一种恶意行为的检测方法及系统的制作方法
【专利说明】
【技术领域】
[0001]本发明涉及计算机技术领域,尤其涉及一种恶意行为的检测方法及系统。
【【背景技术】】
[0002]随着互联网技术的快速发展,网络中出现了大量的恶意攻击行为。攻击者使用物理设备并利用网络上获取到的资源,在网络上开展恶意攻击行为,如进行僵尸网络的自动更新下载、恶意代码的自动更新下载、网络钓鱼、使用网络自动化扫描器或者垃圾邮件自动发送等。
[0003]现有技术中是利用传统的检测软件来对恶意行为进行检测,如杀毒软件收集攻击者所使用的统一资源定位符(Uniform Resource Locator,URL)和恶意文件,然后对URL和恶意文件进行恶意行为的检测。然而,攻击者会通过不断的更换URL的域名或者更新恶意文件的内容等手段,来躲避杀毒软件的检测,降低了恶意行为的检出率。
【
【发明内容】
】
[0004]有鉴于此,本发明实施例提供了一种恶意行为的检测方法及系统,用以解决现有技术中利用不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题,能够提高恶意行为的检出率。
[0005]本发明实施例的一方面,提供一种恶意行为的检测方法,包括:
[0006]获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
[0007]对所述待检测IP地址进行恶意行为检测,以获得检测结果。
[0008]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对所述待检测IP地址进行恶意行为检测,以获得检测结果,包括:
[0009]根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
[0010]根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。
[0011]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值之前,所述方法还包括:
[0012]采集恶意IP地址;
[0013]根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
[0014]对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
[0015]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还包括:
[0016]根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
[0017]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还包括:
[0018]若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,
[0019]若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提不?目息。
[0020]本发明实施例的一方面,提供一种恶意行为的检测系统,包括:
[0021]获取单元,用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
[0022]检测单元,用于对所述待检测IP地址进行恶意行为检测,以获得检测结果。
[0023]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测单元,具体用于:
[0024]根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
[0025]根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。
[0026]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述系统还包括:
[0027]采集单元,用于采集恶意IP地址;
[0028]计算单元,用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
[0029]存储单元,用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
[0030]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述计算单元,还用于:
[0031]根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
[0032]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述系统还包括:
[0033]输出单元,用于若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
[0034]由以上技术方案可以看出,本发明实施例具有以下有益效果:
[0035]本发明实施例提供的技术方案,能够利用IP地址来实现恶意行为的检测,恶意行为的检测是针对IP地址进行的,因此,能够解决现有技术中攻击者通过不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题,因此,本发明实施例所提供的技术方案能够提尚恶意彳丁为的检出率。
【【附图说明】】
[0036]为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
[0037]图1是本发明实施例所提供的恶意行为的检测方法的流程示意图;
[0038]图2是本发明实施例所提供恶意行为的检测方法的系统架构图;
[0039]图3是本发明实施例所提供的恶意行为的检测系统的功能方块图。
【【具体实施方式】】
[0040]为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
[0041]应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0042]在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
[0043]应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。