[0044]取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
[0045]实施例一
[0046]本发明实施例给出一种恶意行为的检测方法,请参考图1,其为本发明实施例所提供的恶意行为的检测方法的流程示意图,如图所示,该方法包括以下步骤:
[0047]S101,获取客户端访问的URL所对应的IP地址,以作为待检测IP地址。
[0048]S102,对所述待检测IP地址进行恶意行为检测,以获得检测结果。
[0049]需要说明的是,SlOl?S102的执行主体可以为恶意行为的检测系统,该系统可以位于本地终端的应用,或者还可以为位于本地终端的应用中的插件或软件开发工具包(Software Development Kit,SDK)等功能单元,或者还可以位于服务器侧,或者还可以部分位于本地终端,其余部分位于服务器侧,本发明实施例对此不进行特别限定。
[0050]需要说明的是,本发明实施例中所涉及的终端可以包括但不限于个人计算机(Personal Computer, PC)、个人数字助理(Personal Digital Assistant,PDA)、无线手持设备、平板电脑(Tablet Computer)、手机、MP3播放器、MP4播放器等。
[0051]可以理解的是,所述应用可以是安装在终端上的应用程序(nativeApp),或者还可以是终端上的浏览器的一个网页程序(webApp),本发明实施例对此不进行限定。
[0052]实施例二
[0053]基于上述实施例一所提供的恶意行为的检测方法,本发明实施例对SlOl中获取客户端访问的统一资源定位符URL所对应的IP地址,以作为待检测IP地址的方法进行具体描述。该步骤具体可以包括:
[0054]请参考图2,其为本发明实施例所提供恶意行为的检测方法的系统架构图。可以理解的是,如图2所示,SlOl的执行主体可以为客户端,或者也可以为服务器。其中,若SlOl的执行主体为客户端,则可以由客户端获取所述客户端访问的URL所对应的IP地址,以作为待检测IP地址。若SlOl的执行主体为服务器,则由客户端获取所述客户端访问的URL所对应的IP地址,以作为待检测IP地址,然后所述客户端进一步将获取所述待检测IP地址发送给所述服务器,这样,所述服务器就可以接收所述客户端发送的待检测IP地址。
[0055]举例说明,本发明实施例中,所述客户端获取访问的URL所对应的IP地址的方法可以包括但不限于以下两种:
[0056]第一种:所述客户端根据用户请求访问的URL,向域名系统(Domain Name System,DNS)发送查询请求。收到所述查询请求后,所述域名系统从该URL中获取域名,进而在自身存储的域名与IP地址的映射关系中进行查询,以获得URL中包含的域名所对应的IP地址,域名系统将查询到的IP地址返回给所述客户端,该IP地址可以作为客户端访问的URL所对应的IP地址。
[0057]第二种:所述客户端可以根据用户请求访问的URL,发起针对该URL的超文本传输协议(Hyper Text Transfer Protocol,HTTP)请求。提供该URL所指示的页面资源的服务器在收到HTTP请求后,根据请求访问的URL获得页面资源和IP地址,然后将页面资源和IP地址打包后发送给所述客户端。这样,所述客户端就可以从接收到的数据包中获得访问的URL所对应的IP地址。
[0058]实施例三
[0059]基于上述实施例一所提供的恶意行为的检测方法和实施例二,本发明实施例对S102中对所述待检测IP地址进行恶意行为检测,以获得检测结果的方法进行具体描述。该步骤具体可以包括:
[0060]可以理解的是,若SlOl的执行主体为客户端,S102的执行主体可以为客户端,或者也可以为服务器。若SlOl的执行主体为服务器,则S102的执行主体可以为服务器。
[0061]举例说明,对所述待检测IP地址进行恶意行为检测,以获得检测结果的方法可以包括但不限于:
[0062]首先,根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值。然后,根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。
[0063]在一个具体的实现过程中,在根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值之前,需要预先生成所述IP地址信誉库。
[0064]需要说明的是,本发明实施例中,由服务器生成所述IP地址信誉库。
[0065]在一个具体的实现过程中,若S102的执行主体为客户端,则所述服务器在生成所述IP地址信誉库后,需要将所述IP地址信誉库发送给所述客户端,以便于所述客户端可以在获得待检测IP地址后,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值。或者,如图2所示,若S102的执行主体为服务器,则所述服务器可以在生成所述IP地址信誉库后,若收到所述客户端发送的所述待检测IP地址,则可以直接查询IP地址信誉库,以获得所述待检测IP地址的信誉分值。
[0066]举例说明,本发明实施中,所述服务器生成所述IP地址信誉库的方法可以包括但不限于:
[0067]如图2所示,首先,所述服务器采集恶意IP地址。然后,所述服务器根据恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值。最后,所述服务器对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
[0068]可以理解的是,所述恶意IP地址可以包括但不限于以下类型的IP地址:僵尸网络C&C的IP地址、恶意代码的下载源的IP地址、钓鱼网址所对应的IP地址、恶意扫描源的IP地址、垃圾邮件发送者的IP地址等。
[0069]在一个具体的实现过程中,所述服务器可以将与自身相关的数据平台和第三方数据平台作为恶意IP地址的采集来源,进而从与自身相关的数据平台以及第三方数据平台采集所述恶意IP地址。
[0070]例如,所述第三方数据平台可以包括但不限于:Virustotal、Clean MX、MalcOde、Malware Domain List、OpenBL、Phishtank、Spy Eye Tracker、The Spamhaus Project、ZeusTracker、Brute Force Blocker、Chaos Reigns 等常见的数据平台。
[0071]在一个具体的实现过程中,所述服务器可以根据预设的数据更新频率,周期性的从采集来源采集所述恶意IP地址,以实现所述IP地址信誉库中恶意IP地址的更新。然而,不同的采集来源的数据更新频率可以相同,也可以不同。例如,有的采集来源可以按小时进行更新,有的采集来源可以按天进行更新,有的采集来源可以按