劉 健 趙 剛 鄭運(yùn)鵬

(北京信息科技大學(xué)信息管理學(xué)院信息安全系 北京 100192) (liujianspace999126@126.com)

?

惡意URL多層過濾檢測(cè)模型策略研究

劉 健 趙 剛 鄭運(yùn)鵬

(北京信息科技大學(xué)信息管理學(xué)院信息安全系 北京 100192) (liujianspace999126@126.com)

惡意URL檢測(cè)始終是Web安全領(lǐng)域的研究熱點(diǎn).提出了惡意URL多級(jí)檢測(cè)過濾模型，共分成4層過濾器：黑白名單過濾器、樸素貝葉斯過濾器、CART決策樹過濾器和支持向量機(jī)過濾器.對(duì)多層過濾模型的幾個(gè)關(guān)鍵策略進(jìn)行了討論，包括過濾器層的投票策略、過濾器順序策略以及過濾閾值的調(diào)優(yōu)策略.過濾器投票策略中討論了單獨(dú)投票、并行投票和加權(quán)并行投票3種投票方法，過濾器順序策略討論了4種過濾器的先后順序，過濾器閾值策略討論了過濾閾值的確定方法.通過實(shí)驗(yàn)驗(yàn)證了多層過濾檢測(cè)模型中以上策略討論結(jié)果的有效性，根據(jù)實(shí)驗(yàn)結(jié)果實(shí)現(xiàn)了Web應(yīng)用.

惡意URL；投票策略；機(jī)器學(xué)習(xí)；分類算法；多層過濾模型

惡意網(wǎng)站[1]通常在用戶瀏覽網(wǎng)站時(shí)引導(dǎo)用戶將惡意程序安裝到用戶電腦，而用戶對(duì)此沒有察覺，甚至惡意軟件在被發(fā)現(xiàn)之前可能已經(jīng)盜走用戶一些重要資料.國內(nèi)外對(duì)惡意網(wǎng)址檢測(cè)的最初研究方法是基于URL黑白名單的檢測(cè)技術(shù)，其主要思想是檢索黑白名單是否保存了所檢測(cè)的URL地址來判定該URL是否指向惡意網(wǎng)站.其中黑名單存儲(chǔ)被確定為惡意網(wǎng)站的URL地址，白名單存儲(chǔ)被確定為合法網(wǎng)站的URL地址.目前大多數(shù)瀏覽器具有黑名單相關(guān)插件，如 Microsoft IE，Google Safe Browser等.Ludl等人[2]先后收集了3周內(nèi)共10 000條惡意網(wǎng)站的URL 地址，用這些URL分別測(cè)試了IE瀏覽器以及谷歌安全瀏覽器的檢測(cè)正確率，分析表明這些插件能夠檢測(cè)約90%的惡意URL.Sheng等人[3]測(cè)試了8種常用釣魚防御工具中黑名單更新及識(shí)別的速度，結(jié)果表明只有不到20% 的防御工具能夠在較短的時(shí)間內(nèi)識(shí)別出釣魚網(wǎng)站的URL.目前除黑白名單技術(shù)外，機(jī)器學(xué)習(xí)分類算法[4-9]是一種比較主流的惡意網(wǎng)址檢測(cè)技術(shù)，國內(nèi)外將機(jī)器學(xué)習(xí)分類算法應(yīng)用到惡意網(wǎng)址檢測(cè)技術(shù)的研究非常多.

圖1 多層過濾模型流程圖

惡意URL的檢測(cè)至關(guān)重要，而目前對(duì)惡意URL的檢測(cè)方法雖多，但是表現(xiàn)卻不盡如人意.惡意網(wǎng)站URL的檢測(cè)是一種典型的分類場(chǎng)景，分為“惡意URL”和“正常URL”2個(gè)類.機(jī)器學(xué)習(xí)中的分類算法[10-12]是實(shí)現(xiàn)其分類的一種優(yōu)秀工具，但是分類器各有千秋，單獨(dú)使用一種分類器往往不能達(dá)到全能的效果.因此，本文在目前機(jī)器學(xué)習(xí)檢測(cè)惡意網(wǎng)址相關(guān)研究的基礎(chǔ)上，提出一種將若干種分類器串行起來的惡意網(wǎng)址多層過濾檢測(cè)模型，著重研究多過濾器中單獨(dú)投票、并行投票和加權(quán)并行投票等共同判定URL的投票策略.在深入分析投票策略特點(diǎn)的基礎(chǔ)上，確定了加權(quán)投票策略及相應(yīng)的調(diào)優(yōu)策略，利用相關(guān)參數(shù)的控制，將幾種分類器的優(yōu)勢(shì)都發(fā)揮出來，更加有效地實(shí)現(xiàn)惡意網(wǎng)址檢測(cè).

1 多層過濾模型概述

本文提出的多層過濾模型流程我們稱之為BW-NCS，如圖1所示.

依據(jù)多層過濾模型，進(jìn)一步設(shè)計(jì)功能應(yīng)用流程：用戶在Web頁面中輸入要檢測(cè)的URL，服務(wù)器經(jīng)過匹配和計(jì)算返回該URL的判定結(jié)果，如圖2所示.

圖2中BW-NCS模型對(duì)URL的處理方法如下：

步驟1. 判斷該URL是否在黑白名單中，如果在直接返回判定結(jié)果給用戶；否則，執(zhí)行下一步；

步驟2. 提取該URL特征向量；

步驟3. 將特征向量代入樸素貝葉斯過濾器，如果達(dá)到閾值，直接返回判定結(jié)果給用戶；否則記錄判定結(jié)果，執(zhí)行下一步；

步驟4. 將特征向量代入CART決策樹過濾器中，如果達(dá)到閾值，直接返回判定結(jié)果給用戶；否則記錄判定結(jié)果，執(zhí)行下一步；

步驟5. 將特征向量代入SVM過濾器中，記錄判定結(jié)果后和上層2個(gè)過濾器判定結(jié)果共同投票，并返回判定結(jié)果給用戶.

圖2 URL多層過濾檢測(cè)模型應(yīng)用流程圖

2 投票策略研究

如果待檢測(cè)URL在BW-NCS模型的前3層沒有被判定，則說明該URL既不在黑白名單中，也不是樸素貝葉斯和CART樹的擅長(zhǎng)數(shù)據(jù).很可能是因?yàn)樵揢RL的特征向量沒有明顯的類型偏向，屬于惡意URL和正常URL的概率相差不大.這種URL需要在最后一層進(jìn)行判定.本文著重討論單獨(dú)投票、并行投票和加權(quán)并行投票3種投票策略.因?yàn)楹诎酌麊芜^濾器已經(jīng)沒有判定的能力，所以以下投票策略不考慮黑白名單過濾器.

2.1 單獨(dú)投票

單獨(dú)投票策略是指當(dāng)URL過濾到最后一層時(shí)，只有SVM過濾器進(jìn)行投票，即SVM過濾器對(duì)URL的判定結(jié)果即作為最終的判定結(jié)果.選取這種投票策略的原因主要有以下2點(diǎn)：

1) 待判定URL既然已經(jīng)過濾到SVM層，說明該URL不是樸素貝葉斯過濾器和CART決策樹過濾器的擅長(zhǎng)數(shù)據(jù)，這2個(gè)過濾器的分類結(jié)果不可信；

2) SVM過濾器并沒有設(shè)定擅長(zhǎng)閾值，所以該URL有可能是SVM過濾器的擅長(zhǎng)數(shù)據(jù)，尤其是單獨(dú)的SVM分類器要比其他2類單獨(dú)分類器的分類效果好的情況下.

單獨(dú)投票策略是對(duì)SVM過濾器充分信任的一種投票策略.

2.2 并行投票

并行投票策略是指當(dāng)URL過濾到最后一層時(shí)，由樸素貝葉斯、CART決策樹和SVM 3種過濾器一起投票，每個(gè)過濾器投一票，根據(jù)投票結(jié)果判定URL類別.例如，當(dāng)待檢測(cè)URL過濾到最后一層時(shí)，樸素貝葉斯、CART決策樹和SVM 3種過濾器分別將它判定成惡意URL、惡意URL和正常URL，即有2票投給了惡意URL、1票投給了正常URL.這樣對(duì)該URL的最終判定結(jié)果為惡意URL.選取這種投票策略的原因主要有以下2點(diǎn)：

1) 待判定URL既不是樸素貝葉斯過濾器擅長(zhǎng)的數(shù)據(jù)，也不是CART決策樹過濾器擅長(zhǎng)的數(shù)據(jù)，說明該URL的特征向量沒有明顯的趨向哪個(gè)類，則SVM過濾器也有很大概率不擅長(zhǎng)處理該URL，3種過濾器綜合決定能夠更好地分擔(dān)風(fēng)險(xiǎn)；

2) 當(dāng)單獨(dú)的SVM分類器要比其他2種單獨(dú)分類器的分類效果都要差時(shí)，要更加信任前2種過濾器.

并行投票策略是對(duì)SVM過濾器不太信任的一種投票策略.

2.3 加權(quán)并行投票

加權(quán)并行投票策略是指當(dāng)URL過濾到最后一層時(shí)，和并行投票策略一樣，由樸素貝葉斯、CART決策樹和SVM 3種過濾器共同投票，但每個(gè)過濾器都投加權(quán)票，根據(jù)投票結(jié)果判定URL類別.各層過濾器的投票值計(jì)算方法如下：

1) 在樸素貝葉斯過濾器層中，αnbayes=max{P1P2,P2P1}，閾值為，令樸素貝葉斯的加權(quán)投票值為αnbayes，因?yàn)樵揢RL已經(jīng)過濾到最后一層，說明αnbayes肯定沒有達(dá)到閾值，該投票值小于1；

2) 在CART決策樹過濾器層中，αcart=max{nm,mn}，閾值為，令CART決策樹的加權(quán)投票值為αcart，同樣因?yàn)樵揢RL已經(jīng)過濾到最后一層，說明αcart沒有達(dá)到閾值，該投票值也小于1；

3) SVM過濾器的投票值為1.

例如，當(dāng)待檢測(cè)URL過濾到最后一層時(shí)，樸素貝葉斯、CART決策樹和SVM 3種過濾器分別將它判定成惡意URL、惡意URL和正常URL，而αnbayes=0.6，αcart=0.35，因?yàn)閷RL判定惡意URL的加權(quán)投票值為0.95，小于將URL判定成正常URL的加權(quán)投票值1，所以該URL會(huì)被判定為正常URL.

選取這種投票策略的原因主要有以下2點(diǎn)：

1) 既然待判定URL既不是樸素貝葉斯過濾器擅長(zhǎng)的數(shù)據(jù)，也不是CART決策樹過濾器擅長(zhǎng)的數(shù)據(jù)，還不確定SVM的判定效果如何，那么樸素貝葉斯和CART決策樹這2個(gè)過濾器就不能和SVM過濾器擁有一樣的投票權(quán)重；

2) 樸素貝葉斯過濾器和CART決策樹過濾器的閾值也只是訓(xùn)練出來的一個(gè)界限，而這個(gè)界限往往是模糊的，可能有些URL在過濾器中計(jì)算出的α已經(jīng)接近這個(gè)閾值α*，但是仍然被過濾到下一層，這顯然不合理.所以用αα*作為這2個(gè)過濾器的加權(quán)投票值.

加權(quán)并行投票策略是一種介于單獨(dú)投票策略和并行投票策略中間的一種平衡策略，在給SVM過濾器一定投票優(yōu)勢(shì)的同時(shí)也不完全依賴SVM過濾器.

3 過濾器順序策略

本文提出的URL多層過濾檢測(cè)模型的過濾器順序?yàn)椋汉诎酌麊芜^濾器，樸素貝葉斯過濾器，CART決策樹過濾器和SVM過濾器.過濾器中黑白名單過濾器具有絕對(duì)權(quán)威，待檢測(cè)URL如果能被它判定，這個(gè)判定結(jié)果是被絕對(duì)信任的，也就不需要?jiǎng)e的過濾器再去進(jìn)行判定，所以將它放到第1層.SVM過濾器沒有擅長(zhǎng)閾值的計(jì)算方法，沒辦法設(shè)定過濾條件，所以將它作為最后一層過濾器.而樸素貝葉斯和CART決策樹既不是絕對(duì)權(quán)威，也都有相似的擅長(zhǎng)閾值計(jì)算方法，所以這2種過濾器是可以互換位置的.下面討論這2種順序策略.

我們稱樸素貝葉斯在上一層的策略為NBAYES-CART策略，CART決策樹在上一層的策略稱作CART-NBAYE策略.無論哪種策略，目標(biāo)都是為了整個(gè)多層過濾檢測(cè)模型更準(zhǔn)確地判定URL.這2層作為中間層能夠以盡可能高的準(zhǔn)確率去處理盡可能多的URL，能夠幫助多層過濾檢測(cè)模型實(shí)現(xiàn)更好的URL判定效果.所以這里提出應(yīng)用2個(gè)標(biāo)準(zhǔn)：一個(gè)是判定URL的數(shù)量，另一個(gè)是判定URL的準(zhǔn)確率.

對(duì)于本文收集的URL數(shù)據(jù)集的檢測(cè)，在下述實(shí)驗(yàn)中驗(yàn)證了單獨(dú)的CART決策樹分類器效果要比單獨(dú)的樸素貝葉斯分類器效果好得多，因?yàn)檫@2個(gè)過濾器的準(zhǔn)確率是可以通過閾值來調(diào)節(jié)的，也就是說在保證同樣的準(zhǔn)確率的情況下，CART決策樹過濾器能夠直接判定的URL數(shù)目要比樸素貝葉斯過濾器多很多.在多層過濾檢測(cè)模型中，一般是越高層級(jí)的判定準(zhǔn)確率要越高，所以如果選擇CART-NBAYES策略，在CART決策樹過濾器層為了保證準(zhǔn)確率可能只處理小部分URL，這些URL可能判定準(zhǔn)確率很高，但是過濾到樸素貝葉斯過濾器層的那些URL的判定準(zhǔn)確率就會(huì)偏低；如果選擇NBAYES-CART策略，在樸素貝葉斯過濾器層也能以較高準(zhǔn)確率處理小部分URL，過濾到CART決策樹過濾器層的URL也能以不錯(cuò)的準(zhǔn)確率被判定.因此，本文選取了NBAYES-CART策略，并且本文的模型為BW-NCS模型.

4 過濾閾值的調(diào)優(yōu)策略

BW-NCS模型中共有2個(gè)過濾閾值：樸素貝葉斯過濾器的過濾閾值和CART決策樹的過濾閾值.這2個(gè)過濾閾值是BW-NCS模型中最重要的參數(shù)之一，它們的選取好壞直接影響模型的判定效果.這2個(gè)閾值的選取依賴于數(shù)據(jù)本身特點(diǎn)，并且沒有可以參考的相關(guān)的專家經(jīng)驗(yàn).本文直接搜索多種閾值對(duì)組合，并用另一組樣本進(jìn)行測(cè)試，最后選取效果最好的閾值對(duì).本文在對(duì)BW-NCS多層過濾器模型的過濾閾值主要調(diào)優(yōu)步驟如下:

5 實(shí)驗(yàn)分析與應(yīng)用

5.1 實(shí)驗(yàn)結(jié)果與分析

本文的惡意URL數(shù)據(jù)集通過惡意網(wǎng)站實(shí)驗(yàn)室獲取，正常URL數(shù)據(jù)集通過爬蟲程序從第1分類目錄網(wǎng)爬取.從惡意URL數(shù)據(jù)集和正常URL數(shù)據(jù)集各取10 000條數(shù)據(jù)作為本文的實(shí)驗(yàn)數(shù)據(jù).

本文作如下假設(shè)：有10%的URL在黑白名單過濾器中，并且這10%的URL是隨機(jī)選取的，對(duì)于不在這10%范圍內(nèi)的URL，單獨(dú)的黑白名單分類器會(huì)進(jìn)行隨機(jī)判斷.

實(shí)驗(yàn)結(jié)果如表1所示:

表1 實(shí)驗(yàn)測(cè)試結(jié)果 %

從表1中可以看出完整的BW-NCS模型表現(xiàn)優(yōu)秀，明顯地超過4個(gè)單獨(dú)分類器模型表現(xiàn)，這也達(dá)到了本文的研究目的，使得多層過濾模型能夠處理各個(gè)分類器自己擅長(zhǎng)的數(shù)據(jù)，充分發(fā)揮了每一層分類器的優(yōu)勢(shì)，最終達(dá)到提高檢測(cè)惡意URL準(zhǔn)確率的效果.具體來說，在BW-NCS模型中黑白名單過濾器判定在黑白名單之內(nèi)的URL，樸素貝葉斯過濾器判定了那些計(jì)算出的2類概率差比較懸殊的URL，CART決策樹過濾器判定了那些計(jì)算出的葉子節(jié)點(diǎn)中2類數(shù)目比較懸殊的URL，SVM可以在擁有比較大投票權(quán)重的情況下和前2層過濾器共同投票判定前2層都不擅長(zhǎng)的URL.而其他單獨(dú)模型必須處理所有URL，不管是否為自己的擅長(zhǎng)數(shù)據(jù)，所以才出現(xiàn)表1的結(jié)果.

5.2 實(shí)驗(yàn)結(jié)果應(yīng)用

本文設(shè)計(jì)并實(shí)現(xiàn)了BW-NCS模型的Web應(yīng)用，并在應(yīng)用中將實(shí)驗(yàn)測(cè)試結(jié)果作為證據(jù)支持.其中的判定結(jié)果的內(nèi)容包括：

1) 該URL是惡意URL還是正常URL；

2) 該結(jié)果是由哪一層過濾器對(duì)它進(jìn)行判定的；

3) 這次判定的準(zhǔn)確率、召回率和精確率.

這些內(nèi)容既給出URL判定結(jié)果，又詳細(xì)地給出了判定的相關(guān)參數(shù).用戶在了解判定結(jié)果的同時(shí)，可以根據(jù)參數(shù)來指導(dǎo)自己是否相信這次判定.如一個(gè)用戶對(duì)安全性要求很高，而這次的返回結(jié)果雖然判定用戶輸入的URL是正常URL，但是這次判定的準(zhǔn)確率比較低，那么該用戶就可能選擇不再訪問這個(gè)URL，本文稱這種用戶為謹(jǐn)慎型用戶；相反，如果一個(gè)用戶想瀏覽更多的網(wǎng)頁并對(duì)安全性要求較低，那么即使返回結(jié)果是惡意URL但是這次判定的準(zhǔn)確率較低，該用戶也很有可能會(huì)繼續(xù)訪問，本文稱這種用戶為包容型用戶.

根據(jù)以上應(yīng)用需求，在設(shè)計(jì)應(yīng)用時(shí)需要提前做的工作有：黑白名單的收集和存儲(chǔ)；BW-NCS模型的建立和存儲(chǔ)；模型測(cè)試實(shí)驗(yàn)結(jié)果的記錄和存儲(chǔ).這些準(zhǔn)備工作中，黑白名單和BW-NCS模型是為了方便Web應(yīng)用直接調(diào)用，加快效率.而模型測(cè)試實(shí)驗(yàn)結(jié)果的記錄是為了給用戶更多的參數(shù)：準(zhǔn)確率、召回率和精確率.

在SVM過濾器層被判定的URL檢測(cè)場(chǎng)景如圖3所示.

圖3 SVM過濾器判定的URL截圖

其中，網(wǎng)址www.asdzxc.cc在SVM過濾器層中被判定成正常URL，而網(wǎng)址www.zscdas.tk在SVM過濾器層中被判定成惡意URL，所以在返回的指標(biāo)中，準(zhǔn)確率、召回率和精確率分別為65.19%,42.61%和73.28%，這3個(gè)指標(biāo)的值同樣是依據(jù)上文實(shí)驗(yàn)結(jié)果得出的.召回率為42.61%，說明仍有57.39%的惡意URL被判定成正常URL，那么謹(jǐn)慎型用戶會(huì)不信任網(wǎng)址www.asdzxc.cc是正常URL，包容型用戶可能會(huì)信任這次判定.準(zhǔn)確率為73.28%，說明被判定成惡意的URL有26.72%的概率是正常URL，謹(jǐn)慎型用戶應(yīng)該信任www.zscdas.tk是惡意URL的判定結(jié)果，而包容型用戶在比較信任這個(gè)URL的情況下會(huì)認(rèn)為這次判定有誤，相信該URL為正常URL.

6 結(jié) 論

本文在提出URL多層過濾模型的基礎(chǔ)上，討論了多層過濾模型中關(guān)鍵策略的主要原理，重點(diǎn)分析了在SVM層中多個(gè)過濾器共同判定URL的投票策略，包括單獨(dú)投票策略、并行投票策略和加權(quán)并行投票策略，以及各投票策略的出發(fā)點(diǎn)和特點(diǎn)，進(jìn)一步討論了過濾器順序策略.在深入分析的基礎(chǔ)上，確定了加權(quán)投票策略和從CART決策樹到樸素貝葉斯的策略順序，進(jìn)一步討論CART決策樹和樸素貝葉斯過濾閾值的調(diào)優(yōu)策略，并用一對(duì)衰減函數(shù)來生成2個(gè)候選閾值集，通過交叉這2個(gè)閾值集來測(cè)試，選取最優(yōu)狀態(tài)下的閾值對(duì)作為模型的過濾閾值.通過實(shí)驗(yàn)驗(yàn)證了URL多層過濾檢測(cè)模型的有效性.

[1]何公道, 王江民. 我國惡意網(wǎng)站現(xiàn)狀及防治對(duì)策研究[J]. 中國人民公安大學(xué)學(xué)報(bào)：自然科學(xué)版, 2008, 14(3): 1-4

[2]Ludl C, Mcallister S, Kirda E, et al. On the effectiveness of techniques to detect phishing sites[C] //Proc of the 4th Int Conf on Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin: Springer, 2007: 20-39

[3]Sheng S, Wardman B, Warner G, et al. An empirical analysis of phishing blacklists[C] //Proc of the 6th Conf on Email & Anti-spam. 2009: 59-78

[4]Witten I H, Frank E, Hall M A. Data Mining: Practical Machine Learning Tools and Techniques[M]. San Francisco: Morgan Kaufmann Publishers, 2005: 95-97

[5]郭亞寧, 馮莎莎. 機(jī)器學(xué)習(xí)理論研究[J]. 中國科技信息, 2010 (14): 208-209[6]何清, 李寧, 羅文娟,等. 大數(shù)據(jù)下的機(jī)器學(xué)習(xí)算法綜述[J]. 模式識(shí)別與人工智能, 2013, 27(4): 327-336

[7]王玨, 石純一. 機(jī)器學(xué)習(xí)研究[J]. 廣西師范大學(xué)學(xué)報(bào): 自然科學(xué)版, 2004, 21(2): 1-15

[8]李運(yùn). 機(jī)器學(xué)習(xí)算法在數(shù)據(jù)挖掘中的應(yīng)用[D]. 北京: 北京郵電大學(xué), 2015

[9]米哈爾斯基. 機(jī)器學(xué)習(xí)與數(shù)據(jù)挖掘[M]. 北京: 電子工業(yè)出版社, 2004

[10]羅可, 林睦綱, 郗東妹. 數(shù)據(jù)挖掘中分類算法綜述[J]. 計(jì)算機(jī)工程, 2005, 31(1): 3-5, 11

[11]劉剛. 數(shù)據(jù)挖掘技術(shù)與分類算法研究[D]. 鄭州: 中國人民解放軍信息工程大學(xué), 2004

[12]談恒貴, 王文杰, 李游華. 數(shù)據(jù)挖掘分類算法綜述[J]. 微型機(jī)與應(yīng)用, 2005, 24(2): 4-6

劉 健

碩士研究生，主要研究方向?yàn)闄C(jī)器學(xué)習(xí)與信息安全.

liujianspace999126@126.com

趙 剛

副教授，博士，主要研究方向?yàn)槿斯ぶ悄芘c信息安全.

zhaogang@bistu.edu.cn

鄭運(yùn)鵬

碩士研究生，主要研究方向?yàn)榇髷?shù)據(jù)與物流規(guī)劃.

zhengpeng911001@126.com

Research on Strategy of Malicious URL Multi-Layer Filtering Detection Model

Liu Jian, Zhao Gang, and Zheng Yunpeng

(InformationSecurityFaculty&SchoolofInformationManagement&BeijingInformationScienceandTechnologyUniversity,Beijing100192)

Malicious URL detection is always a hot research topic in the field of Web security. This paper proposes a malicious URL multi-level filtering detection model. This model contains 4 layers of filter: black and white list filter, Naive Bayesian filter, CART decision tree filter and Support Vector Machine filter. In this paper several key strategies of multilayer filtering model are discussed, including support vector machine filter layer voting strategy; filter order strategy and filtering threshold tuning strategy. Filter voting strategies are discussed in separate voting, parallel voting and weighted parallel voting three voting methods. The filter order strategy discusses the order of the four filters. Filter threshold strategy discusses the method of determining the threshold of the filter. The validity of the above methods is verified by experiments. According to the experimental results, this paper implements a Web application.

malicious URL; voting strategy; machine learning; classification algorithm; multi layer filtering model

2015-12-30

國家自然科學(xué)基金項(xiàng)目(61272513)；北京市科委重大項(xiàng)目子課題(D151100004215003)

趙剛(zhaogang@bistu.edu.cn)

TP309