| 发明名称 | 用于检测恶意链接的方法及系统 | ||
| 摘要 | 本发明公开了一种用于检测恶意链接的方法及系统。其中,该方法包括进行恶意行为检测,以及对内嵌的其他链接进行恶意行为检测;对各恶意链接评估恶意值并对各恶意链接相关的恶意网站主机名评估恶意值,以及对相关恶意链接或恶意网站主机名的恶意值进行更新;筛选出危险恶意链接集合,并将所述危险恶意网站主机名集合和危险恶意链接集合的信息通知至客户端设备;获取新的可疑链接并将新的可疑链接进行恶意行为检测;其中,所述恶意链接或可疑链接的内嵌的其他链接包括:访问所述恶意链接或可疑链接时被自动执行的其他链接。 | ||
| 申请公布号 | CN103036896A | 申请公布日期 | 2013.04.10 |
| 申请号 | CN201210560165.5 | 申请日期 | 2012.12.20 |
| 申请人 | 北京奇虎科技有限公司;奇智软件(北京)有限公司 | 发明人 | 李晓波;刘起 |
| 分类号 | H04L29/06(2006.01)I;H04L12/26(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京市德权律师事务所 11302 | 代理人 | 刘丽君 |
| 主权项 | 一种用于检测恶意链接的系统,包括服务器端设备和客户端设备;所述服务器端设备包括网络安全管理设备,所述客户端设备包括检测设备;所述恶意链接包括互联网中恶意的网络资源的链接地址,其中,所述检测设备包括:第二行为检测器,被配置为对网络资源的可疑行为进行检测,将检测出的可疑链接传输至服务器端设备进行进一步检测;第二获取器,被配置为获取所述服务器端设备基于所述第二行为检测器提供的可疑链接确定的危险恶意网站主机名集合和危险恶意链接集合,所述危险恶意网站主机名集合是服务器端设备筛选出的恶意值高于第一预置阈值的各恶意网站主机名的集合,所述危险恶意链接集合是服务器端筛选出的所述危险恶意网站主机名集合以外的其余恶意网站主机名下、恶意值高于第二预置阈值的各恶意链接的集合;第二链接检测器,被配置为根据所述第二获取器获取的危险恶意网站主机名集合和危险恶意链接集合检测出新的可疑链接,并将所述新的可疑链接传输至所述服务器端设备进行检测及更新相关恶意值,所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合;所述网络安全管理设备包括:第一行为检测器,被配置为至少对客户端设备检测出的可疑链接进行恶意行为检测,检测是否为恶意链接,以及对所述检测为恶意链接的内嵌的其他链接进行恶意行为检测,检测出所述恶意链接的内嵌的其他恶意链接;第一行为评估器,被配置为至少根据所述第一行为检测器检测出的各恶意链接之间的内嵌关系,对各恶意链接评估恶意值,并对各恶意链接相关的恶意网站主机名评估恶意值,以及根据所述第一行为检测器检测出的新的恶意链接对相关恶意链接或恶意网站主机名的恶意值进行更新;第一筛选器,被配置为根据所述第一行为评估器评估出的结果,筛选出 恶意值高于第一预置阈值的危险恶意网站主机名集合和其余恶意网站主机名下、恶意值高于第二预置阈值的危险恶意链接集合,并将所述危险恶意网站主机名集合和危险恶意链接集合的信息通知至所述客户端设备;第一获取器,被配置为获取客户端设备基于所述危险恶意网站主机名集合和所述危险恶意链接集合检测出的新的可疑链接,并将所述新的可疑链接传输至所述第一行为检测器进行检测,所述新的可疑链接的内嵌的其他链接命中所述危险恶意网站主机名集合或所述危险恶意链接集合。 | ||
| 地址 | 100088 北京市西城区新街口外大街28号D座112室(德胜园区) | ||