证请求对应的聚集性中的至少一项确定权值;并依据上述权值调整上述得分。
[0042]作为一个举例,调整得分的级别,在本是实例中,可以是:获取上述验证请求的来源地址以及上述待评估对象的常用地址,上述来源地址是否为常用地址,若是则提高上述待评估对象的权值,否则降低上述待评估对象的权值。
[0043]103:依据上述得分确定上述待评估对象的安全级别。
[0044]在本发明实施例中,计算得分是为了区分待评估对象的安全级别,由于本发明实施例已经对待评估对象的操作行为集进行了比对,实际上是可以获知各操作项的分数的,那么基于表示操作项分数的方式不同,计算行为集中的操作项的得分,可以采用的方案很多。例如:以恶意操作项为负分,以安全操作项为正分并累积得分,那么得分越高则安全级别越高;若以恶意操作为正分,不考虑安全操作项,累积得分,则得分越高安全级别越低;若以恶意操作为正分,不考虑安全操作项,采用“扣分制”,那么得分越高则安全级别越高。
[0045]本发明实施例,通过获取评估对象的操作行为集,并将上述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算上述操作行为集中的操作项的得分;实现了以对操作行为统计为基础的评分方式来确定待评估对象的安全级别,从而实现准确的安全评估。
[0046]在安全级别确定以后,安全级别的使用是可以有多种多样的,本发明实施例给出了其中一类方案具体如下:在确定上述待评估对象的安全级别之后,上述方法还包括:若上述待评估对象的安全级别低于预定门限,则依据上述待评估对象的安全级别低于的预定门限,确定并执行与上述预定门限对应的安全管制操作。
[0047]在本发明实施例中安全管制操作,可以包括:封号、冻结、功能限制、临时踢下线等各类安全管制操作。上述预定门限可以是一个门限集,门限集中的每个门限对应有安全管制操作。
[0048]以下实施例将就本发明实施例在实现过程中的三个方面进行分解说明。
[0049]这里用一个场景来说明。本发明实施例方案要先选取一些样本进行分析和学习。这里有很多方法,比如通过用户的举报来提取一批恶意设备,同时提出一批号码安全等级很高的用户来获得一批安全设备。具体方法就不在本发明实施例中赘述了。得到样本后,就可以开始进行分析。首先,可以将恶意设备中,对号码的所有操作项进行提取,然后按照各个操作项出现的次数对操作类型进行一个排序,可以将偶然出现的操作排除。同样对安全设备进行相同的操作。可以得到A1-A100,这一百个操作项。
[0050]在得到这些操作项后,就可以对在各种操作进行打分了。主要的思路如下:对于只出现在恶意设备上,并且多次出现的操作,可以认为是恶意等级分数很高的,而对于只出现在安全设备上,同时也多次重复出现的,可以认为是恶意等级为负分的,而对于同时出现在两种设备上的操作,则可以根据当时的操作环境(前后的操作类型)等等,通过合理的算法进行评分。例如AlO在恶意设备上出现过10次,在安全设备上出现O次,那AlO就是恶意操作,以此类推。
[0051]然后通过这些评分对一个设备进行评级,恶意分数越高,安全验证门槛就越严。反之亦然,恶意分数越低,同样能或更高的操作权限。这里也举例说明,可以将待评估设备B的所有操作提出来,得到A10、A57、A99这3项操作,根据刚才选出每项操作对应的恶意评分加权,综合给出一个恶意评级。假设得出的恶意评级达到封号级别,则处罚模块则给出封号处理。
[0052]如图2所示,为本发明实施例的系统结构图。主要包括三个方面:一、学习模块,二、打分模块,三、处罚模块。
[0053]其中,学习模块主要包含的操作有:提取一批已知安全/恶意的设备作为样本;提取所有操作,以及用以已知的设备属性对各操作项打分;
[0054]打分模块主要包含的操作有:提取待评估设备的所有操作项,并依据学习模块的结果对各操作项进行打分;
[0055]处罚模块主要包含的操作有:在打分模块打分以后就可以综合给出恶意评分和恶意类型;那么处罚模块可以根据恶意评分和恶意类型给出相应的安全策略。
[0056]以上三个方面具体介绍如下:
[0057]一、学习模块:
[0058]首先,要先选取一些恶意样本、安全样本作为整理分析过程的依据。这里有很多方法,比如通过用户的举报来提取一批恶意设备,同时提出一批号码安全等级很高的用户来获得一批安全设备。得到样本后,要将恶意设备中,对号码的所有操作项进行提取,然后按照各个操作出现的次数对操作类型进行一个排序,将偶然出现的操作排除,同样对安全设备进行相同的操作。接下来就是分析工作,根据每个操作项出现的设备种类,次数等进行评分。例如,对于只出现在恶意设备上,并且多次出现的操作,可以认为是恶意等级分数很高的,而对于只出现在安全设备上,同时也多次重复出现的,可以认为是恶意等级为负分的,而对于同时出现在两种设备上的操作,则可以根据当时的操作环境(前后的操作类型)等等,通过合理的算法进行评分。最终给所有的操作项都匹配一个相应的恶意评级。
[0059]值得注意的是,这里的评级不但是一个分数,还可以包含一个类型。例如,转账请求占本次评估的主要部分,那就会在给出恶意评分的同时,给出一个转账类恶意设备的标签。这个将用于后续处罚用。
[0060]二、打分模块:
[0061]学习模块已经将标准准备好了,接下来就是利用这些标准进行评分。当收到一个验证请求时,首先要将这个设备上发起的各项操作都提取出来,与操作恶意库进行比对,将每一项操作都数值化,然后进行加和,得到一个综合的恶意分数。当然这不是最后的结果,还需要将一些坏境和行为的特点考虑在内。例如当前设备的IP的属性,如果是常用IPjp可能需要考虑加分,如果是异地IP或者代理IP,那就要考虑相应的扣分。还有设备的历史信用记录,聚集性等等。这些都可以通过大量的样本学习来确认最终的权值。最后综合的给出一个恶意评级。
[0062]值得注意的是,这里的评级不但是一个分数,还可以包含一个类型。例如,转账请求占本次评估的主要部分,那就会在给出恶意评分的同时,给出一个转账类恶意设备的标签。这个将用于后续处罚用。
[0063]三、处罚模块:
[0064]这里的处罚模块,实际上就是根据不同的恶意评级做出相应的处理。
[0065]这里分为两个部分,第一是根据恶意评分来确定打击等级。例如封号、冻结、功能限制、临时踢下线等等,不同的打击等级对应不同处罚措施。封号为最高等级,即永远禁止该设备操作本次评估对应的帐号;其次是冻结,这是一种保护状态,用户需要通过改密等操作来恢复号码在该设备上的使用权限;第三级是功能限制,即禁止该设备对本次评估对应的帐号进行某些指定的操作;最后是临时踢下线,这里举个例子,比如5分钟踢下线,即该设备5分钟能不允许登录相应帐号。
[0066]第二个部分主要应用于功能限制这一打击等级,当恶意评分判定给予功能限制打击时,就需要通过恶意类型标签来确定限制何种功能。拿之前提到的“转账类恶意设备”为例,就可以限制他的转账功能,以此类推。
[0067]以上方案可以解决依靠常用地理位置,常用版本号,常用IP来进行设备安全评级方法的证据单一,等级模糊的缺点,提供了操作逻辑更简易直观,结果更具备针对性的评估方法。同时配合多等级的打击方式,更加人性化,提高安全保护的产品体验。
[0068]本发明实施例还提供了一种安全评估装置,如图3所示,包括:
[0069]行为集获取单元301,用于获取待评估对象的操作行为集,上述操作行为集是包含与上述待评估对象对应的操作项的集合;
[0070]操作评分单元302,用于将上述行为集获取单元301获取的操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算上述操作行为集中的操作项的得分;
[0071]安全评估单元303,用于依据上述操作评分单元302计算的得分确定上述待评估对象的安全级别。
[0072]在本发明实施例中的待评估对象是需要进行安全评估的目标,它可以是实体设备,也可以是用来标识实体或者用户的标识。操作行为集是操作行为的集合,对于不同的待评估对象,会表现为不同的操作行为,这里获取操作行为的集合,实现了统计功能,方便后续基于统计数据的分析。
[0073]在本发明实施例中,计算得分是为了区分待评估对象的安全级别,由于本发明实施例已经对待评估对象的操作行为集进行了比对,实际上是可以获知各操作项的分数的,那么基于表示操作项分数的方式不同,计算行为集中的操作项的得分,可以采用的方案很多。例如:以恶意操作项为负分,以安全操作项为正分并累积得分,那么得分越高则安全级别越高;若以恶意操作为正分,不考虑安全操作项,累积得分,则得分越高安全级别越低;若以恶意操作为正分,不考虑安全操作项,采用“扣分制”,那么得分越高则安全级别越高。
[0074]本发明实施例,通过获取评估对象的操作行为集,并将上述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算上述操作行为集中的操作项的得分;实现了以对操作行为统计为基础的评分方式来确定待评估对象的安全级别,从而实现准确的安全评估。