恶意URL检测仍然是网络安全领域的一个主要挑战，主要原因有二：（1）互联网的指数级增长导致URL种类极其丰富，使得通用检测变得越来越困难；（2）攻击者越来越多地使用复杂的混淆技术来逃避检测。我们认为，要根本解决这些挑战，需要：（1）获得语义理解，以提高对大量多样化URL的泛化能力；（2）准确建模URL结构中的上下文关系。在本文中，我们提出了一种新的恶意URL检测方法，该方法结合了多粒度图学习和语义嵌入，以共同捕获语义、字符级和结构特征，从而实现强大的URL分析能力。为了建模URL内部的依赖关系，我们首先在子词和字符两个层面构建了双粒度URL图，其中节点代表URL标记/字符，边表示共现关系。为了获得细粒度的嵌入，我们使用字符级卷积网络对节点表示进行初始化。然后通过联合训练的图神经网络（GNNs）处理这两个图，以学习一致的图级表示，使模型能够捕捉反映共现模式和字符级依赖关系的互补结构特征。此外，我们使用BERT来提取URL的语义表示，以实现语义上的理解。最后，我们引入了一个门控动态融合网络，将语义丰富的BERT表示与联合优化的图向量结合起来，进一步提升检测性能。我们在多个具有挑战性的维度上对我们的方法进行了广泛评估：真实世界数据分布、泛化能力、字符混淆和短URL——涵盖了关键的实践挑战。结果表明，我们的方法优于现有的最佳技术（SOTA），包括与大型语言模型的对比。我们的源代码可在以下链接获取：https://github.com/lincozz/URL2Graphplusplus。

在本节中，我们介绍了URL2Graph++，这是一个多粒度学习框架，旨在捕获恶意URL的语义、结构和字符级模式。所提出的URL2Graph++框架的概述如图1所示。与纯粹的顺序建模方法不同，我们的方法在子词和字符两个层面构建并利用了双粒度图表示，使其能够捕获全局共现依赖关系和形态学特征

在本节中，我们深入讨论了URL2Graph++的实验结果，强调了其有效性、泛化能力、架构优势及其实际意义。分析综合了来自数据扩展、跨数据集验证、消融研究和对抗性评估的证据，提供了对模型性能和贡献的全面理解。