本發(fā)明實施例提供一種惡意URL檢測方法及裝置。所述方法包括：讀取并解析待檢測日志數(shù)據(jù)，獲得待檢測URL；若判斷獲知待檢測URL不在預(yù)先配置的黑名單且不在預(yù)先配置的白名單中，則將待檢測URL的哈希值與映射表中的哈希值進(jìn)行匹配；若判斷獲知待檢測URL的哈希值不在映射表中，或待檢測URL對應(yīng)的告警類型為未知類型，則利用沙箱技術(shù)對待檢測URL對應(yīng)的待檢測日志數(shù)據(jù)進(jìn)行惡意URL檢測，獲得檢測結(jié)果。并在本地生成對應(yīng)的資產(chǎn)表及告警表。所述裝置用于執(zhí)行所述方法。本發(fā)明實施例通過若判斷獲知待檢測URL不在黑名單和白名單中時，通過與映射表進(jìn)行匹配，以及利用沙箱技術(shù)進(jìn)行檢測獲得檢測結(jié)果，在提高了檢測效率的同時，也提高了檢測的準(zhǔn)確率。

技術(shù)領(lǐng)域

本發(fā)明實施例涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種惡意URL檢測方法及裝置。

背景技術(shù)

網(wǎng)絡(luò)豐富了人們的生活，但是越來越多的色情、欺詐釣魚網(wǎng)站也層出不窮，嚴(yán)重威脅了廣大網(wǎng)民在網(wǎng)上獲取信息的安全，由此就需要識別惡意URL的檢測引擎。

現(xiàn)有的URL云檢測引擎可以識別和提示用戶訪問的URL(Uniform/UniversalResource Locator，統(tǒng)一資源定位符)是否具有惡意特性。在用戶輸入要訪問的URL之后、瀏覽器顯示出頁面內(nèi)容之前，URL云檢測引擎需要到云檢測中心獲取用戶訪問的URL的惡意屬性，并對其進(jìn)行識別后，進(jìn)行相關(guān)的提示。由于惡意站點的變幻多端，因此URL云檢測引擎必須具備快速、高效、準(zhǔn)確的特性，從而確保惡意網(wǎng)站能夠及時、準(zhǔn)確地被發(fā)現(xiàn)。

在實現(xiàn)本發(fā)明實施例的過程中，發(fā)明人發(fā)現(xiàn)，目前惡意URL的檢測方式都是基于字符串匹配的方法，安全廠商收集大量惡意URL，將其保存在特征庫中，在URL檢測時，通過與大量惡意URL字符串的比較來獲得檢測結(jié)果。這種檢測方法存在準(zhǔn)確率低的問題，因此，如何在保證檢測效率的同時提高檢測的準(zhǔn)確性是現(xiàn)如今亟待解決的課題。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)存在的問題，本發(fā)明實施例提供一種惡意URL檢測方法及裝置。

第一方面，本發(fā)明實施例提供一種惡意URL檢測方法，包括：

讀取并解析待檢測日志數(shù)據(jù)，獲得待檢測URL；

若判斷獲知所述待檢測URL不在預(yù)先配置的黑名單且不在預(yù)先配置的白名單中，則將所述待檢測URL的哈希值與映射表中的哈希值進(jìn)行匹配，所述映射表包括已檢測的URL的哈希值與告警類型的映射關(guān)系；

若判斷獲知所述待檢測URL的哈希值不在所述映射表中，或所述待檢測URL對應(yīng)的告警類型為未知類型，則利用沙箱技術(shù)對所述待檢測URL對應(yīng)的待檢測日志數(shù)據(jù)進(jìn)行惡意URL檢測，獲得檢測結(jié)果。

第二方面，本發(fā)明實施例提供一種惡意URL檢測裝置，包括：

讀取模塊，用于讀取并解析待檢測日志數(shù)據(jù)，獲得待檢測URL；

第一匹配模塊，用于若判斷獲知所述待檢測URL不在預(yù)先配置的黑名單且不在預(yù)先配置的白名單中，則將所述待檢測URL的哈希值與映射表中的哈希值進(jìn)行匹配，所述映射表包括已檢測的URL的哈希值與告警類型的映射關(guān)系；

檢測模塊，用于若判斷獲知所述待檢測URL的哈希值不在所述映射表中，或所述待檢測URL對應(yīng)的告警類型為未知類型，則利用沙箱技術(shù)對所述待檢測URL對應(yīng)的待檢測日志數(shù)據(jù)進(jìn)行惡意URL檢測，獲得檢測結(jié)果。

第三方面，本發(fā)明實施例提供一種電子設(shè)備，包括：處理器、存儲器和總線，其中，

所述處理器和所述存儲器通過所述總線完成相互間的通信；

所述存儲器存儲有可被所述處理器執(zhí)行的程序指令，所述處理器調(diào)用所述程序指令能夠執(zhí)行第一方面的方法步驟。

第四方面，本發(fā)明實施例提供一種非暫態(tài)計算機可讀存儲介質(zhì)，包括：