103]可选的,所述系统还包括:
[0104]输出单元35,用于若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
[0105]由于本实施例中的各单元能够执行图1所示的方法,本实施例未详细描述的部分,可参考对图1的相关说明。
[0106]本发明实施例的技术方案具有以下有益效果:
[0107]本发明实施例中,通过获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;从而,对所述待检测IP地址进行恶意行为检测,以获得检测结果。
[0108]本发明实施例提供的技术方案,能够利用IP地址来实现恶意行为的检测,恶意行为的检测是针对IP地址进行的,因此,能够解决现有技术中攻击者通过不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题,因此,本发明实施例所提供的技术方案能够提尚恶意彳丁为的检出率。
[0109]所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0110]在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0111]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0112]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0113]上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random Access Memory, RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0114]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1.一种恶意行为的检测方法,其特征在于,所述方法包括: 获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址; 对所述待检测IP地址进行恶意行为检测,以获得检测结果。2.根据权利要求1所述的方法,其特征在于,所述对所述待检测IP地址进行恶意行为检测,以获得检测结果,包括: 根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值; 根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。3.根据权利要求2所述的方法,其特征在于,所述根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值之前,所述方法还包括: 采集恶意IP地址; 根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值; 对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。4.根据权利要求3所述的方法,其特征在于,所述方法还包括: 根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。5.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括: 若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者, 若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。6.一种恶意行为的检测系统,其特征在于,所述系统包括: 获取单元,用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址; 检测单元,用于对所述待检测IP地址进行恶意行为检测,以获得检测结果。7.根据权利要求6所述的系统,其特征在于,所述检测单元,具体用于: 根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;根据所述待检测IP地址的信誉分值,获得所述待检测IP地址的恶意行为检测的检测结果。8.根据权利要求7所述的系统,其特征在于,所述系统还包括: 采集单元,用于采集恶意IP地址; 计算单元,用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值; 存储单元,用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。9.根据权利要求8所述的系统,其特征在于,所述计算单元,还用于: 根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。10.根据权利要求6至8中任一项所述的系统,其特征在于,所述系统还包括: 输出单元,用于若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
【专利摘要】本发明实施例提供了一种恶意行为的检测方法及系统。一方面,本发明实施例通过获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;从而,对所述待检测IP地址进行恶意行为检测,以获得检测结果。因此,本发明实施例提供的技术方案利用IP地址实现恶意行为的检测,用以解决现有技术中利用不断更换域名或者更新恶意文件内容来躲避恶意行为的检测的问题,能够提高恶意行为的检出率。
【IPC分类】H04L29/06
【公开号】CN104980446
【申请号】CN201510386083
【发明人】邹荣新
【申请人】百度在线网络技术(北京)有限公司
【公开日】2015年10月14日
【申请日】2015年6月30日