公开(公告)号：CN102222187A

公开(公告)日：2011-10-19

申请号：CN201110146967.7

申请日：2011-06-02

Applicant: 国家计算机病毒应急处理中心

Inventor： 张健 ,  杜振华 ,  张津弟 ,  刘威 ,  梁宏 ,  舒心 ,  马勇

IPC: G06F21/00 ,  G06F17/30 ,  H04L29/06

Abstract: 本发明公开了一种基于域名构造特征的挂马网页检测方法。该方法是通过已捕获的少量已知或可疑挂马网页URL，通过样本聚类获得构造规则，再通过构造规则进行衍生，最后通过对衍生出的可疑URL进行验证来发现未知挂马网站，从而可以在投入较少的情况下获得比较好的检测效果和明显提高检测效率，而且还可以得到大量的线索和数据。另外，由于本方法对检测目标范围进行了优化，因此可以优先检测可疑度高的目标，所以能够明显提高检测效率。此外，本方法还可以与传统的挂马网页检测方法相结合，并且在应用中可以前置，从而为传统的挂马网页检测方法缩小检测范围，并且仍能保持较好的召回率。

公开(公告)号：CN102222187B

公开(公告)日：2012-12-05

申请号：CN201110146967.7

申请日：2011-06-02

Applicant: 国家计算机病毒应急处理中心

Inventor： 张健 ,  杜振华 ,  张津弟 ,  刘威 ,  梁宏 ,  舒心 ,  马勇

IPC: G06F21/00 ,  G06F17/30 ,  H04L29/06

Abstract: 本发明公开了一种基于域名构造特征的挂马网页检测方法。该方法是通过已捕获的少量已知或可疑挂马网页URL，通过样本聚类获得构造规则，再通过构造规则进行衍生，最后通过对衍生出的可疑URL进行验证来发现未知挂马网站，从而可以在投入较少的情况下获得比较好的检测效果和明显提高检测效率，而且还可以得到大量的线索和数据。另外，由于本方法对检测目标范围进行了优化，因此可以优先检测可疑度高的目标，所以能够明显提高检测效率。此外，本方法还可以与传统的挂马网页检测方法相结合，并且在应用中可以前置，从而为传统的挂马网页检测方法缩小检测范围，并且仍能保持较好的召回率。