CN104954342A - 一种安全评估方法,及装置 - Google Patents
一种安全评估方法,及装置 Download PDFInfo
- Publication number
- CN104954342A CN104954342A CN201410126207.3A CN201410126207A CN104954342A CN 104954342 A CN104954342 A CN 104954342A CN 201410126207 A CN201410126207 A CN 201410126207A CN 104954342 A CN104954342 A CN 104954342A
- Authority
- CN
- China
- Prior art keywords
- item
- operation behavior
- assessed
- action
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种安全评估方法,及装置,以方法的实现为例包括:获取待评估对象的操作行为集,所述操作行为集是包含与所述待评估对象对应的操作项的集合;将所述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分;依据所述得分确定所述待评估对象的安全级别。通过获取评估对象的操作行为集,并将所述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分;实现了以对操作行为统计为基础的评分方式来确定待评估对象的安全级别,从而实现准确的安全评估。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种安全评估方法,及装置。
背景技术
从目前互联网发展的形式来看,用户的操作场景已经逐渐由PC(personalcomputer,个人计算机)端向移动端转移。然而对移动端设备进行安全评估则成为移动互联网的一个新的挑战。
目前对于PC端设备是否为安全的设备,普遍采用的方式是在与该设备建立通信连接以后,接收其发送的各种数据,通过确定其发送的数据是否包含恶意代码,后者恶意链接等方式来确定其是否属于安全的设备。
对于互联网日新月异的发展,以上方案仅能识别发送恶意代码(例如木马程序)的终端,然而对那些没有发送恶意代码的终端,则无法对其安全性进行准确的评估。
发明内容
本发明实施例提供了一种安全评估方法,及装置,用于实现准确的安全评估。
一种安全评估方法,包括:
获取待评估对象的操作行为集,所述操作行为集是包含与所述待评估对象对应的操作项的集合;
将所述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分;
依据所述得分确定所述待评估对象的安全级别。
一种安全评估装置,包括:
行为集获取单元,用于获取待评估对象的操作行为集,所述操作行为集是包含与所述待评估对象对应的操作项的集合;
操作评分单元,用于将所述行为集获取单元获取的操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分;
安全评估单元,用于依据所述操作评分单元计算的得分确定所述待评估对象的安全级别。
从以上技术方案可以看出,本发明实施例具有以下优点:通过获取评估对象的操作行为集,并将所述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分;实现了以对操作行为统计为基础的评分方式来确定待评估对象的安全级别,从而实现准确的安全评估。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例方法流程示意图;
图2为本发明实施例系统结构示意图;
图3为本发明实施例装置结构示意图;
图4为本发明实施例装置结构示意图;
图5为本发明实施例装置结构示意图;
图6为本发明实施例装置结构示意图;
图7为本发明实施例服务器结构示意图;
图8为本发明实施例装置结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
相对于PC来说,移动端在安全问题有着一个先天的优势条件,那就是设备相对固定。如果能通过一种方法,将一个号码所对应的设备进行安全分级,那么这无疑是一个有效的评估纬度。
本发明实施例旨在提出一种通过对某一个设备在相应帐号发起的操作为依据,根据操作类型的可信度来对设备进行评级。通过大量的数据分析我们发现,好人和坏人对号码的操作习惯具有很大的差别,这里最主要的原因是,好人是在使用号码,而坏人则是在利用号码获利。通过对这些截然不同的行为进行分析,就可以通过这些操作来判断一个号码和当前设备之间的信任关系,从而对此设备进行一个安全评级,并采取相应的安全措施。
在这里简单列举几个简单的例子。例如对于一个好人来说,他在对一个帐号进行操作时可能会涉及到充值、消费、游戏、聊天等等。而且这些操作还具备一些明显的特征,例如操作的时间相对固定,总是在几个固定IP(Internet Protocol,网络互连协议)地址发起操作。而对于坏人来说,他的操作会主要聚焦于获利,所以类似消费、转账的操作会比较多,而充值一般是很少有的。另外,坏人的操作也具备明显的特征,例如IP不固定,设备上会登录多个号码等。
本发明实施例给出的技术方案优点在于逻辑简单,成本低。以好人、坏人最终操作号码的目的为依据,从行为上来区别好人和坏人。
相比于依靠常用地理位置,常用版本号,常用IP来完成安全评级的方案。上述评估方式不但准确性较低,同时非常容易被坏人仿造。所以我们就希望提出一种全新的安全评级方式,通过大量的数据分析,分别找到坏人和好人的特征,并根据统计结果来对这个纬度的权重进行打分。同时,对于已经确认的恶意设备,还可以通过对其行为的监控,来发现新的恶意类型操作,实现自我学习的机制。
基于以上思路本发明实施例提供了一种安全评估方法,如图1所示,包括:
101:获取待评估对象的操作行为集,上述操作行为集是包含与上述待评估对象对应的操作项的集合;
在本发明实施例中的待评估对象是需要进行安全评估的目标,它可以是实体设备,也可以是用来标识实体或者用户的标识。操作行为集是操作行为的集合,对于不同的待评估对象,会表现为不同的操作行为,这里获取操作行为的集合,实现了统计功能,方便后续基于统计数据的分析。
本发明实施例是以评分的方式来确定待评估对象的安全性,既然是评分则需要评分规则,本发明实施例给出了评分规则的获得方式,具体如下:
进一步地,在获取待评估对象的操作行为集之前,上述方法还包括:提取已知的安全设备作为安全样本集,提取已知的恶意设备作为恶意样本集;并统计安全样本集内安全设备的操作行为集,以及恶意样本集内恶意设备的操作行为集;比对安全设备的操作行为集和恶意设备的操作行为集,确定仅出现在恶意设备的操作行为集中的操作项为恶意操作项,并确定各恶意操作项的分值作为预置的操作项评分规则。
以上方案是可以单独使用的,如果单独使用则可采用的是“扣分制”,例如某一待评估对象有恶意操作项,那么恶意操作项将会被扣分,那么分数越低则安全级别越低(相对地,也可以是累积扣分值,得到的扣分总值,那么应该是分数越高安全级别越低,其技术实质是相同的);进一步地,本发明实施例还可以进一步考虑待评估设备的安全操作进行综合评分,具体如下:上述方法还包括:确定仅出现在安全设备的操作行为集中的操作项为安全操作项,并确定各安全操作项的分值,并将上述各安全操作项的分值也作为预置的操作项评分规则。
由于以上方案是基于统计得出的,是很可能出现一些类别的操作既出现在了安全设备的操作行为集中也出现在了恶意设备的操作行为集中,对于这类情况本发明实施例给出了如下解决方案:上述方法还包括:若某操作项出现在安全设备的操作行为集中也出现在恶意设备的操作行为集中,则依据该操作项在安全设备的操作行为集中出现的次数以及在恶意设备的操作行为集中出现的次数,按照预定规则确定其属于恶意操作项、安全操作项或待确定操作项,并确定该操作项的分值,并将确定的分值也作为预置的操作项评分规则。
在本实施例中,预定规则可以是按照经验和规律总结的规则,例如:某一操作在安全设备的操作行为集中出现次数远大于在恶意设备的操作行为集中的次数,则可以认为该操作是安全操作项;如果某一操作在安全设备的操作行为集中出现次数远小于在恶意设备的操作行为集中的次数,则可以认为该操作是恶意操作项;否则可以确定为待确定操作项。待确定操作项也可以称为中性操作项,可以不参与评分。
以上方案是基于对样本集的统计得出的,可以由设备自动完成,因此可以由设备方便地更新评分规则,使安全评估的方案趋于准确合理。
在本发明实施例中的待评估对象是需要进行安全评估的目标,它可以是实体设备,也可以是用来标识实体或者用户的标识,具体地:上述待评估对象包括:实体设备、设备识别号,以及账户名中的任意一项。上述实体设备可以为移动终端。
102:将上述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算上述操作行为集中的操作项的得分;
进一步地,为了综合考虑各种因素对安全性的影响,本发明实施例还提供了对得分进行调整的方案,具体如下:在获取待评估对象的操作行为集之前,上述方法还包括:接收来自对应对象的验证请求,然后确定上述对象为待评估对象;依据上述验证请求的来源地址是否为上述待评估对象的常用地址、发送上述验证请求的终端的历史安全记录、上述验证请求对应的聚集性中的至少一项确定权值;并依据上述权值调整上述得分。
作为一个举例,调整得分的级别,在本是实例中,可以是:获取上述验证请求的来源地址以及上述待评估对象的常用地址,上述来源地址是否为常用地址,若是则提高上述待评估对象的权值,否则降低上述待评估对象的权值。
103:依据上述得分确定上述待评估对象的安全级别。
在本发明实施例中,计算得分是为了区分待评估对象的安全级别,由于本发明实施例已经对待评估对象的操作行为集进行了比对,实际上是可以获知各操作项的分数的,那么基于表示操作项分数的方式不同,计算行为集中的操作项的得分,可以采用的方案很多。例如:以恶意操作项为负分,以安全操作项为正分并累积得分,那么得分越高则安全级别越高;若以恶意操作为正分,不考虑安全操作项,累积得分,则得分越高安全级别越低;若以恶意操作为正分,不考虑安全操作项,采用“扣分制”,那么得分越高则安全级别越高。
本发明实施例,通过获取评估对象的操作行为集,并将上述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算上述操作行为集中的操作项的得分;实现了以对操作行为统计为基础的评分方式来确定待评估对象的安全级别,从而实现准确的安全评估。
在安全级别确定以后,安全级别的使用是可以有多种多样的,本发明实施例给出了其中一类方案具体如下:在确定上述待评估对象的安全级别之后,上述方法还包括:若上述待评估对象的安全级别低于预定门限,则依据上述待评估对象的安全级别低于的预定门限,确定并执行与上述预定门限对应的安全管制操作。
在本发明实施例中安全管制操作,可以包括:封号、冻结、功能限制、临时踢下线等各类安全管制操作。上述预定门限可以是一个门限集,门限集中的每个门限对应有安全管制操作。
以下实施例将就本发明实施例在实现过程中的三个方面进行分解说明。
这里用一个场景来说明。本发明实施例方案要先选取一些样本进行分析和学习。这里有很多方法,比如通过用户的举报来提取一批恶意设备,同时提出一批号码安全等级很高的用户来获得一批安全设备。具体方法就不在本发明实施例中赘述了。得到样本后,就可以开始进行分析。首先,可以将恶意设备中,对号码的所有操作项进行提取,然后按照各个操作项出现的次数对操作类型进行一个排序,可以将偶然出现的操作排除。同样对安全设备进行相同的操作。可以得到A1-A100,这一百个操作项。
在得到这些操作项后,就可以对在各种操作进行打分了。主要的思路如下:对于只出现在恶意设备上,并且多次出现的操作,可以认为是恶意等级分数很高的,而对于只出现在安全设备上,同时也多次重复出现的,可以认为是恶意等级为负分的,而对于同时出现在两种设备上的操作,则可以根据当时的操作环境(前后的操作类型)等等,通过合理的算法进行评分。例如A10在恶意设备上出现过10次,在安全设备上出现0次,那A10就是恶意操作,以此类推。
然后通过这些评分对一个设备进行评级,恶意分数越高,安全验证门槛就越严。反之亦然,恶意分数越低,同样能或更高的操作权限。这里也举例说明,可以将待评估设备B的所有操作提出来,得到A10、A57、A99这3项操作,根据刚才选出每项操作对应的恶意评分加权,综合给出一个恶意评级。假设得出的恶意评级达到封号级别,则处罚模块则给出封号处理。
如图2所示,为本发明实施例的系统结构图。主要包括三个方面:一、学习模块,二、打分模块,三、处罚模块。
其中,学习模块主要包含的操作有:提取一批已知安全/恶意的设备作为样本;提取所有操作,以及用以已知的设备属性对各操作项打分;
打分模块主要包含的操作有:提取待评估设备的所有操作项,并依据学习模块的结果对各操作项进行打分;
处罚模块主要包含的操作有:在打分模块打分以后就可以综合给出恶意评分和恶意类型;那么处罚模块可以根据恶意评分和恶意类型给出相应的安全策略。
以上三个方面具体介绍如下:
一、学习模块:
首先,要先选取一些恶意样本、安全样本作为整理分析过程的依据。这里有很多方法,比如通过用户的举报来提取一批恶意设备,同时提出一批号码安全等级很高的用户来获得一批安全设备。得到样本后,要将恶意设备中,对号码的所有操作项进行提取,然后按照各个操作出现的次数对操作类型进行一个排序,将偶然出现的操作排除,同样对安全设备进行相同的操作。接下来就是分析工作,根据每个操作项出现的设备种类,次数等进行评分。例如,对于只出现在恶意设备上,并且多次出现的操作,可以认为是恶意等级分数很高的,而对于只出现在安全设备上,同时也多次重复出现的,可以认为是恶意等级为负分的,而对于同时出现在两种设备上的操作,则可以根据当时的操作环境(前后的操作类型)等等,通过合理的算法进行评分。最终给所有的操作项都匹配一个相应的恶意评级。
值得注意的是,这里的评级不但是一个分数,还可以包含一个类型。例如,转账请求占本次评估的主要部分,那就会在给出恶意评分的同时,给出一个转账类恶意设备的标签。这个将用于后续处罚用。
二、打分模块:
学习模块已经将标准准备好了,接下来就是利用这些标准进行评分。当收到一个验证请求时,首先要将这个设备上发起的各项操作都提取出来,与操作恶意库进行比对,将每一项操作都数值化,然后进行加和,得到一个综合的恶意分数。当然这不是最后的结果,还需要将一些坏境和行为的特点考虑在内。例如当前设备的IP的属性,如果是常用IP,那可能需要考虑加分,如果是异地IP或者代理IP,那就要考虑相应的扣分。还有设备的历史信用记录,聚集性等等。这些都可以通过大量的样本学习来确认最终的权值。最后综合的给出一个恶意评级。
值得注意的是,这里的评级不但是一个分数,还可以包含一个类型。例如,转账请求占本次评估的主要部分,那就会在给出恶意评分的同时,给出一个转账类恶意设备的标签。这个将用于后续处罚用。
三、处罚模块:
这里的处罚模块,实际上就是根据不同的恶意评级做出相应的处理。
这里分为两个部分,第一是根据恶意评分来确定打击等级。例如封号、冻结、功能限制、临时踢下线等等,不同的打击等级对应不同处罚措施。封号为最高等级,即永远禁止该设备操作本次评估对应的帐号;其次是冻结,这是一种保护状态,用户需要通过改密等操作来恢复号码在该设备上的使用权限;第三级是功能限制,即禁止该设备对本次评估对应的帐号进行某些指定的操作;最后是临时踢下线,这里举个例子,比如5分钟踢下线,即该设备5分钟能不允许登录相应帐号。
第二个部分主要应用于功能限制这一打击等级,当恶意评分判定给予功能限制打击时,就需要通过恶意类型标签来确定限制何种功能。拿之前提到的“转账类恶意设备”为例,就可以限制他的转账功能,以此类推。
以上方案可以解决依靠常用地理位置,常用版本号,常用IP来进行设备安全评级方法的证据单一,等级模糊的缺点,提供了操作逻辑更简易直观,结果更具备针对性的评估方法。同时配合多等级的打击方式,更加人性化,提高安全保护的产品体验。
本发明实施例还提供了一种安全评估装置,如图3所示,包括:
行为集获取单元301,用于获取待评估对象的操作行为集,上述操作行为集是包含与上述待评估对象对应的操作项的集合;
操作评分单元302,用于将上述行为集获取单元301获取的操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算上述操作行为集中的操作项的得分;
安全评估单元303,用于依据上述操作评分单元302计算的得分确定上述待评估对象的安全级别。
在本发明实施例中的待评估对象是需要进行安全评估的目标,它可以是实体设备,也可以是用来标识实体或者用户的标识。操作行为集是操作行为的集合,对于不同的待评估对象,会表现为不同的操作行为,这里获取操作行为的集合,实现了统计功能,方便后续基于统计数据的分析。
在本发明实施例中,计算得分是为了区分待评估对象的安全级别,由于本发明实施例已经对待评估对象的操作行为集进行了比对,实际上是可以获知各操作项的分数的,那么基于表示操作项分数的方式不同,计算行为集中的操作项的得分,可以采用的方案很多。例如:以恶意操作项为负分,以安全操作项为正分并累积得分,那么得分越高则安全级别越高;若以恶意操作为正分,不考虑安全操作项,累积得分,则得分越高安全级别越低;若以恶意操作为正分,不考虑安全操作项,采用“扣分制”,那么得分越高则安全级别越高。
本发明实施例,通过获取评估对象的操作行为集,并将上述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算上述操作行为集中的操作项的得分;实现了以对操作行为统计为基础的评分方式来确定待评估对象的安全级别,从而实现准确的安全评估。
本发明实施例是以评分的方式来确定待评估对象的安全性,既然是评分则需要评分规则,本发明实施例给出了评分规则的获得方式,具体如下:
进一步地,如图4所示,上述装置还包括:
规则获取单元401,用于在获取待评估对象的操作行为集之前,提取已知的安全设备作为安全样本集,提取已知的恶意设备作为恶意样本集;并统计安全样本集内安全设备的操作行为集,以及恶意样本集内恶意设备的操作行为集;比对安全设备的操作行为集和恶意设备的操作行为集,确定仅出现在恶意设备的操作行为集中的操作项为恶意操作项,并确定各恶意操作项的分值作为预置的操作项评分规则。
以上方案是可以单独使用的,如果单独使用则可采用的是“扣分制”,例如某一待评估对象有恶意操作项,那么恶意操作项将会被扣分,那么分数越低则安全级别越低(相对地,也可以是累积扣分值,得到的扣分总值,那么应该是分数越高安全级别越低,其技术实质是相同的);进一步地,本发明实施例还可以进一步考虑待评估设备的安全操作进行综合评分,具体如下:进一步地,上述规则获取单元401,还用于确定仅出现在安全设备的操作行为集中的操作项为安全操作项,并确定各安全操作项的分值,并将上述各安全操作项的分值也作为预置的操作项评分规则。
由于以上方案是基于统计得出的,是很可能出现一些类别的操作既出现在了安全设备的操作行为集中也出现在了恶意设备的操作行为集中,对于这类情况本发明实施例给出了如下解决方案:进一步地,上述规则获取单元401,还用于若某操作项出现在安全设备的操作行为集中也出现在恶意设备的操作行为集中,则依据该操作项在安全设备的操作行为集中出现的次数以及在恶意设备的操作行为集中出现的次数,按照预定规则确定其属于恶意操作项、安全操作项或待确定操作项,并确定该操作项的分值,并将确定的分值也作为预置的操作项评分规则。
在本实施例中,预定规则可以是按照经验和规律总结的规则,例如:某一操作在安全设备的操作行为集中出现次数远大于在恶意设备的操作行为集中的次数,则可以认为该操作是安全操作项;如果某一操作在安全设备的操作行为集中出现次数远小于在恶意设备的操作行为集中的次数,则可以认为该操作是恶意操作项;否则可以确定为待确定操作项。待确定操作项也可以称为中性操作项,可以不参与评分。
以上方案是基于对样本集的统计得出的,可以由设备自动完成,因此可以由设备方便地更新评分规则,使安全评估的方案趋于准确合理。
在本发明实施例中的待评估对象是需要进行安全评估的目标,它可以是实体设备,也可以是用来标识实体或者用户的标识,具体地:可选地,上述待评估对象包括:实体设备、设备识别号,以及账户名中的任意一项。上述实体设备可以为移动终端。
进一步地,为了综合考虑各种因素对安全性的影响,本发明实施例还提供了对得分进行调整的方案,具体如下:进一步地,如图5所示,上述装置还包括:
请求接收单元501,用于在上述行为集获取单元301获取待评估对象的操作行为集之前,接收来自对应对象的验证请求;
上述行为集获取单元301,还用于确定上述请求接收单元501接收的验证请求对应的上述对象为待评估对象;
权值确定单元502,用于依据上述验证请求的来源地址是否为上述待评估对象的常用地址、发送上述验证请求的终端的历史安全记录、上述验证请求对应的聚集性中的至少一项确定权值;
得分调整单元503,用于依据上述权值调整上述得分。
作为一个举例,调整得分的级别,在本是实例中,可以是:获取上述验证请求的来源地址以及上述待评估对象的常用地址,上述来源地址是否为常用地址,若是则提高上述待评估对象的权值,否则降低上述待评估对象的权值。
在安全级别确定以后,安全级别的使用是可以有多种多样的,本发明实施例给出了其中一类方案具体如下:进一步地,如图6所示,上述装置还包括:
管制单元601,用于在上述安全评估单元303确定上述待评估对象的安全级别之后,若上述待评估对象的安全级别低于预定门限,则依据上述待评估对象的安全级别低于的预定门限,确定并执行与上述预定门限对应的安全管制操作。
在本发明实施例中安全管制操作,可以包括:封号、冻结、功能限制、临时踢下线等各类安全管制操作。上述预定门限可以是一个门限集,门限集中的每个门限对应有安全管制操作。
图7是本发明实施例提供的一种服务器结构示意图,该服务器700可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)722(例如,一个或一个以上处理器)和存储器732,一个或一个以上存储应用程序742或数据744的存储介质730(例如一个或一个以上海量存储设备)。其中,存储器732和存储介质730可以是短暂存储或持久存储。存储在存储介质730的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器722可以设置为与存储介质730通信,在服务器700上执行存储介质730中的一系列指令操作。
服务器700还可以包括一个或一个以上电源726,一个或一个以上有线或无线网络接口750,一个或一个以上输入输出接口758,和/或,一个或一个以上操作系统741,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中由服务器所执行的步骤可以基于该图7所示的服务器结构。
本发明实施例还提供了一种安全评估装置,如图8所示,包括:接收器801、发射器802、处理器803以及存储器804;其中,处理器803用于控制执行:获取待评估对象的操作行为集,上述操作行为集是包含与上述待评估对象对应的操作项的集合;将上述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算上述操作行为集中的操作项的得分;依据上述得分确定上述待评估对象的安全级别。
在本发明实施例中的待评估对象是需要进行安全评估的目标,它可以是实体设备,也可以是用来标识实体或者用户的标识。操作行为集是操作行为的集合,对于不同的待评估对象,会表现为不同的操作行为,这里获取操作行为的集合,实现了统计功能,方便后续基于统计数据的分析。
在本发明实施例中,计算得分是为了区分待评估对象的安全级别,由于本发明实施例已经对待评估对象的操作行为集进行了比对,实际上是可以获知各操作项的分数的,那么基于表示操作项分数的方式不同,计算行为集中的操作项的得分,可以采用的方案很多。例如:以恶意操作项为负分,以安全操作项为正分并累积得分,那么得分越高则安全级别越高;若以恶意操作为正分,不考虑安全操作项,累积得分,则得分越高安全级别越低;若以恶意操作为正分,不考虑安全操作项,采用“扣分制”,那么得分越高则安全级别越高。
本发明实施例,通过获取评估对象的操作行为集,并将上述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算上述操作行为集中的操作项的得分;实现了以对操作行为统计为基础的评分方式来确定待评估对象的安全级别,从而实现准确的安全评估。
本发明实施例是以评分的方式来确定待评估对象的安全性,既然是评分则需要评分规则,本发明实施例给出了评分规则的获得方式,具体如下:
进一步地,上述处理器803还用于控制执行:在获取待评估对象的操作行为集之前,提取已知的安全设备作为安全样本集,提取已知的恶意设备作为恶意样本集;并统计安全样本集内安全设备的操作行为集,以及恶意样本集内恶意设备的操作行为集;比对安全设备的操作行为集和恶意设备的操作行为集,确定仅出现在恶意设备的操作行为集中的操作项为恶意操作项,并确定各恶意操作项的分值作为预置的操作项评分规则。
以上方案是可以单独使用的,如果单独使用则可采用的是“扣分制”,例如某一待评估对象有恶意操作项,那么恶意操作项将会被扣分,那么分数越低则安全级别越低(相对地,也可以是累积扣分值,得到的扣分总值,那么应该是分数越高安全级别越低,其技术实质是相同的);进一步地,本发明实施例还可以进一步考虑待评估设备的安全操作进行综合评分,具体如下:上述处理器803还用于控制执行:确定仅出现在安全设备的操作行为集中的操作项为安全操作项,并确定各安全操作项的分值,并将上述各安全操作项的分值也作为预置的操作项评分规则。
由于以上方案是基于统计得出的,是很可能出现一些类别的操作既出现在了安全设备的操作行为集中也出现在了恶意设备的操作行为集中,对于这类情况本发明实施例给出了如下解决方案:上述处理器803还用于控制执行:若某操作项出现在安全设备的操作行为集中也出现在恶意设备的操作行为集中,则依据该操作项在安全设备的操作行为集中出现的次数以及在恶意设备的操作行为集中出现的次数,按照预定规则确定其属于恶意操作项、安全操作项或待确定操作项,并确定该操作项的分值,并将确定的分值也作为预置的操作项评分规则。
在本实施例中,预定规则可以是按照经验和规律总结的规则,例如:某一操作在安全设备的操作行为集中出现次数远大于在恶意设备的操作行为集中的次数,则可以认为该操作是安全操作项;如果某一操作在安全设备的操作行为集中出现次数远小于在恶意设备的操作行为集中的次数,则可以认为该操作是恶意操作项;否则可以确定为待确定操作项。待确定操作项也可以称为中性操作项,可以不参与评分。
以上方案是基于对样本集的统计得出的,可以由设备自动完成,因此可以由设备方便地更新评分规则,使安全评估的方案趋于准确合理。
在本发明实施例中的待评估对象是需要进行安全评估的目标,它可以是实体设备,也可以是用来标识实体或者用户的标识,具体地:上述处理器803用于控制执行使用的上述待评估对象包括:实体设备、设备识别号,以及账户名中的任意一项。上述实体设备可以为移动终端。
进一步地,为了综合考虑各种因素对安全性的影响,本发明实施例还提供了对得分进行调整的方案,具体如下:上述处理器803还用于控制执行:在获取待评估对象的操作行为集之前,接收来自对应对象的验证请求,然后确定上述对象为待评估对象;依据上述验证请求的来源地址是否为上述待评估对象的常用地址、发送上述验证请求的终端的历史安全记录、上述验证请求对应的聚集性中的至少一项确定权值;并依据上述权值调整上述得分。
作为一个举例,调整得分的级别,在本是实例中,可以是:获取上述验证请求的来源地址以及上述待评估对象的常用地址,上述来源地址是否为常用地址,若是则提高上述待评估对象的权值,否则降低上述待评估对象的权值。
在安全级别确定以后,安全级别的使用是可以有多种多样的,本发明实施例给出了其中一类方案具体如下:上述处理器803还用于控制执行:在确定上述待评估对象的安全级别之后,若上述待评估对象的安全级别低于预定门限,则依据上述待评估对象的安全级别低于的预定门限,确定并执行与上述预定门限对应的安全管制操作。
在本发明实施例中安全管制操作,可以包括:封号、冻结、功能限制、临时踢下线等各类安全管制操作。上述预定门限可以是一个门限集,门限集中的每个门限对应有安全管制操作。
值得注意的是,上述装置实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
另外,本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成,相应的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (14)
1.一种安全评估方法,其特征在于,包括:
获取待评估对象的操作行为集,所述操作行为集是包含与所述待评估对象对应的操作项的集合;
将所述操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分;
依据所述得分确定所述待评估对象的安全级别。
2.根据权利要求1所述方法,其特征在于,在获取待评估对象的操作行为集之前,所述方法还包括:
提取已知的安全设备作为安全样本集,提取已知的恶意设备作为恶意样本集;并统计安全样本集内安全设备的操作行为集,以及恶意样本集内恶意设备的操作行为集;
比对安全设备的操作行为集和恶意设备的操作行为集,确定仅出现在恶意设备的操作行为集中的操作项为恶意操作项,并确定各恶意操作项的分值作为预置的操作项评分规则。
3.根据权利要求1所述方法,其特征在于,所述方法还包括:
确定仅出现在安全设备的操作行为集中的操作项为安全操作项,并确定各安全操作项的分值,并将所述各安全操作项的分值也作为预置的操作项评分规则。
4.根据权利要求3所述方法,其特征在于,所述方法还包括:
若某操作项出现在安全设备的操作行为集中也出现在恶意设备的操作行为集中,则依据该操作项在安全设备的操作行为集中出现的次数以及在恶意设备的操作行为集中出现的次数,按照预定规则确定其属于恶意操作项、安全操作项或待确定操作项,并确定该操作项的分值,并将确定的分值也作为预置的操作项评分规则。
5.根据权利要求1所述方法,其特征在于,所述待评估对象包括:实体设备、设备识别号,以及账户名中的任意一项。
6.根据权利要求1所述方法,其特征在于,在获取待评估对象的操作行为集之前,所述方法还包括:
接收来自对应对象的验证请求,然后确定所述对象为待评估对象;
依据所述验证请求的来源地址是否为所述待评估对象的常用地址、发送所述验证请求的终端的历史安全记录、所述验证请求对应的聚集性中的至少一项确定权值;并依据所述权值调整所述得分。
7.根据权利要求1至6任意一项所述方法,其特征在于,在确定所述待评估对象的安全级别之后,所述方法还包括:
若所述待评估对象的安全级别低于预定门限,则依据所述待评估对象的安全级别低于的预定门限,确定并执行与所述预定门限对应的安全管制操作。
8.一种安全评估装置,其特征在于,包括:
行为集获取单元,用于获取待评估对象的操作行为集,所述操作行为集是包含与所述待评估对象对应的操作项的集合;
操作评分单元,用于将所述行为集获取单元获取的操作行为集中的各操作项,与预置的操作项评分规则进行比对,并计算所述操作行为集中的操作项的得分;
安全评估单元,用于依据所述操作评分单元计算的得分确定所述待评估对象的安全级别。
9.根据权利要求8所述装置,其特征在于,所述装置还包括:
规则获取单元,用于在获取待评估对象的操作行为集之前,提取已知的安全设备作为安全样本集,提取已知的恶意设备作为恶意样本集;并统计安全样本集内安全设备的操作行为集,以及恶意样本集内恶意设备的操作行为集;比对安全设备的操作行为集和恶意设备的操作行为集,确定仅出现在恶意设备的操作行为集中的操作项为恶意操作项,并确定各恶意操作项的分值作为预置的操作项评分规则。
10.根据权利要求8所述装置,其特征在于,
所述规则获取单元,还用于确定仅出现在安全设备的操作行为集中的操作项为安全操作项,并确定各安全操作项的分值,并将所述各安全操作项的分值也作为预置的操作项评分规则。
11.根据权利要求10所述装置,其特征在于,
所述规则获取单元,还用于若某操作项出现在安全设备的操作行为集中也出现在恶意设备的操作行为集中,则依据该操作项在安全设备的操作行为集中出现的次数以及在恶意设备的操作行为集中出现的次数,按照预定规则确定其属于恶意操作项、安全操作项或待确定操作项,并确定该操作项的分值,并将确定的分值也作为预置的操作项评分规则。
12.根据权利要求8所述装置,其特征在于,所述待评估对象包括:实体设备、设备识别号,以及账户名中的任意一项。
13.根据权利要求8所述装置,其特征在于,所述装置还包括:
请求接收单元,用于在所述行为集获取单元获取待评估对象的操作行为集之前,接收来自对应对象的验证请求;
所述行为集获取单元,还用于确定所述请求接收单元接收的验证请求对应的所述对象为待评估对象;
权值确定单元,用于依据所述验证请求的来源地址是否为所述待评估对象的常用地址、发送所述验证请求的终端的历史安全记录、所述验证请求对应的聚集性中的至少一项确定权值;
得分调整单元,用于依据所述权值调整所述得分。
14.根据权利要求8至13任意一项所述装置,其特征在于,所述装置还包括:
管制单元,用于在所述安全评估单元确定所述待评估对象的安全级别之后,若所述待评估对象的安全级别低于预定门限,则依据所述待评估对象的安全级别低于的预定门限,确定并执行与所述预定门限对应的安全管制操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410126207.3A CN104954342B (zh) | 2014-03-31 | 2014-03-31 | 一种安全评估方法,及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410126207.3A CN104954342B (zh) | 2014-03-31 | 2014-03-31 | 一种安全评估方法,及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104954342A true CN104954342A (zh) | 2015-09-30 |
| CN104954342B CN104954342B (zh) | 2019-04-02 |
Family
ID=54168702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410126207.3A Active CN104954342B (zh) | 2014-03-31 | 2014-03-31 | 一种安全评估方法,及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104954342B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106600021A (zh) * | 2015-10-16 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 账户被盗概率的确定方法和装置 |
| CN107122884A (zh) * | 2017-03-24 | 2017-09-01 | 中国电力科学研究院 | 一种配电自动化系统信息安全防护的评估方法及装置 |
| CN107733925A (zh) * | 2017-11-27 | 2018-02-23 | 广西塔锡科技有限公司 | 一种恶意链接检测方法及系统 |
| CN107733927A (zh) * | 2017-11-28 | 2018-02-23 | 深信服科技股份有限公司 | 一种僵尸网络文件检测的方法、云服务器、装置及系统 |
| CN108074095A (zh) * | 2016-11-18 | 2018-05-25 | 腾讯科技(深圳)有限公司 | 一种票务处理方法和装置 |
| WO2019134224A1 (zh) * | 2018-01-08 | 2019-07-11 | 平安科技(深圳)有限公司 | 一种网络威胁管理方法、装置、计算机设备及存储介质 |
| CN110866259A (zh) * | 2019-11-14 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种基于多维度数据计算安全隐患评分方法和系统 |
| CN111385309A (zh) * | 2020-03-21 | 2020-07-07 | 薛爱君 | 在线办公设备的安全检测方法、系统及终端 |
| CN111898123A (zh) * | 2020-07-28 | 2020-11-06 | 山东英信计算机技术有限公司 | 一种恶意操作识别方法、装置、设备及可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102110220A (zh) * | 2011-02-14 | 2011-06-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN102315955A (zh) * | 2010-06-30 | 2012-01-11 | 上海薄荷信息科技有限公司 | 一种为垃圾信息设置障碍的控制方法以及相应的控制装置 |
| CN102567674A (zh) * | 2012-02-10 | 2012-07-11 | 联信摩贝软件(北京)有限公司 | 基于行为判断软件是否含有病毒的方法和设备 |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN103428189A (zh) * | 2012-05-25 | 2013-12-04 | 阿里巴巴集团控股有限公司 | 一种识别恶意网络设备的方法、装置和系统 |
| CN103473506A (zh) * | 2013-08-30 | 2013-12-25 | 北京奇虎科技有限公司 | 用于识别恶意apk文件的方法和装置 |
-
2014
- 2014-03-31 CN CN201410126207.3A patent/CN104954342B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102315955A (zh) * | 2010-06-30 | 2012-01-11 | 上海薄荷信息科技有限公司 | 一种为垃圾信息设置障碍的控制方法以及相应的控制装置 |
| CN102110220A (zh) * | 2011-02-14 | 2011-06-29 | 宇龙计算机通信科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN102567674A (zh) * | 2012-02-10 | 2012-07-11 | 联信摩贝软件(北京)有限公司 | 基于行为判断软件是否含有病毒的方法和设备 |
| CN103428189A (zh) * | 2012-05-25 | 2013-12-04 | 阿里巴巴集团控股有限公司 | 一种识别恶意网络设备的方法、装置和系统 |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN103473506A (zh) * | 2013-08-30 | 2013-12-25 | 北京奇虎科技有限公司 | 用于识别恶意apk文件的方法和装置 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106600021A (zh) * | 2015-10-16 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 账户被盗概率的确定方法和装置 |
| CN108074095B (zh) * | 2016-11-18 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 一种票务处理方法和装置 |
| CN108074095A (zh) * | 2016-11-18 | 2018-05-25 | 腾讯科技(深圳)有限公司 | 一种票务处理方法和装置 |
| CN107122884A (zh) * | 2017-03-24 | 2017-09-01 | 中国电力科学研究院 | 一种配电自动化系统信息安全防护的评估方法及装置 |
| CN107122884B (zh) * | 2017-03-24 | 2022-09-02 | 中国电力科学研究院 | 一种配电自动化系统信息安全防护的评估方法及装置 |
| CN107733925A (zh) * | 2017-11-27 | 2018-02-23 | 广西塔锡科技有限公司 | 一种恶意链接检测方法及系统 |
| CN107733927A (zh) * | 2017-11-28 | 2018-02-23 | 深信服科技股份有限公司 | 一种僵尸网络文件检测的方法、云服务器、装置及系统 |
| WO2019134224A1 (zh) * | 2018-01-08 | 2019-07-11 | 平安科技(深圳)有限公司 | 一种网络威胁管理方法、装置、计算机设备及存储介质 |
| CN110866259A (zh) * | 2019-11-14 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种基于多维度数据计算安全隐患评分方法和系统 |
| CN111385309B (zh) * | 2020-03-21 | 2020-12-08 | 浙江电科智盛科技有限公司 | 在线办公设备的安全检测方法、系统及终端 |
| CN111385309A (zh) * | 2020-03-21 | 2020-07-07 | 薛爱君 | 在线办公设备的安全检测方法、系统及终端 |
| CN111898123A (zh) * | 2020-07-28 | 2020-11-06 | 山东英信计算机技术有限公司 | 一种恶意操作识别方法、装置、设备及可读存储介质 |
| CN111898123B (zh) * | 2020-07-28 | 2022-06-10 | 山东英信计算机技术有限公司 | 一种恶意操作识别方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104954342B (zh) | 2019-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104954342A (zh) | 一种安全评估方法,及装置 | |
| CN111078479B (zh) | 一种内存检测模型训练的方法、内存检测的方法及装置 | |
| JP6742320B2 (ja) | 取引リスク検出方法及び装置 | |
| CN109922032B (zh) | 用于确定登录账户的风险的方法、装置、设备及存储介质 | |
| CN108734380B (zh) | 风险账户判定方法、装置及计算设备 | |
| CN111476662A (zh) | 反洗钱识别方法及装置 | |
| CN113657465A (zh) | 预训练模型的生成方法、装置、电子设备和存储介质 | |
| CN104541293A (zh) | 用于客户端-云行为分析器的架构 | |
| CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
| CN111028016A (zh) | 销量数据预测方法、装置以及相关设备 | |
| CN104133829A (zh) | 监控业务运行数据入库的方法和相关设备及系统 | |
| CN110348471B (zh) | 异常对象识别方法、装置、介质及电子设备 | |
| CN107203883B (zh) | 一种风险控制方法和设备 | |
| CN107305611A (zh) | 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置 | |
| WO2022142903A1 (zh) | 身份识别方法、装置、电子设备及相关产品 | |
| CN114124460B (zh) | 工控系统入侵检测方法、装置、计算机设备及存储介质 | |
| CN114841705B (zh) | 一种基于场景识别的反欺诈监测方法 | |
| CN109242165A (zh) | 一种模型训练及基于模型训练的预测方法及装置 | |
| CN108985559A (zh) | 风控数据处理方法、装置、计算机设备及存储介质 | |
| CN105405051A (zh) | 金融事件预测方法和装置 | |
| CN110457387A (zh) | 一种应用于网络中用户标签确定的方法及相关装置 | |
| CN110880128A (zh) | 异常信息挖掘方法、装置、系统及终端设备 | |
| CN107480275A (zh) | 一种基于大数据的有害信息监测方法及系统 | |
| CN107835174B (zh) | 一种基于物联网的账本反欺诈系统及方法 | |
| CN113807391A (zh) | 任务模型的训练方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190731 Address after: Shenzhen Futian District City, Guangdong province 518044 Zhenxing Road, SEG Science Park 2 East Room 403 Co-patentee after: Tencent cloud computing (Beijing) limited liability company Patentee after: Tencent Technology (Shenzhen) Co., Ltd. Address before: Shenzhen Futian District City, Guangdong province 518000 Zhenxing Road, SEG Science Park 2 East Room 403 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |
|
| TR01 | Transfer of patent right |