技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種用于檢測惡意鏈接的方法及系統(tǒng)。

背景技術(shù)隨著互聯(lián)網(wǎng)的發(fā)展，各種計算機惡意程序的攻擊方式變得越來越層出不窮。比如類似掛馬類的惡意程序攻擊手段多種多樣，比如，包括SQL（StructuredQuery?Language，結(jié)構(gòu)化查詢語言）注入，網(wǎng)站敏感文件掃描，服務(wù)器漏洞，網(wǎng)站程序0day等各種方法獲得網(wǎng)站管理員賬號，然后登陸網(wǎng)站后臺，通過數(shù)據(jù)庫備份/恢復(fù)或者上傳漏洞獲得一個webshell（web入侵的腳本攻擊工具）。利用獲得的webshell修改網(wǎng)站頁面的內(nèi)容，向頁面中加入惡意轉(zhuǎn)向代碼。也可以直接通過弱口令獲得服務(wù)器或者網(wǎng)站FTP（File?Transfer?Protocal，文件傳輸協(xié)議），然后直接對網(wǎng)站頁面直接進行修改。當(dāng)訪問被加入惡意代碼的頁面時，就會自動的訪問被轉(zhuǎn)向的地址或者下載木馬病毒。在整個掛馬檢測的防御體系中，關(guān)于惡意URL（Universal?Resource?Locator，統(tǒng)一資源定位符）的收集就是一個非常重要的環(huán)節(jié)，如何能夠更快速更全面收集到惡意URL，將決定殺毒軟件查殺掛馬網(wǎng)站是否及時，是否有效。現(xiàn)有的一種檢測掛馬網(wǎng)站方案是，反掛馬蜘蛛從一些漏洞掃描后收集的高危網(wǎng)站作為種子開始抓取，通過對新發(fā)現(xiàn)的頁面做鏈接分析，從中獲取新的URL，然后對新的URL進行下載，下載后的內(nèi)容提交給掛馬識別系統(tǒng)。對于基于種子進行抓取的檢測系統(tǒng)，由于種子頁面僅僅是高危網(wǎng)站，但未必是被掛馬的網(wǎng)站，所以無法快速的檢測掛馬網(wǎng)站，同時覆蓋率也就不夠全面。現(xiàn)有的另一種方案是，檢測系統(tǒng)通過客戶端軟件來探測發(fā)現(xiàn)高危網(wǎng)站，發(fā)現(xiàn)后將數(shù)據(jù)反饋到蜘蛛系統(tǒng)，由蜘蛛系統(tǒng)進行下載并遞交后續(xù)分析系統(tǒng)。對于這種基于客戶端探測的檢測系統(tǒng)，由于黑客入侵后嵌入的惡意攻擊代碼可以隨時停止，所以經(jīng)常無法檢測到有惡意行為，也就無法將被攻擊的網(wǎng)址回傳到服務(wù)端檢測系統(tǒng)，在檢測手法上比較被動。因此，這種方案也無法快速發(fā)現(xiàn)檢測到盡量多的掛馬網(wǎng)站，并且也無法檢測到盡量多的掛馬網(wǎng)站。

發(fā)明內(nèi)容

鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的用于檢測惡意鏈接的系統(tǒng)和相應(yīng)的用于檢測惡意鏈接的方法。

依據(jù)本發(fā)明的一個方面，提供了一種用于檢測惡意鏈接的系統(tǒng)，包括服務(wù)器端設(shè)備和客戶端設(shè)備；

所述服務(wù)器端設(shè)備包括網(wǎng)絡(luò)安全管理設(shè)備，所述客戶端設(shè)備包括檢測設(shè)備；所述惡意鏈接包括互聯(lián)網(wǎng)中惡意的網(wǎng)絡(luò)資源的鏈接地址，其中，

所述檢測設(shè)備包括：第二行為檢測器，被配置為對網(wǎng)絡(luò)資源的可疑行為進行檢測，將檢測出的可疑鏈接傳輸至服務(wù)器端設(shè)備進行進一步檢測；第二獲取器，被配置為獲取所述服務(wù)器端設(shè)備基于所述第二行為檢測器提供的可疑鏈接確定的危險惡意網(wǎng)站主機名集合和危險惡意鏈接集合，所述危險惡意網(wǎng)站主機名集合是服務(wù)器端設(shè)備篩選出的惡意值高于第一預(yù)置閾值的各惡意網(wǎng)站主機名的集合，所述危險惡意鏈接集合是服務(wù)器端篩選出的所述危險惡意網(wǎng)站主機名集合以外的其余惡意網(wǎng)站主機名下、惡意值高于第二預(yù)置閾值的各惡意鏈接的集合；第二鏈接檢測器，被配置為根據(jù)所述第二獲取器獲取的危險惡意網(wǎng)站主機名集合和危險惡意鏈接集合檢測出新的可疑鏈接，并將所述新的可疑鏈接傳輸至所述服務(wù)器端設(shè)備進行檢測及更新相關(guān)惡意值，所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險惡意網(wǎng)站主機名集合或所述危險惡意鏈接集合；

所述網(wǎng)絡(luò)安全管理設(shè)備包括：第一行為檢測器，被配置為至少對客戶端設(shè)備檢測出的可疑鏈接進行惡意行為檢測，檢測是否為惡意鏈接，以及對所述檢測為惡意鏈接的內(nèi)嵌的其他鏈接進行惡意行為檢測，檢測出所述惡意鏈接的內(nèi)嵌的其他惡意鏈接；第一行為評估器，被配置為至少根據(jù)所述第一行為檢測器檢測出的各惡意鏈接之間的內(nèi)嵌關(guān)系，對各惡意鏈接評估惡意值，并對各惡意鏈接相關(guān)的惡意網(wǎng)站主機名評估惡意值，以及根據(jù)所述第一行為檢測器檢測出的新的惡意鏈接對相關(guān)惡意鏈接或惡意網(wǎng)站主機名的惡意值進行更新；第一篩選器，被配置為根據(jù)所述第一行為評估器評估出的結(jié)果，篩選出惡意值高于第一預(yù)置閾值的危險惡意網(wǎng)站主機名集合和其余惡意網(wǎng)站主機名下、惡意值高于第二預(yù)置閾值的危險惡意鏈接集合，并將所述危險惡意網(wǎng)站主機名集合和危險惡意鏈接集合的信息通知至所述客戶端設(shè)備；第一獲取器，被配置為獲取客戶端設(shè)備基于所述危險惡意網(wǎng)站主機名集合和所述危險惡意鏈接集合檢測出的新的可疑鏈接，并將所述新的可疑鏈接傳輸至所述第一行為檢測器進行檢測，所述新的可疑鏈接的內(nèi)嵌的其他鏈接命中所述危險惡意網(wǎng)站主機名集合或所述危險惡意鏈接集合。