[发明专利]一种恶意网站的识别方法和装置

权利要求书

1.一种恶意网站的识别方法，所述方法包括：

在服务器侧对至少两种识别引擎进行识别能力检测；

当检测到所述识别能力不满足预设条件时，对所述至少两种识别引擎进行优化处理；

采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别，以判断所述未知网站是否为恶意网站；

所述在服务器侧对至少两种识别引擎进行识别能力检测的步骤包括：

采用至少两种识别引擎对多个已知网站进行识别；其中，所述多个已知网站为可疑恶意网站；

针对每种识别引擎，确定对所述多个已知网站进行识别的误报率；

当所述误报率大于阈值时，判定所述误报率对应的识别引擎的识别能力不满足预设条件。

2.如权利要求1所述的方法，其特征在于，所述采用至少两种识别引擎对多个已知网站进行识别的步骤包括：

分别获取多个已知网站的基础数据；

调用至少两种识别引擎的接口，对所述基础数据进行检测；

当检测到所述基础数据命中预设的恶意规则时，则识别所述基础数据对应的已知网站为恶意网站。

3.如权利要求1或2所述的方法，其特征在于，所述当检测到所述识别能力不满足预设条件时，对所述至少两种识别引擎进行优化处理的步骤包括：

确定所述识别能力不满足预设条件的识别引擎的引擎类型；其中，所述引擎类型包括规则引擎或者学习引擎；

当所述引擎类型为规则引擎时，对所述规则引擎增加识别规则；

当所述引擎类型为学习引擎时，对所述学习引擎增加样本数据。

4.如权利要求3所述的方法，其特征在于，所述当所述引擎类型为规则引擎时，对所述规则引擎增加识别规则的步骤包括：

从所述多个已知网站中，确定目标网站；其中，所述目标网站为所述识别能力不满足预设条件的识别引擎误报的网站；

依据所述目标网站的基础数据，生成对应的识别规则；

将所述识别规则加入所述识别能力不满足预设条件的识别引擎中。

5.如权利要求3所述的方法，其特征在于，所述当所述引擎类型为学习引擎时，对所述学习引擎增加样本数据的步骤包括：

从所述多个已知网站中，确定目标网站；其中，所述目标网站为所述识别能力不满足预设条件的识别引擎误报的网站；

从所述目标网站的基础数据中提取部分基础数据，作为样本数据；

将所述样本数据加入所述所述识别能力不满足预设条件的识别引擎中，以采用所述样本数据进行更新。

6.如权利要求1所述的方法，其特征在于，所述采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别，以判断所述未知网站是否为恶意网站的步骤包括：

接收客户端侧发送的识别请求，所述识别请求包括未知网站的标识；

在所述服务器侧采用所述优化处理后的至少两种识别引擎对所述未知网站进行识别。

7.如权利要求1所述的方法，其特征在于，所述采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别，以判断所述未知网站是否为恶意网站的步骤包括：

基于所述优化处理后的至少两种识别引擎，对客户端侧的至少两种识别引擎进行优化同步，并在所述客户端侧采用所述优化同步后至少两种识别引擎对未知网站进行识别。

8.如权利要求1所述的方法，其特征在于，还包括：

当识别所述未知网站为恶意网站时，通过所述客户端侧对所述未知网站进行拦截。

9.如权利要求2所述的方法，其特征在于，所述多个已知网站包括被举报的网站，所述基础数据至少包括如下一项：

URL、HTML文本、标识图片。