周进行更新。
[0072]举例说明,所述服务器根据恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值的方法可以包括但不限于:
[0073]采集的每个恶意IP地址的初始分值为50分,可以先根据恶意IP数据的采集来源,在恶意IP地址的初始分值的基础上增加分值。
[0074]例如,如果某恶意IP地址是从与服务器相关的数据平台采集的恶意IP地址,则该恶意IP地址的信誉分值在初始分值的基础上增加15分;如果某恶意IP地址的采集来源是所述第三方数据平台中的一个,则该恶意IP地址的信誉分值在初始分值的基础上增加10分;如果某恶意IP地址的采集来源是所述第三方数据平台中的至少两个,表示该恶意IP地址在至少两个数据平台中被认定是恶意IP地址,则该恶意IP地址的信誉分值在初始分值的基础上增加30分。
[0075]进一步的,还可以根据采集来源的数据更新频率,增加恶意IP地址的信誉分值。
[0076]例如,如果恶意IP地址的采集来源的数据更新频率是按小时进行更新,则该恶意IP地址的信誉分值可以再增加10分。如果恶意IP地址的采集来源的数据更新频率是按天进行更新,则该恶意IP地址的信誉分值可以再增加5分。如果恶意IP地址的采集来源的数据更新频率是按周或者按照更长时间进行更新,则不增加该恶意IP地址的信誉分值。若该恶意IP地址连接30天在进行更新时被采集为恶意IP地址,则该恶意IP地址的信誉分值可以再增加15分。如此,利用上述两种增加分值的方法中任意一种可以获得恶意IP地址的信誉分值,也可以两种增加分值的方法一起使用,来获得恶意IP地址的信誉分值。
[0077]在一个具体的实现过程中,还可以根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
[0078]例如,所述信誉分值的有效期设为30天,若IP地址信誉库中某恶意IP地址的信誉分值在30天内都没有发生变化,在30天后,可以根据之前增加的分值,对所述恶意IP地址的信誉分值进行递减。
[0079]需要说明的是,所述恶意IP地址的信誉分值的最小值为1,不可以递减为O。其原因是本发明实施例中,可以将正常IP地址的信誉分值设置为0,而出现过的恶意IP地址,即使其信誉分值已经在减少,但是也不能作为正常IP地址,因此其信誉分值不能减到O。
[0080]在一个具体的实现过程中,对应存储所述恶意IP地址以及获得的所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。另外,生成的所述IP地址信誉库还需要包含正常IP地址与正常IP地址的信誉分值的对应关系。
[0081]优选的,所述正常IP地址可以由人工进行采集,并为正常IP地址配置信誉分值,如正常IP地址的信誉分值可以配置为O。这样,就可以所述IP地址信誉库中就可以对应存储正常IP地址与正常IP地址的信誉分值。
[0082]举例说明,本发明实施例中,根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果的方法可以包括但不限于:
[0083]以待检测IP地址的信誉分值在O?100范围内为例,若所述待检测IP地址的信誉分值等于0,表示所述待检测IP地址属于白名单,确定所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为正常IP地址。若所述待检测IP地址的信誉分值大于O且小于或者等于50分,所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为未知IP地址。若所述待检测IP地址的信誉分值大于50分且小于75分,所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为疑似恶意IP地址。若所述待检测IP地址的信誉分值大于或者等于75分且小于或者等于100分,表示所述待检测IP地址属于黑名单,确定所述待检测IP地址的恶意行为的检测结果为所述待检测IP地址为恶意IP地址。
[0084]实施例四
[0085]基于上述实施例一所提供的恶意行为的检测方法、实施例二和实施例三,对恶意行为的检测方法的可选步骤进行具体描述。该步骤具体可以包括:
[0086]如图2所示,在一个具体的实现过程中,若S102的执行主体为服务器,则本步骤中,所述服务器向所述客户端输出所述待检测IP地址的恶意行为检测的检测结果。若所述检测结果为所述待检测IP地址属于恶意IP地址,所述客户端可以向用户显示提示信息,所述提示信息用以指示用户进行相应的操作,例如可以停止访问该恶意IP地址所对应的URL。或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,所述客户端可以不向用户显示提示信息,可以继续访问该待检测IP地址所对应的URL。
[0087]需要说明的是,若所述服务器获得所述待检测IP地址的恶意行为的检测结果,当所述检测结果是恶意IP地址、未知IP地址或者正常IP地址时,所述服务器可以向所述客户端输出所述检测结果。当所述检测结果是未知IP地址时,所述服务器可以不输出所述检测结果。
[0088]在一个具体的实现过程中,若S102的执行主体为客户端,则本步骤中,若所述检测结果为所述待检测IP地址属于恶意IP地址,所述客户端可以向用户显示提示信息,所述提示信息用以指示用户进行相应的操作,例如可以停止访问该恶意IP地址所对应的URL。或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,所述客户端可以不向用户显示提示信息,可以继续访问该待检测IP地址所对应的URL。
[0089]例如,所述客户端可以通过弹窗提示方式向用户显示提示信息。
[0090]本发明实施例进一步给出实现上述方法实施例中各步骤及方法的装置实施例。
[0091]请参考图3,其为本发明实施例所提供的恶意行为的检测系统的功能方块图。如图所示,该系统包括:
[0092]获取单元30,用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
[0093]检测单元31,用于对所述待检测IP地址进行恶意行为检测,以获得检测结果。
[0094]优选的,所述检测单元31,具体用于:
[0095]根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
[0096]根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。
[0097]可选的,所述系统还包括:
[0098]采集单元32,用于采集恶意IP地址;
[0099]计算单元33,用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
[0100]存储单元34,用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
[0101]可选的,所述计算单元33,还用于:
[0102]根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
[0