技術領域

本發明涉及惡意網站識別領域，特別是涉及惡意網站識別方法和系統。

背景技術

隨著互聯網技術的發展以及機器學習技術逐步普及，自動化技術在互聯網安全領域的攻防雙方都得到了充分地利用。惡意網站和攜帶惡意的頁面亦使用自動化技術進行自我偽裝、自我復制、自我散播。惡意網站網頁識別技術提升的同時，惡意網站的生成技術也在逐步升級。操作系統、瀏覽器、防火墻等軟件修正了部分安全漏洞，防范了部分安全威脅，其新增功能極大地方便了用戶的日常生活、工作生活、金融方式等，但新增功能也同時暴露了新漏洞，引來了使用新型技術的新威脅，導致網站使用新增功能的同時，引入了惡意代碼，使升級后的網頁成為惡意網頁。如何提升惡意網站識別的自動化處理效率，成為網站安全技術領域亟待解決的問題。

發明內容

發明實施例提供一種惡意網站識別方法和系統，可以提高惡意網站識別的處理效率。所述方法包括：

確定待識別網站；

根據特征庫，獲取所述待識別網站的待識別地址特征、待識別內容特征和待識別全域特征，所述特征庫為根據網站提取的地址特征、頁面內容特征和全域特征的集合；

將所述待識別地址特征、所述待識別內容特征、所述待識別全域特征和惡意模型進行計算，獲取惡意網站匹配度，所述惡意模型包括根據惡意地址特征、惡意內容特征、惡意全域信息，以及所述惡意地址特征權重值、所述惡意內容特征權重值和所述惡意全域信息權重值獲取的模型；

當所述惡意網站匹配度大于惡意網站識別閾值時，確定所述待識別網站為惡意網站。

在其中一個實施例中，所述待識別地址特征，包括：

地址長度向量、地址數量向量和地址結構向量其中的一種或任意組合，其中：

所述地址長度向量包括地址長度、域名長度、子域名長度、路徑總長度和參數總長度中的其中一種或任意組合；

所述地址數量向量包括地址字符數量、地址字符數量、子域名數量和特殊符號數量、指定字符集數量和參數內指定字符數量中的其中一種或任意組合；

所述地址結構向量包括用戶名存在標識、密碼存在標識、協議使用標識、域名結構標識中的其中一種或任意組合。

在其中一個實施例中，所述待識別內容特征，包括：

標簽向量和/或屬性向量，其中：

所述標簽向量包括標簽內容長度、標簽內保護目標特征關鍵詞數量、標簽圖像資源、標簽數量、標簽內特征關鍵字頻率中的其中一種或任意組合；

所述屬性向量包括屬性數量、屬性外鏈數量、屬性外鏈域名、屬性長度、隱藏屬性數量中的其中一種或任意組合。

在其中一個實施例中，所述待識別全域特征，包括：

IP向量、域名記錄向量和證書記錄向量其中的一種或任意組合，其中：

所述IP向量包括IP惡意標識、IP惡意關聯標識、IP惡意段數量中的其中一種或任意組合；

所述域名記錄向量包括域名惡意記錄標識、域名所有人惡意標識、域名注冊時間中的其中一種或任意組合；

所述證書記錄向量包括證書所有人記錄、證書注冊時間、證書可信度中的其中一種或任意組合。

在其中一個實施例中，所述將所述待識別地址特征、所述待識別內容特征、所述待識別全域特征和惡意模型進行計算，獲取惡意網站匹配度，還包括：

分別將所述待識別地址特征和惡意地址子模型進行計算，將所述待識別內容特征和惡意內容特征子模型進行計算，將所述待識別全域特征和惡意全域特征子模型進行計算，分別獲取惡意地址匹配度、惡意內容匹配度和惡意全域匹配度；

將所述惡意地址匹配度、所述惡意內容匹配度和所述惡意全域匹配度和所述惡意模型進行計算，獲取惡意網站匹配度，其中，所述惡意模型還包括：

根據惡意地址匹配度、惡意內容匹配度和惡意全域匹配度以及所述惡意地址匹配度權重值、惡意內容匹配度權重值和惡意全域匹配度權重值獲取的模型。

在其中一個實施例中，所述惡意模型，包括：

根據惡意地址特征、惡意內容特征、惡意全域信息和預設的期望識別模型，利用機器學習算法，分別獲取所述惡意地址特征的惡意地址特征權重值、所述惡意內容特征的惡意內容特征權重值、所述惡意全域信息的惡意全域信息權重值，所述預設的期望識別模型為期望識別出的惡意網站的組合；

根據所述惡意地址特征、所述惡意內容特征、所述惡意全域信息，以及所述惡意地址特征權重值、所述惡意內容特征權重值和所述惡意全域信息權重值獲取惡意模型。