技術領域

本發明涉及網絡安全技術領域，具體涉及一種用于檢測惡意鏈接的方法及系統。

背景技術隨著互聯網的發展，各種計算機惡意程序的攻擊方式變得越來越層出不窮。比如類似掛馬類的惡意程序攻擊手段多種多樣，比如，包括SQL（StructuredQuery?Language，結構化查詢語言）注入，網站敏感文件掃描，服務器漏洞，網站程序0day等各種方法獲得網站管理員賬號，然后登陸網站后臺，通過數據庫備份/恢復或者上傳漏洞獲得一個webshell（web入侵的腳本攻擊工具）。利用獲得的webshell修改網站頁面的內容，向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得服務器或者網站FTP（File?Transfer?Protocal，文件傳輸協議），然后直接對網站頁面直接進行修改。當訪問被加入惡意代碼的頁面時，就會自動的訪問被轉向的地址或者下載木馬病毒。在整個掛馬檢測的防御體系中，關于惡意URL（Universal?Resource?Locator，統一資源定位符）的收集就是一個非常重要的環節，如何能夠更快速更全面收集到惡意URL，將決定殺毒軟件查殺掛馬網站是否及時，是否有效。現有的一種檢測掛馬網站方案是，反掛馬蜘蛛從一些漏洞掃描后收集的高危網站作為種子開始抓取，通過對新發現的頁面做鏈接分析，從中獲取新的URL，然后對新的URL進行下載，下載后的內容提交給掛馬識別系統。對于基于種子進行抓取的檢測系統，由于種子頁面僅僅是高危網站，但未必是被掛馬的網站，所以無法快速的檢測掛馬網站，同時覆蓋率也就不夠全面。現有的另一種方案是，檢測系統通過客戶端軟件來探測發現高危網站，發現后將數據反饋到蜘蛛系統，由蜘蛛系統進行下載并遞交后續分析系統。對于這種基于客戶端探測的檢測系統，由于黑客入侵后嵌入的惡意攻擊代碼可以隨時停止，所以經常無法檢測到有惡意行為，也就無法將被攻擊的網址回傳到服務端檢測系統，在檢測手法上比較被動。因此，這種方案也無法快速發現檢測到盡量多的掛馬網站，并且也無法檢測到盡量多的掛馬網站。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的用于檢測惡意鏈接的系統和相應的用于檢測惡意鏈接的方法。

依據本發明的一個方面，提供了一種用于檢測惡意鏈接的系統，包括服務器端設備和客戶端設備；

所述服務器端設備包括網絡安全管理設備，所述客戶端設備包括檢測設備；所述惡意鏈接包括互聯網中惡意的網絡資源的鏈接地址，其中，

所述檢測設備包括：第二行為檢測器，被配置為對網絡資源的可疑行為進行檢測，將檢測出的可疑鏈接傳輸至服務器端設備進行進一步檢測；第二獲取器，被配置為獲取所述服務器端設備基于所述第二行為檢測器提供的可疑鏈接確定的危險惡意網站主機名集合和危險惡意鏈接集合，所述危險惡意網站主機名集合是服務器端設備篩選出的惡意值高于第一預置閾值的各惡意網站主機名的集合，所述危險惡意鏈接集合是服務器端篩選出的所述危險惡意網站主機名集合以外的其余惡意網站主機名下、惡意值高于第二預置閾值的各惡意鏈接的集合；第二鏈接檢測器，被配置為根據所述第二獲取器獲取的危險惡意網站主機名集合和危險惡意鏈接集合檢測出新的可疑鏈接，并將所述新的可疑鏈接傳輸至所述服務器端設備進行檢測及更新相關惡意值，所述新的可疑鏈接的內嵌的其他鏈接命中所述危險惡意網站主機名集合或所述危險惡意鏈接集合；

所述網絡安全管理設備包括：第一行為檢測器，被配置為至少對客戶端設備檢測出的可疑鏈接進行惡意行為檢測，檢測是否為惡意鏈接，以及對所述檢測為惡意鏈接的內嵌的其他鏈接進行惡意行為檢測，檢測出所述惡意鏈接的內嵌的其他惡意鏈接；第一行為評估器，被配置為至少根據所述第一行為檢測器檢測出的各惡意鏈接之間的內嵌關系，對各惡意鏈接評估惡意值，并對各惡意鏈接相關的惡意網站主機名評估惡意值，以及根據所述第一行為檢測器檢測出的新的惡意鏈接對相關惡意鏈接或惡意網站主機名的惡意值進行更新；第一篩選器，被配置為根據所述第一行為評估器評估出的結果，篩選出惡意值高于第一預置閾值的危險惡意網站主機名集合和其余惡意網站主機名下、惡意值高于第二預置閾值的危險惡意鏈接集合，并將所述危險惡意網站主機名集合和危險惡意鏈接集合的信息通知至所述客戶端設備；第一獲取器，被配置為獲取客戶端設備基于所述危險惡意網站主機名集合和所述危險惡意鏈接集合檢測出的新的可疑鏈接，并將所述新的可疑鏈接傳輸至所述第一行為檢測器進行檢測，所述新的可疑鏈接的內嵌的其他鏈接命中所述危險惡意網站主機名集合或所述危險惡意鏈接集合。