(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN106131016A(43)申请公布日2016.11.16(21)申请号201610549023.7(22)申请日2016.07.13(71)申请人北京知道创宇信息技术有限公司地址100097北京市海淀区蓝靛厂南路55号金威大厦803(72)发明人杨旭蔡自彬(74)专利代理机构北京思睿峰知识产权代理有限公司11396代理人董宁谢建云(51)Int.Cl.H04L29/06(2006.01)权利要求书3页说明书21页附图6页(54)发明名称恶意URL检测干预方法、系统及装置(57)摘要本发明公开了一种恶意URL检测干预系统，包括：DNS代理设备，适于接收域名解析请求，向域名信誉度评估设备请求该域名的信誉度；还适于若信誉度指示域名存在安全隐患，则将流量干预设备的IP地址返回至用户；包括域名信誉库的信誉度评估设备，适于响应于对域名的信誉度的请求，返回该域名的信誉度；流量干预设备，适于接收来自用户的访问请求，并对该访问请求进行协议识别，还适于从识别为HTTP或HTTPS协议的访问请求中提取URL，将该URL与恶意URL库进行匹配，若匹配失败，则作为反向代理来实现用户与目的服务器的通信。本发明还公开了相应的域名信誉度确定装置、域名信誉库建立装置以及方法。CN106131016ACN106131016A权利要求书1/3页1.一种域名信誉度确定装置，所述信誉度指示所述域名是否存在安全隐患，所述域名信誉度确定装置包括：访问次数获取模块，适于获取要确定信誉度的域名的访问次数和恶意访问次数，其中域名的访问次数指示该域名至今被访问的总次数，恶意访问次数根据访问的包含所述域名的URL与恶意URL库匹配成功以及所述URL对应的网页数据检测为恶意来确定；静态特征提取模块，适于提取所述域名的静态特征，根据提取的静态特征生成静态特征值；动态特征提取模块，适于提取所述域名的动态特征，根据提取的动态特征生成动态特征值；以及域名信誉度计算模块，适于根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数，确定所述域名的信誉度，其中信誉度与访问次数的关系表示为负指数函数，信誉度与恶意访问次数的关系表示为正比例函数，信誉度与静态特征值和动态特征值的关系均表示为常数函数。2.如权利要求1所述的装置，其中，所述静态特征至少包括白名单相似度、域名无规则度以及特殊端口访问行为中的一个，所述白名单相似度指示该域名与白名单中的域名的字符串相似程度，所述域名无规则度指示该域名的字符串拼写无规则程度，所述特殊端口访问行为指示该域名是否存在访问特殊端口的行为。3.一种确定域名信誉度的方法，所述信誉度指示所述域名是否存在安全隐患，所述方法包括：获取要确定信誉度的域名的访问次数和恶意访问次数，其中域名的访问次数为该域名至今被访问的总次数，恶意访问次数根据包含该域名的URL与恶意URL库匹配成功以及该URL对应的网页数据检测为恶意来确定；提取所述域名的静态特征，根据提取的静态特征生成静态特征值；提取所述域名的动态特征，根据提取的动态特征生成动态特征值；以及根据访问次数、恶意访问次数、静态特征值、动态特征值的数值、分别表示信誉度与上述各项的关系的函数以及各函数的加权系数，确定所述域名的信誉度，其中信誉度与访问次数的关系表示为负指数函数，信誉度与恶意访问次数的关系表示为正比例函数，信誉度与静态特征值和动态特征值的关系均表示为常数函数。4.如权利要求3所述的方法，其中，所述静态特征至少包括白名单相似度、域名无规则度以及特殊端口访问行为中的一个，所述白名单相似度指示该域名与白名单中的域名的字符串相似程度，所述域名无规则度指示该域名的字符串拼写无规则程度，所述特殊端口访问行为指示该域名是否存在访问特殊端口的行为。5.一种域名信誉库建立装置，所述域名信誉库存储有与域名关联的域名信誉记录，所述域名信誉记录包括域名的信誉度、以及计算信誉度所需的如下特征项：域名的访问次数、恶意访问次数、静态特征值和动态特征值，所述信誉度指示所述域名是否存在安全隐患，所述域名信誉库建立装置包括：接收模块，适于接收要确定信誉度的域名；记录查询模块，适于查询域名信誉库中是否存在与所述域名关联的域名信誉记录；记录创建模块，适于若域名信誉库中不存在与所述域名关联的域名信誉记录，则创建2CN106131016A权利要求书2/3页与该域名关联的域名信誉记录；还适于令域名信誉记录中该域名的访问次数的数值为1；还适于若检测到用户要访问的包含该域名的URL对应的网页数据为恶意，则令域名信誉记录中该域名的恶意访问次数的数值为1，否则为0；还适于提取该域名的静态特征，根据提取的静态特征生成静态特征值存储至域名信誉记