《识别恶意网站的方法及装置.pdf》由会员分享,可在线阅读,更多相关《识别恶意网站的方法及装置.pdf(15页珍藏版)》请在专利查询网上搜索。
1、10申请公布号CN104219230A43申请公布日20141217CN104219230A21申请号201410416103622申请日20140821H04L29/0620060171申请人腾讯科技(深圳)有限公司地址518000广东省深圳市福田区振兴路赛格科技园2栋东403室72发明人刘健74专利代理机构北京三高永信知识产权代理有限责任公司11138代理人王丽54发明名称识别恶意网站的方法及装置57摘要本发明公开了一种识别恶意网站的方法及装置,属于互联网领域。所述方法包括接收终端发送的查询请求,所述查询请求中携带待识别网站的网址信息;根据所述网址信息,获取所述待识别网站的网络互连协议IP。
2、地址所在的IP地址段;如果恶意地址段数据库中存在所述IP地址段,则确定所述待识别网站为恶意网站。所述装置包括接收模块、第一获取模块和确定模块。本发明通过恶意地址段数据库识别出该恶意网站,无需下载新网址信息对应的网站的页面内容,更无需对下载的页面内容进行分析,节省了大量的带宽和处理资源,并且可以有效地识别恶意网站。51INTCL权利要求书2页说明书8页附图4页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书8页附图4页10申请公布号CN104219230ACN104219230A1/2页21一种识别恶意网站的方法,其特征在于,所述方法包括接收终端发送的查询请求,所述查询请求中。
3、携带待识别网站的网址信息;根据所述网址信息,获取所述待识别网站的网络互连协议IP地址所在的IP地址段;如果恶意地址段数据库中存在所述IP地址段,则确定所述待识别网站为恶意网站。2如权利要求1所述的方法,其特征在于,所述根据所述网址信息,获取所述待识别网站的网络互连协议IP地址所在的IP地址段,包括从所述网址信息中,获取所述待识别网站的域名;根据所述待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址;根据地址段分类方式,确定所述IP地址所在的IP地址段,所述地址段分类方式包括字节分类、地理位置和归属机构分类。3如权利要求1所述的方法,其特征在于,所述接收终端发送的查询请求。
4、之前,还包括根据统计的恶意网站的网址信息,获取恶意IP地址;根据地址段分类方式,对所述恶意IP地址进行地址段分类,得到多个IP地址段;根据所述恶意IP地址,从所述多个IP地址段中选择恶意IP地址段;将所述恶意IP地址段存储在恶意地址段数据库中。4如权利要求3所述的方法,其特征在于,所述根据统计的恶意网站的网址信息,获取恶意IP地址,包括根据统计的恶意网站的网址信息,判断所述恶意网站是否包括跳转目的网站;如果存在跳转目的网站,则将所述跳转目的网站的IP地址确定为恶意IP地址。5如权利要求3所述的方法,其特征在于,所述根据所述恶意地址信息,从所述多个IP地址段中选择恶意IP地址段,包括对于所述多个。
5、IP地址段中的任一IP地址段,统计所述IP地址段包括的恶意地址信息的个数;如果统计的恶意地址信息的个数大于或等于指定阈值,则确定所述IP地址段为恶意IP地址段。6一种识别恶意网站的装置,其特征在于,所述装置包括接收模块,用于接收终端发送的查询请求,所述查询请求中携带待识别网站的网址信息;第一获取模块,用于根据所述网址信息,获取所述待识别网站的网络互连协议IP地址所在的IP地址段;确定模块,用于如果恶意地址段数据库中存在所述IP地址段,则确定所述待识别网站为恶意网站。7如权利要求6所述的装置,其特征在于,所述第一获取模块包括第一获取单元,用于从所述网址信息中,获取所述待识别网站的域名;第二获取单。
6、元,用于根据所述待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址;第一确定单元,用于根据地址段分类方式,确定所述IP地址所在的IP地址段,所述地权利要求书CN104219230A2/2页3址段分类方式包括字节分类、地理位置和归属机构分类。8如权利要求6所述的装置,其特征在于,所述装置还包括第二获取模块,用于根据统计的恶意网站的网址信息,获取恶意IP地址;分类模块,用于根据地址段分类方式,对所述恶意IP地址进行地址段分类,得到多个IP地址段;选择模块,用于根据所述恶意IP地址,从所述多个IP地址段中选择恶意IP地址段;存储模块,用于将所述恶意IP地址段存储在恶意地址段数。
7、据库中。9如权利要求8所述的装置,其特征在于,所述第二获取模块包括判断单元,用于根据统计的恶意网站的网址信息,判断所述恶意网站是否包括跳转目的网站;第二确定单元,用于如果存在跳转目的网站,则将所述跳转目的网站的IP地址确定为恶意IP地址。10如权利要求8所述的装置,其特征在于,所述选择模块包括统计单元,用于对于所述多个IP地址段中的任一IP地址段,统计所述IP地址段包括的恶意地址信息的个数;第三确定单元,用于如果统计的恶意地址信息的个数大于或等于指定阈值,则确定所述IP地址段为恶意IP地址段。权利要求书CN104219230A1/8页4识别恶意网站的方法及装置技术领域0001本发明涉及互联网领。
8、域,特别涉及一种识别恶意网站的方法及装置。背景技术0002互联网技术的快速发展给人们的生活带来越来越多的便利,比如,人们可以通过互联网下载各类资料、进行网络购物等。与此同时,出现了将各类木马病毒伪装成正常文件来肆意传播、钓鱼网站模仿正常网站盗取用户账号和密码等恶意行为,因此,识别恶意网站的方法受到了广泛地关注。0003其中,相关技术中是通过云安全服务器根据网站的网址信息来识别恶意网站,所以,当恶意分子发现某个网址信息被拦截时,该恶意分子可以通过新网址信息来进行恶意行为。此时,信息数据库中不包括该新网址信息的记录,所以,云安全服务器就不会识别出该网站为恶意网站。为了解决该问题,云安全服务器需要下。
9、载该网站的页面内容,并对该网站的页面内容进行分析,如果分析结果指示该网站为恶意网站,则在信息数据库中存储该新网址信息的记录,以便下次可以识别出该新网址信息对应的网站为恶意网站。0004然而,当云安全服务器执行上述的下载页面内容操作和分析页面内容操作时,会浪费大量的带宽和处理资源,并且花费的时间较长,不利于快速有效地识别恶意网站。发明内容0005为了解决现有技术的问题,本发明实施例提供了一种识别恶意网站的方法及装置。所述技术方案如下0006一方面,提供了一种识别恶意网站的方法,所述方法包括0007接收终端发送的查询请求,所述查询请求中携带待识别网站的网址信息;0008根据所述网址信息,获取所述待。
10、识别网站的网络互连协议IP地址所在的IP地址段;0009如果恶意地址段数据库中存在所述IP地址段,则确定所述待识别网站为恶意网站。0010另一方面,提供了一种识别恶意网站的装置,所述装置包括0011接收模块,用于接收终端发送的查询请求,所述查询请求中携带待识别网站的网址信息;0012第一获取模块,用于根据所述网址信息,获取所述待识别网站的网络互连协议IP地址所在的IP地址段;0013确定模块,用于如果恶意地址段数据库中存在所述IP地址段,则确定所述待识别网站为恶意网站。0014在本发明实施例中,当接收到终端发送的查询请求时,根据该查询请求中携带的待识别网站的网址信息,获取待识别网站的IP地址所。
11、在的IP地址段,如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。其中,一些恶意网站的IP地址比较说明书CN104219230A2/8页5相似,也即是,恶意网站的IP地址基本上是位于同一IP地址段,所以,本发明实施例根据IP地址段识别恶意网站,这样,当恶意分子注册新网址信息之后,这个新网址信息对应的IP地址与原来的旧网址信息对应的IP地址位于同一个IP地址段上,也可以根据恶意地址段数据库识别出该恶意网站,无需下载新网址信息对应的网站的页面内容,更无需对下载的页面内容进行分析,节省了大量的带宽和处理资源,并且可以有效地识别恶意网站。附图说明0015为了更清楚地说明本发明实施例中。
12、的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。0016图1是本发明实施例提供的一种识别恶意网站的方法流程图;0017图2是本发明实施例提供的另一种识别恶意网站的方法流程图;0018图3是本发明实施例提供的一种显示提示信息的界面示意图;0019图4是本发明实施例提供的一种识别恶意网站的装置结构示意图;0020图5是本发明实施例提供的另一种识别恶意网站的装置结构示意图。具体实施方式0021为使本发明的目的、技术方案和优点更加清楚,下面将结合。
13、附图对本发明实施方式作进一步地详细描述。0022图1是本发明实施例提供的一种识别恶意网站的方法流程图。参见图1,该方法包括0023步骤101接收终端发送的查询请求,该查询请求中携带待识别网站的网址信息。0024步骤102根据待识别网站的网址信息,获取待识别网站的IPINTERNETPROTOCOL,网络互连协议地址所在的IP地址段。0025步骤103如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。0026在本发明实施例中,当接收到终端发送的查询请求时,根据该查询请求中携带的待识别网站的网址信息,获取待识别网站的IP地址所在的IP地址段,如果恶意地址段数据库中存在该IP地址段。
14、,则确定待识别网站为恶意网站。其中,一些恶意网站的IP地址比较相似,也即是,恶意网站的IP地址基本上是位于同一IP地址段,所以,本发明实施例根据IP地址段识别恶意网站,这样,当恶意分子注册新网址信息之后,这个新网址信息对应的IP地址与原来的旧网址信息对应的IP地址位于同一个IP地址段上,也可以根据恶意地址段数据库识别出该恶意网站,无需下载新网址信息对应的网站的页面内容,更无需对下载的页面内容进行分析,节省了大量的带宽和处理资源,并且可以有效地识别恶意网站。0027可选地,根据待识别网站的网址信息,获取待识别网站的网络互连协议IP地址所在的IP地址段,包括0028从待识别网站的网址信息中,获取待。
15、识别网站的域名;0029根据待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的说明书CN104219230A3/8页6IP地址;0030根据地址段分类方式,确定该IP地址所在的IP地址段,该地址段分类方式包括字节分类、地理位置和归属机构分类。0031可选地,接收终端发送的查询请求之前,还包括0032根据统计的恶意网站的网址信息,获取恶意IP地址;0033根据地址段分类方式,对该恶意IP地址进行地址段分类,得到多个IP地址段;0034根据恶意IP地址,从该多个IP地址段中选择恶意IP地址段;0035将恶意IP地址段存储在恶意地址段数据库中。0036可选地,根据统计的恶意网站的网址。
16、信息,获取恶意IP地址,包括0037根据统计的恶意网站的网址信息,判断恶意网站是否包括跳转目的网站;0038如果存在跳转目的网站,则将跳转目的网站的IP地址确定为恶意IP地址。0039可选地,根据恶意地址信息,从该多个IP地址段中选择恶意IP地址段,包括0040对于该多个IP地址段中的任一IP地址段,统计该IP地址段包括的恶意地址信息的个数;0041如果统计的恶意地址信息的个数大于或等于指定阈值,则确定该IP地址段为恶意IP地址段。0042上述所有可选技术方案,均可按照任意结合形成本发明的可选实施例,本发明实施例对此不再一一赘述。0043图2是本发明实施例提供的一种识别恶意网站的方法流程图,该。
17、方法的执行主体为云安全服务器。参见图2,该方法包括0044步骤201根据统计的恶意网站的网址信息,获取恶意IP地址。0045恶意分子为了防止恶意行为被拦截,经常会将恶意网站作为一些正常网站的跳转目的网站,所以,云安全服务器根据统计的恶意网站的网址信息,获取恶意IP地址的操作可以为云安全服务器根据统计的恶意网站的网址信息,判断该恶意网站是否包括跳转目的网站。如果存在跳转目的网站,则将跳转目的网站的IP地址确定为恶意IP地址。0046进一步地,如果统计的恶意网站不存在跳转目的网站,则直接将该恶意网站的IP地址确定为恶意IP地址。0047其中,云安全服务器根据上述的方法,确定恶意网站包括的跳转目的网。
18、站的IP地址为恶意IP地址,可以避免将一些正常网站的IP地址确定为恶意IP地址,提高了确定恶意IP地址的准确性。比如,正常网站的网址信息为HTTP/TCN/XXX,该正常网站的跳转目的网站的网址信息为HTTP/EVILCOM,而正常网站HTTP/TCN/XXX的IP地址为正常IP地址,只有跳转目的网站HTTP/EVILCOM的IP地址才是恶意的。0048其中,云安全服务器统计的恶意网站可以是云安全服务器检测得到的,还可以是接收用户举报的,本发明实施例对此不做具体限定。另外,恶意网站的网址信息可以为该网站的URLUNIFORMRESOURCELOCATOR,统一资源定位符,还可以为其他的信息,本。
19、发明实施例同样对此不做具体限定。0049步骤202根据地址段分类方式,对恶意IP地址进行地址段分类,得到多个IP地址段,该地址段分类方式包括字节分类、地理位置和归属机构分类。0050在本发明实施例中,云安全服务器至少可以按照两种方式,对恶意IP地址进行地说明书CN104219230A4/8页7址段分类,即可以按照字节分类,也可以按照地理位置和归属机构分类,包括0051第一种方式,当地址段分类方式为字节分类时,云安全服务器可以按照IP地址的字节从前到后的顺序,将前预设数值个字节相同的IP地址划分为一类,根据划分的多个类别,确定IP地址段。0052比如,云安全服务器获取到6个恶意IP地址,即119。
20、14778150,1191477864,119147783,1191477832,12411417522,124114175130。预设数值为3,此时,云安全服务器按照IP地址的字节从前到后的顺序,将这6个恶意IP地址中前3个字节相同的IP地址为11914778150,1191477864,119147783,1191477832划分为第一类,以及将12411417522,124114175130划分第二类,确定第一类IP地址所在的IP地址段为11914775011914775255,以及确定第二类IP地址所在的IP地址段为1241141750124114175255。0053第二种方式,当按。
21、照地理位置和归属机构分类时,云安全服务器获取恶意IP地址所在的地理位置和归属机构,将地址位置和归属机构均相同的恶意IP地址划分为一类,根据划分的多个类别,确定IP地址段。0054比如,11914778150,1191477864,119147783,1191477832的地理位置均为广东省深圳市,归属机构均为电信,而12411417522,124114175130的地理位置均为陕西省西安市,归属机构均为电信,所以,根据地理位置广东省深圳市且归属机构电信,确定IP地址段为11914775011914775255,根据地理位置陕西省西安市且归属机构电信,确定IP地址段为12411417501241。
22、14175255。0055需要说明的是,在本发明实施例中,地址段分类方式不仅可以包括字节分类、地理位置和归属机构分类,还可以包括其他的分类,本发明实施例对此不做具体限定。0056步骤203根据获取的恶意IP地址,从该多个IP地址段中选择恶意IP地址段。0057步骤202中对恶意IP地址进行地址段分类之后,得到多个IP地址段,该多个IP地址段有的可能是恶意IP地址段,而有的可能是正常IP地址段,所以,云安全服务器需要从该多个IP地址段中获取恶意IP地址。0058其中,云安全服务器根据获取的恶意IP地址,从该多个IP地址段中选择恶意IP地址段的操作可以为对于该多个IP地址段中的任一IP地址段,统计。
23、该IP地址段包括的恶意IP地址的个数。将统计的恶意IP地址的个数与指定阈值进行比较,如果统计的恶意IP地址的个数大于或等于指定阈值,则确定该IP地址段为恶意IP地址段。比如,对于IP地址段11914775011914775255,该IP地址段中包括的恶意IP地址的个数为4,指定阈值为3,则确定该IP地址段为恶意IP地址段。对于IP地址段1241141750124114175255,该IP地址段中包括的恶意IP地址的个数为2,则确定该IP地址段不为恶意IP地址段。0059进一步地,如果统计的恶意IP地址的个数小于指定阈值,则确定该IP地址段不为恶意IP地址段。0060由于恶意网站的IP地址具有明。
24、显的聚集效应,即,恶意网站的IP地址基本上是位于同一个IP地址段,所以,本发明实施例利用这一特点,获取恶意IP地址段,根据恶意IP地址段来识别恶意网站,可以快速有效地识别恶意网站。0061步骤204将恶意IP地址段存储在恶意地址段数据库中。说明书CN104219230A5/8页80062例如,云安全服务器将恶意IP地址段存储在如下表1所示的恶意地址段数据库中。0063表10064恶意地址段231061502310615255119147750119147752550065其中,恶意地址段数据库的结构可以为如上述表1所示的结构,还可以为其他的结构,本发明实施例对此不做具体限定。0066在本发明实。
25、施例中,将获取的恶意IP地址段存储在恶意地址段数据库中,后续接收到终端发送的查询请求时,基于该恶意地址段数据库,可以快速地确定待识别网站是否为恶意网站。其中,具体的查询过程如下所示。0067步骤205接收终端发送的查询请求,该查询请求中携带待识别网站的网址信息。0068其中,当终端接收到一定的触发条件时,该终端可以向云安全服务器发送查询请求。该触发条件可以为用户通过即时通信工具向其好友发送网址信息,或者用户通过浏览器访问网址信息对应的网站,当然,还可以为其他的触发条件,本发明实施例对此不做具体限定。0069步骤206从待识别网站的网址信息中,获取待识别网站的域名。0070由于网站的网址信息是根。
26、据网站的域名,按照指定的格式生成的,所以,当云安全服务器获取到待识别网站的网址信息时,可以直接从待识别网站的网址信息中获取待识别网站的域名。比如,待识别网站的网址信息为HTTP/WWWJTAFCOM/2014,云安全服务器从该网址信息中获取待识别网站的域名为WWWJTAFCOM。0071步骤207根据待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址。0072具体地,云安全服务器根据待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址,将获取的IP地址确定为待识别网站的IP地址。0073比如,云安全服务器根据待识别网站的域名WWWJTAFCOM,从。
27、如下表2所示的域名与IP地址之间的对应关系中获取对应的IP地址为1191477526,将获取的IP地址1191477526确定为待识别网站的IP地址。0074表20075域名IP地址WWWJTAFCOM1191477526IHFEATNCOM2310615150说明书CN104219230A6/8页9MUSGLCOM23106151500076需要说明的是,在本发明实施例中,仅以上述表2所示的域名与IP地址之间的对应关系为例进行说明,并不构成对本发明的限定。0077步骤208根据地址段分类方式,确定获取的IP地址所在的IP地址段。0078其中,本步骤与步骤202中的划分方式相同,在此不再一一赘。
28、述。0079基于上述的例子,确定获取的IP地址1191477526所在的IP地址段为11914775011914775255。0080步骤209如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。0081具体地,云安全服务器将确定的IP地址段与恶意地址段数据库中包括的恶意IP地址段进行比较,如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。0082进一步地,如果恶意地址段数据库中不存在该IP地址段,则确定待识别网站不为恶意网站。0083优选地,当云安全服务器确定待识别网站为恶意网站之后,云安全服务器可以向该终端发送一个提示信息,该提示信息用于指示待识别网站为恶。
29、意网站。比如,当终端接收到该提示信息时,可以通过如图3所示的方式进行显示。当然,该终端还可以直接拦截该恶意网站,本发明实施例对此不做具体限定。0084在本发明实施例中,当接收到终端发送的查询请求时,根据该查询请求中携带的待识别网站的网址信息,获取待识别网站的IP地址所在的IP地址段,如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。其中,一些恶意网站的IP地址比较相似,也即是,恶意网站的IP地址基本上是位于同一IP地址段,所以,本发明实施例根据IP地址段识别恶意网站,这样,当恶意分子注册新网址信息之后,这个新网址信息对应的IP地址与原来的旧网址信息对应的IP地址位于同一个IP。
30、地址段上,也可以根据恶意地址段数据库识别出该恶意网站,无需下载新网址信息对应的网站的页面内容,更无需对下载的页面内容进行分析,节省了大量的带宽和处理资源,并且可以有效地识别恶意网站。0085图4是本发明实施例提供的一种识别恶意网站的装置结构示意图。参见图4,该装置包括接收模块401、第一获取模块402和确定模块403;0086接收模块401,用于接收终端发送的查询请求,该查询请求中携带待识别网站的网址信息;0087第一获取模块402,用于根据待识别网站的网址信息,获取待识别网站的网络互连协议IP地址所在的IP地址段;0088确定模块403,用于如果恶意地址段数据库中存在所述IP地址段,则确定待。
31、识别网站为恶意网站。0089可选地,第一获取模块402包括0090第一获取单元,用于从待识别网站的网址信息中,获取待识别网站的域名;0091第二获取单元,用于根据待识别网站的域名,从存储的域名与IP地址之间的对应说明书CN104219230A7/8页10关系中获取对应的IP地址;0092第一确定单元,用于根据地址段分类方式,确定该IP地址所在的IP地址段,该地址段分类方式包括字节分类、地理位置和归属机构分类。0093可选地,该装置还包括0094第二获取模块,用于根据统计的恶意网站的网址信息,获取恶意IP地址;0095分类模块,用于根据地址段分类方式,对恶意IP地址进行地址段分类,得到多个IP地。
32、址段;0096选择模块,用于根据恶意IP地址,从该多个IP地址段中选择恶意IP地址段;0097存储模块,用于将恶意IP地址段存储在恶意地址段数据库中。0098可选地,第二获取模块包括0099判断单元,用于根据统计的恶意网站的网址信息,判断恶意网站是否包括跳转目的网站;0100第二确定单元,用于如果存在跳转目的网站,则将跳转目的网站的IP地址确定为恶意IP地址。0101可选地,选择模块包括0102统计单元,用于对于该多个IP地址段中的任一IP地址段,统计该IP地址段包括的恶意地址信息的个数;0103第三确定单元,用于如果统计的恶意地址信息的个数大于或等于指定阈值,则确定该IP地址段为恶意IP地址。
33、段。0104在本发明实施例中,当接收到终端发送的查询请求时,根据该查询请求中携带的待识别网站的网址信息,获取待识别网站的IP地址所在的IP地址段,如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站。其中,一些恶意网站的IP地址比较相似,也即是,恶意网站的IP地址基本上是位于同一IP地址段,所以,本发明实施例根据IP地址段识别恶意网站,这样,当恶意分子注册新网址信息之后,这个新网址信息对应的IP地址与原来的旧网址信息对应的IP地址位于同一个IP地址段上,也可以根据恶意地址段数据库识别出该恶意网站,无需下载新网址信息对应的网站的页面内容,更无需对下载的页面内容进行分析,节省了大量的。
34、带宽和处理资源,并且可以有效地识别恶意网站。0105请参考图5,其示出了本发明一个实施例提供的识别恶意网站的装置的结构示意图,该装置可以为云安全服务器,所述云安全服务器500包括中央处理单元CPU501、包括随机存取存储器RAM502和只读存储器ROM503的系统存储器504,以及连接系统存储器504和中央处理单元501的系统总线505。所述安全服务器500还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统I/O系统506,和用于存储操作系统513、应用程序510和其他程序模块515的大容量存储设备507。0106所述基本输入/输出系统506包括有用于显示信息的显示器508和用于用户。
35、输入信息的诸如鼠标、键盘之类的输入设备509。其中所述显示器508和输入设备509都通过连接到系统总线505的输入输出控制器510连接到中央处理单元501。所述基本输入/输出系统506还可以包括输入输出控制器510以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器510还提供输出到显示屏、打印机或其他类型的输出设备。说明书CN104219230A108/8页110107所述大容量存储设备507通过连接到系统总线505的大容量存储控制器未示出连接到中央处理单元501。所述大容量存储设备507及其相关联的计算机可读介质为安全服务器500提供非易失性存储。也就是。
36、说,所述大容量存储设备507可以包括诸如硬盘或者CDROM驱动器之类的计算机可读介质未示出。0108不失一般性,所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CDROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器504和大容量存储设备507可以统称为存储器。0109。
37、根据本发明的各种实施例,所述云安全服务器500还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即云安全服务器500可以通过连接在所述系统总线505上的网络接口单元511连接到网络512,或者说,也可以使用网络接口单元511来连接到其他类型的网络或远程计算机系统未示出。0110所述存储器还包括一个或者一个以上的程序,所述一个或者一个以上程序存储于存储器中,所述一个或者一个以上程序包含用于进行本发明实施例提供的识别恶意网站的方法的指令。0111需要说明的是上述实施例提供的识别恶意网站的装置在识别恶意网站时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不。
38、同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的识别恶意网站的装置与识别恶意网站的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。0112本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。0113以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。说明书CN104219230A111/4页12图1说明书附图CN104219230A122/4页13图2说明书附图CN104219230A133/4页14图3图4说明书附图CN104219230A144/4页15图5说明书附图CN104219230A15。