[发明专利]一种恶意网站的识别方法和装置

说明书

本发明公开了一种恶意网站的识别方法和装置，涉及网络安全技术领域。该方法的一具体实施方式包括：提取待识别网站的URL地址和页面内容，根据URL地址查询URL分类库，获取相应的第一网站分类信息；其中，URL分类库存储URL地址样本与网站分类信息的映射关系，第一网站分类信息从网站分类信息中确定；将页面内容与预先创建的内容识别模板进行匹配，确定与页面内容相匹配的内容识别模板对应的第二网站分类信息；比较第一网站分类信息与第二网站分类信息是否相同，当第一网站分类信息与第二网站分类信息不同时，判定待识别网站为恶意网站。该实施方式能够在待识别网站的URL地址未被收录之前识别出恶意网站，提高了恶意网站的识别速度和识别率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种恶意网站的识别方法和装置。

背景技术

恶意网站是指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的非法网站。这类网站通常是以某种网页形式可以让人们正常浏览页面内容，同时非法获取电脑里面的各种数据。随着互联网应用的普及和发展，来自恶意网站的攻击的数量大幅上升，所造成的损失日益严重，其已经成为当前网络安全的一个重大威胁。如何准确地识别恶意网站成为网络安全的研究热点。

对于恶意网站的识别，目前一般基于恶链数据库查询某个网站是否为恶意网站。其中，恶链数据库是用于收录安全相关的URL(Uniform Resource Locator，统一资源定位符)信息的数据库。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

无法识别尚未被收录到恶链数据库中的恶意网站，需要在恶链数据库更新后才能识别相关威胁，识别速度慢、识别率低。

发明内容

有鉴于此，本发明实施例提供一种恶意网站的识别方法和装置，该方法通过确定待识别网站的URL地址和页面内容所分别对应的网站分类信息，进而比较两个网站分类信息的异同来判定待识别网站是否为恶意网站，能够在待识别网站的URL地址未被收录之前识别出恶意网站，提高了恶意网站的识别速度和识别率。

为实现上述目的，根据本发明实施例的一个方面，提供了一种恶意网站的识别方法。

本发明实施例的一种恶意网站的识别方法，包括：提取待识别网站的URL地址和页面内容，根据所述URL地址查询URL分类库，获取相应的第一网站分类信息；其中，所述URL分类库存储URL地址样本与网站分类信息的映射关系，所述第一网站分类信息从所述网站分类信息中确定；根据设定的匹配策略，将所述页面内容与预先创建的内容识别模板进行匹配，确定与所述页面内容相匹配的内容识别模板对应的第二网站分类信息；比较所述第一网站分类信息与所述第二网站分类信息是否相同，当所述第一网站分类信息与所述第二网站分类信息不同时，判定所述待识别网站为恶意网站。

可选地，所述网站分类信息包括站点数据对应的站点分类，以及路径数据对应的路径分类；根据所述URL地址查询URL分类库，获取相应的第一网站分类信息，包括：根据所述URL地址的字段信息，查询与所述字段信息相匹配的站点数据，以及所述站点数据对应的站点分类；判断相匹配的站点数据在所述站点分类下是否存在与URL地址中的路径字段一致的路径数据，在所述站点数据中所述路径数据对应有路径分类，根据判断结果，将所述站点分类或者所述路径分类作为所述URL地址的第一网站分类信息。

可选地，所述字段信息包括主机名称、至少一级域名和域名对应的IP地址；根据所述URL地址的字段信息，查询与所述字段信息相匹配的站点数据，包括：从所述URL地址的当前字段信息开始，递归式查询与所述当前字段信息相匹配的站点数据，直至查询到与所述当前字段信息相匹配的站点数据；其中，所述当前字段信息的取值依次为所述主机名称、非顶级域名外的其他级域名、所述IP地址和顶级域名；在所述其他级域名包括多级域名时，则按照域名级别由低到高的顺序，将所述多级域名依次作为所述当前字段信息。