，但新增功能也同时暴露了新漏洞，引来了使用新型技术的新威胁，导致网站使用新增功能的同时，引入了恶意代码，使升级后的网页成为恶意网页。如何提升恶意网站识别的自动化处理效率，成为网站安全技术领域亟待解决的问题。

发明内容

发明实施例提供一种恶意网站识别方法和系统，可以提高恶意网站识别的处理效率。所述方法包括：

确定待识别网站；

根据特征库，获取所述待识别网站的待识别地址特征、待识别内容特征和待识别全域特征，所述特征库为根据网站提取的地址特征、页面内容特征和全域特征的集合；

将所述待识别地址特征、所述待识别内容特征、所述待识别全域特征和恶意模型进行计算，获取恶意网站匹配度，所述恶意模型包括根据恶意地址特征、恶意内容特征、恶意全域信息，以及所述恶意地址特征权重值、所述恶意内容特征权重值和所述恶意全域信息权重值获取的模型；

当所述恶意网站匹配度大于恶意网站识别阈值时，确定所述待识别网站为恶意网站。

在其中一个实施例中，所述待识别地址特征，包括：

地址长度向量、地址数量向量和地址结构向量其中的一种或任意组合，其中：

所述地址长度向量包括地址长度、域名长度、子域名长度、路径总长度和参数总长度中的其中一种或任意组合；

所述地址数量向量包括地址字符数量、地址字符数量、子域名数量和特殊符号数量、指定字符集数量和参数内指定字符数量中的其中一种或任意组合；

所述地址结构向量包括用户名存在标识、密码存在标识、协议使用标识、域名结构标识中的其中一种或任意组合。

在其中一个实施例中，所述待识别内容特征，包括：

标签向量和/或属性向量，其中：

所述标签向量包括标签内容长度、标签内保护目标特征关键词数量、标签图像资源、标签数量、标签内特征关键字频率中的其中一种或任意组合；

所述属性向量包括属性数量、属性外链数量、属性外链域名、属性长度、隐藏属性数量中的其中一种或任意组合。

在其中一个实施例中，所述待识别全域特征，包括：

IP向量、域名记录向量和证书记录向量其中的一种或任意组合，其中：

所述IP向量包括IP恶意标识、IP恶意关联标识、IP恶意段数量中的其中一种或任意组合；

所述域名记录向量包括域名恶意记录标识、域名所有人恶意标识、域名注册时间中的其中一种或任意组合；

所述证书记录向量包括证书所有人记录、证书注册时间、证书可信度中的其中一种或任意组合。

在其中一个实施例中，所述将所述待识别地址特征、所述待识别内容特征、所述待识别全域特征和恶意模型进行计算，获取恶意网站匹配度，还包括：

分别将所述待识别地址特征和恶意地址子模型进行计算，将所述待识别内容特征和恶意内容特征子模型进行计算，将所述待识别全域特征和恶意全域特征子模型进行计算，分别获取恶意地址匹配度、恶意内容匹配度和恶意全域匹配度；

将所述恶意地址匹配度、所述恶意内容匹配度和所述恶意全域匹配度和所述恶意模型进行计算，获取恶意网站匹配度，其中，所述恶意模型还包括：

根据恶意地址匹配度、恶意内容匹配度和恶意全域匹配度以及所述恶意地址匹配度权重值、恶意内容匹配度权重值和恶意全域匹配度权重值获取的模型。

在其中一个实施例中，所述恶意模型，包括：

根据恶意地址特征、恶意内容特征、恶意全域信息和预设的期望识别模型，利用机器学习算法，分别获取所述恶意地址特征的恶意地址特征权重值、所述恶意内容特征的恶意内容特征权重值、所述恶意全域信息的恶意全域信息权重值，所述预设的期望识别模型为期望识别出的恶意网站的组合；

根据所述恶意地址特征、所述恶意内容特征、所述恶意全域信息，以及所述恶意地址特征权重值、所述恶意内容特征权重值和所述恶意全域信息权重值获取恶意模型。