[发明专利]一种恶意网站的识别方法和装置

说明书

本发明实施例提供了一种恶意网站的识别方法和装置，所述方法包括：在服务器侧对至少两种识别引擎进行识别能力检测；当检测到所述识别能力不满足预设条件时，对所述至少两种识别引擎进行优化处理；采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别，以判断所述未知网站是否为恶意网站。通过本发明实施例，能够自动检测识别引擎的识别能力，并对识别能力不满足预设条件的识别引擎进行优化处理，提升了识别引擎的可靠性，且采用优化处理后的至少两种识别引擎进行交叉识别，保证了恶意网站识别的准确性。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种恶意网站的识别方法和装置。

背景技术

恶意网站是指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马等的非法网站，在通常情况下，恶意网站是以某种网页形式让人们正常浏览页面内容，同时非法获取用户计算机中的各种数据。

如今，恶意网站是影响用户网络环境的主要因素，对恶意网站的识别也已经成为保证网络安全的重要工作之一。在现有技术中，可以通过调用识别引擎的接口，采用识别引擎对恶意网站进行识别。

然而，随着恶意网站的不断更新，识别引擎无法及时进行更新，导致误报率较高。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种恶意网站的识别方法和相应的一种恶意网站的识别装置。

第一方面，本发明实施例提供了一种恶意网站的识别方法，所述方法包括：

在服务器侧对至少两种识别引擎进行识别能力检测；

当检测到所述识别能力不满足预设条件时，对所述至少两种识别引擎进行优化处理；

采用所述优化处理后的至少两种识别引擎对客户端侧请求访问的未知网站进行识别，以判断所述未知网站是否为恶意网站。

可选地，所述在服务器侧对至少两种识别引擎进行识别能力检测的步骤包括：

采用至少两种识别引擎对多个已知网站进行识别；其中，所述多个已知网站为可疑恶意网站；

针对每种识别引擎，确定对所述多个已知网站进行识别的误报率；

当所述误报率大于阈值时，判定所述误报率对应的识别引擎的识别能力不满足预设条件。

可选地，所述采用至少两种识别引擎对多个已知网站进行识别的步骤包括：

分别获取多个已知网站的基础数据；

调用至少两种识别引擎的接口，对所述基础数据进行检测；

当检测到所述基础数据命中预设的恶意规则时，则识别所述基础数据对应的已知网站为恶意网站。

可选地，所述当检测到所述识别能力不满足预设条件时，对所述至少两种识别引擎进行优化处理的步骤包括：

确定所述识别能力不满足预设条件的识别引擎的引擎类型；其中，所述引擎类型包括规则引擎或者学习引擎；

当所述引擎类型为规则引擎时，对所述规则引擎增加识别规则；

当所述引擎类型为学习引擎时，对所述学习引擎增加样本数据。

可选地，所述当所述引擎类型为规则引擎时，对所述规则引擎增加识别规则的步骤包括：

从所述多个已知网站中，确定目标网站；其中，所述目标网站为所述识别能力不满足预设条件的识别引擎误报的网站；

依据所述目标网站的基础数据，生成对应的识别规则；

将所述识别规则加入所述识别能力不满足预设条件的识别引擎中。