确定其属于恶意操作项、安全操作项或待确定操作项,并确定该操作项的分值,并将确定的分值也作为预置的操作项评分规则。
[0103]在本实施例中,预定规则可以是按照经验和规律总结的规则,例如:某一操作在安全设备的操作行为集中出现次数远大于在恶意设备的操作行为集中的次数,则可以认为该操作是安全操作项;如果某一操作在安全设备的操作行为集中出现次数远小于在恶意设备的操作行为集中的次数,则可以认为该操作是恶意操作项;否则可以确定为待确定操作项。待确定操作项也可以称为中性操作项,可以不参与评分。
[0104]以上方案是基于对样本集的统计得出的,可以由设备自动完成,因此可以由设备方便地更新评分规则,使安全评估的方案趋于准确合理。
[0105]在本发明实施例中的待评估对象是需要进行安全评估的目标,它可以是实体设备,也可以是用来标识实体或者用户的标识,具体地:上述处理器803用于控制执行使用的上述待评估对象包括:实体设备、设备识别号,以及账户名中的任意一项。上述实体设备可以为移动终端。
[0106]进一步地,为了综合考虑各种因素对安全性的影响,本发明实施例还提供了对得分进行调整的方案,具体如下:上述处理器803还用于控制执行:在获取待评估对象的操作行为集之前,接收来自对应对象的验证请求,然后确定上述对象为待评估对象;依据上述验证请求的来源地址是否为上述待评估对象的常用地址、发送上述验证请求的终端的历史安全记录、上述验证请求对应的聚集性中的至少一项确定权值;并依据上述权值调整上述得分。
[0107]作为一个举例,调整得分的级别,在本是实例中,可以是:获取上述验证请求的来源地址以及上述待评估对象的常用地址,上述来源地址是否为常用地址,若是则提高上述待评估对象的权值,否则降低上述待评估对象的权值。
[0108]在安全级别确定以后,安全级别的使用是可以有多种多样的,本发明实施例给出了其中一类方案具体如下:上述处理器803还用于控制执行:在确定上述待评估对象的安全级别之后,若上述待评估对象的安全级别低于预定门限,则依据上述待评估对象的安全级别低于的预定门限,确定并执行与上述预定门限对应的安全管制操作。
[0109]在本发明实施例中安全管制操作,可以包括:封号、冻结、功能限制、临时踢下线等各类安全管制操作。上述预定门限可以是一个门限集,门限集中的每个门限对应有安全管制操作。
[0110]值得注意的是,上述装置实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
[0111]另外,本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成,相应的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0112]以上仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【主权项】
1.一种安全评估方法,其特征在于,包括: 获取待评估对象的操作行为集,所述操作行为集是包含与所述待评估对象对应的操作项的集合; 将所述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分; 依据所述得分确定所述待评估对象的安全级别。2.根据权利要求1所述方法,其特征在于,在获取待评估对象的操作行为集之前,所述方法还包括: 提取已知的安全设备作为安全样本集,提取已知的恶意设备作为恶意样本集;并统计安全样本集内安全设备的操作行为集,以及恶意样本集内恶意设备的操作行为集; 比对安全设备的操作行为集和恶意设备的操作行为集,确定仅出现在恶意设备的操作行为集中的操作项为恶意操作项,并确定各恶意操作项的分值作为预置的操作项评分规则。3.根据权利要求1所述方法,其特征在于,所述方法还包括: 确定仅出现在安全设备的操作行为集中的操作项为安全操作项,并确定各安全操作项的分值,并将所述各安全操作项的分值也作为预置的操作项评分规则。4.根据权利要求3所述方法,其特征在于,所述方法还包括: 若某操作项出现在安全设备的操作行为集中也出现在恶意设备的操作行为集中,则依据该操作项在安全设备的操作行为集中出现的次数以及在恶意设备的操作行为集中出现的次数,按照预定规则确定其属于恶意操作项、安全操作项或待确定操作项,并确定该操作项的分值,并将确定的分值也作为预置的操作项评分规则。5.根据权利要求1所述方法,其特征在于,所述待评估对象包括:实体设备、设备识别号,以及账户名中的任意一项。6.根据权利要求1所述方法,其特征在于,在获取待评估对象的操作行为集之前,所述方法还包括: 接收来自对应对象的验证请求,然后确定所述对象为待评估对象; 依据所述验证请求的来源地址是否为所述待评估对象的常用地址、发送所述验证请求的终端的历史安全记录、所述验证请求对应的聚集性中的至少一项确定权值;并依据所述权值调整所述得分。7.根据权利要求1至6任意一项所述方法,其特征在于,在确定所述待评估对象的安全级别之后,所述方法还包括: 若所述待评估对象的安全级别低于预定门限,则依据所述待评估对象的安全级别低于的预定门限,确定并执行与所述预定门限对应的安全管制操作。8.一种安全评估装置,其特征在于,包括: 行为集获取单元,用于获取待评估对象的操作行为集,所述操作行为集是包含与所述待评估对象对应的操作项的集合; 操作评分单元,用于将所述行为集获取单元获取的操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分; 安全评估单元,用于依据所述操作评分单元计算的得分确定所述待评估对象的安全级别。9.根据权利要求8所述装置,其特征在于,所述装置还包括: 规则获取单元,用于在获取待评估对象的操作行为集之前,提取已知的安全设备作为安全样本集,提取已知的恶意设备作为恶意样本集;并统计安全样本集内安全设备的操作行为集,以及恶意样本集内恶意设备的操作行为集;比对安全设备的操作行为集和恶意设备的操作行为集,确定仅出现在恶意设备的操作行为集中的操作项为恶意操作项,并确定各恶意操作项的分值作为预置的操作项评分规则。10.根据权利要求8所述装置,其特征在于, 所述规则获取单元,还用于确定仅出现在安全设备的操作行为集中的操作项为安全操作项,并确定各安全操作项的分值,并将所述各安全操作项的分值也作为预置的操作项评分规则。11.根据权利要求10所述装置,其特征在于, 所述规则获取单元,还用于若某操作项出现在安全设备的操作行为集中也出现在恶意设备的操作行为集中,则依据该操作项在安全设备的操作行为集中出现的次数以及在恶意设备的操作行为集中出现的次数,按照预定规则确定其属于恶意操作项、安全操作项或待确定操作项,并确定该操作项的分值,并将确定的分值也作为预置的操作项评分规则。12.根据权利要求8所述装置,其特征在于,所述待评估对象包括:实体设备、设备识别号,以及账户名中的任意一项。13.根据权利要求8所述装置,其特征在于,所述装置还包括: 请求接收单元,用于在所述行为集获取单元获取待评估对象的操作行为集之前,接收来自对应对象的验证请求; 所述行为集获取单元,还用于确定所述请求接收单元接收的验证请求对应的所述对象为待评估对象; 权值确定单元,用于依据所述验证请求的来源地址是否为所述待评估对象的常用地址、发送所述验证请求的终端的历史安全记录、所述验证请求对应的聚集性中的至少一项确定权值; 得分调整单元,用于依据所述权值调整所述得分。14.根据权利要求8至13任意一项所述装置,其特征在于,所述装置还包括: 管制单元,用于在所述安全评估单元确定所述待评估对象的安全级别之后,若所述待评估对象的安全级别低于预定门限,则依据所述待评估对象的安全级别低于的预定门限,确定并执行与所述预定门限对应的安全管制操作。
【专利摘要】本发明实施例公开了一种安全评估方法,及装置,以方法的实现为例包括:获取待评估对象的操作行为集,所述操作行为集是包含与所述待评估对象对应的操作项的集合;将所述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分;依据所述得分确定所述待评估对象的安全级别。通过获取评估对象的操作行为集,并将所述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分;实现了以对操作行为统计为基础的评分方式来确定待评估对象的安全级别,从而实现准确的安全评估。
【IPC分类】H04L29/06, H04L9/00
【公开号】CN104954342
【申请号】CN201410126207
【发明人】董梁, 陈梦, 陈荣, 李德春, 唐艳平, 孙增昕, 刘飞飞, 陈远斌
【申请人】腾讯科技(深圳)有限公司
【公开日】2015年9月30日
【申请日】2014年3月31日